Arbitrum đóng vai tin tặc để “đánh cắp” lại số tiền mà KelpDAO đã mất
Tuyển chọn TechFlowTuyển chọn TechFlow
Arbitrum đóng vai tin tặc để “đánh cắp” lại số tiền mà KelpDAO đã mất
Ngay cả khi Arbitrum đã sử dụng đặc quyền “thượng đế”, cuộc chiến này rõ ràng vẫn còn rất dài.
Chuyên sâu báo cáo Web3Tác giả: TechFlow
Tuần trước, KelpDAO đã bị tin tặc đánh cắp gần 300 triệu USD, trở thành sự cố an ninh tiêu cực lớn nhất trong lĩnh vực DeFi năm nay cho đến thời điểm hiện tại.
Số ETH bị đánh cắp hiện đang phân tán trên nhiều chuỗi, trong đó khoảng 30.765 ETH vẫn còn nằm trong một địa chỉ trên chuỗi Arbitrum, trị giá hơn 70 triệu USD.
Câu chuyện này vốn tưởng chừng đã khép lại, nhưng hôm nay bất ngờ có phần tiếp theo.
Theo báo cáo từ tổ chức an toàn chuỗi PeckShield, số tiền trong địa chỉ của tin tặc trên chuỗi Arbitrum vừa được chuyển đi vài giờ trước — điều kỳ lạ là khoản tiền này lại được gửi tới một địa chỉ kỳ lạ dạng “0x00000...”, trông gần như toàn bộ là số không.
Lúc đó, cộng đồng đều đoán: phải chăng tin tặc tự đưa tiền vào địa chỉ “lỗ đen” để đốt? Hay là họ đột nhiên thức tỉnh lương tâm, hoặc đã bị “chiêu an”?
Không phải cả hai.
Vài giờ trước, Hội đồng An ninh Arbitrum đã đăng một thông báo hành động khẩn cấp trên diễn đàn chính thức của Arbitrum để làm rõ tình hình: số tiền của tin tặc đã bị Hội đồng An ninh Arbitrum chuyển đi.
Điều kỳ lạ hơn nữa là, mà không hề biết khóa riêng của địa chỉ tin tặc, Hội đồng An ninh Arbitrum vừa không thể đóng băng số tiền này, cũng không có quyền chuyển khoản — thế nhưng họ lại trực tiếp phát hành một giao dịch chuyển tiền “nhân danh tin tặc”.
Tin tặc hoàn toàn không hay biết, khóa riêng chưa từng bị rò rỉ, và bản ghi trên chuỗi trông y hệt như chính tin tặc tự thực hiện thao tác.
Cơ chế cho phép thực hiện thao tác này là: mọi thông điệp liên chuỗi giữa Arbitrum và Ethereum đều phải đi qua một hợp đồng cầu nối (bridge contract) tên là Inbox. Hội đồng An ninh đã sử dụng đặc quyền khẩn cấp để nâng cấp tạm thời hợp đồng này, bổ sung một hàm mới:
Gửi giao dịch liên chuỗi nhân danh bất kỳ địa chỉ ví nào — mà không cần khóa riêng của ví đó.
Sau đó, họ dùng hàm này để giả mạo một thông điệp, ghi rõ người gửi là ví của tin tặc, nội dung là “Hãy chuyển toàn bộ ETH của tôi tới địa chỉ đóng băng”. Khi chuỗi Arbitrum nhận được thông điệp này, nó thực thi bình thường — do đó mới xuất hiện cảnh tượng kỳ lạ trong ảnh chụp màn hình giao dịch trên chuỗi ở trên.
Sau khi chuyển xong toàn bộ số tiền của tin tặc, hợp đồng lập tức được hạ cấp về phiên bản gốc. Toàn bộ quy trình gồm nâng cấp, giả mạo, chuyển tiền và phục hồi đều được đóng gói trong một giao dịch duy nhất trên Ethereum. Người dùng và ứng dụng khác hoàn toàn không bị ảnh hưởng.
Thao tác này chưa từng có tiền lệ trong lịch sử Arbitrum.
Theo thông báo trên diễn đàn, Hội đồng An ninh trước đó đã phối hợp với cơ quan thực thi pháp luật để xác minh danh tính tin tặc — đối tượng được xác định là nhóm Lazarus của Triều Tiên, tổ chức tin tặc cấp nhà nước hoạt động tích cực nhất trong lĩnh vực DeFi năm nay. Hội đồng cũng đã tiến hành đánh giá kỹ thuật nhằm đảm bảo không ảnh hưởng tới người dùng khác trước khi tiến hành hành động.
Vì tin tặc đã vi phạm trước, nên động thái này mang hàm ý “đừng trách chúng tôi không tuân thủ luật chơi”. Còn việc xử lý số ETH đã bị đóng băng sau này sẽ được quyết định thông qua biểu quyết quản trị của DAO Arbitrum và phối hợp với cơ quan thực thi pháp luật.
Việc thu hồi được hơn 70 triệu USD tất nhiên là một tin tốt. Tuy nhiên, điều kiện tiên quyết để đạt được điều này đáng để lưu ý: trong số 12 thành viên của Hội đồng An ninh, chỉ cần 9 người ký tên là có thể bỏ qua toàn bộ quy trình biểu quyết quản trị và nâng cấp ngay lập tức bất kỳ hợp đồng cốt lõi nào trên chuỗi — không có độ trễ.
Khen ngợi kết quả, lo ngại năng lực?
Hiện tại, phản ứng của cộng đồng đối với sự việc này rất phân hóa.
Một bộ phận cho rằng Arbitrum đã hành động rất xuất sắc, kịp thời bảo vệ tài sản và thậm chí còn gia tăng thêm niềm tin vào L2. Một bộ phận khác đặt ra câu hỏi rất thẳng thắn: nếu chỉ cần 9 người ký tên là có thể thao túng bất kỳ tài sản nào nhân danh bất kỳ ai, thì đây còn gọi là phi tập trung sao?
Theo quan điểm của tác giả, hai luồng ý kiến này thực chất đang nói về hai vấn đề khác nhau.
Nhóm đầu tiên nói về kết quả, nhóm sau lại nói về năng lực. Kết quả của sự việc này chắc chắn là tích cực: hơn 70 triệu USD bị đánh cắp đã được thu hồi. Nhưng năng lực đa ký (multisig) để sửa đổi hàm trong hợp đồng mà Arbitrum vừa thể hiện lại là một yếu tố trung tính; lần này dùng để truy bắt tin tặc, nhưng lần sau sẽ dùng vào mục đích gì, có được phép dùng hay không, và sẽ được triển khai như thế nào — thực tế đều phụ thuộc vào cách vận hành quản trị của Hội đồng.
Tuy nhiên, đối với đa số người dùng Arbitrum, cuộc tranh luận này có lẽ không thực tế bằng một sự thật khác: Arbitrum không phải ngoại lệ — hiện nay hầu hết các L2 chủ lực đều giữ lại đặc quyền nâng cấp khẩn cấp tương tự.
Chuỗi bạn đang dùng rất có khả năng cũng sở hữu một Hội đồng An ninh tương tự, với năng lực tương đương. Đây không phải lựa chọn độc nhất của Arbitrum — mà là thiết kế chung phổ biến đối với các L2 ở giai đoạn hiện tại.
Nhìn từ một góc độ khác, cuộc tấn công – phòng thủ lần này thực chất đã phơi bày một bức tranh rộng lớn hơn.
Bên tấn công là nhóm Lazarus của Triều Tiên — kể từ đầu năm nay, ít nhất 18 vụ tấn công DeFi đã được quy kết cho nhóm này. Chỉ ba tuần trước, họ vừa đánh cắp 285 triệu USD từ Drift Protocol bằng một phương thức hoàn toàn khác.
Một bên là tin tặc cấp quốc gia không ngừng nâng cấp kỹ thuật tấn công, một bên là các L2 bắt đầu sử dụng đặc quyền nền tảng để phản công. Cuộc chiến an ninh trong DeFi đang bước sang một giai đoạn mới — thoát khỏi mô hình cũ “đóng băng sau sự việc, kêu gọi trên chuỗi, cầu nguyện sự can thiệp của white hat”.
Trong thời điểm đặc biệt, họ đã tạo ra một chiếc “chìa khóa vạn năng” để mở địa chỉ của tin tặc, rồi sau khi hoàn tất nhiệm vụ thì lập tức “nấu chảy” chiếc chìa khóa ấy. Chỉ xét riêng việc này, khả năng ứng phó với tin tặc rõ ràng không phải là điều tồi tệ.
Còn nếu nhất quyết nâng vấn đề lên thành cuộc tranh luận triết học kiểu “điều này hoàn toàn chẳng phi tập trung chút nào”, thì còn rất nhiều điều khác để bàn. Ngành công nghệ mã hóa vốn tồn tại vô số thao tác tập trung — lần này ít ra còn đang xử lý một sự việc tiêu cực và giải quyết vấn đề, chứ không phải tạo ra thêm sự việc tiêu cực.
Quay lại góc nhìn thực tế hơn: KelpDAO bị đánh cắp tổng cộng 292 triệu USD, trong đó mới chỉ thu hồi được hơn 70 triệu USD — chưa đến một phần tư tổng số. Số ETH còn lại vẫn đang phân tán trên các chuỗi khác; khoản nợ xấu hơn 100 triệu USD trên Aave vẫn chưa có hướng giải quyết; và số lượng rsETH mà người nắm giữ cuối cùng có thể lấy lại vẫn chưa rõ ràng.
Ngay cả khi Arbitrum đã sử dụng “quyền năng thần thánh”, trận chiến này rõ ràng vẫn chưa kết thúc.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
深潮TechFlow
