Bí mật 6 tháng của Triều Tiên khiến cộng đồng crypto phải đổi cách nghĩ về an ninh

Khi Drift công bố chi tiết về vụ khai thác trị giá 270 triệu USD, điều đáng lo nhất không phải là quy mô thiệt hại — mà là cách nó diễn ra.

Theo đội ngũ đứng sau giao thức này, vụ tấn công không phải một lỗi hợp đồng thông minh hay một mánh khóe thao túng mã nguồn. Đó là một chiến dịch kéo dài 6 tháng, sử dụng danh tính giả, gặp trực tiếp ở nhiều quốc gia và xây dựng lòng tin một cách có chủ đích. Những kẻ tấn công, bị cáo buộc là đến từ Triều Tiên, không chỉ tìm ra một lỗ hổng trong hệ thống. Chúng trở thành một phần của hệ thống đó.

Mối đe dọa mới này đang buộc lĩnh vực tài chính phi tập trung phải nhìn nhận lại toàn diện hơn.

Trong nhiều năm, ngành này xem an ninh là một vấn đề kỹ thuật, thứ có thể giải quyết bằng kiểm toán, xác minh hình thức và mã nguồn tốt hơn. Nhưng sự cố Drift cho thấy một điều phức tạp hơn nhiều: những điểm yếu thực sự có thể nằm ngoài chính cơ sở mã.

Alexander Urbelis, Giám đốc An ninh Thông tin của ENS Labs, cho rằng ngay cả cách gọi cũng đã lỗi thời.

“Chúng ta cần ngừng gọi đây là ‘hack’ và bắt đầu gọi đúng bản chất của nó: các chiến dịch tình báo,” Urbelis nói với CoinDesk. “Những người xuất hiện ở hội nghị, gặp trực tiếp các cộng tác viên của Drift ở nhiều quốc gia, rồi nạp 1 triệu USD tiền của chính họ để xây dựng độ tin cậy: đó là kỹ nghệ hoạt động bí mật. Đó là thứ bạn mong đợi từ một sĩ quan điều hành, chứ không phải một hacker.”

Nếu cách nhìn đó là đúng, Drift đại diện cho một kịch bản mới: kẻ tấn công hành xử ít giống hacker cơ hội hơn và giống những toán vận hành kiên nhẫn, len lỏi xã hội trước khi ra tay trên chuỗi hơn.

Urbelis nói thêm: “Triều Tiên không còn quét tìm các hợp đồng dễ bị tổn thương nữa. Họ đang quét tìm con người dễ bị tổn thương… Đó không phải là hacking. Đó là điều hành điệp viên.”

Bản thân các thủ đoạn này không hoàn toàn mới. Những cuộc điều tra trong vài năm qua đã cho thấy các đặc vụ Triều Tiên xâm nhập vào các công ty crypto bằng cách giả làm nhà phát triển, vượt qua phỏng vấn tuyển dụng và thậm chí giành được vị trí dưới danh tính giả. Nhưng vụ Drift cho thấy những nỗ lực đó đã leo thang — từ việc len vào qua quy trình tuyển dụng sang các chiến dịch xây dựng quan hệ trực tiếp, kéo dài nhiều tháng trước khi thực hiện tấn công.

“Gót chân Achilles”

Chính sự thay đổi đó khiến nhiều lãnh đạo an ninh đặc biệt lo ngại. Ngay cả giao thức được kiểm toán nghiêm ngặt nhất cũng có thể thất bại nếu một cộng tác viên bị xâm nhập.

David Schwed, Giám đốc vận hành của SVRN và từng là CISO tại cả Robinhood lẫn Galaxy, xem vụ Drift là một hồi chuông cảnh tỉnh.

“Các giao thức cần hiểu họ đang đối mặt với điều gì. Đây không phải những vụ khai thác đơn giản. Đây là những chiến dịch được lên kế hoạch kỹ lưỡng, kéo dài nhiều tháng, có nguồn lực riêng, danh tính giả và yếu tố con người được tính toán trước,” Schwed nói với CoinDesk. “Yếu tố con người là gót chân Achilles của rất nhiều tổ chức.”

Nhiều nhóm DeFi vẫn nhỏ, vận hành nhanh và được xây dựng trên niềm tin. Nhưng khi chỉ vài cá nhân nắm quyền truy cập trọng yếu, chỉ cần xâm nhập một người là đủ.

Schwed cho rằng phản ứng cần phải thay đổi. “Câu trả lời là một chương trình an ninh được gia cố vững chắc, bảo vệ không chỉ công nghệ mà còn cả con người và quy trình… An ninh phải là nền tảng của dự án và đội ngũ.”

Một số giao thức đã bắt đầu điều chỉnh. Tại Jupiter, một trong những nền tảng DeFi lớn nhất trên Solana, kiểm toán và xác minh hình thức vẫn là nền tảng, nhưng các lãnh đạo cho rằng như vậy là chưa đủ.

“Rõ ràng, bảo vệ mã nguồn bằng nhiều vòng kiểm toán độc lập, mã nguồn mở và xác minh hình thức chỉ là mức tối thiểu. Bề mặt tấn công đã mở rộng đáng kể,” COO Kash Dhanda nói.

Bề mặt đó giờ bao gồm cả quản trị, cộng tác viên và an ninh vận hành. Jupiter đã mở rộng việc sử dụng multisig và timelock, đồng thời đầu tư vào hệ thống phát hiện và đào tạo nội bộ.

“Vì con người dễ bị tổn thương hơn mã nguồn, chúng tôi cũng đang cập nhật đào tạo opsec và giám sát các thành viên chủ chốt trong đội ngũ,” Dhanda nói.

Dù vậy, ông nói thêm, “không có điểm kết thúc cho an ninh” và sự chủ quan vẫn là rủi ro lớn nhất.

Với các giao thức như dYdX, vụ Drift nhấn mạnh một thực tế không thể loại bỏ hoàn toàn bằng kỹ thuật.

“Thật đáng tiếc nhưng có thật là các dự án crypto ngày càng trở thành mục tiêu của các tác nhân xấu được nhà nước hậu thuẫn… các nhà phát triển phải thực hiện các biện pháp phòng ngừa để ngăn chặn và giảm thiểu tác động của các vụ lừa đảo xã hội, nhưng người dùng cũng nên hiểu rằng trước sự tinh vi ngày càng tăng của các tác nhân xấu, rủi ro từ những vụ xâm nhập kiểu này không thể bị loại bỏ hoàn toàn,” David Gogel, COO của dYdX Labs, cho biết.

Sự thay đổi trong mô hình đe dọa này cũng đang chuyển trách nhiệm nhiều hơn sang phía người dùng.

“Người dùng hoạt động trong DeFi nên dành thời gian hiểu kiến trúc kỹ thuật của các giao thức hoặc hợp đồng thông minh đang nắm giữ tài sản của họ, và nên đưa vào đánh giá rủi ro vai trò cũng như bản chất của bất kỳ multisig nào dùng cho nâng cấp phần mềm, cùng khả năng chúng có thể bị xâm phạm một cách độc hại,” Gogel nói thêm.

Mô hình đe dọa

Với một số nhà sáng lập, vụ khai thác Drift cho thấy một kết luận khó chấp nhận hơn: chính niềm tin đã trở thành một điểm yếu.

“Vụ khai thác Drift không phải là lỗ hổng mã nguồn. Đó là một chiến dịch tình báo kéo dài 6 tháng, khai thác niềm tin giữa con người,” Lucas Bruder, CEO của Jito Labs, nói.

Trên thực tế, điều đó đồng nghĩa với việc thiết kế các hệ thống giả định trước khả năng bị xâm nhập — chứ không chỉ là lỗi phần mềm.

“Kiểm toán hợp đồng thông minh chỉ là mức tối thiểu. Bề mặt tấn công thực sự là đội ngũ của bạn, những người ký multisig và mọi thiết bị họ chạm vào.”

Tư duy này đang trở thành trung tâm trong cách DeFi tiếp cận an ninh. Schwed của SVRN nói rằng nó bắt đầu từ việc không chỉ hỏi giao thức hoạt động ra sao, mà còn hỏi nó có thể thất bại như thế nào.

“Hãy bắt đầu bằng mô hình đe dọa. Tự hỏi: tôi có thể bị khai thác như thế nào? Nếu một trong những chủ dự án bị xâm phạm thì vùng ảnh hưởng của kịch bản đó sẽ lớn đến đâu?”

Theo nghĩa đó, vụ khai thác Drift có thể được nhớ đến không chỉ vì số tiền bị đánh cắp, mà vì điều nó phơi bày — rằng những rủi ro lớn nhất trong DeFi có lẽ không còn nằm trong mã nguồn, mà nằm ở những người vận hành nó.