Verus cầu nối chuỗi chéo hacker hoàn trả 75% số tiền bị đánh cắp, bên giao thức chấp nhận hòa giải không truy cứu

Kẻ tấn công hoàn trả 4.052 ETH (khoảng 8,5 triệu USD), giữ lại 1.350 ETH như phần thưởng — vụ tấn công cầu liên chuỗi Verus kết thúc trong đàm phán, nhưng cơ chế thưởng có thể đã vô hình khuyến khích "tấn công trước, đàm phán sau" gây tranh luận.
(Thông tin trước: Cầu liên chuỗi Ethereum của Verus bị tấn công! Blockaid giám sát: thiệt hại hơn 11,58 triệu USD)
(Bổ sung bối cảnh: THORChain bị hack rồi đưa ra đề xuất khôi phục: thiệt hại hàng chục triệu USD, tự hấp thụ, tiêu hủy $RUNE của kẻ tấn công)

Mục lục bài viết

Chuyển đổi

• Kết quả đàm phán và chi tiết hoàn trả quỹ
• Phản ứng cộng đồng hai chiều: hình mẫu hay là khuyến khích?
• Nhìn lại: lịch sử các vụ tấn công cầu liên chuỗi
• Mô hình thưởng: con dao hai lưỡi của an toàn DeFi

Vụ tấn công cầu liên chuỗi Verus xảy ra vào giữa tháng 5, sau vài ngày đàm phán đã có bước tiến quan trọng. Kẻ tấn công hôm nay chủ động hoàn trả khoảng 4.052 ETH, trị giá khoảng 8,5 triệu USD, chiếm 75% trong tổng số 5.402 ETH (khoảng 11,58 triệu USD) bị đánh cắp ban đầu. Đội ngũ Verus tuyên bố chấp nhận kết quả đàm phán, đồng ý không truy cứu trách nhiệm pháp lý của hacker, và xem phần còn lại 1.350 ETH (khoảng 2,8 triệu USD) như phần thưởng trắng mũi, để ghi nhận việc hacker phát hiện và tiết lộ lỗ hổng.

Kết quả đàm phán và chi tiết hoàn trả quỹ

Theo dữ liệu trên chuỗi, số tiền hoàn trả này đã được chuyển từng phần từ địa chỉ của hacker vào ví chính thức do Verus chỉ định. Hai bên chưa công bố đầy đủ chi tiết đàm phán, nhưng cộng đồng tin rằng đây là một cuộc đàm phán kiểu "thưởng phát hiện lỗ hổng" do đội ngũ Verus chủ đạo. Hacker đã đăng tuyên bố trên các nền tảng cộng đồng, nhấn mạnh rằng mình không phải kẻ trộm ác ý, mà mong muốn thúc đẩy các bên quan tâm hơn đến vấn đề an toàn, và cảm ơn đội ngũ đã sẵn sàng giải quyết theo cách xây dựng.

Phản ứng cộng đồng hai chiều: hình mẫu hay là khuyến khích?

Tuy nhiên, trong nội bộ cộng đồng Verus, ý kiến về kết quả này khá trái chiều. Một số thành viên cho rằng đây là hình mẫu trong lịch sử an toàn DeFi, qua đàm phán giảm thiểu thiệt hại, tránh các vụ kiện kéo dài, và cuối cùng thu hồi phần lớn quỹ; nhưng cũng có ý kiến phê phán rằng điều này vô hình khuyến khích "tấn công trước, đàm phán sau", giúp hacker có thể rút lui an toàn với phần thưởng hậu hĩnh.

Nhìn lại: lịch sử các vụ tấn công cầu liên chuỗi

Thực tế, mô hình tương tự không phải lần đầu xuất hiện trong các vụ tấn công cầu liên chuỗi. Tháng 7 năm 2021, THORChain bị tấn công thiệt hại khoảng 5 triệu USD, hacker sau khi được đội ngũ công khai kêu gọi đã hoàn trả phần lớn quỹ và nhận 10% phần thưởng. Cùng tháng đó, Poly Network bị tấn công 6,1 tỷ USD, sau áp lực dư luận và đàm phán, hacker đã hoàn trả gần như toàn bộ, và phía dự án không kiện cáo. Những trường hợp này có điểm chung là hacker không chỉ vì lợi nhuận, mà còn muốn "phát hiện lỗ hổng", và các dự án dùng thưởng như một cách khuyến khích dòng tiền quay trở lại.

Ngược lại, các vụ Wormhole (thiệt hại 320 triệu USD) và Ronin (thiệt hại 620 triệu USD) lại kết thúc hoàn toàn khác. Wormhole được công ty mẹ Jump Crypto đền bù toàn bộ, hacker vẫn chưa bị bắt; Ronin bị xác nhận do nhóm Lazarus của Bắc Triều Tiên thực hiện, khó thu hồi tiền, chỉ có thể phong tỏa một phần tài sản qua pháp luật. Hai vụ này cho thấy "thưởng đàm phán" không phải là liều thuốc thần, việc đạt được thỏa thuận phụ thuộc nhiều vào danh tính và động cơ của hacker.

Mô hình thưởng: con dao hai lưỡi của an toàn DeFi

Mô hình thưởng trong hệ sinh thái DeFi ngày càng phức tạp. Một mặt, nó cung cấp công cụ nhanh chóng để các dự án cầm cự, đặc biệt trong giai đoạn chưa có bảo hiểm, thưởng giúp giảm thiệt hại cuối cùng. Mặt khác, mô hình này cũng có thể tạo ra rủi ro đạo đức, khiến hacker tiềm năng nghĩ rằng chỉ cần hoàn trả phần lớn quỹ là có thể tránh trách nhiệm hình sự, thậm chí còn kiếm được phần thưởng lớn. Về lâu dài, các dự án DeFi cần trở lại nguyên tắc cốt lõi: tăng cường kiểm tra mã nguồn, triển khai giám sát tức thời và cơ chế tạm dừng khẩn cấp, để giảm thiểu các sự cố từ nguồn gốc.

Đồng sáng lập Verus, Michael J. Toutonghi, chia sẻ trên cộng đồng rằng vụ việc này mang lại bài học quý giá, họ sẽ nâng cao toàn diện độ an toàn của các hợp đồng cầu, và xem xét tích hợp cơ chế thưởng lỗi (bug bounty) hoàn chỉnh hơn, để các hacker trắng mũ có thể chủ động báo cáo lỗ hổng trước khi xảy ra tấn công. Ông nhấn mạnh rằng mục tiêu hàng đầu của đội ngũ là bảo vệ tài sản người dùng, kết quả này dù chưa hoàn hảo, nhưng là giải pháp tốt nhất trong tình hình hiện tại.

Tính đến thời điểm xuất bản, cầu liên chuỗi Verus đã hoạt động bình thường, người dùng yên tâm về an toàn quỹ. Vụ việc này để lại một bài học sâu sắc cho ngành công nghiệp tiền mã hóa: khi có không gian đàm phán giữa hacker và dự án, mô hình thưởng có thể trở thành tiêu chuẩn trong an toàn DeFi, hay chỉ là biện pháp tạm thời chưa giải quyết tận gốc?