Vào ngày 3/8 vừa qua, cả ngành Crypto đã chấn động với vụ hack khủng nhất mọi thời đại, không phải vì số tiền cực lớn, mà là tổng số ví bị hack cùng 1 lúc. Được biết đã có tới gần 8000 ví bị hack trong sự kiện lần này.
Các thông tin được điều tra đã làm gia tăng các mối lo ngại về bảo mật, an ninh của cả ngành Crypto và các ứng dụng liên quan. Liệu đây chỉ là sự cố ngoài ý muốn hay đằng sau là cả một kế hoạch đã được lên sẵn ngay từ đầu.
SỰ CỐ HACK VÍ NÓNG TRÊN SOLANA ĐÃ ĐƯỢC GIẢI MÃ
Theo dữ liệu trên Solscan và các bên liên quan, đã có tới 4,5 triệu đô la đã bị hack khỏi các ứng dụng ví nóng như Slope và Phantom. Trong đó USDC chiếm 50% tỷ lệ tài sản, còn lại là Solana và các token khác.
Theo Solana Status – Nền tảng chính thức truyền thông các tin tức chính thức từ đội ngũ Dev Solana – đã thông báo: “vụ hack này liên quan đến ví nóng Slope và không phải là lỗi từ source code trên Solana”.
Đội ngũ phát triển cũng xác nhận, vụ hack này được tách biệt rõ ràng với các ví khác trên chain Solana. Chỉ có ví nóng Slope là bị ảnh hưởng chính. Ngoài ra, các ví Phantom đã từng tương tác với ví Slope cũng bị hack tương tự.
Về phía Slope, đội ngũ phát triển cũng đã xác thực, Slope chính là nguyên nhân của vị hack hàng loạt này. Tuy nhiên họ vẫn chưa nêu rõ quá trình mà hacker đã thực hiện để có thể hack được số lượng ví khủng như vậy.
NHỮNG THUYẾT ÂM MƯU ĐẰNG SAU VỤ HACK CHƯA TỪNG CÓ TIỀN LỆ
Như vậy là sau 2 ngày kể từ khi xảy ra sự cố, các bên liên quan đều đã xác nhận được nguồn gốc của vụ hack. Tuy nhiên vẫn chưa rõ, là mọi việc đã được các hacker thực hiện như thế nào. Để cùng 1 lúc có thể hack được 8000 ví lưu trữ Crypto, điều này đã tạo nên sự hoang mang cho nhà đầu tư, cũng như “làm rộ” lên các tin đồn xung quanh sự kiện chưa từng có tiền lệ này.
Thứ nhất:
Theo Solana Labs, vụ hack này là một kiểu tấn công vào chuỗi cung ứng – Supply chain attack. Điều này được hiểu là hacker đã tấn công vào các ứng dụng được build trên iOS.
Nếu đây thực sự là lí do dẫn tới sự cố, thì hacker đã khai thác lỗ hỏng bảo mật trên ví Slope, sau đó hack vào các tài sản bên trong ví và chuyển chúng đi. Nhưng rõ ràng là sự việc không hề đơn giản như vậy.
Các chuyên gia Blockchain của chúng tôi nhận định, hacker đã sở hữu một loạt từ khoá bảo mật ví – gọi là Private key. Và rõ ràng là ví Slope đã lưu trữ lại Private key của khách hàng. Vì cùng 1 lúc hơn 8000 ví bị khai thác.
Chỉ khi code của Slope được lập trình sẵn là lưu lại Private key của người dùng và lưu nó lại trên một vùng dữ liệu database nào đó, thì hacker mới có thể hack hàng loạt ví như vậy.
Cũng không loại trừ khả năng, hacker đã lấy toàn bộ source code của dự án Slope được công bố công khai, sau đó tuỳ chỉnh lại code, nhưng vấn đề của kịch bản này là, làm sao Hacker có thể upload bản update lỗi này lên ngược lại kho ứng dụng của iOS. Chỉ duy nhất Slope mới có thể làm được điều đó. Nên khả năng kịch bản này xảy ra là rất thấp.
Thứ hai:
Ngay từ đầu, Slope đã cố tình lưu trữ private key của user. Mặc dù đây là một trong những tính năng không được phép lập trình trên các ví nóng. Điều này cũng làm cho cộng đồng lo ngại, đằng sau sự cố là một âm mưu đã được lên sẵn từ trước. Hoặc có “một bàn tay” nội bộ nào đó đã biết được lỗ hỏng này và chờ ngày khai thác.
Nếu thật sự như vậy, thì kịch bản này là một sự kiện “tệ hại” sẽ có tác động rất lớn đến Crypto, một vài quan điểm chúng tôi nhận định như sau:
- Ví nóng Slope đã đi ngược lại những giá trị của một ứng dụng lưu trữ tài sản số và lưu trữ thông tin quan trọng nhất của người dùng – Private key
- Người dùng mang danh nghĩa sở hữu tài sản Crypto phi tập trung, nhưng trên thực tế vẫn bị bên thứ 3 kiểm soát – chẳng khác gì so với Tập trung.
- Một sản phẩm liên quan đến tài sản nhưng bảo mật quá lỏng lẻo
Cho dù sự thật là gì đi chăng nữa, thì vụ hack này cũng đã tác động rất lớn đến tâm lý và niềm tin của người sử dụng. Ở một góc độ khác, rất nhiều người dùng đã bắt đầu rà soát lại các ví lưu trữ của mình và bắt đầu chuyển sang các ví lạnh để bảo vệ tài sản.
Lưu ý quan trọng: Toàn bộ nội dung trên website chỉ dành cho mục đích thông tin và hoàn toàn không phải là lời khuyên đầu tư hoặc tài chính. Không có thông tin nào trên trang web này cấu thành để: dựa vào, gợi ý, đề nghị hoặc mời gọi, tham gia vào bất kỳ hoạt động nào liên quan đến đầu tư hoặc giao dịch tài sản số.Và chúng tôi luôn luôn phải nhắn nhủ rằng: Các khoản đầu tư tiền điện tử có tính chất mạo hiểm và rủi ro cao. Đừng đầu tư nhiều hơn những gì bạn có thể để mất.
