Bài viết tóm tắt sự kiện Wormhole Bridge bị Exploited mất 120,000 WETH, cũng như góc nhìn thông qua việc này.
Wormhole Bridge, một cầu nối quan trọng, giúp người dùng chuyển token giữa các hệ sinh thái với nhau, đặc biệt là Solana, đã bị hack “mất” 120,000 WETH. Vậy sự việc diễn ra như thế nào? Liệu có nên nhìn nhận lần Exploited này cũng như bao lần Exploited khác? Anh em đọc bài viết sau để biết chi tiết.
1. Sơ lược về Wormhole Exploited
Tóm tắt diễn biến
Vào ngày 3/2/2022, khi cộng đồng đang hưởng thụ cái tết thì ở một nơi nào đó trên Solana diễn ra một vụ Exploited cực lớn. Cụ thể, Wormhole, Cross-chain Bridge kết nối Solana với các Blockchain khác, đã bị hacker “ghé thăm” và lấy đi 120,000 WETH.
Sau đó, team Wormhole đã gửi một bức thư On-Chain với nội dung là trả lại 120,000 WETH và nhận $10M coi như có công tìm ra lỗ hổng; hoặc chọn ôm 120,000 WETH và trở thành kẻ xấu. Tính đến hiện tại, có vẻ hacker thích lựa chọn thứ hai hơn.
Cuối cùng, sự việc cũng đã được giải quyết, đó là Jump Crypto đã gửi vào 120,000 ETH để không mất peg với WETH trên Solana. Tóm tắt dòng thời gian cả sự kiện như sau (thời gian là UTC, anh em +7 vào sẽ ra giờ VN):
- 18:26 ngày 3/2, Contract của Wormhole bị Exploited, mất 120,000 WETH.
- 00:33 ngày 4/2, lỗ hổng đã được vá.
- 13:08 ngày 4/2, ETH Contract đã được filled, và tất cả WETH đã được hồi phục peg.
- 13:29 ngày 4/2, Portal (token bridge) được sao lưu.
Giải thích về cách hoạt động của Wormhole
Một số anh em có thể không hiểu vì sao ETH lại có peg như Stablecoin, hay ETH có thật sự “bị mất” hay không,… thì anh em cần phải hiểu về cách hoạt động của Wormhole.
Cơ chế hoạt động của đa phần Bridge, hay cả Wormhole, là có hai Contract ở hai đầu Ethereum và Solana. Khi có người gửi ETH bên đầu Ethereum, sau khi xác thực, đầu Solana sẽ mint ra đúng số lượng đã gửi nhưng ở dạng WETH. Do đó, số WETH trên Solana đều được đảm bảo (peg) giá trị ở bên Ethereum.
Hacker tìm ra lỗ hổng, và mint ra 120,000 WETH bên đầu Solana mà không có tài sản đảm bảo bên Ethereum. Do đó, nói đúng hơn là trên thế giới tự nhiên sinh ra 120,000 WETH, chứ không hẳn là mất.
Nhưng số WETH này không được đảm bảo bởi tài sản bên Ethereum. Do đó, giá trị của chúng bị giảm đi, hay nói chính xác hơn, khi tất cả WETH trên Solana được redeem lại ở Ethereum, thì sẽ không đủ ETH để trả lại người dùng.
Trở lại diễn biến câu chuyện, hacker đã chuyển 93,750 WETH sang ETH bên Ethereum, phần còn lại bán ra USDC và SOL trên Solana.
Ngoài ra, dựa theo nguyên lý trên, thì WETH trên Solana phải bị dump rất mạnh sau đợt Exploited, nhưng thực tế, WETH ở Raydium chỉ bị dump một lúc và hồi lại rất nhanh. Đó là vì không phải WETH nào cũng được chuyển từ Wormhole, mà có thể thông qua “cầu nối Solana quốc dân”: FTX. Nên WETH được mint từ sàn FTX sẽ không bị ảnh hưởng vì có tài sản đảm bảo.
2. Vì sao Jump Crypto chấp nhận bỏ ra 120,000 ETH?
Con số $300M không hề nhỏ. Nếu anh em có đọc qua số liệu tổng hợp từ bài viết về Venture Capital, sẽ thấy số tiền gọi vốn đa phần đều dưới $10M, cho thấy thiệt hại gấp hơn 30 lần số tiền gọi vốn thông thường. Do đó khả năng cao chính team dự án không thể gánh nỗi. Và người chấp nhận bỏ tiền túi để “bù lỗ” là Jump Crypto.
Jump Trading là quỹ đầu tư được thành lập từ 1999, với hơn 1,000 nhân viên. Jump Trading là một trong những quỹ có khối lượng giao dịch lớn nhất trong tài chính truyền thống. Jump Trading tham gia Crypto vào năm 2015 với nhánh đầu tư mang tên Jump Crypto.
Lý do Jump Crypto chấp nhận bỏ ra 120,000 ETH là do họ tin vào Multichain trong tương lai, và Wormhole đóng vai trò quan trọng trong thế giới đấy. Tuy nhiên, đằng sau đó theo mình là một lý do khác. Đó là họ chấp nhận hi sinh để bảo vệ Solana. Điều đó thể hiện qua tỉ trọng danh mục đầu tư như sau:
Số lượng dự án thuộc Solana chiếm hơn 55% danh mục đầu tư của Jump Crypto. Ngoài ra, Certus One – team dev của Wormhole Bridge, cũng đã tham gia vào Jump Crypto vào đầu năm 2021. Do đó, nếu phải gọi tên một trong những bên chịu thiệt hại nhiều nhất khi Solana sụp đổ, có lẽ phải nói đến Jump Crypto.
Nhưng nếu Jump Crypto không bỏ tiền ra, thì mình nghĩ vẫn sẽ có rất nhiều bên đứng ra giải quyết sự việc, đó có thể là Sam của FTX, hay Multicoin, một trong những bên big bet vào Solana từ những năm 2020.
3. Đánh giá sự việc
Wormhole là có thể xem là cầu nối quan trọng nhất của Solana, khi kết nối hệ sinh thái này với 6 cái tên khác là Ethereum, Polygon, Avalanche, BSC, Oasis, Terra. Kết hợp với việc mạng lưới Solana bị nghẽn mạng vào đầu năm 2022, khiến cho rất nhiều người dùng bị thanh lý vì không thể gửi tài sản vào các dự án Lending để duy trì vị thế.
Việc chính Solana cùng với cầu nối lớn nhất Solana đều gặp vấn đề chỉ ra hệ sinh thái này vẫn chưa sẵn sàng cho việc đón nhận lượng người dùng lớn khi được cộng đồng chấp nhận như một giải pháp thay thế Ethereum.
Ngoài ra, nếu nhìn xa hơn, với tổng số tiền bị mất lên đến hơn $320M, đây là Exploited có tổn thất lớn thứ hai trong Crypto, chỉ sau Poly Network với mức thiệt hại $600M vào tháng 8/2021.
Tệ hơn, trước Wormhole, Qubit – dự án Lending hỗ trợ Bridge giữa BSC và Ethereum cũng bị tấn công ở cầu nối (rút tiền ở BSC mà không gửi vào Ethereum). Cả ba có đặc điểm chung là đều liên quan đến Cross-Chain. Điều này cũng cho thấy công nghệ Cross-Chain hiện tại cũng khá thô sơ, đặc biệt khi nói về bảo mật.
Trong số những dự đoán 2022 mình đọc được trên Twitter, rất nhiều bên ủng hộ tương lai nhiều hệ sinh thái phát triển mạnh, và Solana là một trong số cái tên được nhắc đến nhiều nhất. Nhưng càng phát triển, Solana sẽ càng được nhiều hacker chú ý hơn. Và Wormhole chỉ là phát súng mở đầu để nhắc nhở hệ sinh thái tiềm năng này.
4. Dự phóng
Tương lai Multichain là không thể tránh khỏi, khi đây là giải pháp được nhiều người sử dụng để giải quyết vấn đề tắt nghẽn của Ethereum. Do đó, công nghệ cần được tối ưu đầu tiên là những thứ liên quan đến Cross-Chain, và Bridge là một trong số đó.
Cross-chain Bridge (có cơ chế giống Wormhole hay Qubit) sẽ ngày càng đối diện với nguy cơ bị tấn công. Có thể Wormhole chỉ là dự án đầu tiên của 2022 bị tấn công theo cách này.
Sẽ chỉ có một vài dự án trụ lại & trở thành người thắng cuộc trong giải pháp Bridge. Nên trong năm 2022, Bridge nào chứng minh được độ an toàn và kết nối được nhiều hệ sinh thái thì khả năng cao sẽ tăng trưởng mạnh. Và các Bridge sẽ trở thành winner theo từng nhóm Chain. Không có Bridge nào có thể Dominate hết tất cả các chain trong market.
Hoặc các dự án nào đó giải quyết được các vấn đề của Multichain cũng sẽ được chú ý. Ngoài ra, một ý kiến khác mà mình đã có đề cập về việc mình chọn Cosmos trong đợt điều chỉnh này, đó là một cái tên “layer 0” sẽ trỗi dậy.
Sau các sự việc không mong muốn xảy ra đầu năm nay, team dev của các dự án trong hệ sinh thái Solana, hay chính Solana, có thể sẽ đưa yếu tố bảo mật lên hàng đầu.
5. Tổng kết
Trên đây là bài viết tóm tắt câu chuyện, cũng như cách mình nhìn nhận về Exploited của Wormhole. Anh em nghĩ sao về sự việc trên?
