Humanity Protocol mất hơn 36 triệu USD vì lỗi bảo mật sơ đẳng: Bài học đắt giá cho ngành blockchain
Humanity Protocol thiệt hại hơn 36 triệu USD vì một chiếc laptop bị xâm nhập
Ngành công nghiệp blockchain vừa chứng kiến một trong những sự cố bảo mật đáng chú ý nhất năm khi Humanity Protocol xác nhận bị hacker đánh cắp hơn 36 triệu USD token H. Điều đáng nói là nguyên nhân không đến từ một lỗ hổng kỹ thuật phức tạp trong giao thức blockchain, mà xuất phát từ sai sót cơ bản trong việc quản lý khóa bảo mật.
Theo thông tin được Humanity Protocol công bố, vụ tấn công bắt đầu khi máy tính xách tay của một nhân viên bị xâm nhập. Thiết bị này lưu trữ nhiều khóa quản trị quan trọng liên quan đến các cầu nối (bridge) của dự án giữa các blockchain khác nhau.
Kẻ tấn công sau đó đã tận dụng các khóa bị lộ để giành quyền kiểm soát hệ thống cầu nối token, triển khai mã độc và thực hiện hàng loạt giao dịch trái phép, gây thiệt hại hàng chục triệu USD.
Ví đa chữ ký trở nên vô nghĩa khi các khóa được lưu cùng một nơi
Trong lĩnh vực blockchain, ví đa chữ ký (multisig wallet) được xem là một trong những biện pháp bảo mật quan trọng nhất. Thay vì chỉ cần một khóa riêng tư để xác nhận giao dịch, hệ thống yêu cầu nhiều chữ ký từ nhiều bên khác nhau.
Mục tiêu của mô hình này là phân tán rủi ro. Ngay cả khi một cá nhân hoặc một thiết bị bị tấn công, hacker vẫn không thể chiếm quyền kiểm soát tài sản nếu chưa thu thập đủ số lượng khóa theo quy định.
Tuy nhiên, Humanity Protocol đã vô tình làm mất đi ý nghĩa của cơ chế này khi nhiều khóa đa chữ ký lại được sao lưu trên cùng một thiết bị.
Theo báo cáo điều tra nội bộ, hacker đã lấy được:
- 3 trong số 6 khóa quản trị cầu nối trên Ethereum.
- 3 trong số 5 khóa quản trị trên BNB Chain.
Số lượng khóa này đủ để vượt qua ngưỡng xác thực và kiểm soát toàn bộ hệ thống cầu nối trên cả hai mạng blockchain.
Đây được xem là một sai lầm nghiêm trọng về mặt vận hành và bảo mật.
Hacker kiểm soát cầu nối Ethereum và rút 141 triệu token H
Sau khi giành quyền truy cập các khóa cần thiết trên Ethereum, hacker nhanh chóng chuyển quyền sở hữu tài khoản quản trị sang ví cá nhân.
Tiếp theo, đối tượng thay thế mã nguồn cầu nối bằng phiên bản độc hại nhằm tạo điều kiện thực hiện các giao dịch trái phép.
Kết quả là khoảng 141 triệu token H đã bị rút khỏi hệ thống chỉ trong một giao dịch.
Việc kiểm soát được hợp đồng cầu nối giúp hacker có quyền thao túng quá trình chuyển tài sản giữa các blockchain, tạo ra thiệt hại nghiêm trọng cho toàn bộ hệ sinh thái Humanity Protocol.
Tiếp tục tấn công trên BNB Chain và tạo ra 200 triệu token mới
Không dừng lại ở Ethereum, kẻ tấn công tiếp tục khai thác các khóa quản trị trên BNB Chain.
Lần này, hacker cài đặt một đoạn mã cho phép tạo token không giới hạn. Điều này đồng nghĩa với việc đối tượng có thể “in” ra số lượng token H tùy ý mà không cần bất kỳ tài sản đảm bảo nào.
Theo Humanity Protocol, khoảng 200 triệu token H mới đã được tạo trực tiếp vào ví của hacker.
Việc phát hành token ngoài kiểm soát không chỉ gây tổn thất tài chính mà còn làm suy giảm niềm tin của nhà đầu tư đối với toàn bộ dự án.
Nhà sáng lập thừa nhận sai sót trong quá trình thiết lập
Trong trao đổi với truyền thông, nhà sáng lập Humanity Protocol, Terence Kwok, cho biết dự án thực tế đã triển khai hệ thống ví đa chữ ký trải rộng trên bốn cá nhân khác nhau.
Tuy nhiên, trong quá trình thiết lập ban đầu, một số khóa đã vô tình được sao lưu trên thiết bị sau này bị xâm nhập.
Ông nhấn mạnh rằng phần lớn kho token của dự án được lưu ký bởi các đơn vị được cấp phép và các kho vận hành sử dụng công nghệ MPC (Multi-Party Computation). Tuy nhiên, một số hợp đồng thông minh vẫn phụ thuộc vào các khóa đa chữ ký truyền thống.
Theo ông Kwok, việc sao lưu các khóa trên cùng một thiết bị chính là nguyên nhân trực tiếp dẫn đến sự cố.
Dự án khẩn cấp phong tỏa cầu nối và phối hợp điều tra
Ngay sau khi phát hiện vụ tấn công, Humanity Protocol đã thực hiện hàng loạt biện pháp khẩn cấp nhằm giảm thiểu thiệt hại.
Các hành động bao gồm:
- Tạm dừng toàn bộ hoạt động gửi và rút token thông qua các cầu nối bị ảnh hưởng.
- Phối hợp với các sàn giao dịch tiền mã hóa để theo dõi dòng tiền.
- Làm việc với cơ quan thực thi pháp luật nhằm truy tìm thủ phạm.
- Tiến hành đánh giá toàn bộ hệ thống bảo mật.
Ngoài ra, dự án cũng đã gỡ bỏ một số thông tin liên quan đến đội ngũ khỏi website chính thức trong thời gian xử lý khủng hoảng.
Nhà đầu tư lo ngại sau sự cố của startup được định giá 1,1 tỷ USD
Sự cố đặc biệt gây chú ý bởi Humanity Protocol không phải là một dự án nhỏ.
Năm 2025, startup này từng huy động thành công 20 triệu USD từ các nhà đầu tư lớn như Pantera Capital và Jump Crypto, đạt mức định giá lên tới 1,1 tỷ USD.
Vụ việc đặt ra câu hỏi về khả năng quản trị rủi ro của các startup blockchain, ngay cả khi được hậu thuẫn bởi những quỹ đầu tư hàng đầu thị trường.
Giá token H lao dốc mạnh sau vụ tấn công
Tác động của vụ hack không chỉ dừng lại ở thiệt hại tài sản.
Theo dữ liệu thị trường, token H đã giảm từ khoảng 67 cent xuống chỉ còn 5 cent ngay sau khi vụ tấn công xảy ra.
Dù sau đó đồng tiền này phục hồi về vùng giá khoảng 20 cent, mức giao dịch hiện tại vẫn thấp hơn đáng kể so với thời điểm trước sự cố.
Bên cạnh đó, nhà điều tra blockchain nổi tiếng ZachXBT cũng đặt ra nhiều câu hỏi liên quan đến hoạt động giao dịch của token H trước thời điểm mở khóa lượng lớn token theo lịch trình.
Những nghi vấn này tiếp tục khiến cộng đồng theo dõi sát sao diễn biến của Humanity Protocol trong thời gian tới.
Bài học đắt giá cho toàn ngành blockchain
Vụ việc của Humanity Protocol cho thấy một thực tế rằng công nghệ tiên tiến không thể thay thế hoàn toàn các nguyên tắc bảo mật cơ bản.
Ví đa chữ ký được thiết kế để giảm thiểu rủi ro từ việc một khóa riêng tư bị lộ. Tuy nhiên, khi nhiều khóa được lưu trữ trên cùng một thiết bị, toàn bộ lớp bảo vệ này gần như bị vô hiệu hóa.
Sự cố hơn 36 triệu USD không chỉ là cú sốc đối với Humanity Protocol mà còn là lời cảnh báo mạnh mẽ dành cho các dự án blockchain đang quản lý lượng tài sản trị giá hàng tỷ USD.
Trong bối cảnh ngành công nghiệp tài sản số ngày càng phát triển, việc tuân thủ nghiêm ngặt các tiêu chuẩn bảo mật vận hành có thể quan trọng không kém, thậm chí quan trọng hơn cả những công nghệ blockchain tiên tiến nhất.
Humanity Protocol bị mất bao nhiêu tiền?
Dự án xác nhận thiệt hại hơn 36 triệu USD token H do hacker chiếm quyền kiểm soát các cầu nối blockchain.
Nguyên nhân chính của vụ hack là gì?
Một máy tính xách tay bị xâm nhập đã lưu trữ nhiều khóa đa chữ ký quan trọng, tạo điều kiện để hacker vượt qua các cơ chế bảo mật.
Hacker đã làm gì sau khi chiếm được các khóa?
Đối tượng thay đổi mã cầu nối, rút token hiện có và tạo thêm hàng trăm triệu token H mới trên BNB Chain.
Humanity Protocol đã xử lý ra sao?
Dự án đã tạm dừng các cầu nối bị ảnh hưởng, phối hợp với sàn giao dịch và cơ quan chức năng để điều tra và thu hồi tài sản.
Giá token H hiện nay thế nào?
Sau khi giảm mạnh xuống khoảng 5 cent, token H đã phục hồi lên gần 20 cent nhưng vẫn thấp hơn nhiều so với mức khoảng 67 cent trước khi xảy ra vụ tấn công.
