Hai ngày đã bốc hơi hơn 100 triệu USD, UXLINK và SFUND liên tiếp gặp phải hacker, mã hóa rừng tối nên phòng ngừa mũi tên bí ẩn như thế nào?

Tác giả: Frank, PANews

Thị trường tiền điện tử ngày 22 tháng 9, sự lạnh giá của thị trường vào ban ngày vẫn chưa tan, và đêm đến lại thêm một sương mới.

Vào tối ngày 22 tháng 9, dự án SocialFi nổi tiếng UXLINK đã bị tấn công bởi tin tặc, họ đã đánh cắp 4 triệu đô la tài sản từ kho bạc của dự án thông qua một lỗ hổng hợp đồng, phát hành tới 10 nghìn tỷ mã thông báo từ không khí mỏng và bán bớt tài sản nhóm chênh lệch giá trên chuỗi, và cuối cùng đã kiếm được lợi nhuận hơn 11 triệu đô la. Ngay khi tin tức được đưa ra, niềm tin của thị trường sụp đổ ngay lập tức, và giá của token UXLINK giảm mạnh hơn 80% chỉ trong vài giờ, và giá trị thị trường bốc hơi từ mức cao khoảng 140 triệu USD xuống còn 16,8 triệu USD trong tích tắc. Tuy nhiên, cơn bão hack vẫn chưa lắng xuống, và chỉ 24 giờ sau, vào tối ngày 23/9, SFUND, token gốc của nền tảng Launchpad kỳ cựu Seedify.fund, đã không được tha. Kho cầu nối chuỗi chéo của nó đã bị tin tặc "rút cạn" và tài sản trị giá hơn 1,7 triệu đô la đã bị cướp bóc, khiến giá của SFUND lao dốc để đáp trả, chạm mức thấp kỷ lục và giá trị thị trường bốc hơi hơn 10 triệu đô la một lần nữa.

Hai ngày, hai dự án dường như không liên quan, hơn 100 triệu đô la giá trị thị trường đã biến mất dưới sự tấn công chính xác của hacker. Điều này khiến mỗi người làm nghề và nhà đầu tư phải tự hỏi lại: Ngoài chu kỳ thị trường biến động, những lỗ hổng bảo mật sâu trong mã nguồn, có phải là thanh kiếm Damocles sắc bén nhất treo trên đầu thế giới tiền điện tử?

UXLINK của "Bạch Nhật Kinh Lôi", một trò chơi chết người về quyền hạn

Sự sụp đổ của UXLINK là một vụ "nội bộ phá hoại" điển hình, được gây ra bởi lỗ hổng quyền hạn trong hợp đồng thông minh. Diễn biến của toàn bộ sự kiện giống như một bộ phim tội phạm công nghệ được dàn dựng công phu, nhanh chóng và chết người.

Nguyên nhân chính của sự kiện đến từ một "chìa khóa vạn năng" bị bỏ qua. Phân tích cho thấy, bước đầu tiên của kẻ tấn công là thực hiện một cuộc gọi hàm deleGateCall. Giao dịch này đã loại bỏ vai trò quản trị viên hợp pháp từ hợp đồng UXLINK và thêm một chủ sở hữu đa chữ ký mới do hacker kiểm soát.

Theo thông tin từ Cyvers Alerts, sau khi đạt được quyền kiểm soát quản lý hoàn toàn, kẻ tấn công ngay lập tức bắt đầu chuyển tài sản từ ví kho bạc của UXLINK. Tài sản bị đánh cắp ban đầu bao gồm khoảng 4 triệu USD USDT, 500 nghìn USD USDC, 3.7 WBTC và 25 ETH. Bước này đã giúp kẻ tấn công khóa lợi nhuận trực tiếp và đảm bảo.

Sau đó, kẻ tấn công đã bước vào giai đoạn phá hoại nhất: đúc token trái phép. Dữ liệu trên chuỗi cho thấy kẻ tấn công đã tạo ra tới 100 triệu tỷ token UXLINK mới. Hoạt động này cũng đã hoàn toàn phá hủy niềm tin của thị trường, mặc dù UXLINK đã nhanh chóng phản ứng và liên lạc với nhiều CEX lớn để tạm ngừng giao dịch. Nhưng giá trên chuỗi đã sụp đổ theo sự gia tăng khối lượng phát hành, giá thấp nhất thậm chí đã đạt đến con số sau dấu phẩy 6 số, gần như về 0. Một cảnh tượng tương tự như sự phát hành không giới hạn của LUNA lại một lần nữa tái diễn.

Tính đến ngày 23 tháng 9, theo giá trên chuỗi, vốn hóa thị trường của UXLINK khoảng 80 đô la.

Khi nắm giữ một lượng cung gần như vô hạn của token UXLINK, các kẻ tấn công bắt đầu thực hiện kế hoạch bán tháo trên các sàn giao dịch phi tập trung lớn. Để gây nhầm lẫn, họ đã sử dụng ít nhất sáu ví khác nhau để thực hiện giao dịch, chuyển đổi token UXLINK mới đúc thành tài sản có giá trị cao. Công ty phân tích chuỗi Lookonchain báo cáo rằng, các kẻ tấn công đã thu được ít nhất 6,732 ETH thông qua các giao dịch này, tương đương khoảng 28,1 triệu đô la vào thời điểm đó. Tuy nhiên, về tài sản thu được từ lợi nhuận này, hiện đang tồn tại hai quan điểm khác nhau trên mạng xã hội, với nhiều công ty an toàn (bao gồm cả số tiền thiệt hại được đề cập bởi UXLINK là 11,3 triệu đô la).

Tuy nhiên, bất kể phương pháp tính toán nào, vẫn không thể so sánh với mức thiệt hại mà cộng đồng phải chịu đựng lần này. Trước khi sụp đổ, giá trị thị trường của UXLINK khoảng 150 triệu USD, trong khi giá trị thị trường hiển thị trên sàn giao dịch tập trung giảm xuống còn 16 triệu USD sau khi đạt mức giá thấp nhất, giá trị thị trường mà cộng đồng bị bốc hơi khoảng 100 triệu USD.

Và trong quá trình này, nhiều người dùng đã hiểu nhầm rằng hacker sẽ dừng lại sau khi đánh cắp tài sản trong kho, vì vậy họ dự định mua vào để cược một ván. Trên mạng xã hội, nhiều người dùng chia sẻ rằng họ đã hy vọng kiếm lợi nhuận từ việc mua vào tài sản thực hoặc mở hợp đồng dài, nhưng kết quả là thua lỗ hơn 99%. Một địa chỉ đã đầu tư hơn 900.000 đô la, cuối cùng thua lỗ 99,8%.

Khoảnh khắc đen tối nhất của dự án ngôi sao, UXLINK sẽ đi về đâu?

Vào ngày trước khi cuộc tấn công xảy ra, tài khoản chính thức của UXLINK đã đăng một tweet, "Sẽ có điều lớn xảy ra", nhưng không ngờ rằng đó lại trở thành một lời tiên tri.

Sau khi sự kiện xảy ra, chính thức UXLINK cũng nhanh chóng phản ứng, cho biết đã gấp rút liên hệ với nhiều sàn giao dịch CEX để tạm ngừng giao dịch UXLINK và sẽ khởi động kế hoạch hoán đổi token. Tuy nhiên, do không thể thu hồi quyền hợp đồng, nên không thể ngăn chặn hacker thực hiện việc phát hành token với quy mô hàng ngàn tỷ. Bị ảnh hưởng nặng nề, niềm tin của cộng đồng vào UXLINK và việc xây dựng hệ sinh thái sẽ phải đối mặt với những thách thức to lớn.

Trước khi bị tấn công, UXLINK từng là một trong những dự án nổi bật nhất trong chu kỳ này, đặc biệt là ở thị trường Hàn Quốc, ảnh hưởng của nó không thể bị xem thường. Là một nền tảng SocialFi, UXLINK đã tích lũy được một lượng người dùng lớn trong thời gian ngắn nhờ vào mô hình "mạng xã hội quen biết" và bùng nổ nhóm. Theo tài liệu công khai, dự án đã hoàn thành tổng cộng hơn 9 triệu USD trong vòng gọi vốn, với nhiều nhà đầu tư là các tổ chức nổi tiếng.

UXLINK coi Hàn Quốc là thị trường cốt lõi, đã đầu tư một lượng lớn tài nguyên cho hoạt động địa phương hóa và tiếp thị, tích lũy được nhiều người dùng thực. Theo dữ liệu chính thức, UXLINK đã đạt cột mốc hơn 10 triệu người dùng đăng ký vào năm 2024.

Sau đó, UXLINK đã thành công ra mắt trên sàn giao dịch hợp pháp lớn nhất Hàn Quốc là Upbit, và nhiều lần đứng đầu bảng xếp hạng giao dịch hàng ngày của các sàn giao dịch chính của Hàn Quốc như Upbit và Bithumb. Hợp đồng vĩnh viễn cũng đã thành công ra mắt trên Binance, mở rộng thêm ảnh hưởng toàn cầu của nó.

Sau khi cuộc tấn công xảy ra, đội ngũ UXLINK cho biết sẽ xây dựng kế hoạch hoán đổi token mới, cung cấp bồi thường cho người dùng bị ảnh hưởng thông qua các phương thức như chụp nhanh. Tuy nhiên, con đường phía trước vẫn còn đầy chông gai.

Những thách thức lớn nhất đến từ việc tái thiết lập lòng tin và thái độ của sàn giao dịch. Đặc biệt đối với các sàn giao dịch tuân thủ như Upbit, tính ổn định và an toàn của mô hình kinh tế token là những yếu tố cốt lõi trong việc niêm yết token và duy trì các cặp giao dịch. Trong lịch sử, không thiếu những trường hợp bị gỡ bỏ do các sự kiện tương tự. Ví dụ, Pundi AI (PUNDIX) trước đây đã bị gỡ bỏ giao dịch bởi vì bị tấn công mạng, dẫn đến việc phát hành token bất thường, cuối cùng bị Upbit và các sàn giao dịch tuân thủ khác ở Hàn Quốc ngừng hỗ trợ giao dịch với lý do "thông tin không được công bố kịp thời."

Tình huống hiện tại của UXLINK rất giống với điều này. Nếu kế hoạch token mới của họ không thuyết phục được Upbit và các sàn giao dịch khác, chứng minh rằng nó có thể hoàn toàn khắc phục lỗ hổng và khôi phục mô hình kinh tế lành mạnh, thì việc "bị niêm yết" sẽ là một sự kiện có xác suất cao. Một khi mất đi tính thanh khoản của thị trường cốt lõi, việc UXLINK muốn hồi sinh sẽ trở nên khó khăn hơn.

Không phải ngẫu nhiên, tiếng chuông cảnh tỉnh của SFUND và sự suy ngẫm của ngành

Khi thị trường vẫn đang tiêu hóa tác động của sự kiện UXLINK, vào tối ngày 23 tháng 9, việc bị đánh cắp token quản trị SFUND của nền tảng ươm tạo và khởi động dự án Web3 Seedify.fund lại một lần nữa gióng lên hồi chuông cảnh tỉnh cho toàn ngành.

Nguyên lý tấn công của SFUND tương tự như UXLINK, theo thông tin rò rỉ từ Specter, hacker của SFUND đã thực hiện phát hành thêm token sau khi có được quyền truy cập tại Baseshang, tối đa lên đến 3 triệu (10 mũ 24) token.

Sau đó, 100 tỷ đồng tiền đã được đúc trên chuỗi BSC và bán ra trị giá 1,2 triệu đô la ETH. Theo thông tin liên quan trước đó, hacker này có mối liên hệ rõ ràng với tổ chức hacker Triều Tiên trước đây là Serenity Shield.

Mặc dù số tiền bị đánh cắp lần này không nhiều, nhưng cú sốc đối với niềm tin của thị trường vẫn rất lớn. Trong vòng 15 phút, giá SFUND đã giảm mạnh 73%, giá trị thị trường từ 27 triệu đô la giảm xuống còn 11 triệu đô la. Kịch bản này rất giống với UXLINK, chỉ có điều không biết đây có phải là sự trùng hợp hay cả hai cuộc tấn công đều xuất phát từ cùng một nhóm hacker.

Mặc dù cho đến nay báo cáo an toàn hoàn chỉnh của hai sự kiện vẫn chưa được công bố, nhưng chúng ta vẫn có thể rút ra một số suy nghĩ từ đó. Nguyên nhân đứng sau hai sự kiện này đều xuất phát từ vấn đề quyền hạn của hợp đồng và công tắc đúc token.

Người sáng lập SFUND khi phát hành thông tin cảnh báo đã nhấn mạnh rằng hợp đồng của họ đã được kiểm toán và đã hoạt động được ba năm. Điều này cho thấy kiểm toán không phải là một lá chắn vạn năng, kiểm toán thông thường có thể không phát hiện ra tất cả các lỗ hổng logic sâu. Kiểm toán an ninh liên tục và kiểm tra mã là rất quan trọng.

Nhưng đối với người dùng, chúng tôi không có khả năng xem xét hợp đồng cũng như logic vận hành của nó. Làm thế nào để tránh rủi ro thực sự trở thành một môn học sâu sắc. Cách đơn giản hơn có lẽ là ngay cả khi tích trữ coin ở thị trường giao ngay, cũng nên thiết lập một số lệnh dừng lỗ cần thiết, để tránh các sự kiện thiên nga đen dẫn đến mất trắng.

Thứ hai, trong hai sự kiện này, có không ít người dùng với tâm lý may rủi đã vội vàng mua vào, kết quả là chịu tổn thất nặng nề. Hành động này không khác gì liếm máu trên lưỡi dao, và không nên được khuyến khích.

Ngoài ra, đối với đề xuất của dự án về phương án "chụp ảnh đổi tiền", thường là lấy thời điểm trước khi xảy ra tấn công làm chuẩn, ghi lại toàn bộ vị thế của người dùng, và phát hành một loại tiền mới để đổi cho người dùng theo tỷ lệ. Bản chất của phương án này là sửa chữa sai lầm khi đã muộn, và không có nghĩa là có thể bù đắp tất cả các khoản thua lỗ.

Từ UXLINK đến SFUND, trong vòng hai ngày, chúng ta đã chứng kiến cách mà lỗ hổng mã code có thể hủy diệt giá trị và hệ sinh thái của một dự án như những quân domino bị đổ. Điều này lại một lần nữa chứng minh rằng, trong thế giới tiền điện tử như một khu rừng tối tăm, an toàn luôn là "1", còn các thương hiệu, cộng đồng, giá trị thị trường chỉ là những "0" đứng sau. Nếu không có "1" an toàn này, thì mọi thứ còn lại đều trở nên vô nghĩa. Đối với các nhà phát triển dự án, họ phải đối xử với từng dòng mã code với sự tôn trọng cao nhất. Đối với các nhà đầu tư, họ phải đặt rủi ro an toàn tiềm ẩn lên hàng đầu trong quyết định của mình trong khi theo đuổi lợi nhuận cao. Nếu không, dự án tiếp theo có thể sẽ trở về "0" trong tương lai không xa.