Không lâu sau khi từ bỏ công việc giảng dạy tại một trường đại học để theo đuổi ước mơ làm giàu bằng thị trường tiền số, Ben Weintraub (24 tuổi, sống tại New Jersey, Mỹ) tỉnh dậy với những tin xấu tràn ngập.
Ông Weintraub và hai người bạn học từ Đại học Chicago đã dành vài tháng qua để nghiên cứu phát triển một nền tảng phần mềm có tên là Beanstalk, loại stablecoin dựa trên nguồn dự trữ bằng USD và các tài sản tương đương nhằm duy trì tỷ giá 1-1.
Beanstalk nổi lên và sụp đổ chỉ sau một vụ hack. Ảnh: New York Times.
Trước sự ngạc nhiên của họ, Beanstalk đã trở thành một hiện tượng tiền số chỉ sau một đêm, thu hút được số lượng các nhà giao dịch tiền số chuyên nghiệp (trader) với kỳ vọng nó sẽ là một mảnh ghép quan trọng ở hình thức tài chính phi tập trung (DeFi).
Cái giá của tốc độ phát triển quá nhanh
Thế nhưng, Beanstalk sụp đổ với tốc độ không ai ngờ tới. Vào tháng 4, một tin tặc đã khai thác lỗ hổng của Beanstalk để đánh cắp hơn 180 triệu USD từ người dùng. Đây chỉ là một phần nhỏ trong số hàng loạt vụ trộm trong năm nay nhắm vào liên doanh DeFi.
Vào buổi sáng xảy ra vụ hack, Weintraub đang ở nhà để dự Lễ Vượt qua. Sau khi nhận tin dữ, anh bước vào phòng ngủ của bố mẹ mình. "Beanstalk đã chết thật rồi", Weintraub thất thần nói.
Thực tế trong nhiều năm qua, các hacker đã liên tục khủng bố ngành công nghiệp tiền số bằng việc đánh cắp Bitcoin từ các ví trực tuyến và tấn công nhiều sàn giao dịch. Tuy nhiên, sự gia tăng nhanh chóng của các công ty khởi nghiệp lĩnh vực DeFi như Beanstalk đã làm nảy sinh một mối đe dọa mới.
Những liên doanh được quản lý lỏng lẻo này cho phép mọi người vay, cho vay và thực hiện các giao dịch khác mà không cần ngân hàng hoặc nhà môi giới. Thay vào đó, chúng dựa vào một hệ thống được điều chỉnh bởi các đoạn mã.
DeFi cho phép mọi người vay và cho vay một cách dễ dàng. Ảnh: CoinCu.
Chỉ với một phần mềm DeFi, các nhà đầu tư có thể vay tiền mà không cần tiết lộ danh tính hoặc thậm chí không cần trải qua khâu kiểm tra tín dụng.
Khi thị trường DeFi phát triển vũ bão trong năm 2021, lĩnh vực mới nổi này được ca ngợi là tương lai của tài chính, một giải pháp thay thế cho Phố Wall sẽ cho phép các trader nghiệp dư tiếp cận nhiều nguồn vốn hơn. Cộng đồng tiền số đã ủy thác khoảng 100 tỷ USD tài sản mã hóa cho hàng trăm dự án DeFi.
Vì được xây dựng dựa trên các đoạn mã máy tính, những phần mềm này không thể tránh khỏi những lỗ hổng chết người. Theo dữ liệu của Chainalysis, có khoảng 2,2 tỷ USD tiền điện tử đã bị đánh cắp từ các dự án DeFi, đẩy ngành công nghiệp mới này vào năm thua lỗ nặng nề nhất.
Phần lớn vụ trộm bắt nguồn từ sai sót trong các phần mềm máy tính. DeFi cho phép hàng triệu nhà đầu tư nhỏ lẻ tham gia giao dịch thông qua các hợp đồng thông minh (smart contract). Đây là một giao thức đặc biệt, có khả năng tự động thực hiện các điều khoản hay thỏa thuận giữa các bên nhờ công nghệ blockchain.
Vấn đề nằm ở chỗ các phần mềm trong nhiều DeFi thường được xây dựng một cách vội vàng. Để đẩy nhanh tốc độ triển khai, các smart contract thường sử dụng mã nguồn mở, đồng nghĩa với việc bất kỳ ai cũng có thể xem và chỉnh sửa chúng.
Lợi dụng lỗ hổng này, các hacker có thể dễ dàng dàn dựng các cuộc tấn công vào chính cơ sở hạ tầng kỹ thuật số, thay vì phải tốn công xâm nhập vào tài khoản của ai đó trong nội bộ. New York Times nhận định, đây chính là sự khác biệt giữa việc cướp của một ai đó và làm rỗng toàn bộ kho tiền trong ngân hàng.
Các dự án trả giá đắt vì xây dựng phần mềm trên smart contract mã nguồn mở. Ảnh: ZinetroN.
“DeFi đã giới thiệu một cấp độ hoàn toàn khác biệt về cách cách tin tặc có thể truy cập vào một nền tảng. Nó đang tạo ra rất nhiều áp lực và hạn chế sự đổi mới có thể”, Erin Plante, phó chủ tịch điều tra tại Chainalysis cho biết.
Như một hệ quả tất yếu, hàng loạt vụ rò rỉ đã làm lung lay niềm tin vào DeFi trong một thời kỳ vốn đang rất nghiệt ngã đối với ngành công nghiệp tiền số sau giai đoạn tăng sốc vừa qua.
Cú sập vào mùa xuân này đã thổi bay gần 1 nghìn tỷ USD và buộc một số công ty nổi tiếng phá sản. Đến tháng 8, những hacker đã khai thác lỗ hổng để rút 190 triệu USD từ một công ty có tên là Nomad. Gần đây nhất công ty tiền số Wintermute cho biết bộ phận DeFi của họ đã bị tấn công, dẫn đến thiệt hại 160 triệu USD.
“Mất bò mới lo làm chuồng”
Việc theo dõi chuyển động của tiền số bị đánh cắp khá đơn giản. Toàn bộ giao dịch đều được ghi lại trên sổ cái công khai được gọi là blockchain mà bất kỳ ai cũng có thể phân tích để tìm ra. Tuy nhiên, không dễ để lấy lại quyền truy cập vào số tiền đã mất.
Các vụ tấn công đã thúc đẩy nhiều công ty khởi nghiệp DeFi tìm các biện pháp phòng ngừa thông qua việc tuyển dụng các lập trình viên để tìm ra mọi lỗ hổng trong đoạn mã của họ. Trái ngược với các công ty tiền số đang phải cắt giảm chi phí trong thời kỳ suy thoái, những công ty bảo mật đang chứng kiến sự tăng trưởng mạnh mẽ trong hoạt động kinh doanh.
Năm 2022 chứng kiến số lượng bùng nổ các vụ tấn công lỗ hổng, cướp đi hàng tỷ USD tiền số của các dự án. Ảnh: The Verge.
“Năm nay là thời điểm tuyệt vời cho các hacker. Điều đó chắc chắn đã ăn sâu vào tâm trí của mọi người rằng bảo mật là thứ mà họ nên coi trọng”, Goncalo Sa, người sáng lập ConsenSys Diligence, công ty chuyên kiểm tra các đoạn mã máy tính cho biết.
Ngay từ khi mới thành lập, các công ty trong lĩnh vực này đã phải vật lộn với vấn đề bảo mật. Đầu năm 2014, sàn giao dịch Mt.Gox của Nhật - một trong những sàn giao dịch Bitcoin lớn đầu tiên chịu tổn thất lớn khi bị hacker tấn công và lấy đi lượng Bitcoin trị giá khoảng 460 triệu USD (thời điểm năm 2014). Vụ tấn công này khiến Mt.Gox nhanh chóng sụp đổ và làm thị trường chao đảo, gây thiệt hàng tỷ USD.
Vào thời điểm ấy, thị trường tiền số vẫn còn tương đối nhỏ và không phức tạp như hiện tại. Giờ đây, tin tặc có thể tấn công một hệ sinh thái rộng lớn hơn, bao gồm nhiều hình thức như mạng lưới tiền số của các tựa game, dự án cho vay phi tập trung hay coin mới.
Năm 2021, một hacker đã đánh cắp 600 triệu USD từ nền tảng DeFi Poly Network. Kẻ trộm sau đó đã trả lại tiền sau khi thương lượng với ban lãnh đạo của dự án.
Quy mô các vụ tấn công trong năm nay đã gây ra thiệt hại nặng nề hơn nhiều. Vào tháng 3, vụ hack lớn nhất trong lịch sử DeFi đã diễn ra. Mạng Ronin được phát triển cho game Axie Infinity đã bị hacker tấn công và lấy đi lượng tiền mã hóa trị giá hơn 600 triệu USD.
Cũng trong khoảng thời gian đó, một hacker đã khai thác một lỗ hổng phần mềm trong dự án DeFi có tên là Wormhole để bỏ trốn với 320 triệu USD.
"Trong một môi trường có quá nhiều mục tiêu, tội phạm sẽ trở thành những kẻ cơ hội", Chris Tarbell, một cựu đặc vụ FBI đang điều hành công ty an ninh mạng NAXO nhận định.
Hacker tấn công mạng Ronin được phát triển cho game Axie Infinity, gây ra vụ hack lớn nhất trong lịch sử DeFi. Ảnh: BeInCrypto.
Đáng chú ý, vụ hack Wormhole đã khai thác thêm một lỗ hổng về hình thức mới nổi của công nghệ tiền số có tên gọi cầu nối Cross-chain.
Cầu nối Cross-chain là một dịch vụ cho phép chuyển giao các tài sản kỹ thuật số, NFT hay dữ liệu từ blockchain này sang blockchain khác. Nhằm khuyến khích người dùng giao dịch nhiều hơn, một số nền tảng DeFi làm mọi cách để tạo điều kiện thuận lợi nhất.
Khi không bị ràng buộc nhiều, lượng tiền số chảy qua Cross-chain ngày càng nhiều, khiến chúng trở thành mục tiêu cực kỳ giá trị. Theo Chainalysis, trong năm 2022 đã có tổng cộng khoảng 10 vụ hack liên quan đến cầu nối Cross-chain, dẫn đến thiệt hại 1,3 tỷ USD.
"Công nghệ rất phức tạp và sự phức tạp là kẻ thù của bảo mật”, Steve Walbroehl, nhà sáng lập công ty bảo mật tiền số Halborn nói.