624 triệu đô la Mỹ lớn cỡ nào? Nó ngang bằng với lợi nhuận trước thuế của ngân hàng Quân đội (MBBank) làm ra trong năm ngoái. Số tiền khổng lồ này đã bị tin tặc đánh cắp trong vụ tấn công liên quan đến kỳ lân Sky Mavis, công ty sáng tạo ra trò chơi Axie Infinity nổi tiếng toàn cầu. Ít ngày sau khi phát hiện vụ việc gây ra thiệt hại lớn nhất lịch sử tiền mã hoá, nhóm điều hành công ty bốn năm tuổi đi đến một quyết định quan trọng: họ sẽ tìm cách huy động 624 triệu đô la Mỹ để hoàn trả cho người chơi. 

Cuộc tấn công đến như gáo nước lạnh dội lên đầu toàn đội ngũ Sky Mavis. Quy mô nhân sự công ty đã tăng gấp ba lần kể từ tháng 6.2021, thời điểm Axie Infinity bắt đầu gây tiếng vang và thu hút được số lượng người chơi tăng nhanh như vũ bão. Nó cũng đến ngay trước thời điểm Sky Mavis lên kế hoạch tung ra Axie Infinity Origin, phiên bản trò chơi Free to Play (chơi game không cần tiền đầu tư ban đầu) nhằm thay thế cho phiên bản Play to Earn (chơi để kiếm tiền) đang thoái trào. Origin được ấp ủ để giải quyết những vấn đề còn tồn tại của phiên bản Axie Infinity hiện tại, đáp ứng các tiêu chí là vui hơn và có thể tiếp cận được với nhiều người chơi hơn. Cuộc tấn công khiến cho gần như toàn bộ đội ngũ Sky Mavis phải tập trung cho việc xử lý khủng hoảng, dẫn đến Origin sau đó ra mắt chậm vài tuần. 

Ba tuần sau vụ tấn công, Nguyễn Thành Trung - đồng sáng lập kiêm tổng giám đốc của Sky Mavis gặp gỡ phóng viên của Bloomberg Businessweek Việt Nam tại một quán cà phê tại trung tâm quận 1, TP.HCM. Trung mặc áo polo trắng, quần lửng, đi giày thể thao, phong cách quen thuộc thường thấy. Với những người không biết, khó có thể hình dung đây là tổng giám đốc của công ty công nghệ được định giá ba tỉ đô la Mỹ. Mặt khác, trông anh cũng không giống người đang điều hành công ty vừa thiệt hại 624 triệu đô la Mỹ do tin tặc tấn công. Trung gọi một ly cà phê ủ lạnh, bắt đầu nói chuyện một cách từ tốn. 

Đã bao giờ bạn nhận được tin nhắn hoặc email thông báo vào một ngày đẹp trời: “bạn đã trúng thưởng một chuyến du lịch đi Maldives 5 ngày 6 đêm, mời bạn truy cập vào đường dẫn sau để điền thêm thông tin”? Đó khả năng cao là một tin nhắn lừa đảo. Trong lĩnh vực công nghệ thông tin gọi đây là “tấn công phi kỹ thuật – social engineering”, kiểu tấn công sử dụng các hình thức tao túng hành vi của con người thay vì tập trung khai thác lỗ hổng bảo mật của máy móc thiết bị. Tin tặc đã tiếp cận các kỹ sư của Sky Mavis theo cách đó. Dưới vỏ bọc là thư đề nghị đến từ một đơn vị tuyển dụng nhân sự trong lĩnh vực blockchain, mã độc giúp tin tặc tấn công vào máy tính cá nhân của các kỹ sư. Cái dở ở đây là máy tính cá nhân lại có quyền truy cập đến máy chủ, Nguyễn Thành Trung thuật lại. 

Mạng blockchain Ronin mà Sky Mavis xây dựng sử dụng cơ chế đồng thuận bằng chứng uỷ quyền (Proof of Authority – POA). POA dựa trên số lượng nút xác thực giới hạn, mà mỗi nút xác thực là một thực thể được lựa chọn dựa trên danh tiếng và độ uy tín. Trước khi vụ tấn công diễn ra, mạng Ronin có tất cả chín nút xác thực. 

Tin tặc chiếm được nút xác thực thông qua tấn công phi kỹ thuật, sau đó tiếp tục khai thác lỗ hổng hệ thống đã có từ trước. Trước đó, khi cần các nút giao tiếp với nhau để ký được các giao dịch không mất phí, Ronin thiết lập cơ chế tin nhau giữa các nút. Từ ba nút chiếm được, tin tặc gửi thông tin sang hai nút khác và họ không khó lấy được chữ ký của năm trên chín nút do lỗ hổng tương tự. Qua đó, tin tặc rút được lượng lớn tài sản mã hoá mà không hề có giao dịch nào xảy ra. Ngày 23.3.2022 trở thành điểm đen trong lịch sử phát triển của Sky Mavis.

Sky Mavis đã phản ứng lại một cách chậm trễ. Năm ngày sau vụ tấn công, người dùng báo cáo tình trạng không thể rút tiền khỏi hệ thống. Đội ngũ bấy giờ mới nhận ra có điểm bất thường. Nguyên nhân là trước đó Sky Mavis đã không cài đặt các biện pháp để theo dõi chi tiết các giao dịch. Nguyễn Thành Trung giải thích rằng, trên tổng khối lượng công việc đồ sộ phải làm trong giai đoạn phát triển, đó không phải khoản mục có mức độ ưu tiên cao. Không mất quá nhiều thời gian để biết được cách thức tin tặc sử dụng để tấn công vào hệ thống. Quá trình sau đó, Sky Mavis bắt đầu làm việc chặt chẽ với các cơ quan điều tra, cũng như công bố thông tin ra bên ngoài.

“Bị tấn công tất nhiên là dở rồi, nhưng bị tấn công lần thứ hai chắc chắn là dở hơn nữa”, Trung nói. Nên một nhiệm vụ quan trọng của Sky Mavis là vá lại hết tất cả các lỗ hổng. Nhưng khác với một cuộc tấn công ngoài đời thực, tấn công công nghệ cao đa phần rất khó truy vết. Quá trình rà soát và kiện toàn hệ thống kéo dài cả tháng trời, sau đó phải thuê các đơn vị kiểm tra lại nhiều lần. 

Con số thiệt hại quá lớn cộng thêm nhiều người dùng bị ảnh hưởng đặt ban điều hành Sky Mavis trước áp lực phải ra quyết định cực kỳ nhanh. Hội đồng quản trị công ty họp mỗi ngày, cập nhật thông tin, tính toán từng bước đi, cân nhắc các lựa chọn. Cuối cùng, phương án trả lại toàn bộ số tiền bị mất cho người dùng được đưa ra. Câu hỏi là làm sao có được từng đó tiền để khắc phục hậu quả? Trong vòng vài ngày, Sky Mavis đã thuyết phục thành công và đóng vòng gọi vốn 150 triệu đô la Mỹ từ các nhà đầu tư, dẫn đầu bởi Binance. 

Các đầu việc cần xử lý như những cơn sóng vỗ tới tấp đòi hỏi toàn đội bình tĩnh giải quyết từng thứ một, Trung kể lại. Người đứng đầu Sky Mavis biết rằng, chỉ cần một thành viên trong đội đổ gục, hiệu ứng domino sẽ lập tức xảy ra. “Rất khó để chống lại hiệu ứng đó. Về bản chất, mọi người không còn ổn định nữa, bất kể thể hiện ra bên ngoài thế nào.” Ngược lại, khi một người bình tĩnh đối mặt, xử lý công việc một cách rõ ràng, họ sẽ trở thành điểm neo đáng tin cậy cho những người khác. Lúc này, toàn đội Sky Mavis hoạt động như một khối. 

Được tôi luyện 10 năm trong lĩnh vực khởi nghiệp nhiều thăng trầm, chính Trung cũng cảm thấy sốc và buồn trước biến cố trên, anh nói. “Cái buồn nhất không phải là số tiền, mà là sự cố gắng của toàn đội từ trước đến nay tự nhiên bị đập đổ”. Trên thực tế, Sky Mavis đang như một bánh xe vào đà bị đẩy lùi lại một đoạn khá xa. “Tôi cảm thấy cuộc sống rất không công bằng,” tổng giám đốc 30 tuổi chia sẻ. Nhưng tình thế bấy giờ không cho phép những cảm xúc như vậy đọng lại quá lâu, toàn đội ngay lập tức phải điều chỉnh trở lại. Bởi nếu không bình tĩnh, Sky Mavis sẽ không thể nào xử lý được vụ việc bất ngờ ập đến với công ty non trẻ. 

Ở góc độ nào đó, mỗi một cầu nối giữa hai mạng blockchain được ví von giống như một ngân hàng. Cơ chế hoạt động của cầu nối là ký quỹ tiền mã hoá ở đầu bên này và có kể rút ra ở đầu bên kia. Với những dự án thành công kiểu như Axie Infinity, cầu nối trở thành mục tiêu tấn công béo bở cho các tin tặc, vì nó tập trung rất nhiều tiền. Tổng giám đốc Sky Mavis thừa biết rằng, cầu nối là nơi dễ tổn thương nhất. “Nơi dễ hỏng hóc nhất luôn là các khớp nối. Lý thuyết là như thế,” anh nói. 

Trung tiết lộ rằng, trước thời điểm diễn ra vụ tấn công, việc kiện toàn hệ thống đang trong tiến trình thực thi. Một công việc đơn giản là tăng số nút xác thực lên, nhưng khi đang có ý định thực hiện thì tin tặc ra tay trước. “Điểm yếu nhất lúc nào cũng là về con người chứ không phải máy móc”. Một trong những minh chứng cho quan điểm này là toàn đội đã đánh giá sai mức độ ưu tiên. Trước đó, không thành viên nào của Sky Mavis ngờ được các lỗ hổng nhỏ có thể kết nối với nhau và trở thành cuộc tấn công tác động lớn đến như vậy. Vị tổng giám đốc nói, việc tăng số lượng nút xác thực cần có lộ trình, không thể làm ngay lập tức được. 

“Điểm yếu nhất lúc nào cũng là về con người chứ không phải máy móc”

Nguyễn Thành Trung, đồng sáng lập kiêm tổng giám đốc của Sky Marvis

Chính vì số lượng nút xác thực có giới hạn, cơ chế đồng thuận POA của Ronin là mô hình có khả năng mở rộng một cách dễ dàng, và nó là một trong những lý do giúp Sky Mavis hóa kỳ lân rất nhanh trong bốn năm. Nhưng mặt trái của cơ chế này là hy sinh tính phi tập trung, đặc tính quan trọng của một đồng tiền mã hoá. Khác với cơ chế POA là cơ chế đồng thuận bằng chứng công việc POW (Proof of Work – POW) mà các blockchain nổi tiếng như Bitcoin và Ethereum sử dụng sở hữu số lượng nút xác thực rất lớn, có ưu điểm là tính phi tập trung cao, khó tấn công nhưng nhược điểm là tiêu tốn nhiều tài nguyên và khó mở rộng. 

Nhờ đi theo mô hình POA với mạng blockchain Ronin, Axie Infinity đạt được sự bùng nổ về số lượng người chơi bắt đầu từ tháng 4.2021. Đỉnh điểm là vào tháng 11 năm ngoái, trò chơi này ghi nhận gần ba triệu người chơi hoạt động mỗi ngày. 

Việc Ronin chỉ có chín nút xác thực cũng khiến cho cầu nối trở nên dễ bị tấn công hơn. Một thực tế khác là các nút xác thực không được liên quan đến nhau và không tin tưởng nhau. Ở đây, Sky Mavis đã phạm cả hai sai lầm. Sau vụ tấn công, Sky Mavis ngay lập tức thay thế các nút xác thực thuộc sự quản lý của công ty, vốn là tác nhân chính dẫn đến vụ việc xảy ra. Kỳ lân Việt Nam cũng lên kế hoạch tăng số lượng nút xác thực lên 21 trong quý 2.2022. 

Bài học mà tin tặc để lại cho Nguyễn Thành Trung cùng các cộng sự rất lớn. Hơn nữa, nó cũng thay đổi cách thức đối xử của toàn đội đối với các dự án đang làm. Đầu tiên, khi tài nguyên ít đi vì xử lý khủng hoảng, bao gồm thời gian, con người và tiền bạc, Trung nói: “Các kế hoạch từ trước vẫn phải diễn ra theo cách không bị ảnh hưởng nhất có thể”. Thứ hai, Sky Mavis có sự thay đổi mạnh mẽ liên quan đến tính ưu tiên và tính tập trung. Công ty vẫn muốn đi nhanh như trước, nhưng phải làm sao kiện toàn được bảo mật và tính ổn định đằng sau. Thứ ba, Trung nói rằng, Sky Mavis sẽ vận hành theo cách không tin tưởng bất kỳ ai kể cả tổng giám đốc. Bất kỳ ai cũng có thể bị tấn công.

Với tin tặc, cướp đã khó, tẩu tán càng khó hơn. Ngày 4.4, cơ quan điều tra phát hiện giao dịch đầu tiên để chuyển hơn 2.000 ETH (tiền mã hóa), tương đương gần bảy triệu đô la Mỹ vào Tonardo Cash - loại “máy trộn” thường được giới tin tặc dùng để xóa tung tích các giao dịch và làm nhiễu quá trình truy vết. Những ngày tiếp đó, thủ phạm nhanh chóng tăng tốc độ rửa tiền, liên tục chuyển thêm tiền từ ví gốc sang một loạt ví phụ rồi đẩy vào Tornado Cash. Theo báo cáo của Elliptic, tính đến ngày 14.4, tin tặc chuyển số ETH trị giá khoảng 80,3 triệu đô la Mỹ vào Tornado Cash, chiếm gần 20% tổng số ETH đã chiếm đoạt.

Sang ngày 15.4, Tornado Cash tuyên bố chặn giao dịch với các địa chỉ ví tiền điện tử của tin tặc trong vụ Axie Infinity bằng cách sử dụng một hợp đồng thông minh do Chainalysis cung cấp sau khi các ví này bị bộ Tài chính Mỹ đưa vào danh sách trừng phạt. Tuy nhiên, theo cập nhật ngày 22.4 của công ty bảo mật PeckShield, tin tặc nhanh chóng tìm ra cách thức vượt qua phương thức chặn trên và chuyển tiếp 300 ETH vào máy trộn thông qua một địa chỉ mới.

Bên cạnh việc thuê Crowdstrike – đơn vị điều tra truy vết chuyên nghiệp để xem xét các dấu vết hacker để lại trong hệ thống hạ tầng mạng của công ty, Sky Marvis cũng nhận được cam kết giúp đỡ của các sàn giao dịch tiền mã hóa lớn trên toàn cầu, bao gồm Binance, Huobi và FTX. Ngày 22.4, CEO CZ của Binance thông báo trên Twitter rằng sàn tiền mã hóa này đã thu hồi thành công 5,8 triệu đô la Mỹ bị đánh cắp, vốn được rải khắp 86 tài khoản khác nhau.   

Tuy vậy, các chuyên gia bảo mật cho rằng sẽ rất khó để lấy lại toàn bộ số tiền đã mất. “Ngoài Tornado Cash, tin tặc có thể dùng zk.money để không bị lộ địa chỉ ví. Hoặc họ có thể chuyển qua các đồng tiền ẩn danh như Zcash, Monero. Thậm chí tin tặc có thể gửi tiền ngẫu nhiên đến nhiều người không liên quan để làm nhiễu việc truy vết,” ông Đặng Việt Hà, trưởng nhóm Phát triển blockchain lõi của Nexty Platform cho biết. 

“Việc thâm nhập hệ thống không khó, cái khó ở đây nằm ở giai đoạn rút tiền ra thế giới thực. Đó sẽ là thời điểm danh tính của tin tặc có thể bị phát hiện,” kỹ sư an ninh mạng Dương Ngọc Thái nói. Trên thực tế, tin tặc đã lộ danh tính khi vô tình chuyển tiền vào một ví đã được sử dụng trong những phi vụ phạm pháp trước đó. 

17 ngày sau thông tin tin tặc tấn công Axie Infinity, cục Điều tra liên bang Mỹ (FBI) tuyên bố Lazarus Group có nguồn gốc từ Triều Tiên là thủ phạm. Cái tên Lazarus xuất hiện lần đầu từ năm 2009 và nổi lên vào giai đoạn 2013-2016, với hàng loạt vụ tấn công các ngân hàng và đài truyền hình Hàn Quốc, cũng như vụ tấn công hãng phim Sony Pictures vào năm 2014. 

Hai vụ án nổi bật nhất của Lazarus là vụ hack bằng mã độc WannaCry (Muốn Khóc) gây thiệt hại hàng tỉ đô la vào năm 2015 trên quy mô toàn cầu. Một năm sau đó, nhóm tội phạm mạng này nhắm tới gần một tỉ đô la Mỹ tại ngân hàng Trung ương Bangladesh bằng cách giả mạo yêu cầu chuyển tiền gửi vào hệ thống liên lạc thanh toán quốc tế SWIFT. Báo cáo của Kaspersky Lab ước tính, các nạn nhân của Lazarus nằm rải rác ít nhất 15 quốc gia trên toàn cầu, trong đó có Việt Nam. Cuối năm 2015, 1,13 triệu đô la Mỹ trong ngân hàng TPBank suýt “không cánh mà bay” với phương pháp tấn công tương tự như tại Bangladesh. Và nghi phạm một lần nữa lại là Lazarus. Một nguồn tin không muốn chia sẻ danh tính đang làm việc tại Google tiết lộ với Bloomberg Businessweek Việt Nam, phần lớn các vụ xâm nhập để đánh cắp tiền mã hóa mà doanh nghiệp này quan sát được trên không gian mạng đều liên quan tới Lazarus.

Bài học đắt giá của Sky Mavis như hồi chuông cảnh báo bảo mật tới các dự án blockchain. Do “các thuật toán mã hóa rất khó để phá vỡ, giúp cho chuỗi khối khá an toàn” theo ông Minh Tuấn, chủ tịch liên minh blockchain Việt Nam, tin tặc sử dụng hai cách khác. Nhìn vào 10 vụ tấn công nguy hiểm nhất do tin tặc thực hiện trong lịch sử blockchain, có thể thấy nguyên nhân hàng đầu là việc thiếu bảo mật trong cơ sở hạ tầng như hệ thống mạng, trang web, ứng dụng di động. Điều này khiến cho ngôi nhà chuỗi khối tuy vững chắc nhưng lại dựng trên nền đất có nguy cơ bị tấn công. 

Cách thứ hai, hợp đồng thông minh giúp tự động hóa các giao dịch bằng công nghệ chuỗi khối, “ngôn ngữ lập trình hiện vẫn rất thô sơ, tiềm ẩn những điểm yếu để tin tặc khai thác,” ông Tuấn lý giải. Tương tự vai trò của cầu nối Ronin, token bridge đóng vai trò cầu nối để xác thực giao dịch trong hợp đồng thông minh. Với 21 tỉ đô la Mỹ lưu trữ của hệ thống Etherum trên cầu nối này theo dữ liệu của Dune Analytics, cầu nối này như nhà băng khổng lồ. 

Có nhiều giải pháp để khắc phục, theo ông Quân Nguyễn, kỹ sư an ninh cấp cao tại Snap Inc. Điểm nghẽn là tính bảo mật càng cao, tính phi tập trung càng giảm, mà đặc tính nổi bật của công nghệ chuỗi khối là phân quyền. Điều mà Vitalik Buterin, cha đẻ của Ethereum gọi là bộ ba bất khả thi, nghĩa là không thể cùng lúc thỏa mãn ba điều: tính phân tán, bảo mật và khả năng mở rộng. 

Cho đến nay, chưa có dự án chuỗi khối nào đáp ứng cùng lúc ba yếu tố, thường chỉ đạt hai và hy sinh yếu tố còn lại. Chẳng hạn như Ethereum có tính an toàn và phi tập trung, ngày càng trở nên đắt đỏ khi số người dùng gia tăng. Ngược lại, Ronin do tập trung quyền quyết định vào một số cá nhân và đơn vị, nên các giao dịch được xử lý nhanh chóng và ít tốn kém hơn. Đổi lại, rủi ro bảo mật cao hơn. 

 “Cụm từ đại diện cho công nghệ chuỗi khối vẫn là ‘đưa quyền kiểm soát về tay người dùng’, nhưng trên thực tế đó là điều không có thực,” ông Dương Ngọc Thái, kỹ sư an ninh mạng đang làm việc tại Silicon Valley cho biết. “Sau cùng, ta vẫn phải lựa chọn hoặc chấp nhận lỗi trong mã nguồn hệ thống, hoặc chấp nhận dựa vào người có súng. Và rõ ràng trên thực tế, nhiều công ty vẫn lựa chọn cách thứ hai.” Nghĩa là điều tra, thu hồi tài sản bị mất cần đến vai trò của cảnh sát, chính phủ. 

Tháng 6.2022, đội ngũ gần 130 người của Sky Mavis trên toàn cầu tập trung bảy ngày tại khu nghỉ dưỡng Furama Đà Nẵng. Nguyễn Thành Trung nói với phóng viên của Bloomberg Businesweek Việt Nam: “Đội ngũ làm từ xa nhiều nên chưa hiểu nhau đủ. Chúng tôi phải gặp nhau mới có thể xây dựng niềm tin được”. “Sky Mavis là một đội ngũ nhất quán, tính liêm chính rất lớn và có thể tin tưởng được,” Trung trả lời những tin đồn cho rằng công ty tự tấn công lấy đi 624 triệu đô la Mỹ. 

Anh nhấn mạnh, 624 triệu đô la Mỹ  là số tiền lớn, nhưng không lớn bằng đạo đức kinh doanh và những thứ đội ngũ có thể làm được trong tương lai. Khi được hỏi điều gì khiến cho các nhà đầu tư rót vốn 150 triệu đô la Mỹ cho Sky Mavis nhanh chóng đến vậy, vị tổng giám đốc trả lời ngắn gọn: “Đội ngũ là yếu tố quan trọng nhất.”. 

Phiên bản trò chơi Axie Infinity Origin ra mắt chậm hơn kế hoạch một tuần do ảnh hưởng của vụ tấn công được kỳ vọng là bước chuyển mình trong chiến lược tiếp cận người dùng của Sky Mavis. Mô hình Free-to-Play được Nguyễn Thành Trung ấp ủ từ lâu với mong muốn tạo ra trò chơi tốt hơn và có khả năng tiếp cận số lượng người chơi đại chúng hơn, so với Play-to-Earn từng làm nên thành công của Axie Infinity. 

Thiệt hại từ cuộc tấn công vào cầu nối Ronin đã làm cho nhóm phát triển Origin phải suy nghĩ. Giả sử việc ra mắt phiên bản trò chơi mới gặp vấn đề, nó sẽ giống như hai phát đao đánh sụp tinh thần của Sky Mavis. Nhưng thực tế, kỳ lân trẻ tuổi đã không nao núng. “Việc ra mắt Origin đúng với quan điểm sống là chiến đấu chứ không phải ngắc ngoải”, Trung nói. 

“Lúc đó có hai lựa chọn: làm tiếp hoặc nghỉ. Nghỉ thì có vô vàn cách để nghỉ. Còn làm tiếp thì chắc chắn phải xử lý vấn đề. Suy nghĩ một hồi, chúng tôi chọn đối mặt, dù chưa có con đường nào thực sự rõ ràng,” tổng giám đốc 30 tuổi tiết lộ thêm về khoảnh khắc Sky Mavis đối mặt với quyết định sống còn.