Vụ hack lịch sử, Axie Infinity có thể đòi được số tiền mã hóa bị đánh cắp sau 2 năm

11/04/2022 07:56 GMT+7
Nhà sáng lập game Axie Infinity hi vọng khôi phục ít nhất một phần trong gần 600 triệu USD tiền mã hóa bị hacker đánh cắp khỏi hệ thống liên kết với game, dù quá trình có thể kéo dài tới 2 năm.

 Có thể mất 2 năm để Axie Infinity khôi phục số tiền mã hóa bị đánh cắp 

Sky Mavis, nhà phát hành Axie Infinity, cho biết startup này kỳ vọng có thể sẽ lấy lại được ít nhất một phần số tiền lên tới hần 600 triệu USD trong vụ hack gần đây. Dù vậy, quá trình này có thể tốn nhiều thời gian.

Aleksander Leonard Larsen, Giám đốc điều hành Sky Mavis  “giả định” vài món tiền sẽ được khôi phục trong 2 năm tiếp theo. “2 năm với Axie là khoảng thời gian tốt để có thêm thông tin. Chúng tôi ở đây để chơi cuộc chơi dài hạn”, ông nói.

Sky Mavis đang làm việc với một số nhà hành pháp để định vị và khôi phục token – hầu hết là Ether – bị hacker lấy đi hồi cuối tháng 3 từ một “cầu nối” blockchain Ronin cho phép người chơi chuyển tiền ra vào thế giới ảo.

Vụ hack lịch sử, Axie Infinity có thể đòi được số tiền mã hóa bị đánh cắp sau 2 năm - Ảnh 1.

(Ảnh: Bloomberg)

Ngoài việc gọi vốn từ các nhà đầu tư, Sky Mavis sẽ dành 450 triệu USD từ các quỹ của chính mình để đền bù cho những người dùng bị ảnh hưởng.

Tình hình tài chính của công ty vẫn ổn định, có khoảng 1,5 tỷ USD tiền mã hóa trong ngân khố của Axie Infinity. Người chơi trả phí để mua và đúc các nhân vật NFT trong game. Sky Mavis cho biết, sẽ không dùng đến tiền trong ngân khố để hoàn trả cho game thủ.

Sky Mavis cũng ký thỏa thuận với Binance để cho phép game thủ gửi và rút tiền mã hóa, ngay cả khi cầu nối Ronin bị đình chỉ. Để chống đỡ tốt hơn trước các vụ tấn công tương lai, số lượng các node xác thực cần để rút tiền từ cầu nối đã tăng từ 9 lên 21.

Dữ liệu blockchain cho thấy số token Ether bị đánh cắp được gửi sang các ví Ethereum rồi một số lại chuyển sang Tornado Cash, dịch vụ giúp người dùng ngụy trang các giao dịch. Công nghệ của Tornado phá vỡ liên kết giữa địa chỉ người gửi và người nhận trong blockchain Ethereum.

Theo ông Rishav Rai, một nhà điều tra tại Merkle Science, nhận định “rất hiếm” khi các vụ tấn công tiền mã hoá lớn có thể lấy lại được toàn bộ số tiền. Đồng thời, một khi một vụ hack lớn đã được phát hiện, thủ phạm rất khó để thanh lý chiến lợi phẩm của họ.

Các dịch vụ như Tornado không được thiết kế để xử lý quy mô giao dịch lớn và việc chuyển tiền qua lại nhiều sàn giao dịch, ví điện tử “không chỉ đắt đỏ mà còn tốn nhiều thời gian và dễ bị rút dây động rừng”, ông Rai nói.

Trong vụ tấn công của Axie Infinity, hacker đã chiếm được 5 máy tính xác nhận giao dịch. Điều này giúp họ có thể tấn công vào phần mềm gọi là Ronin Bridge để lấy đi 173.600 Ether và 25,5 triệu USDC. Để làm được điều đó, hacker ban đầu đã nhắm đến một nhân viên của Sky Mavis sử dụng phương pháp tấn công phi kỹ thuật.

“Người đó tiếp cận được các máy tính xác nhận bằng cách tấn công một người trong đội ngũ của chúng tôi”, ông Larsen nói song không chia sẻ chi tiết. “Công nghệ lõi của Ronin vẫn an toàn”.

Bloomberg đưa tin, Axie Infinity đã mất người dùng trước khi vụ tấn công xảy ra. Dữ liệu tuần kết thúc ngày 28/3 chỉ ra số người chơi giảm khoảng 45% so với đỉnh ghi nhận tháng 11/2021, xuống 1,48 triệu. Ông Larsen nói đó là do giá trị phần thưởng của game giảm mạnh, khiến những người chơi tham gia chủ yếu để kiếm tiền hụt hẫng.

“Sự cố này chắc chắn sẽ ảnh hưởng đến chúng tôi trong thời gian dài. Chúng tôi cảm thấy như không đáp ứng kỳ vọng của người dùng và cần phải xây dựng lại niềm tin. Song, tôi nghĩ nó giống như một bài học và bảo mật sẽ là ưu tiên từ nay về sau”, Giám đốc điều hành Sky Mavis cho biết.

Sky Mavis xin lỗi người chơi Axie Infinity

Trong bài phỏng vấn với chương trình First Mover của Coindesk, ông Aleksander Larsen, đồng sáng lập và COO của Sky Mavis, đã chia sẻ về một số sai lầm của dự án và cũng như nhận toàn bộ trách nhiệm liên quan đến vụ hack.

“Khi bạn đang đi với tốc độ 100 dặm/giờ, thật khó để tập trung vào bất cứ điều gì. Tôi nghĩ cả nhóm đã nhìn ra bài học và chúng tôi xin nhận toàn trách nhiệm cho sự cố này”, Aleksander Larsen chia sẻ.

Đồng sáng lập Sky Mavis xin lỗi người chơi Axie Infinity - Ảnh 1.

Ông Larsen thừa nhận nhóm đã nhận ra bài học sau sự cố hack. Ảnh: Coindesk.

Theo chia sẻ của Larsen, những nhà phát triển trong ngành blockchain luôn dành sự tập trung cao khi mới khởi chạy dự án và nền tảng. Tuy vậy, họ thường bị xao nhãng khi đã xây dựng được một tệp người dùng và phát triển công nghệ đủ tốt.

Để đáp ứng nhu cầu của người dùng, Sky Mavis đã chuyển từ mạng Ethereum phi tập trung sang mạng Ronin với chi phí rẻ, nhanh hơn. Với Ronin Network, chỉ có một số ít trình xác thực do chính Sky Mavis giám sát chịu trách nhiệm đảm bảo an toàn.

Nó được kết nối với Ethereum qua một cầu nối hoặc một sự sắp xếp được ràng buộc bởi các hợp đồng thông minh. Tuy vậy, điều đáng nói là các proxy có nhiệm vụ chuyển tiếp thông tin lại di chuyển tự do bên ngoài mạng Ronin.

Ngoài ra, Larsen cũng thừa nhận rằng Sky Mavis mong muốn đi theo hướng phân quyền cấp tiến (progressive decentralization). Tuy vậy, nhóm đã nóng vội trong việc đưa ra quyết định.

“Sky Mavis mong muốn phát triển theo hướng phân quyền để tăng tính phi tập trung. Tuy vậy, sự vội vàng trong quyết định đã khiến chúng tôi trở nên mong manh trước cuộc tấn công”, Larsen cho biết.

Phân quyền cấp tiến là mục tiêu phát triển của nhiều dự án tiền số. Điều này có nghĩa hệ thống sẽ được sở hữu và vận hành bởi một cộng đồng người dùng. Thông thường, các nền tảng blockchain phát triển theo mô hình PoS (Proof of Stake) thường có ít nút xác thực và thiếu phi tập trung. Những công ty này thường hứa hẹn trao quyền cho cộng đồng người dùng khi đã hoàn chỉnh.

Trong cuộc phỏng vấn, COO Sky Mavis cũng thông báo nhóm đang thêm nhiều trình xác thực hơn trong mạng Ronin để ngăn chặn lỗ hổng. Trước đây, mỗi giao dịch trên hệ thống sẽ được thông qua với 5/9 chấp nhận, cung cấp chữ ký số. Tuy nhiên, công ty hứa nâng con số này lên 21 nút trong vòng 3 tháng tới.

Sky Mavis chỉ phát hiện vụ hack sau khi lỗ hổng đã bị khai thác 6 ngày. Hiện tại, Larsen cho biết công ty đang xem xét một hệ thống ngắt mạch, nhằm theo dõi các giao dịch rút tiền với số lượng lớn khỏi Ronin Network. Nếu nhận thấy các giao dịch khả nghi, trình xác thực sẽ đóng cầu nối để xác minh.



Nhị Hà/Theo Bloomberg