Thêm vụ hack trong crypto (100 triệu USD bay màu). Cùng mình tìm hiểu tại sao.

Hôm nay, trong thế giới crypto lại xảy ra một vụ hack liên quan tới một cái bridge (cây cầu) tên Horizon của Harmony. Số crypto trị giá 100 triệu USD bị hack và lấy cắp. Hôm này, mình sẽ giải thích một cách dễ hiểu cho anh em về vụ hack này, và vụ hack của Axie Infinity. À, Harmony này là cái blockchain mà bên Vinfast dùng để xây dựng cái gọi là metaverse khi mua xe đó anh em, bài viết cũ liên quan tới Vinfast ở đây.

Screenshot 2022-06-24 at 23.13.07.png

https://twitter.com/harmonyprotocol/status/1540110924400324608?s=20&t=Xf6ACasJIErVByKsCBaUdw

1/ The Harmony team has identified a theft occurring this morning on the Horizon bridge amounting to approx. $100MM. We have begun working with national authorities and forensic specialists to identify the culprit and retrieve the stolen funds.

More 🧵
— Harmony 💙 (@harmonyprotocol) June 23, 2022

Anh em hay nghe nói hack trong crypto. Có 2 luồng ý kiến:

Blockchain không thể hack.
Blockchain ai nói không hack được.

Để mình thông tin rõ cho anh em biết, những vụ hack này đều liên quan tới cái gọi là ‘smart contract’ hay hợp đồng thông minh, chứ không phải cái blockchain. Cái blockchain rất khó hack nếu không muốn nói là không thể. Cho nên, anh em nghe ai nào bảo có thể hack được blockchain của BTC hay ETH hay ADA là mấy đứa nổ đó nha. Ai nói hack được BTC hay ETH thì nó hack, rồi tự tạo BTC hay ETH cho bản thân rồi.

Bridge là gì?

Để mình giải thích cho anh em cái smart contract liên quan tới mấy cái vụ hack này như thế nào. Đầu tiên là có Ethereum blockchain, những crypto có trên đó, khi muốn ‘đi’ qua những blockchain khác, đều sẽ đi qua một cái gọi là ‘bridge’.

Người có crypto trên Ethereum, bỏ 1 ETH vào cái smart contract, họ nhận lại 1 token khác là ‘WETH’, là một thứ đại diện cho ETH trên Ethereum blockchain. Họ ‘bridge’ qua blockchain A hay B để sử dụng các app trên các blockchain đó.
Khi nào muốn lấy lại, họ lại ‘unwrap’. Họ lại gửi cái WETH vào smart contract, và nhận lại ETH trên Ethereum blockchain.

Cách dễ hiểu hơn. Ví dụ anh em xem trong phim Hồng Kông, hay có mấy cái ngân phiếu.

Số ngân phiếu này được tạo ra bằng cách bỏ một số lượng vàng hay bạc nhất định vào tiền trang. Cái công đoạn này giống như ‘wrap’ cho ví dụ trên, còn tiền trang thì là smart contract. Ngân phiếu giúp dễ thanh toán, quản lý hơn.
Khi anh em muốn lấy số vàng thật, bạc thật thì chỉ cần cầm ngân phiếu tới tiền trang để đổi. Công đoạn này thì giống ‘unwrap’.

Giá trị của token được bridge

Vậy cái gì tạo ra giá trị cho cái wrapped token cụ thể là WETH? Là sự hiện diện của số ETH tương đương trong smart contract được khoá. Nếu không có cái số ETH này, thì số WETH được tạo ra giá trị bằng không.

Nó tương tự như việc, anh em cầm tờ ngân phiếu 100 lượng vàng của tiền trang A, nhưng nếu không có 100 lượng vàng được cất trong tiền trang A, thì tờ ngân phiếu đó không khác tờ giấy là mấy.

Hack cái bridge này ra sao

Thông thường, khi ‘bridge’ token từ blockchain A qua B, như mình nói bên trên, người dùng phải khoá số token đó trong smart contract trên blockchain A. Cái smart contract này được quản lý bởi multisig wallet, hiểu đại khái là một cái ví được quản lý bởi nhiều người, và cần ít nhất là quá bán (hơn 50%) những ví liên quan để mở khoá số token trên blockchain A. Ví dụ, multisig wallet mà chỉ có 3 người quản lý, chỉ cần hack 2 người là coi như hack được cái bridge. Nhưng nếu multisig wallet này là 51, thì cần hack được ít nhất 26 người quản lý cái ví thì mới có thể hack được cái bridge này. Cái multisig wallet này càng nhiều người tham gia để quản lý thì càng an toàn.

Lại ví dụ cho dễ hiểu bằng vụ ngân phiếu. Nếu cái kho vàng của tiền trang mà anh em bỏ vàng vào và nhận ngân phiếu có cái ổ khoá cho 3 chìa bỏ vào, nếu chỉ cần 2 chìa là có thể mở, thì anh em chỉ cần ăn cắp 2 chìa của người quản lý kho là có thể mở kho vàng. Nhưng nếu ổ khoá có 51 chìa, và cần ít nhất 26 chìa để mở thì nhiệm vụ bây giờ sẽ rất khó khăn.

Vậy đó, cái Horizon bridge của Harmony được quản lý bởi cái multisig wallet chỉ có 4 người, trong khi cái Ronin bridge của Axie Infinity được quản lý bởi cái 9 người. Thế là tụi hackers nó hack cái key của 2/4 người để hack cái Horizon bridge, và 5/9 người cho cái Ronin bridge. Sau đó thì số token khoá trong smart contract được chuyển đi. Như mình nói bên trên, số wrapped token được tạo ra bây giờ là vô giá trị, do số token khoá đã mất.

Vậy ai là người mất tiền khi những vụ hack như vậy xảy ra?

Người bỏ số token vào smart contract để wrap vào tạo ra token trên blockchain khác.
Người mua và sở hữu số token được wrap trên blockchain khác, vì sự tồn tại của nó không còn ý nghĩa gì nữa.

Vậy cách mà các nhà phát triển như Harmony hay Axie Infinity phải làm gì? Có 2 cách:

Yêu cầu tụi hackers trả lại. Cái này hơi khó. Nhưng vẫn có thể, nếu có thể lùng ra thông tin của tụi hackers. Cái này thì tụi hackers sau khi trộm 600 triệu USD của Poly Network, phải nhả ra do bị lộ danh tính. Thông thường nếu đồng ý trả lại thường được nhận một số tiền gọi là tiền thưởng cho việc khám phá ra bug.
Phải có một tay anh chị nào đó nhảy vào để cứu. Cứu bằng cách mua đúng số token bị mất, bỏ lại vào smart contract, khi đó thì mấy wrapped token mới có giá trị. Tương tự nếu vàng bị trộm trong kho, thì mua số vàng khác bỏ vào.

Thế giới crypto đầy rủi ro. Những anh em nào chưa nắm nhiều kiến thức, đừng vì chút xíu lợi nhuận được hứa hẹn mà bỏ tiền của vào, để rồi mất trắng hay hy vọng có người cứu. Như trong vụ hack của Axie Infinity, Binance phải nhảy vào giải cứu bằng 125 triệu USD. Nhưng không có bữa ăn nào là miễn phí, đổi lại họ phải nhận lại cái gì đó, là gì thì dĩ nhiên mình không chắc rồi 😃

Lư Thế Nghĩa

VIP

2 năm

Bài hay quá mod ơi 😁

Hoàng LUT

TÍCH CỰC

@nospecial Có nhiều cách:
- Đọc kỹ smart contract coi thử nếu tham gia mấy cái vụ wrapped này thì cái multisig wallet có bao nhiều quản lý. Ít quá thì đừng dùng.
- Hạn chế approve smart contract, nên revoke nếu không dùng nữa, chỉ approve những site đáng tin cậy.
- Hạn chế xài wrapped token mà smart contract build bởi team linh tinh.
- Quản lý cái ví của mình cẩn thận.
- Xài ví lạnh.
Vân vân nhiều lắm.

@nospecial An toàn nhất về mặt quản lý các tokens trong ví. Vì private key không bao giờ đi khỏi cái ví, và ví không kết nối internet.
Nhưng nếu bác hay xài smart contract trên Ethereum hay các EVM chain như Binance Smart Chain, Polygon, thì hạn chế approve smart contract vô tội vạ. Cái nào không xài nữa thì nên revoke permission.

bomduc

Tôi nghỉ coin 😆 tôi còn ít rác coin này :v
Nói chung là Blockchain không hack được nhưng để qua giao dịch phải có trung gian, thì cũng vẫn bị hack bình thường thôi.

hoangdang223

@bomduc tranh cãi như này méo bao giờ có hồi kết. Không có người thua lấy đâu ra người thắng?

@hoangdang223 Thắng chỉ có cá mập thôi ông ah; đa phần là thua :v Tôi chơi mãi rồi làm gì không biết, nó đẩy giá lên giữ cho 1 năm có khi 2 năm nhưng cũng có khi nửa năm; khi sốt lên dân tình ôm vào, rồi giao dịch, rồi hold, rồi trade; vì nghĩ giá nó đang ổn định ở mức đó, với giá trị nó ở khoảng đó; nhìn biểu đồ có vẻ khá là yên tâm; đến lúc nó xả cho phát, có chạy đằng trời 😆 thế là bao công trade, lãi được tý, âm vào cả gốc. Nói chung thích cờ bạc thì chơi chứng thôi; mà cũng nên chơi vui vui; còn lại tập trung mà làm việc chính.

@bomduc ông thua nhưng chắc gì người cãi nhau với ông thua nên tôi mới bảo cãi nhau như này không bao giờ có hồi kết. Còn chuyện thằng thắng luôn là thiểu số thì rõ ràng rồi. Đến cá mập mà ngu nó còn bị thịt chứ đừng nói cá con

@hoangdang223 Thì đương nhiên cờ bạc thì có người thắng người thua; tôi coin chỉ chơi vui vui thôi,

hungthieuk

Đồng tiền tương lai nhưng đầy tai ương

hahoha

ĐẠI BÀNG

@hungthieuk nó làm gì có giá trị thật mà làm được đồng tiền tương lai :v

huygapro

CAO CẤP

@Huy †rần Chuẩn rồi bác. Coin - Cú lừa thế kỷ

Huy †rần

@huygapro Nó có điểm chung là fomo giống với vụ nổ dotcom tại mỹ từng xảy ra

giaond212

@hahoha Thế thời con người dùng vỏ sò làm tiền thì sao? Tiền số chưa được dùng là do các chính phủ không kiểm soát được nên họ không công nhận thôi. Tiền số như btc nó chả tự chứng minh là không thể làm giả, không thể tự in thêm. Tiền pháp định thích thì ngân hàng in ra, lại còn bị làm giả, tính ra còn dễ bị hack hơn tiền số.

JOY

Bài quá hay dù là làm blockchain nhưng cũng ko rành vụ này hehe

tyller end

hack gì, mấy thánh nó rửa tiền xong báo hack, sau đó chuẩn bị 1 câu chuyện, vài bài tech là bịp cả thiên hạ 😆 Terra là 1 ví dụ

hoangnguyen0291

@tyller end Cũng có khả năng như bạn nói, nhưng cần có kiến thức để có cái nhìn tổng quan hơn. Mấy bài tech đó public, nếu có bịp thì dân crypto trên tweeter có bài bóc phốt ngay.

vinhan73

@hoangnguyen0291 Ai mà bóc phốt là như tay WikiLeak ngay !! Vì làm lộ bí mật của cơ quan - tổ chức !! kkk

CaVangBungBu

@tyller end Đó là lý do mình hay nói k nên để tiền trên sàn quá lâu là vậy, 1 ngày đẹp trời nó bảo sàn của nó bị hack, server của nó bị lỗi thì làm j được nhau, thích thì viết 1 bài dài ngoằng lý do lý trấu từ ngữ cao siu để k ai hiểu j hết. Nên mấy thánh công nghệ đừng tâng bốc mấy cái bờ lóc chen này nữa nhen, no one gives a sht, lúc ngưòi ta bị mất tiền thật ngưòi ta cào mặt cho mà tởn.

@tyller end Tokens do người dùng bỏ vào. Rửa là rửa thế nào. Có cái đáng nghi ngờ là không biết phải insider job hay không.

Đó là lý do Vitalik nói multichain bảo mật hơn Crosschain

@Buy Bitcoin Nó không đảm bảo tính bảo mật cao thôi chứ ko có rẻ rúng

@hoangnguyen0291 Multichain là phải thiết kế ngay từ đầu nên không được năng động, thanh khoản cao ! Tỷ như multichain ra đời khi em coin nào đó còn chưa ra đời ấy mà !

Thi Eat Apple

😁 sau vụ này tiền điện tử sập điện luôn.

HARRYTRINH9

Hợp đồng giấy nó còn khai thác được lỗ hổng nói chi đến smart contract. Mà cái smart contract có phải ai cũng đọc được nó đâu.

@HARRYTRINH9 thường thì smartcontract public, verified, audited thì người ta mới bỏ tiền vào

@hoangnguyen0291 Không hẳn cứ verified là an toàn.

phanngt

@HARRYTRINH9 Đúng, k hẳn ở trái đất là an toàn. Lỡ thiên thạch nó rơi cái chết bà 😆

@HARRYTRINH9 verified chỉ là 1 phần thôi, audited rồi vẫn hack là bình thường, vì người thiết kế ra contract có giỏi thì cũng sẽ có người giỏi hơn hack được, hoặc chính người thiết kế cài cắm lỗi gì đó để sau này tự nó hack được.
Cái mình muốn nói ở đây là mấy cái smartcontract có tính minh bạch cao, public code để mọi người review

@hoangnguyen0291 chính xác. SmartContract nó rõ ràng và minh bạch hơn hợp đồng giấy rất nhiều.

l0v3tha0

Cơ bản là tự hack hay bị hack thật hihi

ironic_haha

đã có giao dịch trao đổi thì phải có "sự quản lý"

Nếu các ông tin vào sự quản lý của 1 nhóm người - tổ chức không quen biết.

Tin vào nó hơn sự quản lý của các thể chế chính phủ + tài chính hiện nay.

Thì tôi cũng chịu. Ahihi. Những nhóm người tin vào thuyết "vô chính phủ" thì lại rất thích điều này.

Tương tự sau vụ Black Lives Matter - 1 số thành phần tự tổ chức các khu vực không có chính phủ. phát đồ ăn miễn phí, lều trại miễn phí. Ăn uống ca nhạc suốt ngày. Đòi dẹp bỏ phòng cảnh sát v.v.

Quá vui vẻ. Sau đó tệ nạn bùng phát trong những khu đó còn ghê hơn. Sau rồi tự giải tán =)) =))

ironic_haha đã nói: ↑

@ironic_haha

Khu tự trị BLM, nơi mọi người sống tự do hạnh phúc, ai cũng yêu thương nhau và tất cả điều miễn phí. Gọi là Capital Hill Autonomous Zone.

pisa

Nói đơn giản thì người ta quảng bá blockchain không thể hack, giống như một loại tiền không thể bị làm giả, nhưng bỏ ví để tiêu xài thì vẫn bị móc túi như thường. Với đa số người dùng, nó chả an toàn hơn chút nào, bạn tôi cũng bị hack ví USDT vài trăm ngàn coin

@pisa Biết xài ví lạnh k?

@pisa Tại bạn ông để cho người ta hack, chứ làm gì khi không mà có đứa hack được. Bây giờ tui đố thằng nào hack được cái cold wallet của tui nè.

norimo

Chủ nó tự hack thôi. Mấy con cừu ngồi phân tích

@norimo Chuẩn 😆

vunt

Bài hay, dễ hiểu, blockchain thì ngon, nhưng những thằng tiền ảo dựa trên blockchain thì bẩn 😆. Nhưng nó vẫn sẽ tồn tại và phát triển thôi. Bởi sẽ có một nhóm người dựa vào nó mà sống.

Mà toàn người có số có má cả!

Wolfrain

Cái thằng tạo ra hệ thống là cái thằng rõ nhất điểm yếu của hệ thống. Nên nó thích thì nó alehap cái là coin thủ gặm xương ngay. Chả có hacker cái mẹ gì ở đây cả.

ricky0090

nói túm lại blockchain thì ko thể bị hack nhưng muốn buôn bán blockchain lại phải qua 1 cổng khác, và cổng này thì vẫn bị hack. Túm lại vẫn chả an toàn cái j.

daovangiangtnvn

@ricky0090 Gom một mẻ rồi la làng lên là bị hack, thằng trùm tha hồ mua du thuyền máy bay, ăn đồ ngon chơi đồ đẹp hehe

@ricky0090 Muốn bán đem lên sàn binance dc mà ai bảo mang qua harmony làm chi zậy. Có hiểu k e zai 😆

@phanngt https://vnexpress.net/san-giao-dich-bitcoin-lon-nhat-the-gioi-bi-hack-hon-40-trieu-usd-3920483.html

Vì ngu tin bọn úp bô lùa gà