Câu chuyện: DAO hack – cuộc tấn công định hình lịch sử ethereum
Vào mùa hè năm 2016, khi thị trường tiền điện tử còn non trẻ và phần lớn mọi người vẫn chưa hiểu rõ blockchain là gì, một dự án mang tính đột phá đã ra đời trên mạng lưới Ethereum, thu hút sự chú ý của cộng đồng công nghệ toàn cầu. Dự án đó tên là The DAO (Decentralized Autonomous Organization), một tổ chức tự trị phi tập trung đầu tiên, hứa hẹn sẽ cách mạng hóa cách mọi người hợp tác và đầu tư. Nhưng chỉ vài tuần sau khi ra mắt, một lỗi nghiêm trọng trong mã lập trình của nó đã bị khai thác, dẫn đến một trong những vụ tấn công gây tranh cãi nhất trong lịch sử crypto.
The DAO là một hợp đồng thông minh chạy trên blockchain Ethereum, được mô tả như một quỹ đầu tư mạo hiểm không có ban lãnh đạo. Thay vì một công ty quản lý tiền của nhà đầu tư và ra quyết định, tất cả được thực hiện tự động thông qua các dòng mã trên hợp đồng thông minh. Bất kỳ ai cũng có thể gửi ether vào The DAO để nhận token DAO, và những người nắm giữ token này có quyền bỏ phiếu quyết định cách sử dụng quỹ.
Ý tưởng này vô cùng hấp dẫn: không còn phải tin tưởng vào con người hay tổ chức, mọi quyết định đều minh bạch, được tự động hóa và không thể bị thao túng. Cộng đồng nhanh chóng đổ tiền vào. Khi đợt huy động vốn kết thúc vào tháng 5 năm 2016, The DAO đã thu hút được khoảng 150 triệu USD, chiếm tới 14% tổng lượng ether đang lưu hành lúc bấy giờ. Đây là một con số khổng lồ, cho thấy niềm tin lớn của cộng đồng vào công nghệ mới mẻ này.
Nhưng chính sự vội vàng, chưa được kiểm chứng kỹ lưỡng của mã lập trình lại là nguyên nhân dẫn đến thảm họa. Chỉ vài tuần sau, một hacker đã phát hiện ra một lỗi trong logic của hợp đồng thông minh, gọi là reentrancy bug. Lỗi này cho phép kẻ tấn công liên tục gọi một hàm rút tiền trước khi số dư của tài khoản được cập nhật, khiến hệ thống chuyển ether cho hắn ta nhiều lần trong một giao dịch duy nhất.
Ngày 17 tháng 6 năm 2016, kẻ tấn công bắt đầu khai thác lỗi, rút dần khoảng 3,6 triệu ether, tương đương khoảng 50 triệu USD vào thời điểm đó, chuyển số tiền này sang một tài khoản con (child DAO). Vì The DAO được lập trình để các quỹ trong tài khoản con bị khóa 28 ngày, nên cộng đồng Ethereum có một khoảng thời gian để tìm cách phản ứng.
Cộng đồng lập tức chia rẽ. Một bên cho rằng hợp đồng thông minh “mã là luật”, nghĩa là mọi hành động hợp pháp theo mã lập trình — kể cả khai thác lỗi — đều không nên đảo ngược. Bên kia lập luận rằng mục đích ban đầu của The DAO đã bị phản bội và số tiền nên được trả lại cho nhà đầu tư. Một cuộc tranh luận gay gắt nổ ra, không chỉ về số tiền mà còn về triết lý của blockchain: liệu chúng ta có nên can thiệp vào một chuỗi khối “bất biến” để sửa sai?
Cuối cùng, phần lớn cộng đồng Ethereum, dẫn đầu bởi Vitalik Buterin, đã bỏ phiếu đồng ý thực hiện một hard fork — tức là tách mạng lưới thành hai nhánh. Một nhánh hoàn nguyên chuỗi khối để trả lại tiền cho các nhà đầu tư bị mất, tiếp tục hoạt động với tên gọi Ethereum như ngày nay. Nhánh còn lại giữ nguyên trạng thái chuỗi ban đầu, giữ lại khoản tiền bị hack, và tiếp tục tồn tại dưới cái tên Ethereum Classic.
Vụ DAO hack trở thành cột mốc quan trọng trong lịch sử tiền điện tử. Nó không chỉ cho thấy rủi ro của việc phó mặc tài sản cho những hợp đồng thông minh chưa được kiểm định kỹ, mà còn đặt ra những câu hỏi sâu sắc về bản chất “bất biến” và “phi tập trung” của blockchain.
Bài học đúc kết
Đừng để sự phấn khích về một công nghệ mới che mờ các rủi ro tiềm ẩn. Hợp đồng thông minh chỉ thông minh nếu được thiết kế cẩn thận, kiểm tra kỹ lưỡng và liên tục được giám sát. Niềm tin mù quáng vào mã lập trình có thể dẫn đến thảm họa. Ngoài ra, vụ việc cũng nhắc nhở rằng ngay cả trong một hệ thống phi tập trung, con người vẫn đóng vai trò quan trọng trong việc định hình kết quả khi khủng hoảng xảy ra.
FAQ
Q1: The DAO là gì?
The DAO là một quỹ đầu tư phi tập trung chạy trên Ethereum, nơi các quyết định được thực hiện tự động thông qua hợp đồng thông minh và do cộng đồng bỏ phiếu.
Q2: The DAO huy động được bao nhiêu tiền?
Khoảng 150 triệu USD, chiếm khoảng 14% tổng số ether lưu hành vào thời điểm đó.
Q3: Hacker đã làm gì để lấy tiền?
Hacker khai thác một lỗi trong hợp đồng thông minh gọi là reentrancy bug, rút nhiều lần số ether trước khi hệ thống kịp cập nhật số dư.
Q4: Số tiền bị lấy đi có được trả lại không?
Đa số đã được trả lại cho các nhà đầu tư thông qua một đợt hard fork của mạng Ethereum.
Q5: Hard fork là gì?
Hard fork là việc tách blockchain thành hai nhánh riêng biệt, mỗi nhánh tiếp tục phát triển độc lập với lịch sử giao dịch khác nhau từ thời điểm tách.
Q6: Tại sao lại có Ethereum và Ethereum Classic?
Ethereum là nhánh được hard fork để trả lại tiền, còn Ethereum Classic giữ nguyên chuỗi gốc, coi “mã là luật” và không hoàn nguyên các giao dịch.
Q7: Bài học về bảo mật hợp đồng thông minh là gì?
Hợp đồng thông minh phải được kiểm toán kỹ lưỡng, thử nghiệm nhiều tình huống trước khi triển khai, và cần cơ chế ứng phó khủng hoảng.
Q8: Vụ DAO ảnh hưởng thế nào đến Ethereum?
Nó làm giảm niềm tin tạm thời, nhưng cũng giúp cộng đồng nhận ra tầm quan trọng của bảo mật, dẫn đến các tiêu chuẩn kiểm toán chặt chẽ hơn trong tương lai.
