Tin tức 
Thông tin Coin 
Về chúng tôi 
Dự án nhận dạng phi tập trung *휴머니티 프로토콜 – Humanity Protocol* vừa công bố nguyên nhân vụ tấn công khiến khoảng 36 triệu đô la Mỹ (ước tính 5.482 tỷ đồng) *H 토큰 – H token* bị đánh cắp. Theo giải thích của dự án, cốt lõi vấn đề nằm ở sai lầm nghiêm trọng trong quản lý khóa khi vận hành ví *đa chữ ký – multisig*, khiến cơ chế an toàn gần như bị vô hiệu hóa.
Theo thông tin dự án đăng tải ngày 10 tháng 6 (giờ địa phương), cuộc tấn công bắt đầu từ việc laptop của một nhân viên bị tin tặc xâm nhập. Trên thiết bị này lại lưu trữ nhiều khóa riêng tư kiểm soát cầu nối token (token bridge) của dự án.
Cầu nối là hạ tầng trọng yếu cho phép chuyển tài sản giữa các blockchain khác nhau, thông thường được bảo vệ bằng ví đa chữ ký, yêu cầu nhiều bên cùng phê duyệt trước khi giao dịch được thực thi. Về nguyên tắc, ví đa chữ ký phân tán khóa trên nhiều người hoặc nhiều thiết bị, tránh rủi ro “điểm lỗi đơn lẻ”.
Tuy nhiên, trong trường hợp *Humanity Protocol*, các khóa lại bị lưu trữ tập trung trên “một thiết bị duy nhất”, khiến mục tiêu phân tán rủi ro bị phá vỡ. Khi chiếm quyền được laptop, kẻ tấn công chỉ cần một lần xâm nhập là đủ điều kiện ký và phê duyệt các giao dịch độc hại.
Trên mạng Ethereum(ETH), tin tặc chiếm được 3 trong tổng số 6 khóa thuộc nhóm quản trị cầu nối. Ngưỡng 3 khóa này đủ để chúng giành quyền kiểm soát, chuyển quyền sở hữu hợp đồng cầu nối sang ví do chúng kiểm soát, sau đó thay thế mã hợp đồng bằng phiên bản độc hại. Kết quả, khoảng 141 triệu *H 토큰 – H token* bị rút ra chỉ trong một giao dịch.
Kịch bản tương tự xảy ra trên BNB Chain. Lần này, kẻ tấn công nắm 3 trong 5 khóa, rồi chèn mã cho phép “phát hành không giới hạn” vào hợp đồng. Chúng đã tự ý mint thêm khoảng 200 triệu *H 토큰 – H token* và chuyển toàn bộ về ví của mình.
Nhà sáng lập Humanity Protocol, Terence Kwok (테렌스 쿽), cho biết về mặt thiết kế, hệ thống đa chữ ký của dự án được phân bổ cho 4 người khác nhau. Tuy nhiên, ông thừa nhận “trong quá trình thiết lập, một số khóa có thể đã được sao lưu lên thiết bị sau đó bị xâm nhập”, dẫn tới việc các khóa vô tình “tập trung về một chỗ”.
Theo Humanity Protocol, phần lớn tài sản của dự án được lưu tại đơn vị lưu ký bên thứ ba, còn quỹ vận hành sử dụng mô hình MPC (đa bên tính toán) để gia tăng bảo mật. Dù vậy, một số hợp đồng – trong đó có cầu nối – lại không được áp dụng tiêu chuẩn bảo mật đồng nhất, tạo ra lỗ hổng nội bộ cho tin tặc khai thác.
"bình luận" Vụ việc cho thấy nhiều dự án mới thường chỉ siết chặt bảo mật ở ví treasury hoặc kho lạnh, nhưng lại xem nhẹ các hợp đồng “vệ tinh” như bridge, pool thanh khoản hay ví kỹ thuật – vốn cũng trực tiếp nắm quyền với token.
Nhà phân tích on-chain ZachXBT trước đó đã chỉ ra những giao dịch thanh khoản bất thường của *H 토큰 – H token* trên thị trường, diễn ra trước khi vụ hack được công bố. Đáng chú ý, trong khoảng hai tuần trước khi có đợt mở khóa token quy mô lớn, giá *H 토큰 – H token* đã tăng mạnh từ 0,20 đô la lên 0,70 đô la. ZachXBT đặt câu hỏi về động lực đứng sau nhịp tăng này, song nhấn mạnh hiện chưa có bằng chứng cho thấy nó liên quan trực tiếp tới vụ tấn công khóa đa chữ ký.
Sau sự cố, Humanity Protocol đã tạm dừng mọi hoạt động nạp rút thông qua cầu nối bị ảnh hưởng, đồng thời cho biết đang phối hợp với các sàn giao dịch và cơ quan thực thi pháp luật để truy vết, phong tỏa và thu hồi tài sản bị đánh cắp. Trang giới thiệu đội ngũ (team page) trên website chính thức của dự án cũng đã bị gỡ bỏ.
Về diễn biến giá, *H 토큰 – H token* rơi mạnh xuống khoảng 0,05 đô la ngay sau khi thông tin vụ hack lan rộng, trước khi hồi phục một phần lên vùng 0,20 đô la. Dù vậy, mức này vẫn còn rất xa đỉnh khoảng 0,67 đô la ghi nhận trước tấn công.
"bình luận" Vụ hack *H 토큰 – H token* của Humanity Protocol một lần nữa nhấn mạnh rằng với ví đa chữ ký, cấu trúc kỹ thuật chỉ là một nửa vấn đề, “cách vận hành” mới là biến số bảo mật then chốt. Khi nguyên tắc phân tán khóa không được tuân thủ tuyệt đối, mọi cơ chế bảo vệ dù phức tạp đến đâu cũng có thể suy giảm thành một điểm lỗi đơn lẻ, kéo theo thiệt hại hàng chục triệu đô la cho cả dự án lẫn nhà đầu tư.
Bình luận 0