"Mr. White Hat": Những tình tiết đằng sau vụ trộm lớn nhất thị trường tiền số

Vụ tấn công đình đám và diễn biến bất ngờ

Vài ngày trước, một tin tặc đã gây rúng động thế giới trong vụ đánh cắp tiền số được mô tả là lớn nhất lịch sử. Mục tiêu của nhóm tin tặc bí ẩn là Poly Network, một dự án trong thế giới tài chính phi tập trung (DeFi). Poly Network ra đời với mục tiêu liên kết các sổ cái phổ dụng nhất, tạo thành mạng lưới tự động để bỏ qua các trung gian thu phí.

Trong thị trường tiền số, tất cả các giao dịch có thể được nhìn thấy trên sổ cái kỹ thuật số. Poly đã tận dụng tính năng này (giống với cách ngân hàng cảnh báo các cơ quan chức năng về số sê-ri trên tiền mặt bị đánh cắp) nhằm đưa các chiến lợi phẩm từ các hoạt động phi pháp vào "danh sách đen", thậm chí tìm ra thủ phạm.

Thị trường DeFi nổi tiếng là khu vực "hoang dã" nhất trong thế giới tiền số, vốn phần lớn chưa được kiểm soát. Theo Chainalysis, một công ty dữ liệu tiền số, năm 2020, DeFi chỉ đại diện cho 6% tất cả các hoạt động tiền số nhưng lại là nạn nhân của 1/3 tổng số vụ trộm cắp.

Tuy nhiên, Poly có lỗ hổng và nhóm hacker mũ trắng bí ẩn đã cảnh báo bằng vụ tấn công đình đám. Với trị giá lên tới 600 triệu USD, đây được xem là vụ tấn công khủng nhất. Thậm chí, việc tin tặc sẵn sàng chi tiền cho những người giúp đỡ chúng tiếp tục lôi kéo một lượng lớn cá nhân tham gia với hy vọng kiếm lời.

Dẫu vậy, một diễn biến bất ngờ đã tới. Khi mọi sự truy lùng đi vào ngõ cụt, nhóm tin tặc này bất ngờ "quay xe", tuyên bố trả lại tiền và còn chỉ ra những lỗ hổng trên Poly Network. Y cũng không quên nói rằng mình thực hiện vụ tấn công chỉ để cho vui và tìm cảm giác mạnh.

Trên nền tảng Blockchain, kẻ tấn công và nạn nhân đã có một cuộc đàm phán. Qua đó, người xem có thể suy ra một số manh mối về động cơ đằng sau vụ trộm. Đại khái, Poly Network cam kết sẽ đưa một khoản tiền bảo mật khi hacker trả lại tất cả tài sản còn lại. Trong khi đó, gã hacker nói hắn không quan tâm đến tiền mà chỉ hack "cho vui", đồng thời còn nhắc nhở Poly nên rút ra bài học sau vụ tấn công này.

Tuy bị mất tiền, nhưng khi mọi chuyện dần lắng xuống, nhiều người đam mê tiền số đã dành sự thông cảm cho tên hacker này. Họ thậm chí còn đặt cho hắn biệt danh là "Mr. White Hat", nhằm ám chỉ hành vi hack được cho là "có đạo đức".

Tiền được trả lại như thế nào?

Sau khi mất tiền, Poly đã để lại một tin nhắn yêu cầu hacker liên hệ với họ. Chưa đầy một giờ sau, Mr. White Hat đã trả lời trên cùng một kênh. Kẻ tấn công và mục tiêu công khai giao tiếp.

Với phương châm hòa giải, Poly sau đó đã đưa ra một khoản tiền trị giá 500.000 USD như một phần thưởng cho việc tìm ra lỗi và trả lại tài sản. "Chúng tôi hy vọng việc này sẽ được nhớ tới như vụ hack lớn nhất trong lịch sử".

Lời kêu gọi đối với sự tự mãn của tin tặc đã thành công. Anh ta không thể hiện rằng sẽ lấy tiền nhưng ngày hôm sau, anh ta bắt đầu chuyển những số tiền nhỏ vào một tài khoản chung. Giống như một nhà đàm phán của phía cảnh sát trong phim, Poly khuyến khích hacker tiếp tục: "Bạn đang đưa mọi thứ đi theo đúng hướng đấy".

Đến ngày 13/8, Poly cho biết gần như toàn bộ số tiền đã được trả lại và họ đang chuẩn bị kiểm soát toàn bộ tài sản để trao lại cho chủ sở hữu. Khi đầu hàng, tên trộm vẫn thách thức qua Ethereum: "Hack là tốt cho mấy người, tôi đã cứu dự án này".

Đối với một số người, việc này đại diện cho một bài học quan trọng về khả năng thiếu hụt của hệ thống, đặc biệt là các giao thức có thể kết nối các blockchains như Poly.

Kevin Werbach, một học giả trường Thương mại Wharton của Đại học Pennsylvania, cho biết: "Một blockchain có thể cực kỳ an toàn nhưng chỉ giới hạn trong thế giới riêng của nó".

Các luật sư cho biết vẫn chưa rõ liệu những người dùng có số tiền bị trộm có đưa ra các hành động pháp lý hay không. Trang web của Poly không đưa ra điều khoản nào chi phối việc sử dụng trang web, cũng như không đề cập đến pháp nhân.

Hệ thống DeFi sử dụng các chương trình phần mềm được gọi là hợp đồng thông minh để chuyển tiền số, loại bỏ bất kỳ trung gian nào của con người và phức tạp hóa việc gán trách nhiệm cho bất kỳ bên nào. Một số nhà phát triển đã lập luận rằng các quy tắc được tạo ra bởi các chương trình phần mềm cấu thành "luật", đây là một khái niệm làm nhiều luật sư tranh cãi.

Charlie Steele, một cựu luật sư của chính phủ Hoa Kỳ và hiện là đối tác của Liên minh Rủi ro Pháp y, một công ty tư vấn quy định, cho biết: "Có thể đây là tin tặc có tác động lớn nhất đến việc các nhà quản lý giám sát hoạt động của DeFi". Ông nghĩ rằng họ sẽ không để người ngoài trông coi hệ thống của họ.