Khi tin tặc đánh cắp ước tính 190 triệu USD từ công ty tiền điện tử Nomad của Mỹ vào tuần trước, đây là vụ hack thứ 7 diễn ra trong năm 2022 nhằm vào một bánh răng ngày càng quan trọng trong thế giới tiền điện tử: cầu nối chuỗi khối - chuỗi mã giúp di chuyển các đồng tiền điện tử giữa các ứng dụng khác nhau.
Theo dữ liệu từ Công ty phân tích blockchain Elliptic, tin tặc đã đánh cắp số tiền điện tử trị giá khoảng 1,2 tỷ USD từ các cầu nối tính tới thời điểm hiện tại trong năm nay, nhiều hơn gấp đôi so với tổng số của năm ngoái.
Ronghui Hu, giáo sư khoa học máy tính tại Đại học Columbia ở New York và đồng sáng lập công ty an ninh mạng CertiK cho biết: “Đây là một cuộc chiến mà các công ty an ninh mạng hoặc dự án không thể là người chiến thắng. Chúng tôi phải bảo vệ rất nhiều dự án. Đối với tin tặc, khi họ xem một dự án và không có lỗi, họ có thể đơn giản chuyển sang dự án tiếp theo, cho đến khi họ tìm thấy một điểm yếu”.
Hiện tại, hầu hết các mã thông báo kỹ thuật số chạy trên blockchain duy nhất của riêng chúng, về cơ bản là một sổ cái kỹ thuật số công khai ghi lại các giao dịch tiền điện tử. Điều đó có nguy cơ khiến các dự án sử dụng những đồng tiền này trở nên bị cô lập, làm giảm triển vọng sử dụng rộng rãi của chúng.
Trong khi đó, các cầu nối chuỗi khối nhằm mục đích phá bỏ những bức tường này. Những người ủng hộ nói rằng cầu nối chuỗi khối sẽ đóng một vai trò cơ bản trong "Web3" - tầm nhìn về một tương lai kỹ thuật số và hoạt động dựa trên công nghệ blockchain, là nơi mà tiền điện tử xuất hiện trong cuộc sống và thương mại trực tuyến.
Tuy nhiên, cầu nối có thể là liên kết yếu nhất.
Vụ hack cầu nối Nomad là vụ trộm tiền điện tử lớn thứ 8 được ghi nhận. Các vụ trộm khác từ các cầu nối trong năm nay bao gồm vụ hack 615 triệu USD tại Ronin, được sử dụng trong một trò chơi trực tuyến phổ biến và vụ hack 320 triệu USD tại Wormhole, được sử dụng trong ứng dụng tài chính phi tập trung.
Steve Bassi, đồng sáng lập kiêm Giám đốc điều hành của công ty phát hiện phần mềm độc hại PolySwarm cho biết: “Các cầu nối chuỗi khối là mảnh đất màu mỡ nhất cho các lỗ hổng mới”.
Chỉ 5 ngày trước khi bị tin tặc tấn công, Nomad cho biết họ đã huy động được 22,4 triệu USD từ các nhà đầu tư bao gồm cả sàn giao dịch lớn Coinbase Global. Pranay Mohan, giám đốc điều hành Nomad đã gọi mô hình bảo mật của họ là "tiêu chuẩn vàng".
Nomad cho biết, họ đang làm việc với các cơ quan thực thi pháp luật và một công ty phân tích blockchain để theo dõi các khoản tiền bị đánh cắp. Cuối tuần trước, Nomad đã công bố một khoản tiền thưởng lên đến 10% để trả lại số tiền bị hack từ cầu nối. Vào thứ Bảy (6/8), Nomad cũng cho biết rằng họ đã thu hồi được hơn 32 triệu USD trong số tiền bị tấn công cho đến nay.
“Điều quan trọng nhất trong tiền điện tử là cộng đồng và mục tiêu số một của chúng tôi là khôi phục lại khoản tiền đã bị đánh mất. Chúng tôi sẽ coi bất kỳ bên nào trả lại 90% hoặc nhiều hơn số tiền bị hack là white hat. Chúng tôi sẽ không truy tố những người này", ông Pranay Mohan cho biết khi đề cập đến những tin tặc có đạo đức. White hat nhằm chỉ những tin tặc mũ trắng xâm nhập vào mạng máy tính để kiểm tra hoặc đánh giá hệ thống bảo mật của nó.
Một số chuyên gia an ninh mạng và blockchain cho biết rằng, sự phức tạp của các cầu nối có nghĩa là chúng có thể đại diện cho “gót chân Achilles” - nhằm ám chỉ một điểm yếu - cho các dự án và ứng dụng sử dụng chúng.
Ganesh Swami, Giám đốc điều hành của công ty dữ liệu blockchain Covalent cho biết: “Một lý do tại sao các tin tặc đã nhắm mục tiêu các cầu nối xuyên chuỗi (Cross-chain Bridge) này là vì sự phức tạp kỹ thuật to lớn liên quan đến việc tạo ra các loại dịch vụ này”.
Ví dụ, một số cầu nối tạo ra các phiên bản của tiền điện tử làm cho chúng tương thích với các chuỗi khối khác nhau và vẫn giữ các đồng tiền gốc dự trữ. Những tiền điện tử khác sẽ dựa vào các hợp đồng thông minh, các giao ước phức tạp để thực hiện các giao dịch một cách tự động. Mã liên quan đến tất cả những thứ này có thể chứa lỗi hoặc các lỗ hổng khác, có khả năng mở cửa cho tin tặc.
Một số chuyên gia cho biết việc kiểm tra các hợp đồng thông minh có thể giúp bảo vệ chống lại các tin tặc, cũng như các chương trình "tiền thưởng lỗi" khuyến khích các đánh giá nguồn mở về mã hợp đồng thông minh (Smart Contract - các chương trình chạy trên blockchain bị bắt buộc thực hiện bởi một bộ quy tắc cụ thể).
Những người khác kêu gọi giảm bớt sự tập trung kiểm soát các cầu nối bởi các công ty riêng lẻ, để có thể tăng cường khả năng phục hồi và tính minh bạch của mã hợp đồng thông minh.
Victor Young, người sáng lập kiêm kiến trúc sư trưởng tại công ty blockchain Analog của Mỹ cho biết: “Các cầu nối xuyên chuỗi là mục tiêu hấp dẫn đối với tin tặc vì chúng thường tận dụng cơ sở hạ tầng tập trung, hầu hết trong số đó các tài sản bị phong toả”.