Vụ hack tài chính phi tập trung lớn thứ hai cho đến nay mang đến câu hỏi về hệ sinh thái Solana và các giao thức cross-chain.
Solana là một trong những mạng blockchain có hợp đồng thông minh phát triển nhanh nhất kể từ khi nó được chính thức ra mắt lần đầu tiên vào tháng 3 năm 2020.
Tổng TVL trên mạng đã tăng từ 152 triệu đô la vào tháng 3 năm 2021 lên 8,08 tỷ đô la tại thời điểm viết bài, theo dữ liệu từ DefiLlama.
Mạng cũng đã phải gặp một số vấn đề mạng và ngừng hoạt động. Gần đây nhất, Wormhole, cross-chain bridge đã bị tấn công vào ngày 3 tháng 2 dẫn đến mất 120.000 token Ether (wETH) , trị giá hơn 375 triệu đô la theo giá hiện tại của Ether (ETH).
Đây là vụ hack lớn nhất cho đến nay vào năm 2022 và là vụ hack DeFi lớn thứ hai từ trước đến giờ, sau vụ hack Poly Network, nơi hơn 600 triệu đô la đã bị đánh cắp từ 3 mạng blockchain khác nhau khi một bridge Ethereum bị tấn công.
Wormhole là một giao thức cầu nối token kết nối nhiều mạng blockchain như Ethereum, Solana, Terra, BNB Smart Chain, Polygon, Avalanche và Oasis. Nó cho phép người dùng gửi và nhận token giữa các mạng này mà không cần trao đổi qua các sàn tập trung, tiết kiệm thao tác, thời gian.
Mặc dù wrapped Ether là token duy nhất bị ảnh hưởng bởi cuộc tấn công này, Certik – một công ty kiểm toán hợp đồng thông minh, đã đề cập rằng cầu nối của Wormhole với mạng blockchain Terra có thể xảy ta tình trạng tương tự như cầu nối Solana.
Giao thức này đã công bố một báo cáo chi tiết của sự cố: theo dõi trình tự của vụ hack và tất cả các khía cạnh liên quan bao gồm kiểm tra bảo mật, bug bounties và lộ trình bảo mật. Max Galka, giám đốc điều hành của công ty phân tích dữ liệu blockchain Elementus nói
Khoảng 3 trước khi Ether được lấy cắp từ Wormhole, chiếc ví hiện đang nắm giữ số tiền bị đánh cắp có một giao dịch nhỏ từ Tornado Cash – một protocol cung cấp quyền riêng tư cho các giao dịch trên blockchain Ethereum.
Galka thắc mắc là tại sao hacker đã thử nghiệm dùng Tornado Cash ngay lúc đầu, nhưng không hiểu làm sao chúng lại dùng nhiều cách để chuyển tiền khác vào cùng một ví trong một vụ hack lớn như vậy.
Ngay sau đó, Wormhole đã đưa ra một chương trình bug bouties với Immunefi vào ngày 12 tháng 2 với phần thưởng trị giá 10 triệu đô la bao gồm các hợp đồng thông minh, giao diện người dùng web (UI), nodes bảo vệ và tích hợp Wormhole. Điều này làm cho nó trở thành chương trình bug bouties lớn nhất trong Cryptoverse, ngang bằng với chương trình bug bouties của Maker DAO.
Jump Crypto, chi nhánh đầu tư tiền điện tử của công ty giao dịch Jump Trading và là một trong những nhà đầu tư hàng đầu ủng hộ Wormhole, đã bước vào để “make the community members whole”. Công ty đầu tư mạo hiểm này đã đền bù 120.000 ETH và tuyên bố thông qua một bài đăng trên Twitter cùng ngày sự kiện hack xảy ra, và công ty tin tưởng vào một tương lai của multichain và Wormhole là cơ sở hạ tầng thiết yếu cho tương lai này.
Mối quan tâm bảo mật với hoạt động cross-chain
Vitalik Buterin, người đồng sáng lập Ethereum, trong một lần AMA trên Reddit cùng với nhóm research của Ethereum Foundation, ông nói rằng tương lai của công nghệ blockchain là Multichain chứ không phải Cross-chain. Buterin lo ngại về bảo mật của bridges và non native-token , xác suất là các cuộc tấn công 51%.
Ông nói: "Luôn an toàn hơn khi nắm giữ tài sản gốc Ethereum trên Ethereum hoặc tài sản gốc Solana trên Solana hơn là giữ tài sản gốc Ethereum trên Solana hoặc Solana trên Ethereum."
Jagdeep Sidhu, giám đốc công nghệ của Syscoin, là một nền tảng blockchain Proof-of-Work có cơ chế hợp nhất với Bitcoin.
Ông nói, "Ở đâu có một blockchain, ở đó có một cơ chế bảo mật riêng. Bất cứ khi nào các block roll back, hệ thống bảo mật của blockchain đó cũng Roll back. Bởi vì điều này, khi sử dụng các bridges cross-chain, phải có một hệ thống đồng thuận mới theo dõi và hành động hoặc thận trọng hơn là cảnh giác khả năng rollback của khối.
Sidhu nói thêm rằng vụ hack Wormhole cho thấy sự phức tạp của việc tạo bridges và trao đổi tài sản cross-chain vì cuộc tấn công dựa vào lỗ hổng của Wormhole được tạo do yếu tố bên ngoài của đội ngũ Solana thuê làm việc.
Vụ hack đặc biệt này đã ảnh hưởng bridges cross-chain, về mặt kỹ thuật đây là một khai thác hợp đồng thông minh. Galka nói:
"Lịch sử các hợp đồng thông minh liên quan đến một loạt các lỗ hổng và hack có từ những ngày đầu của Ethereum khi DAO bị tấn công vào năm 2016. Các hợp đồng bridges cross-chain dự trữ tài sản lớn khiến chúng trở thành mục tiêu chính. Trong lịch sử, luôn có những vụ hack trên các hợp đồng thông minh".
Anton Bukov, đồng sáng lập 1inch Network, người đã đề cập rằng nguyên nhân dẫn đến vụ hack này là do lỗi hợp đồng thông minh sơ đẳng. Nó liên quan đến cơ chế mà Solana sử dụng để gọi hàm hợp đồng thông minh. Bản sửa lỗi đã được công khai trên GitHub 2 tuần trước khi bị hack. Nó có thể là gợi ý cho hacker để tìm ra lỗi. Bukov cũng đồng ý với mối quan tâm của Buterin với các hoạt động cross-chain và tuyên bố rằng:
"Các hoạt động cross-chain nguy hiểm và dễ bị tổn thương hơn nhiều so với bất kỳ hoạt động blockchain nào khác."
Rollups zero-knowledge
Cho dù Solana phát triển vượt bậc trong thời gian ngắn kể từ khi ra mắt, tuy nhiên khi số lượng người dùng tăng quá cao đã phát sinh các vấn đề cần được lưu tâm. Mạng lưới đã phải đối mặt với 6 sự cố nghẽn mạng vào tháng 1 gây ra rất nhiều thất vọng cho cộng đồng.
Sidhu cho rằng Solana giống như các mạng khác, sử dụng kiến trúc nguyên khối không mang lại sự ổn định khi quy mô mở rộng. Do đó, khi nhiều người dùng tăng đột biến, phí và các yếu tố để giúp mạng lưới ổn định, an toàn và phi tập trung sẽ tăng lên.
Đề xuất một giải pháp thay thế cho vấn đề này, ông nói, "Cách tốt nhất để mở rộng quy mô là thông qua một kiến trúc mô-đun. Đây là những gì Ethereum và một số blockchain khác như Syscoin đang chuyển đổi do việc tạo ra các giải pháp mở rộng với quy mô lớn như Optimistic và Zero-knowledge Proof dựa trên Rollups.
Chứng minh cho vấn đề này, Sidhu cho rằng giải pháp tốt nhất cho tài sản cross-chain là sử dụng zero-knowledge (ZK) như một sự thay thế tốt hơn để có pool đồng thuận bên ngoài. Việc sử dụng các ZK -proofs này sẽ thay thế sự đồng thuận bên ngoài bằng các bằng chứng toán học hợp lệ.
Tuy nhiên, ông cũng nói thêm rằng không có giải pháp nào an toàn bằng việc sử dụng Layer1. Ông nói thêm, " ZK-bridge là một cải tiến đầy hứa hẹn với cầu nối xuyên chuỗi, nhưng tôi không nghĩ nó nên được sử dụng như một hệ sinh thái DeFi cross-chain chung, vì theo định nghĩa, nó không thể cung cấp nhiều bảo mật như Layer1."
Bukov lưu ý hacker sẽ tấn công các cầu nối trên các mạng blockchain khác với cách tương tự:
"Trong lịch sử, đã có trường hợp một bên khai thác lỗ hổng và sau đó sao chép cách cách khai thác này. Vào năm 2017, một loạt các ví Ethereum đã bị tấn công. Trong số đó, hacker tiếp tục nắm bắt được lỗ hổng tương tự và tấn công theo cách cũ".
Vụ hack này có thể là một dấu hiệu cho các nhà phát triển của các giao thức cross-chain tương thích với mạng blockchain hợp đồng thông minh khác phải thận trọng hơn đối với các hợp đồng thông minh và tài sản cross-chain, phải cập nhật thường xuyên, Audit, bug bounties, v.v., để ngăn chặn tuyệt đối các lỗ hổng gây thiệt hại lớn trong dự án của họ.