Chủ đề Ethereum nóng nhất trong tháng 6 cho đến nay là các giao dịch bí ẩn liên quan đến hàng triệu đô la được trả để chuyển lượng Ether (ETH) từ nhỏ đến trung bình – một hoạt động thường không tốn quá vài chục xu.
Các nhà nghiên cứu đã cố gắng theo dõi nạn nhân tiềm năng – một sàn giao dịch tiền điện tử đáng ngờ của Hàn Quốc – đã gặp lỗi lớn hoặc bị tin tặc đe dọa theo một cách rất tinh vi. Vậy lý thuyết chính đằng sau những gì đã xảy ra là gì và liệu hàng triệu đô la này có được trả lại cho chủ sở hữu của chúng hay không?
Chuyện gì đã xảy ra?
Một chuỗi giao dịch Ether với mức phí cao bất thường đã diễn ra từ ngày 10 đến ngày 11 tháng 6, trong đó ai đó dường như đã trả 2,6 triệu đô la để chuyển ETH, thông thường sẽ có giá khoảng 0,5 đến vài đô la ngay cả đối với các giao dịch cực kỳ lớn. Và nó đã xảy ra ba lần.
Lần chuyển tiền đầu tiên đã diễn ra vào ngày 10 tháng 6 khi ai đó chuyển 0,55 ETH, tương đương khoảng 140 đô la và trả hơn 2,6 triệu đô la tiền xăng cho nó. Trong vòng 24 giờ, một giao dịch thứ hai là thực hiện từ cùng một ví, chi cùng một số tiền – 2,6 triệu đô la – cho phí, lần này để gửi 350 ETH.
Thật kỳ lạ, có một chuyển giao bất thường thứ ba vào khoảng thời gian đó, mặc dù nó đến từ một địa chỉ ví khác và dường như là một sự cố riêng lẻ. Giao dịch đó liên quan đến 2.310 ETH – hoặc khoảng 500.000 đô la – được trả để chuyển 3.221 ETH.
Chủ sở hữu của chiếc ví cuối cùng đó đã liên hệ với F2Pool – nhóm khai thác đã xử lý giao dịch nói trên – và quản lý chứng minh gặp phải “cuộc tấn công độc hại vào ví nút của họ.” Do đó, F2Pool đã quyết định trả lại 90% giá khí ETH cho chủ sở hữu ban đầu và sử dụng 10% còn lại để tài trợ cho quá trình khai thác ETH không phí trong thời gian một tuần.
Tuy nhiên, câu chuyện đằng sau hai giao dịch đầu tiên dường như phức tạp hơn nhiều.
Phí hoán đổi?
Người gửi ETH có thể đặt thủ công các khoản phí cho các giao dịch của họ để xử lý chúng nhanh hơn, mặc dù hầu hết các ví tiền điện tử đều đề xuất mức cam kết được tính toán tự động hiếm khi vượt quá vài đô la ETH, ngăn người dùng trả quá nhiều. Do đó, cộng đồng tiền điện tử ban đầu cho rằng giao dịch ngày 10 tháng 6 là một sai lầm trung thực nhưng rất đắt..
“Họ gần như chắc chắn đã hoán đổi phí với số tiền cần gửi,” đã tweet Người sáng lập giao thức blockchain AVA Labs và giáo sư Đại học Cornell Emin Gün Sirer. Nhà đồng sáng lập Ethereum Vitalik Buterin sắp ra mắt đã đồng ý rằng đó “chắc chắn là một sai lầm.” Ông cũng đề cập đến việc nâng cấp giao thức sẽ “giảm” nhu cầu đặt phí thủ công: “Tôi hy vọng EIP 1559 sẽ giảm đáng kể tỷ lệ những việc như thế này xảy ra bằng cách giảm nhu cầu người dùng cố gắng đặt phí theo cách thủ công.”
Tương tự, nhóm Ethermine ETH của Bitfly, đã xử lý giao dịch bí ẩn thứ hai, yêu cầu người gửi liên hệ với họ về tai nạn này để giải quyết.
Lý thuyết tống tiền
Vào ngày 12 tháng 6, công ty phân tích Trung Quốc PeckShield đã đưa ra một lời giải thích khả thi. Theo các nhà nghiên cứu, các khoản phí hàng triệu đô la có thể được khởi xướng bởi các tin tặc đang tìm cách đe dọa một sàn giao dịch tiền điện tử để trả tiền chuộc cho họ. Theo lý thuyết của PeckShield, các tin tặc đã có được quyền truy cập hạn chế vào các chức năng hoạt động của nền tảng, cho phép chúng gửi các giao dịch đến các địa chỉ “có trong danh sách cho phép” và đặt ra các khoản phí khổng lồ để thể hiện sự sẵn sàng đốt tất cả tiền của nạn nhân. Vitalik Buterin ngay sau đó đã tweet lại bài báo, dường như đồng ý với lời giải thích mới:
“Tin tặc đã chiếm được một phần quyền truy cập để trao đổi khóa; họ không thể rút tiền nhưng có thể gửi [giao dịch] vô hiệu với bất kỳ giá xăng nào. Vì vậy, họ đe dọa sẽ ‘đốt’ tất cả tiền thông qua [phí giao dịch] trừ khi được bồi thường ”.
Hartej Sawhney, Giám đốc điều hành của cơ quan an ninh mạng Zokyo Labs có trụ sở tại Hoa Kỳ, đồng ý rằng một tin tặc dường như đã có quyền kiểm soát hoạt động của một sàn giao dịch “và không đánh cắp khóa nhưng đặt ra phí khai thác cao đối với các giao dịch lớn”.
Đáng chú ý, một số chuyên gia nhận thấy lý thuyết tống tiền là không thể xảy ra. Phát biểu với Cointelegraph, Alex Manuskin, một nhà nghiên cứu blockchain tại công ty ví tiền điện tử ZenGo có trụ sở tại Tel Aviv, lập luận rằng giả thuyết tống tiền “cần một số trường hợp rất đặc biệt mới có thể thực hiện được”. Theo Manuskin, tài khoản bị tấn công rất có thể sẽ thay đổi hành vi sau khi nhận ra nó bị tấn công, trong khi địa chỉ này vẫn tiếp tục nhận và gửi các giao dịch: “Nếu tin tặc kiểm soát khóa, tại sao họ [bên bị tấn công] tiếp tục vận hành dịch vụ như thường lệ?”
Viktor Bunin, chuyên gia giao thức tại công ty cơ sở hạ tầng blockchain và thành viên Hiệp hội Libra BisonTrails cũng nói rằng lý thuyết tống tiền “có vẻ không thực tế” trong một cuộc trò chuyện với Cointelegraph: “Nếu đó là một tình huống tống tiền, người ta sẽ mong đợi nó sẽ ngừng nhận tiền.”
Theo quan điểm của Bunin, các giao dịch có thể do “lỗi trong bot của họ hoặc logic kinh doanh quét các địa chỉ đó”. Ông giải thích thêm: “Giá xăng giống hệt nhau và rất cụ thể trong cả hai giao dịch, điều này cực kỳ khó xảy ra với những hành động sai trái”. Theo Bunin, địa chỉ ví có thể thuộc về một sàn giao dịch không muốn tiếp tục và thừa nhận có vi phạm bảo mật lớn như thế này:
“Một sàn giao dịch sẽ bị tổn hại quá nhiều về danh tiếng nếu mắc phải những sai lầm to lớn như vậy vì điều này sẽ làm lộ ra những khiếm khuyết trong hệ thống của họ, khiến họ trở thành mục tiêu của tin tặc và người dùng sẽ không muốn giữ tài sản của họ bên mình. Điều này sẽ rất tàn khốc, vì vậy họ có thể đã chọn ăn thua ”.
Rod Hsu, đồng sáng lập nền tảng tiền điện tử Coincurve có trụ sở tại Canada, gợi ý rằng địa chỉ được đề cập có thể đã được thiết lập đặc biệt cho các hoạt động rửa tiền. Ông tin rằng một mức độ can thiệp hoặc ghi đè thủ công đã được thực hiện đối với ví dường như được sử dụng làm địa chỉ gửi tiền. Anh ấy tiếp tục nói thêm: “Ví tiền có nguồn gốc rất nhất quán về giá xăng được sử dụng (60 GWei) nhưng đột nhiên có khoản phí xăng cực kỳ cao này được trả, không phải một lần mà là hai lần.”
Vì không ai đưa ra tuyên bố kết nối với các giao dịch với bằng chứng thích hợp vào thời điểm Cointelegraph nói chuyện với Hsu, anh ấy cho rằng “đây có thể là một hành động rửa tiền thông qua mạng với khả năng nhóm này có một số khối kiểm soát trong những nhóm khai thác.
Tương tự, Sawhney nói với Cointelegraph rằng “rất khó có khả năng đây là lỗi tập lệnh,” giải thích thêm: “Tôi dám cá rằng chủ sở hữu tập lệnh đã liên hệ với các nhóm khai thác vì tin tức này đã được phổ biến rộng rãi trên cả phương tiện truyền thông Trung Quốc và tiếng Anh.”
Những phát hiện mới hơn
Theo phát hiện mới nhất của PeckShield, địa chỉ ví thuộc về một sàn giao dịch tiền điện tử ngang hàng có trụ sở tại Hàn Quốc được ra mắt gần đây có tên là Good Cycle, có thể hoạt động như bình phong cho một kế hoạch Ponzi. Các nhà nghiên cứu đã gửi tiền vào Good Cycle và nhận thấy rằng giao dịch xuất hiện trong cùng một địa chỉ ví đã gửi hai trong số ba giao dịch đáng ngờ được mô tả ở trên.
Người đồng sáng lập PeckShield, Jeff Liu, đã giải thích chi tiết về cách họ quản lý để tìm chủ sở hữu của chiếc ví cho Cointelegraph: “Bằng cách sử dụng các công cụ và dữ liệu của mình, chúng tôi đã tìm thấy manh mối và nó đã được xác minh bằng cách đăng ký thủ công tài khoản tại trang Good Cycle”.
Ngoài ra, báo cáo nhấn mạnh rằng bảo mật của sàn giao dịch có vẻ mờ nhạt. Ví dụ: Good Cycle thậm chí không sử dụng giao thức HTTPS được mã hóa cho trang web của mình. Liu chỉ ra rằng hoạt động của Hàn Quốc có thể là một trò lừa đảo: “Good Cycle dường như là một trang web lừa đảo, chính xác là Ponzi Scheme, mặc dù vụ việc này dường như không phải là một phần của trò lừa đảo.”
Liu làm rõ rằng mặc dù vẫn chưa rõ liệu Good Cycle có bị tấn công hay mất tiền do vô tình hay không, nhưng “họ là nạn nhân trong vụ việc này, theo nghĩa họ đã trả khoản phí giao dịch khổng lồ”.
Theo một thông báo từ Good Cycle được chia sẻ bởi PeckShield, nền tảng này đã mô tả việc bị tấn công, sau đó tạm dừng rút tiền và thực hiện “nâng cấp bảo mật”. Theo một báo cáo truyền thông Hàn Quốc, Good Cycle tiết lộ rằng “hacker đã tấn công chu kỳ tốt nhiều lần và tạo ra 3 ID giả để ngăn chặn việc gửi và rút tiền”.
Sàn giao dịch có sự hiện diện hạn chế trên phương tiện truyền thông xã hội và dường như không liệt kê chi tiết liên hệ trên trang web của nó. Theo video được tải lên bởi một người dùng YouTube, người xác định bản thân là “nhà lãnh đạo” của công ty tiền điện tử Hàn Quốc Karatbars (đã được gắn cờ là một kế hoạch kim tự tháp tiềm năng), Good Cycle là một doanh nghiệp “dựa trên trao đổi” thu hút khách hàng tham gia trên cơ sở thành viên.
Điều gì đã xảy ra với Good Cycle?
Mặc dù có những phát hiện gần đây và thông báo từ Good Cycle, các giao dịch được định giá quá cao vẫn là một bí ẩn, Liu nói, “Chúng tôi thực sự không thể chắc chắn điều gì đã xảy ra chính xác. Những gì chúng tôi biết là Good Cycle đã trả khoản phí giao dịch khổng lồ, có thể là do ai đó đã tấn công họ hoặc do lỗi nào đó từ phía họ. “
Good Cycle dường như đã xác nhận rằng nó đã bị tấn công, kể từ ngày 17 tháng 6, sàn giao dịch đã gửi hai giao dịch tới Ethermine và SparkPool với một thông báo có nội dung: “Tôi là người gửi.” Đáng chú ý, nó xảy ra sau khi PeckShield lật đổ Good Cycle như một nạn nhân tiềm năng. Các chuyên gia đang vò đầu bứt tai về lý do tại sao số tiền không thể được chuyển đi sớm hơn. Manuskin nói với Cointelegraph:
“Đây là liên kết còn thiếu trong lý thuyết ransomware. Nếu dịch vụ vẫn có quyền lưu giữ khóa, họ có thể đã liên hệ với các thợ đào sớm hơn, cũng như chuyển tiền ra ngoài như họ đã làm. ”
Có vẻ như Good Cycle đã bỏ lỡ cả hai thời hạn do Ethermine và Sparkpool đặt ra. “Giờ đây, các quỹ đã được phân phối bởi các nhóm khai thác, vì vậy chúng sẽ không được trả lại tài khoản,” Manuskin khẳng định. Thật vậy, vào ngày 15 tháng 6, bốn ngày sau khi các giao dịch bí ẩn diễn ra, hồ bơi Etheremine công bố quyết định phân phối phí cho các thợ đào của mình, giải thích rằng không ai đã tiếp cận họ tự xưng là chủ sở hữu. SparkPool cũ là lên kế hoạch để làm điều tương tự vào ngày 16 tháng 6. Cointelegraph đã liên hệ với cả hai nhóm để xác nhận rằng họ đã phân phối phí trước khi được Good Cycle tiếp cận, nhưng không nhận được trả lời vào thời điểm báo chí.
Nếu đó là một lỗi, có nghĩa là nạn nhân chỉ nhận thấy sự khác biệt 4 ngày sau khi mất hàng triệu đô la, Manuskin nói thêm. Do đó, nếu Good Cycle bị tin tặc tấn công, có vẻ như họ chỉ có thể giành lại quyền kiểm soát máy chủ của mình trong thời gian gần đây theo Manushkin: “Cả hai trường hợp đều cho thấy hoàn toàn không quan tâm đến quỹ và bảo mật hoạt động cơ bản, do đó [lý thuyết] vẫn có thể . ”
Tuy nhiên, có vẻ như Good Cycle đang trở lại với những gì nó đã làm trước khi mất hàng triệu đô la. Cùng thời gian đó, sàn giao dịch của Hàn Quốc đã tiếp cận các nhóm khai thác với thông điệp “Tôi là người gửi”, nó di chuyển số tiền còn lại – khoảng 18.000 ETH, hoặc hơn 4 triệu đô la – đến một địa chỉ mới, hiện đang thực hiện các hành động tương tự như địa chỉ trước đó mặc dù các giao dịch có giá bất thường.