Truebit bị tấn công, mất hơn 26 triệu USD do lỗi hợp đồng thông minh

Dự án Truebit bị tấn công: Thiếu sót hợp đồng thông minh gây thiệt hại hơn 26 triệu USD

Dự án tính toán trên chuỗi Truebit đã trở thành nạn nhân của một vụ tấn công nghiêm trọng do lỗ hổng trong hợp đồng thông minh, dẫn đến việc phát hành trái phép lượng lớn token trị giá khoảng 26 triệu USD. Vụ tấn công này đã làm giá token TRU lao dốc tới 99%, gây chấn động trong cộng đồng tiền mã hóa.

Theo Cointelegraph đưa tin ngày 9 (giờ địa phương), công ty an ninh mạng SlowMist cho biết lỗ hổng đến từ lỗi tràn số (integer overflow) trong quá trình biên dịch bằng phiên bản Solidity cũ. Cụ thể, hợp đồng thông minh “Purchase” của Truebit không có cơ chế bảo vệ chống tràn số, dẫn đến tính toán sai lệch về giá mint TRU token. Kẻ tấn công đã tận dụng điểm yếu này để “đúc” ra một lượng lớn TRU gần như miễn phí, rồi nhanh chóng rút toàn bộ tiền gửi trong hợp đồng.

“Vì hợp đồng được biên dịch bằng phiên bản Solidity 0.6.10 – vốn không có tính năng tự động phát hiện tràn số – nên các phép cộng vượt quá giá trị tối đa của uint256 có thể khiến kết quả quay về gần 0 (hiện tượng ‘wrap around’)”, SlowMist phân tích trong báo cáo bảo mật.

Từ sự cố này, cộng đồng có thể nhìn thấy rõ rủi ro tiềm ẩn khi các dự án hợp đồng thông minh vẫn duy trì mã nguồn cũ, mà không thực hiện bảo trì định kỳ hoặc cập nhật biện pháp bảo mật căn bản.

Bình luận: Đây là lời cảnh tỉnh quan trọng đối với các dự án blockchain lâu năm. Cho dù có nền tảng kỹ thuật vững chắc đến đâu, một lỗ hổng nhỏ trong logic hợp đồng vẫn có thể gây thiệt hại hàng chục triệu USD.

Mỹ đề xuất luật bảo vệ nhà phát triển blockchain khỏi quy định về "chuyển tiền"

Trong một diễn biến liên quan đến môi trường pháp lý, hai Thượng nghị sĩ Mỹ là Cynthia Lummis và Ron Wyden vừa đệ trình dự luật mới mang tên “Đạo luật Làm rõ Quy định Blockchain (BRCA)”. Mục tiêu của dự luật là loại trừ trách nhiệm chuyển tiền đối với các nhà phát triển phần mềm và vận hành mạng lưới không trực tiếp kiểm soát tiền của người dùng.

Thượng nghị sĩ Lummis cho biết trong tuyên bố: “Môi trường pháp lý mập mờ hiện nay đang đẩy các nhà đổi mới ra nước ngoài, và khiến những nhà phát triển vô tội có nguy cơ bị truy tố tội danh rửa tiền. Chúng tôi muốn đảm bảo họ được pháp luật bảo vệ, từ đó thúc đẩy ngành tài chính kỹ thuật số phát triển trong nước”.

Bối cảnh đề xuất luật này phần nào xuất phát từ những vụ việc gần đây. Cụ thể, hai đồng sáng lập của Tornado Cash – một nền tảng trộn tiền – đã bị kết án do điều hành dịch vụ chuyển tiền không phép vào năm ngoái. Từ đó, nhiều nhà phát triển mã nguồn mở cảm thấy lo lắng về khả năng bị truy tố hình sự dù không can dự vào hành vi bất hợp pháp.

Tổng thống Trump mở rộng thế lực sang cuộc chơi DeFi, dấn thân vào thị trường tín dụng tiền mã hóa

Một trong những điểm tin đáng chú ý khác là sự xuất hiện chính thức của nền tảng tài chính phi tập trung (DeFi) có liên quan đến gia đình Tổng thống Trump – World Liberty Financial. Theo Bloomberg đưa tin ngày 20 tháng 12 (giờ địa phương), nền tảng này vừa ra mắt dịch vụ vay nợ mới trên chuỗi có tên “World Liberty Markets”.

Điểm đặc biệt nằm ở việc nền tảng sử dụng đồng ổn định USD1 (liên kết với thương hiệu Trump) làm tài sản vay và đặt cọc, đi kèm với token quản trị WLFI. Người dùng có thể dùng các tài sản số như Ethereum(ETH), Bitcoin(BTC), USD Coin(USDC), Tether(USDT) để làm tài sản thế chấp khi vay hoặc gửi tiết kiệm trên nền tảng.

Đồng sáng lập Zak Folkman cho biết: “Trong tương lai, tài sản gắn với thế giới thực cũng sẽ được dùng làm thế chấp. Ngoài ra, chúng tôi đang mở rộng hợp tác với các dự án như thị trường dự đoán, sàn giao dịch và nền tảng bất động sản.”

Đáng chú ý hơn, World Liberty Financial đang chờ được cấp giấy phép trong vai trò ngân hàng tín thác toàn quốc từ Văn phòng Giám sát Tiền tệ Mỹ (OCC). Nếu được phê duyệt, đồng USD1 có thể có cơ sở pháp lý mạnh hơn để phát huy vai trò trong các hoạt động như thanh toán xuyên biên giới hoặc tài chính doanh nghiệp quy mô lớn.

Bình luận: Việc các dự án DeFi gắn với Tổng thống Trump bước vào thị trường tín dụng on-chain không chỉ tạo hiệu ứng chính trị cho tiền mã hóa, mà còn phát đi tín hiệu tích cực về khả năng hợp thức hóa tài chính phi tập trung tại Mỹ.

Kết luận

Từ vụ tấn công hợp đồng thông minh của Truebit đến bước tiến chính sách từ thượng viện Mỹ, và cả việc Tổng thống Trump mở rộng ảnh hưởng sang DeFi, có thể thấy hệ sinh thái tiền mã hóa tiếp tục mở rộng về cả chiều sâu kỹ thuật lẫn khung pháp lý. Các từ khóa như “hợp đồng thông minh”, “bảo mật blockchain” và “Tổng thống Trump” đang đóng vai trò trung tâm trong bức tranh chuyển động không ngừng của thị trường.