Hôm nay, một cuộc khai thác lớn đã tấn công các hợp đồng thông minh phát hành stablecoin USDR và EURR. Kẻ tấn công đã có thể mint 16.76 triệu USDR và 9.11 triệu EURR từ hư không, và sau đó hoán đổi một phần các token không được bảo chứng này lấy các tài sản tiền mã hóa khác.
Bạn có nhận thấy rằng các vụ hack với quy mô như vậy dần trở nên quen thuộc? Tôi theo dõi tin tức crypto hàng ngày, và thành thực mà nói: mắt tôi giờ chỉ lướt qua thêm một tiêu đề nữa về một vụ khai thác triệu đô. Như thể chẳng còn điều gì đáng chú ý nữa!
Và tuy nhiên, đằng sau mỗi vụ hack như vậy là những rắc rối thực sự mà người dùng bình thường phải đối mặt khi họ dùng blockchain và tiền mã hóa như phương tiện chính để lưu trữ và quản lý khoản tiết kiệm của mình.
Hôm nay, ngay khi vụ tấn công vào StablR (đơn vị phát hành USDR và EURR) đang diễn ra và giá cả của cả hai token bắt đầu giảm, rabbit.io nhận được yêu cầu hoán đổi 2.000 USDR sang USDT. Hệ thống tự động của chúng tôi đã chạy tất cả các kiểm tra: địa chỉ của khách hàng không có liên hệ với vụ khai thác, họ đã nắm giữ USDR gần một năm, và yêu cầu hoán đổi này gần như chắc chắn là ai đó đang cố cứu khoản tiết kiệm của mình. Chúng tôi đã xử lý hoán đổi theo tỷ giá có lúc đó, và khách hàng chỉ mất hơn 1% thôi — dù chỉ trong vài phút giá USDR đã rơi 25%, và sau đó, giữa cơn hoảng loạn, xuống gần $0.40.
Nhưng khi, vài giờ sau, cùng một khách hàng gửi yêu cầu hoán đổi thêm 50.000 USDR, chúng tôi không thể tiếp tục cung cấp hoán đổi mà không gây tổn thất đáng kể.
Chuyện Thực Sự Đã Xảy Ra Như Thế Nào
Lúc 01:46 UTC hôm nay, kênh investigations của ZachXBT trên Telegram đã đăng một thông báo về khả năng có một khai thác đối với các hợp đồng thông minh của StablR với quy mô khoảng 10 triệu đô la.
Sau đó lộ ra rằng kẻ tấn công đã có được khóa riêng tư của một trong những chủ sở hữu địa chỉ multisig của StablR chịu trách nhiệm mint token mới. Vấn đề tệ hơn nhiều vì ngưỡng bảo mật cực thấp: trong ba khóa riêng tư sẵn có, chỉ một cái là đủ để ủy quyền bất kỳ thao tác nào. Nói cách khác, đây thực ra không phải là multisig. Mục đích của multisig là đòi hỏi nhiều chữ ký để thực hiện một thao tác. Ở đây, không chỉ một chữ ký là đủ — bất kỳ chữ ký đơn lẻ nào cũng được. Một "multisig" như vậy không tăng cường bảo mật cho địa chỉ; nó thực sự làm giảm độ an toàn đi ba lần. Kẻ tấn công đã sử dụng khóa bị xâm phạm để mint hàng triệu token USDR và EURR ra khỏi không khí.
Tại châu Âu, nơi đội ngũ StablR có khả năng đặt trụ sở, lúc đó là giữa đêm thứ Bảy và Chủ Nhật, nên vụ tấn công kéo dài vài giờ. 900.000 EURR trái phép cuối cùng đã được phát hành lên mạng lúc 4:03 UTC.
Khi nguồn cung cả hai token tăng đột biến — và tất nhiên ngay lập tức được tung ra thị trường — giá USDR và EURR lao dốc mạnh và chưa hồi phục.
Những Token Này Là Gì, Và Ai Đang Dùng Chúng?
USDR (StablR USD) là một stablecoin được bảo chứng bằng fiat neo 1:1 với đồng đô la Mỹ, chạy trên mạng Ethereum. Nó được phát hành bởi công ty fintech châu Âu StablR, được đăng ký như một Tổ chức Tiền điện tử (Electronic Money Institution - EMI) và được quản lý bởi Cơ quan Dịch vụ Tài chính Malta (MFSA), với văn phòng bổ sung ở Hà Lan. EURR là stablecoin neo euro của cùng công ty này.
Vào cuối năm 2024, StablR nhận đầu tư từ Tether (đơn vị phát hành USDT), rõ ràng là nhằm duy trì vị thế trên thị trường châu Âu sau khi quy định MiCA có hiệu lực — những quy tắc khiến các công ty đăng ký ở châu Âu gần như không thể sử dụng USDT.
Tôi xin nói thêm về USDR, token mà khách hàng của chúng tôi đang nắm giữ. So với những gã khổng lồ như USDT và USDC, vốn lưu chuyển hàng chục tỷ đô la, USDR là một dự án rất nhỏ. Sau lần mint 16.76 triệu token không có dự trữ đêm qua, tổng nguồn cung USDR đang lưu hành, theo Etherscan, ở mức 21,076,437. Điều đó có nghĩa là trước vụ hack hôm nay, vốn hóa thị trường của nó dưới 5 triệu đô la.
Vậy vì sao ai đó lại chọn nó thay vì USDT hay USDC? Lý do là StablR thiết kế token của họ nhằm tuân thủ MiCA. Chúng hoàn toàn minh bạch về mặt pháp lý:
- Quỹ bảo chứng fiat được giữ trong các tài khoản tách biệt tại các ngân hàng châu Âu được quản lý.
- Chúng chịu kiểm toán định kỳ bởi các hãng kiểm toán lớn (ví dụ, Grant Thornton).
Rất có thể khách hàng của chúng tôi — người nắm giữ ít nhất 52.000 USDR — là cư dân EU hoặc ai đó hoạt động trong khuôn khổ pháp lý châu Âu. Với họ, điều quan trọng là dùng một tài sản "sạch", có thể chứng minh về mặt pháp lý và được regulator phê duyệt, để tránh rắc rối với thuế hoặc ngân hàng.
Và hôm nay, do thất bại về bảo mật kỹ thuật của StablR, chính người dùng đó đã quyết định khẩn cấp chuyển tài sản của họ sang USDT — một token không mang lại cho họ sự chắc chắn pháp lý hay hoạt động ở châu Âu. Và đã mất một khoản tiền đáng kể trong quá trình đó. Dù là giấy phép hay kiểm toán tài chính của bên phát hành cũng không đủ để bảo vệ khách hàng của chúng tôi khỏi thua lỗ.
Vậy Chúng Ta Nên Làm Gì Nếu Ngay Cả Những Tài Sản Crypto Này Cũng Không Đáng Tin?
Tôi đã lâu viết về việc chính phủ và các ngân hàng mà họ điều tiết đang tích cực đẩy người dân ra khỏi hệ thống tài chính truyền thống và hướng họ tới việc lưu trữ tiết kiệm trên blockchain, nơi không ai có thể tịch thu.
Nhưng dòng chảy liên tục các vụ hack trong vài tháng gần đây cho thấy việc lưu trữ kiểu đó rủi ro đến mức nào. Tôi sẽ không ngạc nhiên nếu nhiều người dùng crypto bắt đầu tự hỏi liệu đã đến lúc chuyển khoản tiết kiệm trở lại ngân hàng hay chưa. Ngân hàng có thể kiểm duyệt chuyển khoản và thanh toán của bạn, từ chối trả tiền mặt cho bạn — nhưng ít nhất họ không bị cướp thường xuyên như các dự án crypto.
Phần kỹ thuật của hầu hết các dịch vụ crypto đều hoàn toàn mã nguồn mở. Và bây giờ khi nghiên cứu lỗ hổng được thực hiện 24/7 bởi các mô hình AI ngày càng thông minh, chúng ta nên kỳ vọng là làn sóng khai thác này sẽ tiếp tục và thậm chí tăng tốc. Cái gì có thể bị hack, sẽ bị hack.
Điều này có nghĩa là đã đến lúc bỏ hoàn toàn tiền mã hóa? Không. Nhưng tôi nghĩ hợp lý nếu, ít nhất tạm thời, giảm quy mô tham gia vào những mô hình gắn lớp tập đoàn lên trên crypto. Chính những mô hình đó bị hack, chứ không phải bản thân các loại tiền mã hóa thuần túy. Giao thức nền tảng của Bitcoin chưa từng bị hack trong 17 năm — đơn giản vì kiến trúc của nó không có chủ sở hữu đặc quyền, không có nút mint, và không có khóa admin mà kẻ xấu có thể đánh cắp từ một đội ngủ đang ngủ quên.
Càng dịch chuyển khỏi toán học phi tập trung thuần túy và càng hướng tới kiểm soát của con người, một tài sản càng trở nên dễ bị tổn thương. Đó là lý do ngay cả Ethereum, với ảnh hưởng tập trung của Ethereum Foundation khi họ sửa đổi quy tắc ở mỗi hard fork, cũng không thể làm thước đo cho độ tin cậy. Lưu trữ thực sự an toàn chỉ tồn tại khi không có thực thể nào có thẩm quyền thay đổi quy tắc để phục vụ lợi ích của mình.
Tôi nghĩ mọi người dùng tiền mã hóa đều biết điều này. Tuy vậy, để lưu trữ hàng ngày và giao dịch thông thường, rất ít người dùng các loại như bitcoin. Miễn là giá được niêm yết bằng tiền fiat, ai cũng muốn số dư trong ví mình cố định theo giá trị fiat — để ngày mai họ không ngỡ ngàng khi thấy mình có ít hơn 10–15% so với hôm nay.
Vậy người dùng thông thường nên làm gì, nếu họ vẫn cần sự ổn định quen thuộc của đô la? Thành thật mà nói, tôi không có câu trả lời tốt. Khách hàng của chúng tôi đã đưa ra lựa chọn hôm nay: nhận ra nguy cơ của USDR, họ quyết định chuyển quỹ sang USDT. USDT đã tồn tại hơn mười năm. Đúng là đơn vị phát hành có thể viết lại quy tắc bất cứ lúc nào, nhưng trong suốt những năm đó, chưa ai tìm ra cách để lợi dụng khả năng đó.
Và điều kỳ lạ nhất là ngay cả khi hàng trăm triệu USDT hoàn toàn không có bảo chứng từng lưu thông trên thị trường, điều đó cũng không ảnh hưởng đến giá token. Không ai đặt câu hỏi khi Tether phát hành thêm một tỷ USDT lên thị trường. Nếu tất cả người nắm giữ biết họ cũng không thể đến gặp bên phát hành và yêu cầu đô la đổi lấy token, thì khác biệt là gì khi token có được bảo chứng hay không? USDT dựa trên niềm tin rằng, dù chuyện gì xảy ra, luôn có ai đó trên thị trường crypto sẵn sàng trao tài sản trị giá 1 USD để đổi lấy 1 USDT. Tôi có thể tưởng tượng niềm tin đó có thể tồn tại qua bất kỳ vụ hack nào.
Các stablecoin trẻ hơn đơn giản là chưa tích lũy đủ người tin tưởng để xây dựng cùng một hào quang đáng tin cậy xung quanh chúng.
Vì vậy, nghịch lý thay, lựa chọn một stablecoin tập trung tối đa và chưa trải qua một cuộc kiểm toán nghiêm túc nào có thể lại là quyết định hoàn toàn hợp lý.
Lựa chọn khác là các stablecoin như Liquity USD, crvUSD và DAI. Theo thiết kế, hợp đồng của chúng không thể thay đổi, và không có bên phát hành tập trung nào có thể giả mạo tài sản thế chấp hoặc từ chối trả lại cho bạn. Hợp đồng thông minh của họ chưa từng bị hack. Tuy nhiên, điều này không có nghĩa là các mô hình AI — với sức mạnh tính toán và kiến thức hiện tại — không thể, về nguyên tắc, tìm ra cách phá vỡ chúng.
Đó là lý do tôi vẫn tin rằng các tài sản crypto neo fiat chỉ có thể là giải pháp tạm thời, phù hợp cho chi tiêu hàng ngày. Để lưu trữ tài sản thực sự lâu dài, chỉ có Bitcoin và những loại tiền mã hóa tương tự.
