Adrian Hetman, chuyên gia DeFi tại Immunefi cho biết: “Tình huống tốt nhất là thay vì trở thành kẻ xấu, bạn nên sử dụng kiến thức đó để gửi lỗi lên nền tảng và nhận tiền thưởng – bạn có thể dễ dàng trở thành triệu phú”.
Cộng đồng tiền điện tử đã bị chấn động vào thứ Ba bởi vụ hack lớn nhất trong lịch sử Web 3: một vụ khai thác trị giá 625 triệu USD đã rút hết tiền từ Ronin, chuỗi khối của trò chơi P2E Axie Infinity.
Tuy nhiên, mặc dù có số tiền hấp dẫn, các chuyên gia đã nói với CoinDesk trong một loạt cuộc phỏng vấn rằng có khả năng kẻ tấn công sẽ không bao giờ tận hưởng được những khoản lợi bất chính của họ.
Vào thứ Ba, nhà phát triển Sky Mavis của Axie đã thông báo trong một bài đăng trên blog rằng việc khai thác dẫn đến thiệt hại hơn 173.000 ETH và 25,5 triệu USDC, trị giá hơn 625 triệu USD tại thời điểm xuất bản.
Tuy nhiên, ngay sau cuộc tấn công, các nhà quan sát lưu ý rằng hacker đã sử dụng các sàn giao dịch tập trung để cấp vốn cho địa chỉ đã phát động cuộc tấn công và họ đã gửi hàng nghìn ETH vào các sàn giao dịch bao gồm Huobi, FTX và Crypto.com – một động thái mà nhiều người bảo mật. Các chuyên gia đã xác định đây là một sai sót có thể xảy ra.
Bởi vì các nền tảng này có hệ thống xác minh khách hàng của bạn (KYC), những khoản tiền gửi này có thể được sử dụng để khám phá danh tính của kẻ tấn công và cuối cùng buộc họ trả lại tiền.
“Nếu tôi ở trong vị trí của họ, tôi sẽ tìm cách thoát khỏi tình huống này càng nhanh càng tốt”, đồng sáng lập công ty phân tích blockchain Elliptic – Tom Robinson nói “Điều đó có thể bao gồm việc trả lại tiền”.
Hiểu kẻ khai thác bạn
Phương pháp hiện tại của kẻ tấn công cố gắng rửa tiền thông qua các sàn giao dịch tập trung đã khiến nhiều chuyên gia trong ngành cảm thấy kỳ lạ.
Robinson nói: “Thật không bình thường khi thấy các dòng tiền trực tiếp từ trộm cắp đến các sàn giao dịch lớn. Họ có thể đã mua tài khoản hoặc có thể sử dụng một bên trung gian để rửa tiền thay cho họ”.
Từ tháng 10, CoinDesk nhận thấy rằng có một thị trường chợ đen phát triển mạnh mẽ cho các tài khoản KYC’d tại các sàn giao dịch tập trung.
Tuy nhiên, Robinson lưu ý rằng các sàn giao dịch đang được sử dụng, bao gồm FTX và Crypto.com, có danh tiếng mạnh về việc tuân thủ quy định và KYC.
Nói chung, anh ta mô tả những nỗ lực hiện tại của kẻ tấn công là “ngây thơ một cách đáng ngạc nhiên”.
“Điều đó không hoàn toàn phù hợp với sự phức tạp mà dường như nó sẽ yêu cầu để thỏa hiệp các trình xác thực này và lấy các khóa riêng của họ,” ông nói thêm.
Robinson cho biết: “Một chiến lược phổ biến hơn của những kẻ khai thác là sử dụng một máy trộn như Tornado Cash, gửi các khoản tiền bị đánh cắp thông qua các sàn giao dịch không phải KYC và nói chung không vội rút tiền ngay lập tức, thậm chí có thể đợi nhiều năm”.
Thật vậy, cộng đồng tiền điện tử rộng lớn hơn đã bày tỏ sự ngạc nhiên trước chiến lược rửa tiền của kẻ tấn công.
Như thường lệ xảy ra sau một cuộc tấn công, người dùng Ethereum đã sử dụng mạng để giao tiếp với kẻ tấn công và trong một trường hợp, một cá nhân đã cố gắng cung cấp cho kẻ tấn công các mẹo về cách rửa ETH của họ tốt hơn.
“Xin chào, tiền gửi của bạn đến từ Binance, hãy cẩn thận và đảm bảo sử dụng tornado.cash . . Sau đó, bạn nên sử dụng stevex.io để hoán đổi sang các loại tiền tệ khác trong một thời gian dài. Cảm ơn, vui lòng tip cho tôi”.
Tuy nhiên, ngay cả với các công cụ bảo vệ quyền riêng tư nghiêm ngặt và một kế hoạch cẩn thận, Robinson nói với CoinDesk, việc rửa một khoản tiền lên tới 600 triệu USD là cực kỳ khó.
Thật vậy, bất chấp những kẻ bị cáo buộc rửa tiền đã thực hiện một số biện pháp phòng ngừa trong khoảng thời gian nhiều năm, các quan chức Mỹ đã thu giữ 3,6 tỷ USD bitcoin liên quan đến vụ hack Bitfinex năm 2016 chỉ vào tháng trước.
Móc túi trắng trợn
Nếu Axie có thông tin về kẻ tấn công, việc xác định tin tặc đã được chứng minh là một chiến thuật thành công của các nhà phát triển trong quá khứ.
Khi được CoinDesk liên hệ, công ty điều tra blockchain Chainalysis đã từ chối bình luận, với lý do đang tham gia vào cuộc điều tra.
Bạn đang nói về những con số có quy mô GDP có được thông qua các vụ hack.
Tháng 9 năm ngoái, trong một trong những sự cố hack đầy màu sắc nhất trong lịch sử blockchain, các nhà phát triển của Jay Pegs Auto Mart thả mã thông báo không thể thay thế (NFT) đã thành công đe dọa một hacker trả lại tiền bằng cách – trong số các chiến thuật khác – đặt súp miso đến nhà của họ.
Cựu Giám đốc Công nghệ của Sushi, Joseph Delong, người đã tham gia vào các cuộc đàm phán của Jay Pegs, nói rằng việc sẽ làm tăng áp lực của công chúng.
“Mọi người sẽ tức giận khi bạn đánh lừa kẻ tấn công nhưng những người quản lý tiền điện tử đó có thể tự xử lý sự phức tạp vượt trội của họ,” Delong cho biết trong một cuộc phỏng vấn.
Sushi’s Delong cũng lưu ý rằng việc đưa ra các tùy chọn của hacker có thể là một công cụ hữu ích, chẳng hạn như một “chương trình tiền thưởng rõ ràng và các đối tác như Immunefi để trợ giúp”.
Thật vậy, Immunefi nằm trong số hàng loạt các dịch vụ đã nổi lên như DeFi và Web 3 nhằm bảo vệ hệ sinh thái khỏi làn sóng tấn công ngày càng gia tăng.
Riêng Immunefi đã trả 20 triệu USD tiền thưởng cho lỗi và hiện có 120 triệu USD dành cho hacker mũ trắng, thuật ngữ viết mã dành cho những kẻ đối lập nhân từ với những tin tặc mũ đen trốn thoát bằng các khoản tiền bị đánh cắp thay vì báo cáo lỗ hổng bảo mật.
Lịch sử cho thấy rằng hành động cố gắng đánh cắp và rửa 625 triệu USD có thể không phải là lựa chọn thuận lợi nhất đối với kẻ tấn công. Tháng 8 năm ngoái, tin tặc đã kiếm được 611 triệu USD từ Poly Network cuối cùng đã trả lại tiền sau khi quyết định rằng sẽ không thể rút tiền.
“Tôi nghĩ hoặc anh ta bị bắt, hoặc anh ta buộc phải trả lại tiền. Hoặc cả hai” Hetman của hacker Ronin nói.
Động cơ tư tưởng
Tuy nhiên, trong trường hợp xấu nhất xảy ra với Axie Infinity, kẻ khai thác thậm chí có thể không quan tâm đến số tiền.
Laurence E. Day, một nhà phát triển và học giả về blockchain, cho biết: “Tôi nghĩ rằng – về cơ bản – tư tưởng của kẻ khai thác là điều quan trọng cần xem xét khi bạn nói về các số liệu có quy mô GDP có được thông qua các vụ hack”.
“Nếu họ chỉ đơn giản làm điều đó để gửi một thông điệp về lỗ hổng bảo mật hoặc ‘vì họ có thể, hậu quả là đáng tiếc,’ câu hỏi” có đáng không “phụ thuộc vào việc họ có coi USD kỹ năng của bản thân đủ hay không”.
Tháng 10 năm ngoái, Indexed Finance, đã bị khai thác bởi một thần đồng toán học tuổi teen người Canada, Andean “Andy” Medjedovic.
Bất chấp việc cả đội xử lý Medjedovic và đưa vụ việc ra tòa, sinh viên người Canada cho đến nay vẫn từ chối trả lại tiền. Trong một loạt các dòng tweet từ một tài khoản tự xưng là của Medjedovic, anh ta đã định khung cuộc đối đầu là một “cuộc đấu tay đôi” và “một cuộc chiến đến chết”.
Trong khi Medjedovic hiện là một kẻ trốn tránh luật pháp, vụ việc đã khiến anh ta bị tai tiếng đáng kể, đó có thể là động lực chính của anh ta.
Tuy nhiên, Day lưu ý rằng: “Chúng ta đã từng thấy nhiều lần rằng cái tôi là sự sụp đổ của những người khai thác và tôi tưởng tượng sẽ rất khó để không bao giờ có thể sở hữu nó giống như cách thương lượng tiền thưởng mũ trắng và trở thành một vị thần trong mắt cộng đồng”.
Nguồn: CoinDesk
