Một khóa riêng bị xâm phạm từ sáu năm trước đã cho kẻ tấn công truy cập vào ví phần thưởng nội bộ của Polymarket, dẫn đến khoảng 700.000 USD bị đánh cắp trên 16 địa chỉ. Nền tảng thị trường dự đoán, hoạt động trên blockchain Polygon, đã xác nhận vụ xâm nhập không ảnh hưởng đến các khoản nạp của người dùng hoặc tác động đến kết quả thị trường.
Hãy tưởng tượng như một người tìm thấy chìa khóa dự phòng cũ của tủ đồ văn phòng. Họ không vào được hầm chứa, nhưng đã dọn sạch tủ đồ khá kỹ lưỡng.
Cách sự cố rò rỉ diễn ra
Các nhà điều tra trên chuỗi ZachXBT và Bubblemaps là những người đầu tiên phát hiện hoạt động khả nghi vào ngày 22 tháng Năm. Các ước tính ban đầu cho thấy thiệt hại khoảng 520.000 USD, nhưng con số này đã tăng lên khoảng 700.000 USD khi các nhà nghiên cứu theo dõi quỹ bị đánh cắp qua nhiều địa chỉ, sàn giao dịch và trình trộn.
Kẻ tấn công đã hành động nhanh chóng, rút 5.000 token POL mỗi 30 giây trong các giai đoạn đầu. Mức độ đều đặn như vậy cho thấy sự tự động hóa, chứ không phải ai đó đang bấm nút một cách hoảng loạn.
Ví bị xâm phạm là địa chỉ quản trị cũ được sử dụng riêng để phân phối phần thưởng tương tác người dùng. Bằng tiếng Anh: đây là ví nạp tiền dùng để tài trợ các khuyến mãi, không phải ví lưu trữ tài sản đảm bảo của trader hoặc quỹ thanh toán thị trường.
Các nỗ lực phong tỏa tài sản đã đạt được một phần kết quả. Khoảng 164.000 USD trong số 573.000 USD đã được phong tỏa, nghĩa là phần lớn số tiền bị đánh cắp đã được rửa tiền thông qua các sàn giao dịch và dịch vụ trộn trước khi có thể can thiệp.
Chìa khóa đó đã sáu năm tuổi. Để làm rõ, sáu năm trong cơ sở hạ tầng tiền mã hóa tương đương với việc chạy hệ thống bảo mật của ngân hàng trên Windows XP. Tuổi của chìa khóa cho thấy một lỗ hổng phổ biến nhưng có thể tránh được: các tổ chức phát triển vượt bậc so với các thực hành bảo mật giai đoạn đầu nhưng lại quên loại bỏ các thông tin xác thực cũ.
Phản hồi của Polymarket và những gì vẫn an toàn
Đội ngũ phát triển của Polymarket đã nhanh chóng trấn an người dùng, cho biết nguồn vốn của người dùng, hợp đồng thông minh và hệ thống giao dịch đều không bị ảnh hưởng. Các hoạt động cốt lõi của nền tảng, bao gồm tạo thị trường, giao dịch và thanh toán, vẫn tiếp tục diễn ra không gián đoạn.
Vi phạm đã được giới hạn hoàn toàn vào ví phân phối phần thưởng. Không có kết quả thị trường nào bị thao túng. Không có số dư người dùng nào bị chạm vào.
Sự khác biệt này rất quan trọng. Polymarket đã trở thành một trong những thị trường dự đoán nổi bật nhất trong lĩnh vực tiền mã hóa, thu hút sự chú ý đáng kể trong các sự kiện chính trị và các chu kỳ tin tức lớn. Một vụ xâm phạm thực sự làm tổn hại đến quỹ người dùng hoặc tính toàn vẹn của thị trường sẽ là một câu chuyện hoàn toàn khác, có thể làm suy yếu toàn bộ mô hình niềm tin của các thị trường dự đoán phi tập trung.
Công ty cho biết đang tiến hành điều tra kỹ lưỡng về sự việc này. Việc điều tra đó có dẫn đến việc công khai cách thức lưu trữ chìa khóa, ai có quyền truy cập và các chính sách xoay vòng (hoặc thiếu vắng chúng) đã được áp dụng hay không sẽ đáng để theo dõi.
Một mô hình quen thuộc trong bảo mật tiền điện tử
Đây không phải là lần đầu tiên một khóa quản trị đã cũ trở thành mắt xích yếu nhất. Ngành công nghiệp tiền mã hóa liên tục gặp vấn đề với cơ sở hạ tầng cũ. Các dự án ra mắt với một đội ngũ nhỏ, tạo khóa cho các ví hoạt động khác nhau, sau đó mở rộng nhanh chóng mà không kiểm tra các thông tin đăng nhập ban đầu.
Vector tấn công ở đây không phải là lỗi hợp đồng thông minh, khai thác flash loan, hay thao tác DeFi tinh vi. Đó là khóa riêng tư đáng ra đã được thay đổi hoặc ngừng sử dụng cách đây nhiều năm. Những cuộc khai thác đơn giản nhất thường gây thiệt hại lớn nhất chính vì chúng là những cuộc khai thác mà không ai nghĩ đến việc kiểm tra.
Các sự việc tương tự đã từng xảy ra với các dự án khác trong quá khứ. Ví nóng, khóa quản trị và địa chỉ triển khai từ những ngày đầu tiên của một dự án đại diện cho một bề mặt tấn công liên tục. Một khi chìa khóa riêng bị xâm phạm, dù thông qua lừa đảo, phần mềm độc hại hay bên trong, không có cơ chế nào trên chuỗi để ngăn chặn người nắm giữ thực hiện các giao dịch.
Các ví đa chữ ký, các mô-đun bảo mật phần cứng và việc xoay khóa định kỳ đều là các biện pháp giảm thiểu tiêu chuẩn. Việc một khóa đơn duy nhất đã tồn tại sáu năm vẫn có quyền kiểm soát một ví có tiền cho thấy ít nhất một trong những thực hành này chưa được áp dụng cho địa chỉ cụ thể này.
Điều này có nghĩa gì đối với nhà đầu tư và người dùng
Đây là vấn đề. Tổn thất 700.000 USD là tương đối nhỏ so với tiêu chuẩn các vụ khai thác trong ngành tiền điện tử. Nhưng thiệt hại về danh tiếng có thể vượt xa con số tiền tệ, đặc biệt đối với một nền tảng phụ thuộc vào niềm tin của người dùng để hoạt động.
Thị trường dự đoán vốn mang tính phụ thuộc vào sự tin tưởng. Người dùng đang đặt cược tiền thật vào các kết quả và họ cần tin rằng nền tảng xử lý quỹ và giải quyết các lệnh cược của họ hoạt động ổn định. Ngay cả một sự xâm phạm giới hạn ở ví phần thưởng cũng gây ra nghi ngờ về những hệ thống cũ khác có thể đang ẩn giấu phía sau.
Đối với các trader đang sử dụng tích cực Polymarket, rủi ro trước mắt dường như đã được kiểm soát. Tiền của người dùng không bị xâm phạm, và các hợp đồng thông minh của nền tảng không liên quan đến vụ khai thác. Cơ sở hạ tầng vận hành xử lý các giao dịch nạp, rút và thanh toán thị trường dường như hoàn toàn tách biệt với ví bị xâm nhập.
Vấn đề lớn hơn mang tính hệ thống. Nếu Polymarket, một trong những nền tảng dự đoán nổi tiếng và được tài trợ tốt nhất, đang sử dụng khóa cũ sáu năm với quyền truy cập quỹ hoạt động, thì mức độ an toàn quản lý khóa của các dự án nhỏ hơn, ít nguồn lực hơn trông như thế nào? Sự cố này nên thúc đẩy người dùng đặt ra những câu hỏi khó hơn về bảo mật vận hành của bất kỳ nền tảng nào họ gửi tiền, chứ không chỉ là các báo cáo kiểm toán hợp đồng thông minh.
Các nền tảng đối thủ có thể tận dụng thời điểm này để phân biệt mình thông qua các thực hành bảo mật. Các chính sách luân chuyển khóa minh bạch, yêu cầu đa chữ ký cho tất cả các ví vận hành và các cuộc kiểm toán bảo mật định kỳ từ bên thứ ba có thể trở thành tiêu chuẩn tối thiểu cho các nền tảng muốn thu hút khối lượng giao dịch đáng kể. Trong một thị trường nơi niềm tin là sản phẩm, nền tảng nào có thể chứng minh một cách đáng tin cậy rằng họ có mức độ bảo mật vận hành chặt chẽ nhất sẽ có lợi thế rõ rệt.
Hiện tại, việc phong tỏa một phần 164.000 USD có nghĩa là phần lớn lớn số tiền bị đánh cắp có khả năng không thể khôi phục được. Những khoản tiền đã đi qua các dịch vụ trộn và sàn giao dịch về cơ bản đã biến mất. Việc lực lượng chức năng hoặc phân tích chuỗi có thể truy vết số tiền còn lại đến một bên xác định hay không vẫn là một câu hỏi mở, nhưng khả năng thành công giảm dần với mỗi lần chuyển qua dịch vụ trộn.