Bancor tiếp tục hứng chịu “gạch đá” sau vụ hack 13,5 triệu USD

Đổi mới không phải là chuyện ngày một ngày hai. Nhiều khi mọi thứ khó khăn hơn rất nhiều.

Đây chính là tình thế mà dự án tiền mã hóa Bancor đang lâm phải trong thời gian suốt một tuần vừa qua, khi các quyết định và chiến lược đối phó nhằm giải quyết hậu quả của sự cố bị hack hàng chục triệu đô la vấp phải sự phản đối của cộng đồng mạng xã hội.

Vào ngày thứ 2 ngày 09/07, Bancor thông báo tạm dừng hoạt động vì mục đích bảo trì và ít lâu sau đó tiết lộ là đã phát hiện lỗ hổng bảo mật. Tại thời điểm ấy, đại diện dự án khẳng định toàn bộ ví tiền của người dùng vẫn an toàn.

This morning (CEST) Bancor experienced a security breach. No user wallets were compromised. To complete the investigation, we have moved to maintenance and will be releasing a more detailed report shortly. We look forward to being back online as soon as possible.

— Bancor (@Bancor) 9 tháng 7, 2018

(Sáng hôm nay (theo giờ CEST), Bancor đã xuất hiện lỗ hổng bảo mật. Không có ví tiền của người dùng nào bị xâm nhập hết. Để hoàn tất công tác điều tra, chúng tôi đã quyết định bảo trì và sẽ sớm công bố báo cáo cụ thể. Chúng tôi hy vọng sẽ quay trở lại hoạt động bình thường trong thời gian sớm nhất có thể).

Đúng như lời hứa, đến sáng thứ 3 ngày 10/07, Bancor đăng tải toàn bộ chi tiết về sự cố: một ví tiền chuyên dùng để nâng cấp hợp đồng thông minh đã bị xâm nhập và được tận dụng để lấy trộm 3,2 triệu token BNT của nền tảng này (trị giá 10 triệu USD), 25.000 đồng ETH (tương đương khoảng 12,5 triệu USD) cùng 230 triệu token NPXS (có giá trị 1 triệu USD). Tuy nhiên, thông tin được nhiều người chú ý và cũng gây sửng sốt nhất là: Bancor tuyên bố đã đóng băng chỗ token BNT kia để hạn chế thiệt hại.

Chắc chắn sẽ có người thắc mắc: “Vậy thì đã sao nào? Sàn bị hack, mất tiền thì phải đóng băng để làm phá sản âm mưu của bọn hacker. Chuyện bình thường như cơm bữa thôi mà”.

Song, hãy cùng nhìn lại một chút về lịch sử của Bancor. Đây chính là dự án đã huy động được số tiền khổng lồ lên tới 153 triệu USD từ đợt ICO của mình, thu hút cả những tên tuổi lớn trong giới đầu tư tiền mã hóa như Tim Draper hay Blockchain Capital. Startup này tự quảng bá mình như là một nền tảng thị trường mua bán giao dịch “phân quyền” cho các đồng tiền và tài sản mã hóa nhỏ. Nói cách khác, đây chính là một mô hình sàn giao dịch tiền mã hóa phân quyền (DEX) – được nhiều người hy vọng sẽ trở thành tương lai của hình thức sàn giao dịch tiền mã hóa.

Và vì là một trong những công ty đầu tiên lựa chọn cách thức gọi vốn thông qua phát hành token ICO, Bancor từ lâu đã là tâm điểm của những bình luận từ khắp mọi nơi.

Các nhà chỉ trích đã nêu lên đủ loại dẫn chứng, từ việc nền tảng này không cần thiết phải tồn tại, cho đến việc nó cũng không cần Blockchain để hoạt động. Nhưng, theo sau các diễn biến bất ngờ của vụ hack tuần vừa rồi, một chủ điểm mới lại xuất hiện như đã đề cập ở trên: Bancor có thể nhanh chóng khắc phục hậu quả bằng cách “đóng băng” đồng tiền mà nó tạo ra và phát hành.

Cụ thể, trong bộ mã của Bancor có một cơ chế cho phép công ty đằng sau nó có khả năng chặn đứng sự di chuyển của token BNT – điều mà đã được phe chỉ trích nhanh chóng lợi dụng để xé tan “bức bình phong” phân quyền của nền tảng này, bởi phân quyền thì làm sao lại có một cơ chế giám sát để đưa ra quyết định đó được.

Nhà sáng lập Dogecoin Jackson Palmer bình luận:

The key thing here is not the hack itself – it’s the fact the Bancor team had the ability to freeze funds. How many other “decentralized” DApps have a built-in kill switch that’s centrally controlled? https://t.co/3XtULafGRD

— Jackson Palmer (@ummjackson) 9 tháng 7, 2018

(Vấn đề chính không phải là vụ hack – mà đó là tại sao đội ngũ Bancor lại có khả năng đóng băng được tiền. Liệu ngoài kia còn bao nhiêu các Dapp “phân quyền” nhưng lại chứa trong mình “nút tắt khẩn cấp” được kiểm soát bởi một cơ chế tập trung?).

Tương tự, “cha đẻ” Litecoin Charlie Lee cũng nêu lên suy nghĩ như trên:

A Bancor wallet got hacked and that wallet has the ability to steal coins out of their own smart contracts. 🤦‍♂️

An exchange is not decentralized if it can lose customer funds OR if it can freeze customer funds. Bancor can do BOTH. It’s a false sense of decentralization. https://t.co/22UYygIhEF

— Charlie Lee [LTC⚡] (@SatoshiLite) 10 tháng 7, 2018

(Một ví tiền Bancor bị xâm nhập và ví tiền đó có khả năng lấy trộm coin từ chính hợp đồng thông minh trên sàn.

Một sàn giao dịch không thể nào phân quyền nếu nó có thể làm mất tiền khách hàng hoặc đóng băng tài sản người dùng. Bancor có thể làm được cả HAI. Đây quả thật là sự ảo tưởng về tính phân quyền).

Liệu có tồn tại “cửa hậu” vào Bancor?

Chưa ngừng lại ở đó, một số các lập luận chỉ trích còn đi sâu vào chi tiết hơn, như là của nhà phát triển Udi Wertheimer – người mà đã cho cộng đồng thấy rằng vấn đề tập quyền của Bancor đã được biết đến và bị chỉ trích, từ rất lâu rồi.

Vào ngày 20/06 năm 2017, Wertheimer viết một bài blog trên Medium cho biết cả token và hợp đồng ICO của Bancor đều cho phép nó đứng ra làm trọng tài cho các tranh chấp, đóng băng và kể cả phá huỷ bất kì token BNT nào tuỳ ý.

“Tôi tin rằng đội ngũ Bancor sẽ không sử dụng cái “cửa hậu” này sai mục đích. Tuy nhiên, việc nắm trong tay quá nhiều quyền lực như vậy, sẽ tạo nên một “điểm yếu chí tử”. Ví dụ, khoá bảo mật của Bancor có thể bị lấy cắp. Hoặc, các cơ quan pháp luật có thể ra lệnh cho dự án phải đóng băng hoặc tiêu huỷ token một khi họ phát hiện ra là có thể làm vậy,” Wertheimer viết tại thời điểm ấy.

Khi đó, đội ngũ Bancor đáp trả lại bài viết trên rằng rủi ro họ đánh mất khoá cá nhân của mình là “quá xa vời”, bởi họ đảm bảo chúng luôn được bảo vệ an toàn nhờ các hợp đồng đa chữ ký và ví ngoại tuyến.

Và như có thể dự đoán, lời cảnh báo trên đã nhanh chóng được đào mộ lên sau khi vụ hack xảy ra.

Based on the currently published details, it seems that the @Bancor hack was enabled by permissioned backdoors that were put in the smart contracts by the team, and were presumably compromised by the attackers.

I wrote about them a year ago:https://t.co/ZjMO9Huih4 pic.twitter.com/SnHKseoAnL

— Udi Wertheimer 🔨 [#reckless] (@udiWertheimer) 10 tháng 7, 2018

(Dựa trên các chi tiết đã được công bố, có vẻ như vụ hack Bancor đã được thực hiện thông qua các cửa hậu được thiết lập trong hợp đồng thông minh bởi chính đội ngũ phát triển, và những kẻ tấn công đã thấy được điều này.

Tôi đã từng viết về nó cách đây 1 năm. . .)

Wertheimer tiếp tục bình luận rằng những cơ chế “cửa hậu” như vậy vừa làm Bancor đánh mất bản chất phân quyền, vừa có thể là nguyên nhân trực tiếp gây nên vụ tấn công, bởi ví tiền mà đã bị xâm nhập những thứ được tạo nên để nâng cấp hợp đồng thông minh – một khía cạnh khác giúp Bancor quản lý mạng lưới của mình theo một cách tập trung hơn.

I am surprised that people are surprised by this. The fact that people think this is a “decentralized exchange” before a hack, clearly demonstrates most dont know what the word means.

— Pondsea (@p0nd3ea) 10 tháng 7, 2018

(Tôi cảm thấy khá bất ngờ khi mọi người lại ngạc nhiên về chuyện này. Nếu mọi người nghĩ đây [Bancor] chính là ví dụ của “sàn giao dịch phân quyền” trước vụ hack, thì rõ ràng là đa phần các bạn còn không hiểu ý nghĩa của những từ trên là gì).

Những lời động viên mang tính thông cảm

Nhưng không phải ai trên mạng xã hội cũng đều chĩa họng súng của mình về phía Bancor.

Thật vậy, một số người đã đứng ra bênh vực cho những hành động của Bancor cùng cách họ kết cấu nền tảng của mình trước vấn nạn hacker tấn công sàn giao dịch “xảy ra như cơm bữa” như ở hiện tại.

Guys give Bancor some credit for trying to automate Market Making with those compromised Liquidity assets pools, they failed but at least they tried

— BitcoinAgile (@bitcoinagile) 10 tháng 7, 2018

(Các bạn ạ, ít ra cũng hãy ghi nhận công sức của Bancor khi đã thử tự động hoá thị trường để ngăn chặn chỗ tài sản bị mất cắp, họ tuy thất bại nhưng không phải là họ đã bỏ cuộc ngay từ đầu đâu).

Một người dùng khác chỉ ra rằng những kẻ mà giờ đang “lớn tiếng” chỉ trích Bancor có thể sẽ nghĩ khác nếu phát hiện ra tiền của mình bị thất thoát theo sau vụ hack.

Im sure you’d beg for this freeze of token if you even lost a fraction of what was stolen.

What is it with all you? you’re against government theft but all for hacker scumbags being able to steal peoples hard earnd money?

Decentralized doesnt have to be lawlessness

— ~ Creat_tiv ~ Alby Einstein (@Generationkryp2) 9 tháng 7, 2018

(Tôi chắc kèo là các người sẽ phải quỳ xuống van xin sàn đóng băng token nếu phát hiện ra là tiền của mình nằm trong số tiền bị mất cắp.

Mấy người bị dở à? Lúc nào cũng phản đối chính phủ vì lấy cắp tiền của mình nhưng giờ lại chấp nhận nhắm mắt làm ngơ khi mấy thằng hacker cặn bã vét sạch bao tiền của tích góp của người khác?

Phân quyền không nhất thiết đồng nghĩa với vô luật pháp).

Câu trả lời từ Bancor

Bất chấp tất cả, Bancor vẫn bảo toàn quan điểm của mình sau một tuần đầy sóng gió đã qua.

Trong quãng thời gian sau vụ hack, sàn giao dịch này đã đăng tải hàng loạt tuyên bố để lý giải hành động của mình, bao gồm khả năng kiểm soát token BNT.

Phía Bancor một lần nữa nhấn mạnh rằng tiền của người dùng không bị tổn hại, bởi số tiền lấy cắp được là từ một tài khoản dự trữ ETH của sàn cộng với hợp đồng thông minh mà đã được xâm nhập thông qua ví tiền chiếm giữ bởi hacker.

Bancor cũng bảo vệ cho quyết định đóng băng token BNT như là “cần thiết để bảo vệ mạng lưới và chủ sở hữu token trong trường hợp khẩn cấp”.

We want to clarify some things about the events over the last few days: pic.twitter.com/NVINh33EfT

— Bancor (@Bancor) 11 tháng 7, 2018

(Chúng tôi muốn làm rõ một số thứ theo sau những sự kiện xảy ra trong ít ngày qua:

Chúng tôi biết là hiện đang có rất nhiều điều khó hiểu ở ngoài kia và muốn nhân sự cố này để làm rõ một vài điểm quan trọng, Nhưng trước hết, chúng tôi xin được cảm ơn các bạn vì đã tiếp tục kiên trì và ủng hộ.

Luận điểm thứ 1: Không có ví tiền người dùng nào bị xâm phạm. Chỗ ETH thất thoát kia là từ tài khoản kết nối của BNT (hoạt động như là kho dự trữ vậy). Còn chỗ token kia là từ hợp đồng thông minh mà đã bị xâm nhập bởi cái ví bị hacker chiếm quyền kiểm soát. Không có ví tiền nào của người dùng là bị ảnh hưởng hết.

Luận điểm thứ 2: Ngay từ những ngày hình thành nên ý tưởng về Bancor thì chúng tôi đã có quyết định chiến lược là phải học hỏi lại những sai lầm mà đã đánh sập các công ty tiên phong đi trước chúng tôi. Chúng tôi đã đề ra khoảng thời gian thử nghiệm 3 năm với các biện pháp an toàn cụ thể để vừa bảo vệ cộng đồng, vừa phát triển công nghệ trên một hệ sinh thái mới nổi.

Luận điểm thứ 3: Chỗ token bị đóng băng là token BNT bị lấy cắp trong vụ tấn công. Chúng tôi tin chắc rằng đây là một tính năng phòng ngừa cần thiết đối với đa phần các token nhằm bảo vệ mạng lưới và chủ sở hữu tài sản trong trường hợp khẩn cấp.

Chúng tôi sẽ tiếp tục chia sẻ thêm thông tin trong thời gian sớm nhất có thể. Xin hết).

Sau đó, trong một bài blog ngày 12/07 với tiêu đề “Chặng đường phía trước”, đồng sáng lập Bancor, Guy Benartzi đã không đề cập đến những chỉ trích về phân quyền nhưng đã trình bày cách để sàn sử dụng những cơ chế nội bộ có sẵn để hỗ trợ truy vết số tiền bị mất cắp còn lại.

Bernartzi viết:

“Vụ việc lần này, tuy để lại nhiều rắc rối, nhưng sẽ không làm chúng tôi chệch hướng khỏi mục tiêu của mình. Để bù lại, chúng tôi từ giờ sẽ nỗ lực gấp đôi và tăng tốc quá trình thực hiện lộ trình để bọn tội phạm không thể nào ngăn cản Bancor và ngành công nghiệp này đạt được sứ mệnh quan trọng nhất của chúng ta – hiện thực hoá tự do tiền tệ”.

Theo: TapchiBitcoin.vn/coindesk

Bancor kêu gọi sự hợp tác sau khi bị hack 23,5 triệu USD