Ví đa chữ ký bị chiếm quyền, 'cá voi' mất hơn 40 triệu USD qua Tornado Cash và AAVE

Một vụ tấn công tinh vi nhằm vào ví đa chữ ký (multisignature) của một “cá voi” tiền mã hóa đã khiến nạn nhân mất quyền kiểm soát ngay sau khi ví được tạo, dẫn đến quá trình rút tiền và rửa tiền trong suốt 44 ngày. Theo đánh giá từ các chuyên gia bảo mật, tổng mức thiệt hại có thể vượt quá 400.000 USD.

Theo công bố của công ty an ninh blockchain PeckShield trên nền tảng X (trước đây là Twitter) ngày 12, vụ hack đã khiến một nhà đầu tư lớn thiệt hại khoảng 27,3 triệu USD (tương đương gần 403 tỷ đồng). Đáng chú ý, khoảng 4.100 Ethereum(ETH), tương đương 12,6 triệu USD, đã được kẻ tấn công chuyển qua Tornado Cash – một dịch vụ trộn tiền mã hóa chuyên dùng để rửa tiền và xóa dấu vết. Ngoài ra, đối tượng này còn đang nắm giữ lượng tài sản thanh khoản trị giá khoảng 2 triệu USD và duy trì vị thế long sử dụng đòn bẩy trên nền tảng AAVE.

Tuy nhiên, theo bình luận của Yehor Rudytsia – trưởng bộ phận điều tra số thuộc nhóm bảo mật Hacken Extractor – thiệt hại thực sự có thể lên đến hơn 40 triệu USD (gần 590 tỷ đồng). Ông Rudytsia cho biết, dấu hiệu của cuộc tấn công này bắt đầu từ ngày 4 tháng 11. Anh nghi ngờ rằng nạn nhân có thể chưa bao giờ thực sự kiểm soát chiếc ví đa chữ ký nói trên, do một sai sót nghiêm trọng trong quá trình cài đặt ban đầu.

Dữ liệu on-chain cho thấy ví đã được tạo vào lúc 7 giờ 46 phút sáng (UTC) ngày 4 tháng 11 bởi tài khoản của nạn nhân. Tuy nhiên, chỉ sau 6 phút, kẻ tấn công đã chiếm quyền kiểm soát. “Đây là một trường hợp rất có khả năng là kẻ gian đã chủ động tạo ví, chuyển tiền vào, sau đó ngay lập tức thay đổi chủ sở hữu sang chính họ”, ông Rudytsia bình luận. Sự việc đang được xem như một kiểu lừa đảo tinh vi mang tên “trá hình ví đa chữ ký”.

Từ vụ việc này, nhiều chuyên gia đồng loạt cảnh báo rằng ngay cả ví đa chữ ký – vốn được coi là phương thức lưu trữ an toàn nhờ yêu cầu nhiều chữ ký để thực hiện giao dịch – cũng có thể trở nên dễ bị tổn thương nếu không được thiết lập cẩn trọng ngay từ đầu. Ngoài cấu trúc “đa chữ ký”, việc thiết lập ban đầu và phân quyền truy cập cũng cần được kiểm tra bảo mật nghiêm ngặt.

bình luận: Đây không chỉ là lời cảnh báo cho các công ty blockchain mà còn là bài học lớn cho các nhà đầu tư cá nhân đang dựa vào ví đa chữ ký như một biện pháp an toàn tuyệt đối. Từ centralize đến DeFi, không có hệ thống nào miễn nhiễm với lỗi con người khi cấu hình ví.

Sự việc này một lần nữa cho thấy tầm quan trọng của “từ” an ninh trong thiết kế hệ thống lưu trữ tài sản tiền mã hóa. Ngoài việc sử dụng ví đa chữ ký, nhà đầu tư nên quan tâm đến quy trình xác minh ban đầu, giám sát nhật ký quyền sở hữu và phát hiện bất thường – bao gồm cả việc chuyển tài sản sang các mixer như Tornado Cash.

từ: ví đa chữ ký, Tornado Cash, AAVE

từ khóa: ví đa chữ ký, Tornado Cash, AAVE