Hook
Vào ngày 18 tháng 7, một địa chỉ liên quan đến cuộc tấn công TrustedVolumes đã thực hiện giao dịch hoàn trả: 1.122 ETH, tương đương 2 triệu đô la, được chuyển đến ví của dự án. Nhưng đây không phải là một tin tốt lành. Kẻ tấn công, sau khi chuyển toàn bộ 580 triệu đô la tiền bị đánh cắp thành 2.513 ETH, đã quyết định giữ lại 1.391 ETH — khoảng 2 triệu đô la — như một 'tiền thưởng'. Điều này có nghĩa là TrustedVolumes chỉ thu hồi được 44% số tiền bị mất. Giao dịch này không chỉ là một sự kiện pháp lý; nó là một tín hiệu thị trường về sự thay đổi trong cán cân quyền lực giữa các dự án DeFi và kẻ tấn công mạng.
Context
TrustedVolumes, một giao thức DeFi không tên tuổi nhưng có vẻ như đang quản lý một pool thanh khoản đa tài sản bao gồm ETH, WBTC và stablecoin, đã bị tấn công vào ngày 7 tháng 5. Sự cố này đã được nền tảng giám sát bảo mật Shield phát hiện. Thiệt hại ban đầu vượt quá 5,8 triệu đô la, một con số đáng kể nhưng không làm rung chuyển thị trường. Tuy nhiên, điều làm cho vụ việc này trở nên khác thường không phải là quy mô, mà là hành vi của kẻ tấn công. Trong hầu hết các vụ hack DeFi, tiền hoặc là bị mất vĩnh viễn, hoặc được trả lại đầy đủ sau khi đàm phán. Trường hợp này tạo ra một tiền lệ mới: kẻ tấn công tự xác định 'tiền thưởng' của mình và bỏ đi với nó. Đối với một người như tôi, người đã chứng kiến hàng trăm vụ hack từ năm 2017, đây là tín hiệu của một mô hình đàm phán mới đang hình thành.
Core
Hãy phân tích các con số. Vào ngày 7 tháng 5, TrustedVolumes bị tấn công. Theo báo cáo của Shield, kẻ tấn công đã rút được khoảng 5,9 triệu đô la, bao gồm ba loại tài sản: ETH, WBTC và stablecoin. Ngay sau đó, kẻ tấn công đã chuyển đổi toàn bộ số tiền này thành ETH, thu được 2.513 ETH. Đến ngày 18 tháng 7, họ gửi lại 1.122 ETH. Số còn lại, 1.391 ETH, được giữ lại. Tại sao lại là 1.122? Đây không phải là một con số ngẫu nhiên. Nhìn vào biểu đồ giá ETH, trong khoảng thời gian từ tháng 5 đến tháng 7, giá ETH dao động trong khoảng 3.000-3.500 đô la. 1.122 ETH ở mức giá hiện tại (khoảng 3.400 đô la) tương đương với khoảng 3,8 triệu đô la? Sai. Tính toán lại: 1.122 ETH * 3.400 = 3,8 triệu đô la. Nhưng con số được báo cáo là 2 triệu đô la. Có một sự khác biệt. Hãy kiểm tra lại dữ liệu. Nếu 1.122 ETH tương đương với 2 triệu đô la, thì giá ETH vào thời điểm giao dịch là khoảng 1.780 đô la. Điều này cho thấy giao dịch hoàn trả có thể đã được lên kế hoạch dựa trên một mức giá cố định, hoặc có một phần tài sản khác được giữ lại dưới dạng không phải ETH. Có thể số ETH được hoàn trả chỉ là một phần, và phần còn lại đã được chuyển đổi thành tài sản khác hoặc bán ra. Sự không khớp này cho thấy giao dịch có thể phức tạp hơn một giao dịch chuyển khoản đơn giản. Dựa trên kinh nghiệm tổng hợp tin tức bảo mật của tôi, tôi đã thấy rằng kẻ tấn công thường thực hiện các giao dịch phức tạp hơn để che giấu dòng tiền. Trong trường hợp này, việc giữ lại 1.391 ETH như 'tiền thưởng' là một hành động có tính toán. Nó không phải là một quyết định cảm tính. Nó cho thấy kẻ tấn công tin rằng họ có quyền lực để đặt điều kiện. Và TrustedVolumes, bằng cách chấp nhận 2 triệu đô la, đã ngầm thừa nhận quyền lực đó.
Điều này đưa ra một câu hỏi quan trọng: đây có phải là một vụ xâm phạm bảo mật thông thường không? Hay đây là một vụ 'white hat rescue' có động cơ? Trong lịch sử DeFi, các vụ 'white hat rescue' như Poly Network hay Aurora đã chứng kiến kẻ tấn công trả lại toàn bộ số tiền sau khi nhận được tiền thưởng. Nhưng ở đây, kẻ tấn công tự xác định tiền thưởng và giữ nó mà không có sự đồng ý rõ ràng. Điều này tạo ra một vùng xám. Nếu kẻ tấn công là một white hat, họ đang vi phạm đạo đức white hat. Nếu họ là một kẻ tấn công thực sự, họ đang tạo ra một tiền lệ cho các vụ tống tiền có tổ chức. Trong cả hai trường hợp, TrustedVolumes đang ở thế yếu. Giao thức này, vốn đã bị tổn hại về mặt kỹ thuật, giờ đây còn bị tổn hại về mặt uy tín. Người dùng của họ sẽ tự hỏi: nếu một kẻ tấn công có thể lấy đi 6 triệu đô la và giữ lại 2 triệu đô la như một 'khoản phí', thì liệu tiền của tôi có an toàn không? Câu trả lời là không. Ít nhất là cho đến khi lỗ hổng được xác định và sửa chữa.
Contrarian Angle
Quan điểm phổ biến trên thị trường là: 'Kẻ tấn công đã trả lại một phần tiền, đó là một tín hiệu tốt.' Nhưng tôi không đồng ý. Đây không phải là một tín hiệu tốt. Đây là một tín hiệu cho thấy các quy tắc của BUG BOUNTY đang bị phá vỡ. Trong một chương trình BUG BOUNTY truyền thống, các nhà nghiên cứu bảo mật báo cáo lỗ hổng, và dự án trả tiền thưởng. Ở đây, kẻ tấn công đã tự lấy tiền thưởng. Điều này tạo ra một tiền lệ nguy hiểm: bất kỳ ai phát hiện ra lỗ hổng đều có thể lấy tiền của dự án làm con tin, và sau đó trả lại một phần theo ý muốn. Đối với các dự án DeFi, điều này làm tăng chi phí bảo mật một cách đáng kể. Họ không chỉ phải trả tiền cho các cuộc kiểm toán, mà còn phải trả tiền cho các 'kẻ tấn công có lương tâm' -- hoặc những kẻ tống tiền. Đây là một sự thay đổi trong cán cân quyền lực. Các dự án DeFi không còn có thể dựa vào các thỏa thuận thông thường. Họ phải xây dựng các cơ chế phòng thủ kỹ thuật mạnh mẽ hơn và chuẩn bị cho các cuộc đàm phán bất thường. Các nhà đầu tư nên chú ý đến điều này. Nếu một dự án bạn đang đầu tư có lịch sử bảo mật kém, hoặc không có một chương trình BUG BOUNTY rõ ràng, thì nguy cơ bị tấn công kiểu này sẽ cao hơn. Và khi bị tấn công, bạn có thể không lấy lại được tất cả tiền của mình.

Takeaway
TrustedVolumes đã lấy lại được 1.122 ETH, nhưng điều đó không giải quyết được vấn đề cốt lõi: lỗ hổng bảo mật của họ vẫn còn đó. Kẻ tấn công đã giữ lại 2 triệu đô la và bỏ đi, để lại một câu hỏi lớn: liệu giao thức này có thể tồn tại sau một vụ tấn công như vậy không? Các nhà đầu tư có thể sẽ rút tiền, và TVL sẽ giảm. Câu hỏi đặt ra cho người đọc là: trong một thế giới nơi kẻ tấn công có thể tự định giá tiền thưởng của mình, bạn có tin tưởng vào sự an toàn của bất kỳ giao thức DeFi nào không? Sự kiện này là một lời nhắc nhở rằng trong DeFi, bảo mật không chỉ là một tính năng -- đó là một yếu tố sống còn.