Axie Infinity đã bị hack như thế nào, giá trị số tiền bị hack được tính ra sao, người dùng có bị ảnh hưởng không, liệu hacker có thể thoải mái sử dụng hơn 600 triệu USD lấy được.
Làm sao để Axie Infinity bị hack?
Axie Infinity là một trò chơi blockchain nổi tiếng được phát triển bởi Studio Sky Mavis ở Việt Nam, do CEO Nguyễn Thành Trung đứng đầu. Trò chơi này đã có vốn hóa lên đến hàng tỷ đô la và đang đứng đầu thế giới trong lĩnh vực gamefi.
Axie Infinity do Nguyễn Thành Trung làm CEO
Vào ngày 29/3, Ronin Network (RON) - một blockchain phụ (sidechain) do Sky Mavis xây dựng để kết nối với mạng Ethereum, nền tảng công nghệ phi tập trung cho phép người dùng chuyển tiền mã hoá thông qua blockchain - đã điều chỉnh để hỗ trợ sự phát triển của trò chơi. Điều này giúp giảm phí giao dịch trong game và giải quyết vấn đề nghẽn mạng trên Ethereum sau khi bị hacker tấn công và lấy cắp 173.600 Ethereum và 25,5 triệu USDC.
RON có thể được xem như một ngân hàng trong Axie Infinity, lưu giữ toàn bộ doanh thu từ trò chơi bao gồm cả phí tham gia và các khoản thanh toán khác.
Cách mà hacker có thể tấn công và đánh cắp số tiền đó là thông qua việc chiếm đoạt 4/9 node trong hệ thống blockchain xây dựng bởi RON. Để thực hiện giao dịch rút hoặc nạp tiền, hệ thống yêu cầu sự đồng thuận từ tối thiểu 5/9 node. Điều này đồng nghĩa với việc hacker đã thực hiện chiến thuật chiếm đoạt lợi thế với 4/9 node để thực hiện cuộc tấn công thành công.
Hình ảnh vụ game Axie Infinity của người Việt bị hack hơn 600 triệu USD được chụp từ nguồn: https://itcctv.s3.ap-southeast-1.amazonaws.com/blogs/FQC9nUx4QIwFDBcEMEiKRitUbvbQwWeRhutIyHO9.jpg
Trong quá trình phát triển, 1/9 node đã được giao cho cộng đồng Axie DAO để quản lý. Tuy nhiên, vì tốc độ tăng trưởng nhanh chóng và số lượng người dùng lớn, vào tháng 11/2021, Sky Mavis đã yêu cầu quyền xác thực giao dịch thay cho Axie DAO. Mặc dù sau một tháng yêu cầu này đã bị ngưng, quyền truy cập vào danh sách xác thực vẫn chưa bị thu hồi. Hacker đã tận dụng lỗ hổng này để chiếm đoạt 5/9 node và tiến hành giao dịch rút tiền.
Sau khi xảy ra sự kiện, RON đã tăng cường mức độ bảo mật lên 8/9 node khi thực hiện giao dịch nạp và rút tiền trên hệ thống.
Tại sao lại có hơn 600 triệu USD bị hack?
Khi bị hack, số tiền mà hacker lấy đi là tiền mã hoá, bao gồm 173.600 Ethereum và 25,5 triệu USDC (đồng tiền mã hoá có giá trị tương đương với USD). Tính theo giá trị trên các sàn giao dịch, 1 Ethereum lúc đó có giá trị hơn 3.400 USD, tổng giá trị của số tiền này sau khi quy đổi lên tới hơn 600 triệu USD. Điều này ngụ ý rằng giá trị của tiền mã hoá bị hack sẽ được xác định bằng giá trị giao dịch tương ứng trên thị trường hiện tại.
Người chơi chào đón một cách bình thản.
Sự việc hack tiền mã hoá gây chấn động trong cộng đồng game Axie Infinity nhưng đa số người chơi không quan tâm. Người viết đã chia sẻ thông tin vào group Facebook, Telegram nhưng không thu hút sự quan tâm hoặc thảo luận. Cộng đồng vẫn tập trung vào các vấn đề game như đội hình pet, chế độ chơi và giao dịch NFT.
Hoàng Minh Thiên, một game thủ Axie Infinity tại TP.HCM, chia sẻ: “Cộng đồng game Axie tại Việt Nam vẫn hoạt động bình thường mặc dù có những biến động xảy ra. Tôi tin rằng vấn đề đang được nhà phát hành game xử lý và không ảnh hưởng nhiều đến người chơi. Chúng tôi hy vọng sẽ sớm vượt qua khó khăn, và trong khi đó, chúng tôi vẫn tiếp tục tham gia trải nghiệm game.”
Hình ảnh: Toàn cảnh vụ việc hack game Axie Infinity của người Việt bị thiệt hại hơn 600 triệu USD.
Sau sự cố đã xảy ra, giá của các đồng tiền điện tử liên quan đến Axie Infinity đã có dấu hiệu giảm, với đồng AXS và SLP giảm khoảng 7-8% và đồng RON giảm đến 20%. Tuy nhiên, đối với các nhà đầu tư tiền mã hoá, việc mức giảm của một dự án game blockchain như vậy là phổ biến và không gây ảnh hưởng nhiều đối với thị trường. Thậm chí có thời điểm game bị lạm phát các đồng tiền này còn giảm sâu hơn rồi sau đó lại phục hồi, vì vậy không có gì phải lo ngại.
Theo các chuyên gia về game blockchain, việc người dùng không bị ảnh hưởng trực tiếp bởi vụ hack này rất dễ hiểu. Điều này là do vụ việc chỉ ảnh hưởng đến Sky Mavis và tài sản của dự án, trong khi tài khoản và tiền trong game của người chơi vẫn an toàn. Tuy nhiên, có thể quy đổi tiền của người chơi sẽ bị chậm trễ một thời gian trong quá trình xử lý sự cố từ phía Sky Mavis.
Trong phát biểu trên Bloomberg gần đây, COO của Studio Game Sky Mavischia - ông Aleksander Leonard Larsen, đã tuyên bố rằng họ sẽ hoàn trả cho người chơi trong thời gian sớm nhất có thể và đang nghiên cứu giải pháp cho vấn đề này. Cuộc thảo luận đang diễn ra để tìm ra giải pháp tối ưu.
Theo Larsen, lãnh đạo của Sky Mavis vẫn đang hợp tác với các chuyên gia bảo mật mạng để đảm bảo an toàn cho mạng nội bộ của công ty. Công ty đang tiến hành đánh giá chi tiết để loại bỏ mọi nguy cơ tiềm ẩn. Vụ hack đã gây mất quyền sở hữu tất cả ETH và USDC, dẫn đến việc cặp ETH/USDC trên Ronin Network không còn được hỗ trợ. Tuy nhiên, công ty đang xem xét các phương án khác.
Hacker gặp khó khăn khi cố gắng sử dụng số tiền họ hack được
Các sàn tiền mã hoá hàng đầu như Binance, FTX, Huobi đã cam kết sẽ hỗ trợ Axie Infinity trong việc truy tìm tác nhân đã tấn công và lấy cắp hơn 600 triệu USD.
Theo các chuyên gia an ninh mạng hàng đầu trong và ngoài nước, trong vụ tấn công vào Axie Infinity, hacker đã thực hiện một hành động độc đáo bằng cách chuyển một phần ETH bị đánh cắp đến các sàn giao dịch tiền mã hóa như FTX, Crypto.com và Houbi mà không chuyển đổi sang các loại tiền mã hóa khác để ẩn danh tính.
Theo báo cáo mới nhất từ Blockchain Intelligence Group, một công ty theo dõi hoạt động tiền mã hóa trên khắp thế giới, số tiền trong vụ hack lịch sử này đã được chuyển tới nhiều sàn giao dịch khác nhau, bao gồm FTX (1.219,98273106253 ETH), Crypto.com (1 ETH) và Huobi (3.750 ETH). Hầu hết số tiền còn lại đang được lưu trong ví điện tử có địa chỉ: https://etherscan.io/address/0x098b716b8aaf21512996dc57eb0615e2383e2f96. Tuy nhiên, ví điện tử này đã bị khóa lại để ngăn chặn hacker rút tiền và chuyển điều chỉnh nơi khác.
Các giao dịch tiền mã hóa, mặc dù có thể ẩn danh, vẫn có khả năng bị truy vết do ràng buộc liên quan đến danh tính trong ví điện tử. Các sàn giao dịch như FTX và Crypto.com thường yêu cầu người dùng thực hiện xác thực eKYC bằng cách cung cấp thông tin cá nhân như số điện thoại, email, giấy tờ cá nhân và ảnh chụp gương mặt.
Dữ liệu mới công bố từ Peckshield, một công ty chuyên nghiên cứu dữ liệu blockchain, đã cho thấy hacker đã chuyển số lượng ETH ra 6 tài khoản khác nhau và thực hiện các giao dịch chia nhỏ hoặc chuyển tiền đến các tài khoản khác trước khi đẩy lên sàn giao dịch. Số tiền 25,5 triệu USDC đã được chuyển sang hai ví và đổi sang ETH trên nền tảng Multichain. Tất cả các hoạt động đã được ghi lại trong hệ thống.
Điều này đồng nghĩa với việc hacker không thể rút tiền đã chuyển vào ví từ các sàn giao dịch, giúp Binance, Huobi và các sàn khác hỗ trợ Axie Infinity trong việc xử lý lượng tiền mã hóa này.
Cách đây không lâu, hệ thống Poly Network đã trải qua một vụ hack tiền mã hoá khiến gần 260 triệu USD bị hacker chiếm đoạt. Tuy nhiên, số tiền đã sau đó được trả lại. Hacker thừa nhận hành động của mình là "cho vui" và yêu cầu mạng này chuyển 500.000 USD để hoàn trả số tiền trên mà không bị truy cứu trách nhiệm hình sự. Theo các chuyên gia bảo mật, hacker chọn phương án trả lại do không thể "rửa" số tiền quá lớn.
Lê Mỹ (Tổng hợp)
Viết bình luận