Hơn 520.000 USD đã bị rút khỏi các ví liên quan đến hoạt động của Polymarket trên mạng Polygon sau khi nền tảng thị trường dự đoán xác nhận sự compromisse khóa riêng. Không phải là khai thác hợp đồng thông minh, không phải lỗ hổng giao thức. Chỉ là ai đó đã nắm được các khóa mà họ không nên có.
Nhà điều tra blockchain ZachXBT lần đầu tiên phát hiện các dòng tiền đáng ngờ vào ngày 22 tháng Năm, xác định hai địa chỉ liên quan đến các hợp đồng Adapter của Khung Token Điều kiện UMA của Polymarket. Đội ngũ phát triển Polymarket đã nhanh chóng làm rõ tình hình: ví bị xâm phạm là một ví nội bộ được sử dụng để thanh toán phần thưởng, và không có khoản tiền nào của người dùng bị ảnh hưởng.
Điều gì đã xảy ra và điều gì chưa xảy ra
Đây là điều cần lưu ý về các sự cố bảo mật tiền điện tử. Sự khác biệt giữa “ai đó đã đánh cắp khóa” và “ai đó đã đột nhập vào kho chứa” là vô cùng quan trọng. Trong trường hợp này, khoảng 5.000 token POL và một số tiền USDC chưa được tiết lộ đã bị chuyển đi từ ví hoạt động nội bộ mà Polymarket mô tả.
Hãy tưởng tượng như ai đó đã lấy chìa khóa của ngăn tiền lẻ trong công ty thay vì đột nhập vào hòm bạc thực sự. Số tiền vẫn biến mất, nhưng tính toàn vẹn về cấu trúc của hệ thống không bị đặt câu hỏi.
Polymarket đã nêu rõ điểm này: các kết quả thị trường, hoạt động nền tảng và cơ sở hạ tầng hợp đồng thông minh đều vẫn nguyên vẹn trong suốt sự cố. Đội ngũ đã khởi động các thủ tục quay vòng chìa khóa và xác nhận rằng cuộc điều tra vẫn đang tiếp diễn.
ZachXBT, người đã xây dựng danh tiếng là kế toán điều tra không chính thức của ngành tiền điện tử, đã phát hiện các giao dịch bất thường chảy qua các hợp đồng CTF Adapter. Cảnh báo của anh ấy đã mang đến cho cộng đồng cái nhìn đầu tiên về sự việc trước khi Polymarket đưa ra tuyên bố chính thức. Bằng tiếng Anh: các địa chỉ chuyển tiền được kết nối với cơ sở hạ tầng thanh toán thị trường dự đoán của Polymarket, điều ban đầu khiến các dòng tiền ra ngoài trông đáng lo ngại hơn nhiều so với thực tế.
Câu hỏi bảo mật mà Polymarket không thể bỏ qua
Việc bị xâm phạm khóa riêng tư, về nhiều mặt, là một sự cố bảo mật khó chịu hơn so với lỗi hợp đồng thông minh. Các cuộc khai thác hợp đồng thông minh là những vấn đề kỹ thuật có giải pháp kỹ thuật. Bạn vá mã, kiểm toán lại, rồi tiếp tục. Việc bị xâm phạm khóa chỉ ra những thất bại trong an toàn vận hành, lớp con người của cơ sở hạ tầng tiền mã hóa mà không một lượng mã Solidity tinh vi nào có thể khắc phục.
Câu hỏi tự nhiên đặt ra là: làm thế nào mà chìa khóa bị xâm phạm ban đầu? Polymarket chưa công khai chi tiết phương thức tấn công. Đó có phải là phishing? Thiết bị bị xâm nhập? Hay mối đe dọa từ bên trong? Mỗi kịch bản đều mang những hệ quả khác nhau đối với tư thế bảo mật của nền tảng trong tương lai.
Để làm rõ, Polymarket đã phát triển thành một trong những thị trường dự đoán nổi bật nhất trong lĩnh vực tiền mã hóa, thu hút sự chú ý đáng kể trong các sự kiện chính trị và toàn cầu gần đây. Nền tảng này xử lý khối lượng giao dịch lớn, khiến an ninh vận hành của nó trở thành vấn đề quan tâm rộng rãi của thị trường, chứ không chỉ là mối quan tâm nhỏ lẻ.
Quản lý khóa riêng là nền tảng của mọi hoạt động tiền mã hóa. Các thực hành tốt nhất trong ngành thường bao gồm các mô-đun bảo mật phần cứng, ví đa chữ ký và các biện pháp kiểm soát truy cập phân cấp cho các chức năng vận hành khác nhau. Việc Polymarket có các biện pháp bảo vệ này cho ví bị xâm phạm hay không, và nếu có, chúng đã bị vượt qua như thế nào, sẽ là những câu hỏi then chốt mà cuộc điều tra cần trả lời.
Con số 520.000 USD, dù không nghiêm trọng theo tiêu chuẩn các vụ khai thác trong ngành tiền mã hóa, vẫn đủ lớn để cần được xem xét kỹ lưỡng. So sánh với các vụ tấn công cầu và hack DeFi gây thiệt hại hàng trăm triệu đô la đã làm ảnh hưởng đến ngành, thì nó trông có vẻ tương đối hạn chế. Nhưng bản chất của vụ xâm nhập, chứ không phải quy mô của nó, mới là điều quan trọng ở đây.
Điều này có nghĩa gì đối với nhà đầu tư
Sự xác nhận nhanh chóng của Polymarket rằng quỹ người dùng an toàn là chi tiết quan trọng nhất đối với bất kỳ ai đang giao dịch tích cực trên nền tảng này. Nếu bạn có vị thế mở, tiền của bạn và các kết quả thị trường của bạn được báo cáo là không bị ảnh hưởng.
Nhưng hãy nhìn này, sự đảm bảo sau một sự cố bảo mật là điều cơ bản. Mọi giao thức bị xâm phạm đều tuyên bố rằng quỹ người dùng an toàn ngay sau sự việc. Điều phân biệt các nền tảng duy trì được niềm tin với những nền tảng mất đi niềm tin chính là những gì xảy ra trong những tuần và tháng tiếp theo sau vụ xâm phạm.
Các nhà đầu tư nên theo dõi một vài tín hiệu cụ thể. Thứ nhất, liệu Polymarket có công bố bài phân tích chi tiết giải thích chính xác cách chìa khóa bị xâm phạm và các bước khắc phục đã được thực hiện hay không. Thứ hai, liệu nền tảng có trải qua cuộc kiểm toán bảo mật độc lập đối với các thực hành vận hành của nó, chứ không chỉ là các hợp đồng thông minh hay không. Thứ ba, liệu số tiền bị rút cạn có được khôi phục hoặc truy vết đến các thực thể xác định hay không.
Thị trường DeFi rộng hơn đang ngày càng nhạy cảm với các sự cố về bảo mật vận hành. Các nền tảng gặp sự xâm nhập, ngay cả những sự cố tương đối nhỏ, thường chứng kiến khối lượng giao dịch giảm trong ngắn hạn khi người dùng chuyển sang các đối thủ mà họ cho là an toàn hơn. Polymarket hoạt động trong một phân khúc tương đối độc đáo với tư cách là một thị trường dự đoán thay vì một giao thức DeFi truyền thống, điều này có nghĩa là lợi thế cạnh tranh của nó phụ thuộc chủ yếu vào thanh khoản và niềm tin của người dùng hơn là các cơ chế sinh lời.
Đối với hệ sinh thái tiền điện tử rộng lớn hơn, sự cố này là một dữ liệu nữa trong lập luận ngày càng gia tăng rằng an ninh vận hành cần nhận được mức độ chú ý và đầu tư tương đương với an ninh hợp đồng thông minh. Trong vài năm qua, ngành công nghiệp đã đổ nguồn lực khổng lồ vào việc kiểm tra mã và xác minh hình thức. Các lớp con người và vận hành, quản lý khóa, kiểm soát truy cập, các giao thức an ninh nội bộ chưa luôn nhận được mức độ nghiêm ngặt tương tự. Cho đến khi điều đó thay đổi, việc compromit khóa riêng sẽ tiếp tục là một trong những vectơ tấn công phổ biến nhất và có thể phòng ngừa được trong tiền điện tử.