Hacker mũ trắng cứu Foοm Cash khỏi vụ exploit 2,26 triệu đô, DeFi và web3 thêm điểm cộng cho bảo mật

**포옴캐시(Foom Cash) 익명 복권 프로토콜, 배포 실수로 226만 đô la bị tấn công nhưng *web3*, *DeFi* và *bảo mật* lại ghi thêm một “điểm cộng” cho cộng đồng hacker mũ trắng**

Theo CoinDesk đưa tin ngày 3 (giờ địa phương), giao thức xổ số ẩn danh **포옴캐시(Foom Cash)** dựa trên công nghệ *zero-knowledge proof (ZK)* đã gặp sự cố nghiêm trọng trong quá trình triển khai, dẫn đến vụ *exploit* trị giá khoảng 2,26 triệu đô la Mỹ (tương đương khoảng 33,43 tỷ đồng). Tuy nhiên, nhờ sự can thiệp kịp thời của *hacker mũ trắng*, phần lớn tài sản đã được thu hồi, qua đó làm nổi bật vai trò ngày càng quan trọng của “hacker đạo đức” trong hệ sinh thái *web3* và *DeFi*.

포옴캐시 cho biết trên X (trước đây là Twitter) ngày 3 (giờ địa phương) rằng họ đã lấy lại được khoảng 1,84 triệu đô la (khoảng 27,22 tỷ đồng), tương đương 81% tổng thiệt hại trong vụ tấn công. Theo giải thích của dự án, một hacker mũ trắng ẩn danh có biệt danh **두하(Duha)** đã phát hiện lỗ hổng trước kẻ xấu và nhanh chóng “cô lập” tài sản trên mạng lưới **Base**, trong khi phần tài sản trên mạng **Ethereum(ETH)** được đội ngũ bảo mật **Decurity** hỗ trợ thu hồi.

포옴캐시 đã trả cho 두하 khoản *bug bounty* trị giá 320.000 đô la (khoảng 4,73 tỷ đồng), đồng thời chi 100.000 đô la (khoảng 1,48 tỷ đồng) cho Decurity như phí dịch vụ bảo mật. 두하 bình luận rằng việc tài khoản *@foomclub_* tôn trọng chính sách thưởng lỗi là tín hiệu cho thấy giao thức coi trọng *bảo mật*, cũng như đánh giá cao giá trị đóng góp của các nhà nghiên cứu trong cộng đồng.

*bình luận*: Trường hợp 포옴캐시 cho thấy mô hình *bug bounty* đang trở thành “chi phí bắt buộc” với các dự án *DeFi* và *web3*, không chỉ để phát hiện lỗ hổng mà còn như một cơ chế khuyến khích hacker mũ trắng hành động nhanh hơn kẻ tấn công thực sự.

**Lỗi triển khai “Phase 2 trusted setup” biến thành vụ tấn công 2,26 triệu đô la**

Theo phân tích kỹ thuật được 포옴캐시 công bố, nguyên nhân gốc rễ của vụ tấn công nằm ở một sai sót trong quá trình triển khai *trusted setup* giai đoạn 2 (Phase 2) cho hệ thống bằng chứng ZK. Cụ thể, dự án đã bỏ sót một bước trong giao diện dòng lệnh (CLI) khi thiết lập tham số bằng công cụ **snarkjs** cho cơ chế bằng chứng **Groth16**.

포옴캐시 giải thích rằng nếu bỏ qua bước *contribution* theo từng mạch (per-circuit contribution) trong snarkjs, các tham số *gamma (γ)* và *delta (δ)* có thể giữ nguyên ở giá trị mặc định và vô tình trở nên giống nhau. Khi điều này xảy ra, hệ thống thiết lập cho việc sinh bằng chứng ZK không còn đảm bảo tính ngẫu nhiên cần thiết.

Hệ quả là giao thức có thể chấp nhận các “bằng chứng giả” (*forged proofs*) mà không phát hiện ra sai lệch. 포옴캐시 cho biết các *placeholder* chưa được random hóa hoàn toàn đã bị kẻ tấn công lợi dụng, mở đường cho cuộc tấn công lên hợp đồng.

Về mặt kỹ thuật, đây không phải lỗi logic bên trong *smart contract* lõi, mà là vấn đề ở khâu *triển khai và xác thực* tham số. Một bước bị bỏ sót trong *pipeline* triển khai — tưởng như chỉ là chi tiết kỹ thuật — lại bị khuếch đại thành lỗ hổng cấp hệ thống, cho phép hacker rút tiền từ giao thức với bằng chứng ZK không hợp lệ nhưng vẫn được mạng lưới chấp nhận.

*bình luận*: Vụ việc nhấn mạnh rằng với các giao thức sử dụng *zero-knowledge proof* nâng cao, rủi ro không chỉ nằm ở code hợp đồng mà còn ở toàn bộ chuỗi quy trình: *trusted setup*, công cụ CLI, cấu hình tham số, kiểm toán triển khai. Sai sót “một lần” tại thời điểm cài đặt có thể tạo ra rủi ro “mãi mãi” nếu không được phát hiện.

**Hacker mũ trắng ngày càng là “tuyến phòng thủ đầu” của DeFi**

Vai trò chủ động của hacker mũ trắng như 두하 trong vụ 포옴캐시 đang phản ánh một xu hướng rộng hơn trong thị trường *DeFi*: các “người tốt” trong cộng đồng bảo mật ngày càng thường xuyên cạnh tranh thời gian trực tiếp với hacker mũ đen.

Trong nhiều vụ việc gần đây, *hacker mũ trắng* không chỉ báo cáo lỗ hổng, mà còn chủ động thực hiện các giao dịch “bảo vệ” (*whitehat exploit*) để rút tài sản khỏi hợp đồng trước khi kẻ xấu kịp ra tay, sau đó hoàn trả lại cho dự án dựa trên thỏa thuận *bug bounty* hoặc phần thưởng bảo mật.

Ngành công nghiệp thường nhắc đến mạng lưới **SEAL (Security Alliance)** do nhà nghiên cứu của Paradigm, **샘크즈선(Samczsun)**, thành lập vào tháng 8 năm 2023 như một ví dụ tiêu biểu. Theo các báo cáo được công bố, chỉ trong năm đầu hoạt động, SEAL đã tham gia điều tra hơn 900 vụ việc liên quan đến tấn công hoặc nghi ngờ tấn công trong không gian tiền mã hóa.

Xu hướng này tăng tốc trong bối cảnh các vụ hack quy mô lớn liên tiếp xảy ra. Điển hình, năm 2024, sàn giao dịch tiền mã hóa Ấn Độ **와지르엑스(WazirX)** đã bị rút hơn 230 triệu đô la (khoảng 340,21 tỷ won, tương đương hàng nghìn tỷ đồng), làm dấy lên yêu cầu cấp bách về một cơ chế ứng phó cấp độ hệ sinh thái, thay vì từng dự án đối phó riêng lẻ.

Ngày 10 tháng 2 (giờ địa phương), **Ethereum Foundation** cũng đã hợp tác với SEAL để khởi động sáng kiến **“Trillion Dollar Security”**, tập trung tăng cường khả năng phát hiện và ngăn chặn các công cụ độc hại như *wallet drainer* – loại mã độc tự động quét và rút sạch tài sản khỏi ví người dùng nếu nạn nhân lỡ ký nhầm giao dịch.

*bình luận*: Khi dòng tiền trong *DeFi* và *web3* hướng tới quy mô “nghìn tỷ đô la”, chi phí để duy trì một mạng lưới hacker mũ trắng chuyên nghiệp trở nên “rẻ” hơn rất nhiều so với thiệt hại từ một vụ hack đơn lẻ. Việc các tổ chức như Ethereum Foundation bắt tay với SEAL là tín hiệu cho thấy bảo mật đang được xem như hạ tầng công cộng, chứ không chỉ là bài toán riêng của từng dự án.

**Từ “khắc phục sau sự cố” đến “ngăn chặn từ trước”: web3 cần thiết kế lại bảo mật từ gốc**

Vụ 포옴캐시 cho thấy ranh giới giữa “tai nạn kỹ thuật” và “thảm họa tài chính” trong *DeFi* ngày càng mỏng khi các giao thức trở nên phức tạp, đặc biệt với những mô hình dựa trên *ZK*, *multi-chain* hay *Layer 2*. Một lỗi cấu hình trong *trusted setup* có thể cho phép kẻ tấn công tạo bằng chứng giả; một lỗ hổng nhỏ ở tầng *bridge* có thể dẫn tới thất thoát hàng trăm triệu đô la.

Ở góc độ quản trị rủi ro, bài học chính rút ra từ vụ việc gồm:

- *Triển khai* quan trọng không kém *code*: Các bước như *Phase 2 trusted setup*, thiết lập tham số Groth16, quy trình sử dụng snarkjs… cần được chuẩn hóa, ghi log, có kiểm toán độc lập và quy trình xác minh lại sau triển khai.

- *Bug bounty* phải rõ ràng và đủ hấp dẫn: 포옴캐시 sẵn sàng chi tổng cộng 420.000 đô la cho hai bên hỗ trợ bảo mật. Số tiền này tính ra vẫn thấp hơn rất nhiều so với rủi ro mất trắng 2,26 triệu đô la – và quan trọng hơn là uy tín thương hiệu.

- *Mạng lưới hacker mũ trắng* nên được chủ động kết nối: Thay vì chỉ chờ báo cáo lỗ hổng, các dự án *DeFi* có thể tích hợp sẵn kênh liên lạc khẩn cấp với những tổ chức như SEAL, các công ty bảo mật và những cá nhân có uy tín trong cộng đồng.

*bình luận*: Trong bối cảnh *web3* ngày càng phức tạp về mặt kỹ thuật, bảo mật không thể chỉ là “miếng vá” sau khi bị tấn công. Quy trình triển khai, đường dây liên lạc khẩn cấp với cộng đồng bảo mật, chính sách *bug bounty* và cơ chế thưởng hợp tác với hacker mũ trắng cần được thiết kế ngay từ ngày đầu tiên của dự án.

**Kết luận: 포옴캐시, ZK và bài kiểm tra về *web3 security***

Sự cố của **포옴캐시(Foom Cash)** cho thấy dù được xây dựng trên nền tảng tiên tiến như *zero-knowledge proof* và vận hành trong môi trường *DeFi*, bất kỳ giao thức nào cũng có thể sụp đổ chỉ vì một lỗi nhỏ trong khâu triển khai. Tuy nhiên, cùng lúc, vụ việc cũng minh chứng sức mạnh của *hacker mũ trắng* và mô hình *bug bounty* khi giúp thu hồi tới 81% số tiền bị tấn công, tương đương 1,84 triệu đô la.

Trong bối cảnh thị trường hướng tới mục tiêu “*Trillion Dollar Security*”, từ khóa như *web3*, *DeFi*, *bảo mật*, *hacker mũ trắng* và *bug bounty* sẽ ngày càng gắn liền với nhau. Thay vì chỉ đầu tư vào thiết kế giao thức, các dự án cần coi trọng quy trình *triển khai – kiểm chứng – khuyến khích bảo mật* như một “gói hoàn chỉnh”. Vụ 포옴캐시 là lời nhắc nhở rõ ràng rằng: trong thế giới tiền mã hóa, phòng ngừa luôn rẻ hơn rất nhiều so với khắc phục hậu quả.