
Thị trường tiền mã hoá toàn cầu vừa chứng kiến một trong những sự việc hy hữu nhất khi một dự án tiền mã hóa lớn bị chiếm đoạt tài sản theo cách không ai ngờ tới. Không cần đến những dòng mã độc phức tạp hay việc bẻ khóa hệ thống bảo mật trực tuyến, kẻ tấn công đã tận dụng chính những quy tắc hoạt động có sẵn của dự án Bonk Inu để hợp pháp hóa hành vi rút tiền của mình. Sự việc này đã gióng lên hồi chuông cảnh tỉnh sâu sắc về những lỗ hổng trong mô hình quản trị tự động (DAO) vốn đang được nhiều nền tảng công nghệ áp dụng hiện nay.
Diễn biến kế hoạch dàn dựng hoàn hảo qua mặt hệ thống
Để hiểu rõ bản chất của sự việc, trước hết cần biết rằng các dự án tiền mã hóa thường hoạt động dưới dạng một tổ chức tự trị phi tập trung. Tại đây, mọi quyết định thay đổi hệ thống hay chi tiêu ngân sách đều phải thông qua sự bỏ phiếu của những người nắm giữ mã thông báo của dự án.
Tận dụng cơ chế này, kẻ tấn công đã bỏ ra 4 triệu đô la Mỹ để mua một lượng lớn mã thông báo mang tên dự án. Số lượng tài sản khổng lồ này được tính toán vô cùng chính xác để vừa vặn đạt đến ngưỡng tối thiểu mà hệ thống yêu cầu nhằm tạo ra một đề xuất thay đổi mới công khai.
Ngay sau khi sở hữu quyền lực bỏ phiếu cần thiết, người này đã tiến hành tạo lập một đề xuất quản trị mang mã số BIP 76 trên hệ thống trực tuyến công cộng. Nội dung của đề xuất quy định rõ ràng rằng nếu được cộng đồng thông qua thì một lượng tài sản khổng lồ lên tới bốn phẩy cách 4.000 tỷ mã thông báo sẽ được chuyển thẳng vào địa chỉ ví cá nhân của người tạo đề xuất. Đây là một chiếc bẫy công nghệ được chuẩn bị kỹ lưỡng nhưng lại hoàn toàn hiển thị minh bạch trước mắt toàn bộ thành viên tham gia dự án.
Sự thờ ơ của cộng đồng và cái kết đắt giá
Theo quy định vận hành thông thường của nền tảng, các đề xuất sau khi khởi tạo sẽ được công bố công khai trong thời hạn bảy ngày để toàn bộ các thành viên cùng thảo luận và đưa ra biểu quyết. Tuy nhiên, một điều vô cùng đáng tiếc đã xảy ra khi trong suốt một tuần lễ đó, cả đội ngũ quản lý lẫn cộng đồng người dùng của dự án đều không hề mảy may để ý đến sự xuất hiện của đề xuất mang mã số này. Sự thiếu sót nghiêm trọng trong khâu giám sát thường nhật đã tạo điều kiện tối ưu cho kế hoạch của kẻ tấn công diễn ra một cách thuận lợi.
Đến thời hạn cuối cùng của cuộc bình chọn, khi nhận thấy không có bất kỳ sự phản đối nào từ phía cộng đồng, kẻ tấn công đã tự mình sử dụng toàn bộ số mã thông báo đã mua ban đầu để bỏ phiếu đồng ý. Do không có ý kiến ngược lại và số phiếu tự thân đã đạt chuẩn quy định, hệ thống tự động của dự án lập tức ghi nhận đề xuất được thông qua hợp lệ.
Lượng mã thông báo khổng lồ trị giá 20 triệu đô la Mỹ nhanh chóng được chuyển đi một cách tự động theo đúng lập trình sẵn có. Kẻ tấn công sau đó đã ngay lập tức bán tháo toàn bộ số tài sản vừa nhận được ra thị trường tự do, mang về khoản lợi nhuận ròng lên đến 16 triệu đô la Mỹ sau khi trừ đi chi phí đầu tư ban đầu.
Những nỗ lực cứu vãn và bài học cho thị trường
Sau khi phát hiện ra sự việc trớ trêu này, đội ngũ phát triển của dự án đã nhanh chóng liên hệ và phối hợp chặt chẽ với các cơ quan thực thi pháp luật nhằm tiến hành các biện pháp nghiệp vụ phục vụ công tác điều tra và thu hồi tài sản.
Mặc dù các bên liên quan đang rất tích cực triển khai hành động, việc lấy lại số tiền đã bị phân tán trên thị trường tự do vẫn là một thử thách vô cùng lớn đối với các bên. Sự việc này cho thấy công nghệ tự động dù minh bạch đến đâu vẫn luôn tiềm ẩn rủi ro rất lớn nếu thiếu đi sự giám sát chặt chẽ và trách nhiệm từ phía con người.