Cuộc tấn công DAO – Hack ‘The DAO’
Cuộc tấn công DAO, sự kiện nổi bật trong lịch sử của blockchain đã làm rung chuyển cộng đồng Ethereum về cốt lõi của nó.
DAO là gì?
DAO là một tổ chức được thiết kế để tự động hóa và phi tập trung. Nó hoạt động như một hình thức của quỹ đầu tư mạo hiểm, dựa trên mã nguồn mở và không có cấu trúc quản lý điển hình.
Thay vì quyền kiểm soát mà việc sở hữu cổ phiếu mang lại cho nhà đầu tư trong một công ty truyền thống, trong DAO, bạn có quyền kiểm soát đối với tài sản thu thập của tổ chức dựa trên số lượng token quản trị mà bạn sở hữu.
Trong một DAO, sở hữu token quản trị cung cấp cho bạn khả năng đề xuất và bỏ phiếu về các quy tắc mới, sau đó được thực hiện tự động thông qua cuộc gọi phương thức hợp đồng thông minh. Không có Giám đốc điều hành chuyển lệnh điều hành xuống, DAO chỉ dựa vào hợp đồng thông minh để nhận công việc đã hoàn thành.
Tổ chức tự trị phi tập trung ra đời
Khái niệm về DAO lần đầu tiên được hình thành vào năm 2015 bởi một nhóm có tên là Slock.it. Để gây quỹ cho các dự án và công ty khởi nghiệp Web 3.0 khác nhau, nhóm đã xây dựng một hợp đồng thông minh huy động vốn cộng đồng – nhưng họ đã phát triển thêm nữa bằng cách lập trình quyền biểu quyết và quyền sở hữu thực tế.
Giờ đây, những người đầu tư ETH vào Slock.it sẽ nhận được một token đại diện không chỉ là khoản đầu tư ban đầu của họ cho cổ tức, giao dịch và đánh giá cao/khấu hao truyền thống, mà số lượng token đó tương đương với quyền sở hữu tỷ lệ trong tổng số Ether của quỹ.
Các DAO đại diện cho một phần mang tính cách mạng của Fintech (công nghệ tài chính) được cung cấp bởi Ethereum và không có sự phân cấp.
Hack ‘The DAO’ kỳ 1: Thiết lập
Những ngày đầu
Ra mắt vào tháng 7 năm 2015, Ethereum khi đó còn là một công nghệ sơ sinh và cộng đồng hầu như không có được lợi ích gì về việc xây dựng cơ sở hạ tầng tiện ích chức năng cho ETH. Lúc này, ETH chỉ là công nghệ “numbah go up” (công nghệ thật sự là “number go up”, việc cố tình viết sai nhằm nhấn mạnh sự chưa hoàn thiện của ETH). Mọi việc bắt đầu thay đổi cho đến khi các đội như Slock.it bắt đầu đổi mới và và nghiên cứu về “P” (khả năng lập trình) của ETH.
Ra mắt chỉ chưa đầy một năm sau đó vào tháng 5 năm 2016, “The DAO” là một chủ đề cực kỳ nóng. Sau khi tất cả, nền tảng đầu tiên thực sự phân cấp, tự trị và cộng đồng gây quỹ,… Việc đổi mới này đã khiến mọi người rất hào hứng và sẵn sàng đầu tư.
Token sale/ICO của TheDAO ($TheDAO) có nghĩa là gửi một số Ether vào hợp đồng thông minh TheDAO và nhận lại một số token $TheDAO tương đương 1 ETH = 100 TheDAO.
Sau những ngày giảm giá trôi qua, một đợt khởi sắc cũng quay trở lại. Crowdsale (đợt mở bán token) đang thu hút các con số đầu tư lên tới hàng chục triệu, theo cách kỳ vọng trước đây thì ngày càng nhiều Ether tiếp tục tràn vào. Dòng vốn đầu tư không ngừng tăng lên cho đến cuối đợt chào bán đồng coin ban đầu trong 4 tuần. Con số tổng kết đáng kinh ngạc với mức 12 triệu Ether. Con số này tương đương 150 triệu đô la trên giá trị ETH vào tháng 6 năm 2016 và 33,3 tỷ đô la dựa trên định giá ngày nay đã được gửi vào hợp đồng thông minh TheDAO.
Điều quan trọng cần lưu ý là hợp đồng thông minh TheDAO là hợp đồng đầu tiên của loại hình này. Trước đó chưa từng được thử nghiệm và được viết bằng Solidity (một ngôn ngữ chỉ mới được vài tháng), và đó cũng chính là phương pháp viết code chính của Ethereum.
Dự án đã được quảng cáo cực kỳ rầm rộ và chỉ số FOMO của các nhà đầu tư đang ở mức cao nhất mọi thời đại. Lúc này, các nhà đầu tư đã đặt cược với hy vọng rằng các token $TheDAO của họ sẽ tăng giá trị.
Quyền lợi khi sở hữu token DAO
Là chủ sở hữu token trong DAO (nếu bạn sở hữu bất kỳ token ERC-20 nào, bạn chắc chắn là một phần của DAO với các đề xuất quản trị tích cực), sau đó bạn có thể đưa ra bất kỳ loại đề xuất nào. Các đề xuất sẽ được công khai và những người sở hữu khác sẽ đưa ra bình chọn.
Một đề xuất đầu tư có thể đơn giản như: “Đề xuất cho vay 100 ETH từ kho bạc của DAO để được trả lại 110 ETH trong 6 tháng, để bắt đầu một công ty khởi nghiệp đầy triển vọng,…” Một đề xuất quản trị như: “Đề xuất tạo ra các động lực để khuyến khích người dùng trở thành nhà cung cấp thanh khoản trên Uniswap… ”Một điều thú vị mà DAO đương thời đã thực hiện là mua một NFT đắt sau đó phân phối lợi nhuận/tái đầu tư vào kho bạc.
Token DAO đại diện cho quyền sở hữu trực tiếp. Do đó, việc tích lũy số lượng lớn token DAO mang lại cho người nắm giữ ảnh hưởng lớn hơn đến các quyết định. Tỷ lệ phần trăm phiếu bầu của họ sẽ được tăng lên. Giá trị của token DAO không chỉ bắt nguồn từ năng lực đầu tư của cộng đồng mà còn bởi các quyết định quản trị.
Một lần nữa, điều quan trọng cần nhớ là đơn giản là không có cách nào để thiết lập loại quỹ mạo hiểm phi tập trung có thể truy cập toàn cầu này trước khi Ethereum xuất hiện. Vì vậy việc nhà đầu tư thổi phồng TheDAO vào thời điểm này có vẻ phù hợp. Vấn đề là Ethereum và Solidity, hai khối nền tảng của TheDAO chỉ mới trưởng thành và còn non nớt về mặt công nghệ.
Trên các forum lập trình, nhiều lập trình viên trên khắp thế giới đã đưa ra lo ngại về các lỗ hổng mã trong hợp đồng thông minh TheDAO và cách chúng có thể bị khai thác để tiêu hao số tiền thu được. Đáng tiếc rằng những cảnh báo này không được chú ý và để tâm vào lúc bấy giờ.
Hack ‘The DAO’ kỳ 2: Lỗ hổng
Hãy tưởng tượng bạn đi đến một máy ATM và rút 200 đô la. Bạn nhận được 200 đô la, nhưng bạn nhận thấy số dư của mình không thay đổi. Sau đó, bạn tiếp tục và rút 200 đô la khác nhưng số dư vẫn không thay đổi!
Bạn tiếp tục rút tiền với số lượng ngày càng cao cho đến khi số tiền trong tay của bạn lớn hơn tổng số dư của bạn. Chỉ khi bạn xóa thẻ của mình, số dư của bạn cuối cùng cũng quan tâm đến việc phản ánh những gì vừa xảy ra. Bạn có trong tay đến 120.000 đô la nhưng bạn chỉ có tổng số dư ban đầu là 2.000 đô la. Chuyện gì đang xảy ra thế kia?
Tất cả những gì bạn biết là bây giờ bạn có hơn 100.000 đô la tiền mặt vì máy ATM tiếp tục rút từ số dư ban đầu của bạn mà không cập nhật số dư mới sau mỗi lần rút tiền. Tức là mỗi khi bạn chọn “Rút 200 đô la”, máy ATM kiểm tra xem số dư của bạn có đủ hay không – xem số dư ban đầu là 2.000 đô la và rút từ số đó… nhưng sau đó không bao giờ cập nhật thành 1.800 đô la. Bạn vừa giữ máy ATM trong vòng lặp rút tiền từ 2.000 đô la ban đầu vô thời hạn.
Đây chính xác là những gì đã xảy ra trong vụ Hack ‘The DAO’ – cuộc tấn công DAO. Một lỗ hổng tương tự trong mã hợp đồng thông minh của TheDAO cho phép rút tiền trên mức phân bổ mà họ thực sự có. Loại tấn công này được gọi là khai thác lần cuối ( Reentrancy exploit). Giống như trong ví dụ ATM ở trên, các hacker tiếp tục nhập lại một giao dịch thông qua một cuộc gọi đệ quy và liên tục thực hiện rút tiền mà số dư không bao giờ được cập nhật.
Giải thích kỹ thuật về cơ chế Hack ‘The DAO’
Tất cả những lỗ hổng bị che lấp bởi sự phấn khích và cường điệu hóa một cách thái quá một trong những dự án nền tảng đầu tiên của Ethereum. Mọi thứ đã dần đi đến đỉnh điểm của sự hỗn loạn và tất cả là một sự kết hợp hoàn hảo cho một “vụ nổ” cuối cùng.
Ngày 17 tháng 6 năm 2016, một ngày bình thường khoảng một tháng sau khi TheDAO ra mắt, đột nhiên Ether bắt đầu bị rút cạn kiệt nhanh chóng khỏi hợp đồng thông minh “TheDAO” với tốc độ 100 Ether mỗi giây.
Nhờ giá Ether tăng vào thời điểm đó, hợp đồng lúc này đã nắm giữ tổng cộng 250 triệu đô la. Cơn lốc đột ngột cuốn số tiền ấy rời khỏi hợp đồng này đã khiến một cộng đồng toàn cầu gồm các nhà phát triển Ethereum và các bên liên quan đầy rẫy sự nghi ngờ nhau. Ai đã rút chúng và làm thế nào để dừng lại?
Chuyện gì đến rồi cũng sẽ đến, tất cả sự cường điệu về Crowdsale của Slock.it khi đó đã sụp đổ và kết thúc một cách đầy đau đớn. Một dự án được cho là sẽ khởi đầu suôn sẻ trong thời đại mới của kỹ thuật tài chính phi tập trung đã bắt đầu mất hàng triệu đô la mỗi phút của nhà đầu tư. Lỗ hổng thực sự đã được nhiều nhà phát triển trên khắp thế giới ám chỉ đã bị phát hiện quá muộn.
Hack ‘The DAO’ kỳ 3: Dagor Dagorath – Trận chiến cuối cùng
Sự hợp sức
Các nhân vật quan trọng, bao gồm các bên liên quan của TheDAO bắt đầu nổi lên để chống lại cái ác. Họ bao gồm: Griff Green – quản lý cộng đồng tại Slock.it, Alex Van de Sander – một nhà phát triển Ethereum và Christoph Jentzch, lãnh đạo tại Slock.it,…
Khi Ether trị giá hàng triệu đô la tiếp tục bị rút cạn từng phút, các Hacker mũ trắng có mặt ở trên đã phải đối mặt với sự căng thẳng to lớn trong việc đưa ra một kế hoạch giải quyết tình hình. Các nhà phát triển Ethereum trên khắp thế giới đã được kêu gọi tham gia tìm cách cứu rỗi vì lo ngại sự việc lần này của TheDAO có thể đủ ảnh hưởng và giết chết Ethereum vĩnh viễn.
Một Soft Fork (tạm hiểu là giải pháp nâng cấp) đã được đề xuất: yêu cầu các thợ đào không xử lý bất kỳ giao dịch nào đến từ hợp đồng “The DAO”.
Một đợt Hard Fork gây tranh cãi cũng đã được đề xuất: về bản chất, nó sẽ chỉ đơn giản là chuyển quyền quản lý ETH hiện có trong hợp đồng thông minh TheDAO sang một hợp đồng khác an toàn hơn, nơi các khoản tiền sẽ được bảo đảm.
Hai quan điểm trái ngược đã xuất hiện: một bên, những người ủng hộ việc giữ nguyên cốt lõi, không nên tiến hành Hard Fork tuyên bố rằng không nên can thiệp, tính bất biến của blockchain là quá quan trọng.
Ở góc độ phản đối, có những người ủng hộ sự can thiệp: cần phải hành động để giảm thiểu tác động của thảm họa có một không hai này.
Trong bối cảnh ngày càng nhiều ETH bị rút cạn, một nhóm được mệnh danh là “Nhóm Robin Hood”, bao gồm những cá nhân và tổ chức đã được đề cập ở trên. Họ đã thành lập và là nòng cốt trong cuộc chiến “mũ trắng” (Hack có mục đích tốt) để lấy lại tiền trước khi tất cả hoàn toàn bị đánh cắp bởi những kẻ tấn công nguy hiểm.
Cuộc chiến giữa các “Hacker mũ đen” và “Hacker mũ trắng”
Vào ngày đầu tiên của cuộc tấn công, bọn Hacker đã đánh cắp khoảng 30% tổng nguồn cung trong hợp đồng thông minh “The DAO” – và sau đó đã dừng lại một cách bí ẩn. Vào ngày thứ 2, kẻ tấn công lại xuất hiện và bắt đầu rút sạch ETH một lần nữa.
Trong khi đó, Robin Hood Group đã bận rộn dự trữ và kiểm soát các token với con số lên đến 300.000 $TheDAO. Hãy nghĩ lại ví dụ về máy ATM: token tương tự các thẻ ATM của bạn, bạn sở hữu càng nhiều token, thì số tiền bạn có thể rút tại một thời điểm càng cao, tạo ra một cuộc tấn công hiệu quả hơn.
Nhóm Robin Hood, với các kiến nghị tới cộng đồng và nhà đầu tư, đã tích lũy được 6.000.000 token $TheDAO trong các khoản quyên góp.
Từng giây trôi qua và ETH trị giá hàng triệu đô la tiếp tục bị rút sạch… nhóm không còn lựa chọn nào khác ngoài việc bắt đầu một cuộc phản công. Nhóm đã phải làm những gì mà bọn Hacker mũ đen (Hack với mục đích xấu) đang làm: gửi các token $TheDAO vào hợp đồng thông minh “The DAO” để rút một khoản tiền ETH tương đương và sau đó gọi đệ quy hàm buggy để rút nhiều ETH hơn số lượng được hưởng 6.000.000 token đang có. Cùng với sự cải tiến liên tục của bot rút tiền tự động, cho phép các Hacker mũ trắng rút gần 30.000 đô la sau mỗi 5 giây.
Dagor Dagorath đẫm máu đã kết thúc. Đáng mừng là 70% đã được thu hồi bởi Robin Hood Group. Đến tận bây giờ, $TheDAO vẫn giữ nguyên giá trị, 1 $TheDAO = ~$27,8 kể từ ngày ra mắt.
Kẻ trộm đã bị ngăn chặn, mặc dù đã giành được chiến thắng bằng cách thu hồi số lượng ETH lớn hơn. Nhưng 70% số tiền thu hồi được vẫn dễ bị đánh cắp lần nữa do cách hoạt động của việc rút tiền của DAO. Bọn Hacker mũ đen vẫn có quyền kiểm soát trực tiếp hơn 30% số tiền, khoảng 2 triệu ETH và vẫn có thể rút chúng sau thời gian chờ đợi.
Hack ‘The DAO’ kỳ 4: Giải pháp và sự tranh cãi
Việc rút tiền của bọn trộm tạm thời bị đình trệ, một giải pháp nào đó triển khai trước khi thời gian chờ để rút tiền kết thúc. Theo xem xét thì Soft fork không phải là một lựa chọn hợp lệ. Các giải pháp khác khả thi hơn là không làm gì hoặc Hard Fork.
Bên cạnh những sự ủng hộ nhiệt tình thì cũng có không ít ý kiến trái chiều phản đối Hard Fork. Cuối cùng, sau một cuộc bỏ phiếu gây tranh cãi của cộng đồng, đợt Hard Fork đã được chấp thuận và được thiết lập để xảy ra ở số block 1.920.000.
Hack ‘The DAO’ kỳ 5: Phương án cuối cùng
Hard Fork đến và diễn ra khá ngẫu nhiên. Bất kỳ block nào được khai thác sau block 1.920.000 trên chuỗi ban đầu không còn được coi là ETH nữa. Không gian song song được tạo ra bởi Hard Fork đã thành công và nó đã xóa bỏ ảnh hưởng của Dagor Dagorath một cách hiệu quả. ETH bạn sử dụng ngày nay tồn tại trong chiều không gian song song này.
Hard Fork đã dẫn đến hai blockchain Ethereum cạnh tranh và hiện đang tách biệt nhau. Những người từ chối chấp nhận Hard Fork đã quay trở ủng hộ phiên bản tiền fork – là Ethereum Classic (ETC). Phiên bản ETC này chứa hậu quả của vụ Hack ‘The DAO’. Blockchain hiện được gọi là Ethereum ($ETH) là blockchain đã thực hiện Hard Fork, trong đó ETH trong Hợp đồng thông minh TheDAO đã được bảo vệ an toàn.
Vụ hack DAO và đợt Hard Fork tiếp theo của Ethereum đã làm rung chuyển cộng đồng Ethereum về cốt lõi của nó và làm nổi bật những câu hỏi lớn về công nghệ mới nổi. Nhìn lại, rõ ràng là các quyết định của Vitalik Buterin, các nhà phát triển Ethereum và cộng đồng trên toàn cầu đã đảm bảo sự tồn tại của blockchain trong những ngày đầu tiên. Kể từ vụ Hack ‘The DAO’, Ethereum đã trở thành một trụ cột thiết yếu của blockchain, tiền điện tử và tài chính phi tập trung.
Kết luận
Khả năng “phóng xạ” của chuỗi sự kiện này là không thể phủ nhận. Vụ Hack ‘The DAO’ khiến cộng đồng Ethereum bị chia rẽ thành nhiều bên liên quan và các nhà đầu tư đã đổ xô sang các dự án khác.
Tuy nhiên, với giá trị và sức ảnh hưởng của đồng coin với vốn hóa thị trường lớn thứ hai chỉ sau Bitcoin – Ethereum, đã có rất nhiều ý kiến cho rằng đó cũng là một may mắn với Ethereum.
Các kỹ sư và nhà phát triển, trụ cột của sự đổi mới và phát triển, đã được một bài học về rủi ro thực sự của việc thiết kế và triển khai các hợp đồng thông minh không an toàn/chưa được kiểm tra. Các bên liên quan và nhà đầu tư, cốt lõi đã học được những tác động xương máu của việc đầu tư vào các hợp đồng thông minh không an toàn/chưa được kiểm chứng.
Dagor Dagorath sẽ là một sự kiện nhỏ so với những sự kiện tương tự như hợp đồng thông minh AAVE, chứa gần 10 tỷ đô la bị tấn công qua vụ Hack Cream.
Có thể nói rằng những sự kiện ban đầu này đã thắp lên ngọn lửa của tất cả các bên liên quan về sự cần thiết trong việc thiết lập thêm một hệ sinh thái an toàn, lành mạnh và lâu dài.
Nội dung được dịch và biên tập lại từ CoinMarketCap. Trong quá trình dịch không tránh được các sai sót khi biên dịch các thuật ngữ chuyên môn. Bạn có thể đọc bài viết gốc tại đây. Cảm ơn các bạn đã ủng hộ tiendientu.com.
Nếu có bất kỳ câu hỏi và chia sẻ, hãy để lại bình luận bên dưới và đừng ngại tham gia X100 Coin Group để được thảo luận, trao đổi cùng các admin và nhiều member khác nhé!
Đừng quên theo dõi thường xuyên trang tiendientu.com – Nơi cung cấp và cập nhật các thông tin chi tiết liên quan về tiền điện tử nhanh nhất.
Nguồn CoinMarketCap.
