Tôi vừa nhận ra một điều đáng lo ngại về cách DeFi đã phát triển. Vụ hack Resolv vào cuối tháng 3 là một ví dụ điển hình cho lý do tại sao chúng ta cần phải xem xét lại hoàn toàn các giả định về an ninh. Đây là những gì đã xảy ra, và tại sao nó quan trọng hơn một lỗi trong hợp đồng thông minh khác.

Vào ngày 22 tháng 3, giao thức Resolv bị tấn công mạnh mẽ. Một kẻ tấn công đã tạo ra khoảng 80 triệu stablecoin USR mà gần như không có gì đảm bảo, rút ra khoảng $25 triệu đô la giá trị, và khiến token giao dịch ở mức $0.20—một sự sụt giảm 80%. Điều điên rồ là mã hợp đồng thông minh hoạt động chính xác như dự định. Đây không phải là một lỗ hổng mã nguồn. Nó còn tệ hơn thế.

Vấn đề thực sự nằm ở cách Resolv thiết kế hệ thống phát hành của họ. Khi bạn muốn phát hành USR, đó không phải là một giao dịch đơn giản trên chuỗi. Thay vào đó, có một quy trình hai bước: đầu tiên bạn gửi USDC vào một hợp đồng đếm ngược và yêu cầu phát hành. Sau đó, một dịch vụ ngoài chuỗi với một khóa riêng đặc quyền phê duyệt số lượng USR thực sự được tạo ra. Chính hợp đồng không có bất kỳ rào cản nào—không giới hạn tối đa, không kiểm tra tỷ lệ, không tích hợp oracle, không gì cả. Chỉ có xác thực chữ ký. Bất kỳ số lượng nào được ký bằng khóa đó có thể về lý thuyết được phát hành.

Con đường tấn công của kẻ xấu gần như quá đơn giản khi họ đã có khóa. Hắn đã xâm nhập vào môi trường AWS KMS của Resolv, nơi lưu trữ các khóa ký. Khi đã vào trong, hắn có thể phê duyệt bất cứ thứ gì. Hắn gửi khoảng 100-200 nghìn đô USDC qua vài giao dịch, rồi dùng khóa SERVICE_ROLE bị đánh cắp để ký phát hành 50 triệu USR trong một giao dịch và 30 triệu trong giao dịch khác. Tổng cộng 80 triệu token với số tiền đảm bảo rất ít.

Từ đó, phần rửa tiền diễn ra theo sách giáo khoa. Họ đổi USR lấy wstUSR(một token staking), rồi đổi lấy stablecoin, sau đó đổi sang ETH, sử dụng nhiều pool DEX và cầu nối để che giấu dấu vết. Tính đến hiện tại, họ đang nắm giữ khoảng 11.400 ETH trị giá khoảng $24 triệu đô, cộng thêm khoảng 1,3 triệu đô trong wstUSR nằm trong địa chỉ của họ.

Phản ứng của thị trường diễn ra ngay lập tức và dữ dội. Tất cả lượng cung không đảm bảo thế chấp đó cùng lúc đổ vào các pool thanh khoản, khiến peg của USR sụp đổ. Nó phục hồi phần nào lên mức $0.56 trong vòng vài giờ, nhưng thiệt hại đã xảy ra. Resolv buộc phải tạm dừng mọi hoạt động để ngăn chặn thiệt hại thêm.

Điều khiến tôi lo lắng nhất là: Resolv đã làm đúng quy trình. Mười tám cuộc kiểm toán bảo mật. Tất cả các biện pháp an ninh tiêu chuẩn đều đã được áp dụng. Nhưng vẫn xảy ra vì lỗ hổng thực sự không nằm trong mã nguồn—mà nằm trong giả định về hạ tầng. Khi DeFi ngày càng phức tạp và phụ thuộc nhiều vào các dịch vụ bên ngoài, hạ tầng đám mây và các khóa đặc quyền, phạm vi tấn công mở rộng vượt xa những gì tồn tại trên chuỗi.

Bài học đắng lòng là: Trong một không gian nơi các lỗ hổng có thể thực thi trong vài phút và bạn thậm chí còn không biết mình đang mất tiền cho đến khi quá muộn, bạn cần hệ thống giám sát thời gian thực và phản ứng tự động. Không phải là thứ “có cũng được, không có cũng chẳng sao”. Mà là những thứ bắt buộc phải có. Nếu Resolv có hệ thống theo dõi các tỷ lệ phát hành bất thường—ví dụ như một $100K khoản gửi đột ngột phê duyệt 50 triệu token—họ đã có thể phát hiện ra ngay lập tức. Hoặc nếu họ đã cấu hình các chế độ tạm dừng tự động khi phát hiện các sự kiện phát hành bất thường, 80 triệu USR đó đã không bao giờ xuất hiện trên thị trường ngay từ đầu.

Đây là thực tế mới. Hợp đồng thông minh thì an toàn. Hạ tầng mới là điểm yếu. Và khi an ninh của giao thức phụ thuộc vào việc giữ các khóa an toàn trong đám mây, bạn không chỉ mua các báo cáo kiểm toán nữa. Bạn đang đặt cược tất cả vào khả năng phát hiện và phản ứng nhanh. Resolv đã học bài học đó theo cách đắng lòng.