Xem lại vụ tấn công Venus: Người sáng lập bị lừa đảo, kẻ trộm bị thanh lý

Tác giả: Rekt News; Biên soạn: TechFlow

Nhấp vào đây để mất 13 triệu đô la.

Một con cá voi của Giao thức Venus vừa học được bài học đắt giá rằng các cuộc gọi Zoom có ​​thể tốn kém hơn cả tiền thế chấp nhà của bạn.

Một ứng dụng video độc hại, một chữ ký được tính toán thời gian hoàn hảo và 13 triệu đô la đã biến mất nhanh hơn cả thông báo rút thảm.

Nhưng đây là điều bất ngờ—Venus không chỉ đứng nhìn người dùng của họ bị rút sạch tiền.

Họ đã đóng giao thức của mình, kêu gọi một cuộc bỏ phiếu khẩn cấp và thực hiện "cuộc giải cứu" gây tranh cãi nhất của DeFi trong vòng chưa đầy 12 giờ. Những gì bắt đầu như một cuộc tấn công lừa đảo có vẻ bình thường cuối cùng đã phát triển thành một lớp học chuyên sâu hấp dẫn về việc liệu các giao thức phi tập trung có thể vừa có bánh vừa ăn bánh hay không. Khi việc cứu một cá voi đồng nghĩa với việc phơi bày một công tắc tắt ẩn bên trong một giao thức, thì ai mới thực sự được cứu? Nguồn: Peckshield, Venus Protocol, Blocksec, Kuan Sun Vào ngày 2 tháng 9, lúc 9:05 UTC, một cá voi từ Venus Protocol đã khởi chạy ứng dụng Zoom của họ, sẵn sàng bắt đầu một ngày kinh doanh DeFi mới. Nhưng phần mềm video tưởng chừng vô hại này đã bị xâm nhập một cách lặng lẽ, cho phép kẻ tấn công truy cập cửa sau vào toàn bộ thiết bị của họ. Tại sao phải bẻ khóa? Chẳng phải sẽ dễ dàng hơn nếu chỉ phá vỡ lòng tin sao? Nạn nhân đã ký một giao dịch ủy quyền—một hoạt động cấp phép thông thường diễn ra hàng nghìn lần mỗi ngày trong DeFi. Một thỏa thuận quản lý vị thế của bạn mà không cần chạm vào khóa riêng tư. Các thỏa thuận này thường được ký nhanh hơn cả việc đọc điều khoản dịch vụ. Nhấp. Ký. "Hủy diệt" tức thì. Từ chữ ký đến phá sản tài chính, chỉ trong sáu giây. Một ứng dụng video bị xâm nhập đã trao quyền kiểm soát ví trị giá 13 triệu đô la cho một kẻ tấn công kiên nhẫn. Hầu hết các câu chuyện lừa đảo đều kết thúc ở đây—cá voi chịu thiệt hại, kẻ tấn công biến mất, và nạn nhân bị chế giễu trên Twitter trong một tuần.

Nhưng lần này, kế hoạch của bọn trộm còn tham vọng hơn nhiều so với một vụ "cướp" đơn thuần.

Điều gì sẽ xảy ra nếu việc trộm hàng triệu đô la là chưa đủ?

Vụ trộm

UTC 09:05:36. Chỉ sáu giây sau khi các "cá voi" ký "thỏa thuận tự sát tiền điện tử", những kẻ tấn công đã tung ra một kiệt tác cho vay nhanh. Giao dịch dễ bị tấn công: 0x4216f924ceec9f45ff7ffdfdad0cea71239603ce3c22056a9f09054581836286. Phân tích hậu trường của Venus Protocol nêu chi tiết chiến lược của kẻ tấn công: Bước 1: Vay nhanh 285,72 BTCB—suy cho cùng, tại sao lại dùng tiền của chính mình? DeFi cho phép bạn vay hàng triệu đô la mà không cần thế chấp. Bước 2: Sử dụng số tiền vay để trả nợ hiện tại của nạn nhân, đồng thời thêm 21 BTCB từ tài khoản của chính kẻ tấn công. Hành động có vẻ hào phóng này, trên thực tế, là một "vụ giết người kế toán" máu lạnh.

Bước 3: Kích hoạt ủy quyền. Chuyển toàn bộ tài sản kỹ thuật số của nạn nhân—bao gồm 19,8 triệu đô la vUSDT, 7,15 triệu đô la vUSDC, 285 BTCB và một danh sách dài các token khác. Tất cả những điều này hoàn toàn hợp pháp, vì chữ ký "ngây thơ" từ sáu giây trước đó đã cho phép.

Bước 4: Một nước đi táo bạo. Sử dụng những tài sản mới bị đánh cắp này làm tài sản thế chấp, kẻ tấn công vay 7,14 triệu đô la USDC bằng số BNB còn lại của nạn nhân. Kẻ tấn công không chỉ rút sạch ví mà còn để nạn nhân tự trả giá cho "vụ trộm" của mình.

Bước 5: Vay đủ BTCB để trả khoản vay nhanh. Giao dịch hoàn tất, và kẻ tấn công biến mất không dấu vết. Một giao dịch tự động, một con cá voi bị rút cạn tiền, và một tên trộm tiền điện tử vô cùng thỏa mãn—chúng vừa biến tiền tiết kiệm cả đời của người khác thành trang trại chơi game thế chấp của riêng mình. Tuy nhiên, lòng tham thường biến kẻ đi săn thành con mồi. Điều gì sẽ xảy ra khi một "vụ trộm hoàn hảo" biến thành một "chiến dịch tự sát"? Phản hồi Vào lúc 09:09 UTC, bốn phút sau vụ trộm ngân hàng kỹ thuật số, hệ thống giám sát của Hexagate và Hypernative bắt đầu phát ra báo động. Đây không chỉ là cảnh báo "phát hiện giao dịch đáng ngờ". Đó là cảnh báo Cấp độ 5 cho một vụ trộm 13 triệu đô la, và các công ty bảo mật ngay lập tức biết phải liên hệ với ai. Phản ứng của Venus Protocol? Một lựa chọn nguy hiểm. Từ việc bị đánh cắp đến việc tạm dừng giao thức, chỉ trong vòng hai mươi phút. Venus đã tự kích hoạt công tắc ngắt kết nối, đóng băng tất cả các chức năng cốt lõi của toàn bộ hệ sinh thái. Cho vay? Bị dừng lại. Rút tiền? Bị chấm dứt. Thanh lý? Bị tạm dừng. Một người dùng đã trở thành nạn nhân của một cuộc tấn công lừa đảo, và toàn bộ giao thức bị đình trệ. Đây không chỉ là kiểm soát khủng hoảng mà còn là một cuộc chiến tài chính. Venus đã quyết liệt hạn chế nền tảng của mình, cố gắng ngăn chặn số tiền bị đánh cắp của kẻ tấn công. Mọi vToken do tin tặc nắm giữ ngay lập tức trở thành giấy tờ vô giá trị, bị khóa sau các quyền hạn khẩn cấp của Venus. Nhưng đóng băng toàn bộ giao thức DeFi để cứu một con cá voi duy nhất? Một quyết định như vậy không phải là điều mà một nhóm phát triển có thể tự mình đưa ra. Do đó, nền dân chủ đã xuất hiện: một cuộc bỏ phiếu quản trị khẩn cấp. Khi cộng đồng chỉ có mười hai giờ để quyết định có nên giải cứu tài sản của một người dùng duy nhất thông qua các phương tiện tập trung hay không, liệu bạn có thể thực sự gọi đó là phi tập trung không? Venus không chỉ tạm dừng giao thức mà còn triệu tập một "cuộc họp trực tuyến" khẩn cấp mà bất kỳ nhóm quản lý khủng hoảng Web2 nào cũng phải ghen tị. Họ gọi đó là một "cuộc bỏ phiếu chớp nhoáng". Suy cho cùng, không gì thể hiện rõ nét "quản trị cơ sở" hơn việc gói gọn một quyết định trị giá hàng triệu đô la vào vài giờ tranh luận gay gắt trên Discord. Đề xuất rất đơn giản: Giai đoạn 1: Khôi phục một phần chức năng (để ngăn người dùng bị thanh lý). Giai đoạn 2: Buộc thanh lý vị thế của kẻ tấn công. Giai đoạn 3: Tiến hành đánh giá an ninh toàn diện để ngăn chặn các sự cố tương tự xảy ra lần nữa. Giai đoạn 4: Khôi phục hoàn toàn hoạt động của Venus. Phản ứng của cộng đồng? 100% đồng thuận. Không phải 99%. Không phải 98%. Mọi phiếu bầu đều ủng hộ kế hoạch hành động của Venus, giống như một cuộc bầu cử DeFi kiểu Bắc Triều Tiên. Có lẽ đó là sự đồng thuận thực sự, hoặc có lẽ đó là sự tự bảo vệ. Hoặc có lẽ khi giao thức của bạn đang mất hàng triệu đô la và các đối thủ cạnh tranh đang tràn lan như kền kền, sự bất đồng trở thành một thứ xa xỉ mà không ai có thể chấp nhận được. Đến chiều, Venus đã được cấp phép. Tiếp theo là vụ thanh lý gây tranh cãi nhất trong lịch sử DeFi—một vụ đòi hỏi phải lách luật hợp đồng thông minh và cưỡng chế tịch thu tài sản thế chấp của kẻ tấn công. Nạn nhân gặp nguy hiểm do giao dịch ký nhầm, và Venus sắp ký "giấy chứng tử của nền dân chủ". Điều gì sẽ xảy ra khi "luật là luật" gặp phải các quyền hạn khẩn cấp?

Chiến dịch khôi phục

UTC 21:36. Mười hai giờ sau vụ trộm, Venus đã thực hiện cuộc phản công.

Bạn còn nhớ sai lầm tham lam của kẻ tấn công không? Việc sử dụng số tiền bị đánh cắp làm tài sản thế chấp sắp trở thành sai lầm tốn kém nhất trong lịch sử.

Một giao dịch, nhiều hướng dẫn, gây ra nhiều tranh cãi nhất.

Thanh lý: Đã khởi tạo. Tịch thu tài sản: Đã hoàn tất. Thanh lý: Đã đóng.

Venus vừa thực hiện phẫu thuật trên một blockchain đang hoạt động. Kích hoạt nút tắt khẩn cấp, tịch thu toàn bộ tài sản đã được mở khóa và tiêu hủy mọi bằng chứng.

Kiệt tác của kẻ tấn công cuối cùng đã trở thành bản án tử hình cho chính chúng. Liệu số tài sản thế chấp bị đánh cắp đó có đang nằm an toàn trong các pool của Venus không? Đột nhiên, quyền hạn "thanh lý khẩn cấp" mới được kích hoạt của giao thức trở thành mục tiêu công bằng. Lòng tham là một chất độc. Đánh cắp hàng triệu đô la, sử dụng chúng làm tài sản thế chấp, rồi bị thanh lý bằng chính số tiền chúng đánh cắp. 21:58 UTC. Đèn sáng trở lại. Tiền đã được thu hồi. Khủng hoảng được ngăn chặn. Nhưng không ai nói về khoản lỗ 13 triệu đô la nữa. Điều mọi người đang nói đến là việc Venus, trong 12 giờ đó, đã chứng minh rằng "phi tập trung" chỉ là một khẩu hiệu tiếp thị. Hóa ra giao thức DeFi không thể ngăn cản của bạn có một phanh khẩn cấp rất không thể ngăn cản - và chúng không ngần ngại sử dụng nó khi cái giá phải trả đủ cao. Khi một cuộc cách mạng cần một vị vua để duy trì nó, ai sẽ bị lật đổ? Nạn nhân lên tiếng "Dù có thể bị coi là kẻ ngốc, nhưng thà im lặng còn hơn lên tiếng để xóa tan mọi nghi ngờ." Đây là hồ sơ Twitter của Kuan Sun, nhà sáng lập Eureka Crypto và là nạn nhân của vụ trộm 13 triệu đô la. Nói về "kẻ ngốc", anh đã đăng tải một bài hồi tưởng chi tiết giải thích cách anh bị lừa. Venus Protocol cũng xác nhận anh là nạn nhân của một cuộc tấn công lừa đảo. Phương pháp kỹ thuật xã hội này cực kỳ nguy hiểm. Những kẻ tấn công bắt đầu âm mưu vào tháng 4 năm nay, bằng cách xâm nhập vào một liên hệ có tên "Stack Asia BD" mà Sun Kuan đã gặp tại một hội nghị ở Hồng Kông. Nhiều tháng chuẩn bị kiên nhẫn đã được thực hiện, dần dần xây dựng lòng tin thông qua một mối quan hệ quen thuộc nhưng không quá thân mật. Ứng dụng Zoom độc hại đã cấp cho những kẻ tấn công quyền truy cập vào thiết bị của anh. Trong cuộc họp giả mạo, một thông báo có nội dung: "Micrô của bạn không hoạt động. Vui lòng nâng cấp." Đây lại là một trò lừa đảo nhiều lớp khác, che giấu hoạt động của kẻ tấn công ở chế độ nền. Sau đó, trình duyệt Chrome bất ngờ bị sập. "Khôi phục tab?" đã được nhấp vào. Bằng cách nào đó, tiện ích mở rộng ví Rabby đáng tin cậy của anh đã bị thay thế bằng một phiên bản giả mạo, xóa bỏ mọi cảnh báo bảo mật. Anh đã rút tiền khỏi Venus, giống như hàng ngàn lần trước đây. Nhưng lần này, không hề có cảnh báo rủi ro, không có bản xem trước giao dịch mô phỏng, không có kiểm tra bảo mật. Giao diện người dùng bị xâm nhập đã ngụy trang một hoạt động ủy quyền thành một giao dịch bình thường. Ví cứng không quan trọng. Các tính năng bảo mật của Rabby cũng vậy. Khi giao diện người dùng bị xâm nhập, ngay cả những thiết lập bảo mật nghiêm ngặt nhất cũng chỉ mang lại cảm giác an toàn giả tạo. Tệ hơn nữa, theo ký ức của nạn nhân, vụ tấn công được cho là do Lazarus Group, một nhóm hacker tinh nhuệ của Triều Tiên với tiền sử hoạt động khủng bố trong lĩnh vực tiền điện tử, thực hiện. Lần này, anh không bị lừa đảo bởi một tay mơ, mà là bởi sự chính xác của các chuyên gia chiến tranh kỹ thuật số quốc gia, những người có thể đã hoàn thiện quy trình tấn công này. Giờ đây, anh cảm ơn Venus Protocol, PeckShield, SlowMist, Chaos Labs, Hexagate, HyperactiveLabs, Binance và các công ty khác đã giúp anh lấy lại tiền. Đó là một kết thúc có hậu, nhờ một giao thức sẵn sàng phá vỡ quy tắc của chính nó khi liên quan đến lợi ích cá nhân. Khi những hacker tinh vi nhất thế giới có thể lừa đảo ví phần cứng và những người dùng có ý thức bảo mật, liệu có ai trong DeFi thực sự an toàn? Chỉ với một giao dịch, Venus đã cứu cả những chú cá voi và phá tan giấc mơ phi tập trung. Mười hai giờ hỗn loạn phối hợp đã chứng minh rằng đằng sau mỗi cái gọi là giao thức "phi tập trung" đều ẩn chứa một nút bấm báo động tập trung được ngụy trang bằng các cơ chế quản trị.

Chắc chắn rồi, cộng đồng đã bỏ phiếu—nhưng khi đạt được sự đồng thuận 100% nhanh hơn cả một cuộc tranh luận trên Discord về phí gas, bạn đã chứng kiến ​​màn ảo thuật vĩ đại nhất của nền dân chủ: biến chế độ chuyên chế thành một quyết định tập thể.

Những kẻ tấn công ra về tay trắng, những kẻ đầu cơ lấy lại được tài sản, và Venus đã chứng minh rằng chúng có thể khôi phục mã của chính mình bất cứ lúc nào dưới áp lực kỹ thuật số khổng lồ.

Nhiệm vụ hoàn thành, danh tiếng bị hủy hoại.

Bi kịch thực sự không phải là việc ai đó mắc bẫy lừa đảo Zoom, mà là chúng ta vẫn giả vờ có quyền lực khẩn cấp đối với các giao thức về cơ bản khác biệt so với hệ thống tài chính truyền thống mà chúng tuyên bố sẽ thay thế.

Nếu phi tập trung chết khi nó trở nên bất tiện, thì liệu nó có thực sự tồn tại không?