1928374656574839.25T USD trong vòng 10 giây: Khi hacker cấp quốc gia biến thành nhân viên HR của Silicon Valley, còn lại bao nhiêu lớp bảo vệ của Web3?

Hai tỷ tám trăm năm mươi triệu đô la Mỹ.
Khi Drift Protocol hiển thị số trên màn hình trong vòng chưa đầy mười giây rồi về 0, các nhà giao dịch định lượng trên phố Wall còn chưa kịp nuốt nổi một ly espresso. Trong thế giới phi tập trung được ca ngợi là “mã là pháp luật” này, mười giây đủ để thực hiện một vụ cướp chấn động. Nhưng nếu bạn nghĩ đó chỉ là một cuộc tấn công lỗ hổng hợp đồng thông minh bình thường, hoặc là tác phẩm của một hacker thiên tài đang điên cuồng gõ bàn phím trong căn phòng tối, thì bạn đã quá ngây thơ.
Chuyến vui trị giá gần ba tỷ đô này thực ra không bắt đầu từ mười giây chết người đó, mà từ một tin nhắn LinkedIn hỏi thăm thân mật cách đây nửa năm. Trong thế giới mã hóa kỳ ảo này, hacker đã chán việc đụng độ trực tiếp để phá vỡ mã mã hóa bất đối xứng của bạn. Họ bỏ áo hoodie, thay bằng bộ vest cao cấp ảo của Armani, trong các kênh Slack giả mạo, họ bàn luận về kế hoạch nghề nghiệp và các khoản huy động vốn hàng triệu. Bạn nghĩ mình gặp phải người mang lại tự do tài chính cho bạn, thực ra họ chỉ đang thèm muốn quyền truy cập hệ thống của bạn.

Cảnh cao nhất của câu cá là cùng bạn trò chuyện về lý tưởng nghề nghiệp trong hai tháng

Lằn ranh an ninh trong ngành mã hóa luôn tồn tại một sự lệch lạc cực kỳ phi lý. Các dự án sẵn sàng bỏ ra hàng triệu đô để thuê các tổ chức kiểm toán hàng đầu kiểm tra từng dòng logic trong hợp đồng thông minh, nhưng lại không quan tâm ai đang chat nude với các nhà phát triển chính có quyền hợp nhất mã trên mạng. UNC1069, hay còn gọi là tổ chức hacker cấp quốc gia của Triều Tiên ẩn mình trong mạng tối, đã chính xác nắm bắt điểm yếu này. Hiện tại, họ tấn công theo hướng tuyển dụng cao cấp, tập trung vào “đạo đức dài hạn” và “giá trị cảm xúc”. Đây là một dạng tấn công giảm chiều sâu hoàn toàn công nghiệp hóa. Các hoạt động xâm nhập nhằm vào Jason Saayman, người duy trì thư viện mã nguồn mở Axios, và nhiều lãnh đạo cốt lõi của cộng đồng Node, được xem như bài học trong kỹ thuật xã hội.
Không tấn công bằng cách gửi gói nén chứa Trojan ngay từ đầu, cũng không dùng chiêu “tài khoản của bạn bị rửa tiền, vui lòng xác minh”. Đội hacker có tổ chức nhà nước này đã mất vài tuần, thậm chí vài tháng, để xây dựng một vỏ công ty công nghệ giả mạo hoàn hảo. Họ tạo ra trang web doanh nghiệp không thể chê vào đâu được, lập các kênh Slack hoạt động sôi nổi, thậm chí còn sắp xếp các “đồng nghiệp” các phòng ban thảo luận công việc sôi nổi. Họ hiểu rõ tâm lý dân công nghệ. Để trông như một giám đốc thực thụ bận rộn, họ còn đặt lịch hẹn trước, rồi lịch sự gửi email yêu cầu đổi lịch khi gần đến giờ họp. Những mâu thuẫn nhỏ chỉ có trong thế giới kinh doanh thực mới có, cuối cùng trở thành cú đấm cuối cùng phá vỡ phòng tuyến tâm lý của nạn nhân.
Sau nhiều tuần trao đổi, thảo luận, khen ngợi lẫn nhau, niềm tin đã đạt đỉnh điểm, một cuộc phỏng vấn trực tuyến qua Microsoft Teams bắt đầu. Nạn nhân vui vẻ nhấn tham gia, màn hình hiện ra thông báo “Hệ thống thiếu plugin cập nhật, không thể tham gia cuộc gọi”. Để không làm “sếp lớn” chờ đợi, lập tức nhà phát triển nhấn tải xuống và cài đặt. Chính khoảnh khắc đó, một chuỗi Trojan điều khiển từ xa bí mật đã âm thầm xâm nhập vào thiết bị kiểm soát dòng tiền trị giá hàng tỷ đô.
Chín tháng hỏi thăm, chỉ để đến điểm chết người này. Bạn nghĩ mình đang xin việc, thực ra là đang đóng đinh chiếc quan tài số của chính mình.

Xác thực hai bước của bạn chỉ là đèn nền hậu cánh cửa sau cho hacker

Nhiều người làm Web3 có niềm tin mù quáng, nghĩ rằng chỉ cần bật 2FA (xác thực hai yếu tố), giữ khóa riêng trong ví lạnh là như mặc áo giáp chống đạn cyber. Nhận thức này trước hacker cấp quốc gia như là mang súng nước đi phòng thủ hạt nhân. Khi plugin độc hại được kích hoạt, toàn bộ hệ điều hành của bạn đã bị chiếm quyền. Mọi pixel trên màn hình đều là thứ hacker muốn bạn thấy. Công nghệ họ sử dụng là tối đa hóa “ký sinh trùng”. Họ lạm dụng tràn lan các file shortcut .LNK của Windows. Đối với người bình thường, đó chỉ là biểu tượng trên desktop, nhưng trong tay hacker, nó có thể là một chuỗi script PowerShell bị làm rối loạn, mã hóa phức tạp.
Điều đáng sợ hơn nữa là họ không còn dùng các tên miền độc hại dễ bị tường lửa chặn nữa, mà đặt máy chủ Command & Control (C2) ngay trên GitHub. Khi hệ thống an ninh của công ty bạn phát hiện một thiết bị gửi yêu cầu dữ liệu tới GitHub, chẳng ai nghĩ đó là bất thường, vì tất cả lập trình viên đều lấy code từ GitHub. Hacker lợi dụng hạ tầng công cộng hợp pháp này để xây dựng một hành lang bí mật dẫn thẳng vào trung tâm máy tính của bạn. Khi hệ thống nền tảng bị chiếm quyền hoàn toàn, các biện pháp xác thực như 2FA, multi-sig, ví phần cứng đều trở thành trò đùa.
Hacker có thể kiểm soát hoàn toàn máy tính của bạn, ghi lại mỗi lần bạn gõ mật khẩu, chặn mã xác thực SMS, thậm chí thức dậy âm thầm trong lúc bạn ngủ để bật trình duyệt, giữ trạng thái đăng nhập, rồi âm thầm phát gói trong kho NPM. Thư viện mã nguồn mở Axios, với hơn tỷ lượt tải mỗi tuần, đã bị xâm phạm như vậy. Sau khi chiếm quyền máy của người duy trì, hacker đã chèn vào đó một dependency chứa Trojan điều khiển từ xa XenoRAT. Nếu không được cộng đồng phát hiện và loại bỏ trong vòng ba giờ, vụ nổ này đủ sức biến hàng triệu server ứng dụng thành thời kỳ đồ đá. Đây không chỉ là một vụ lừa đảo, mà còn là một vụ đầu độc vào hệ thống cấp nước của thành phố.

Rừng rậm không gian mạng, thử nghiệm “lợn béo” không thể phá vỡ

Thoát khỏi mê cung mã, đây thực chất là một cuộc chơi địa chính trị tàn khốc phản chiếu trong thế giới số. Trong thời đại biến động này, mỗi lần lập trình viên gõ phím đều có thể liên quan đến nguồn tài chính phát triển vũ khí hạt nhân ở phía bên kia trái đất. Chính quyền Kim Chính Un dưới các lệnh trừng phạt nghiêm ngặt đã xem cướp mạng là một ngành công nghiệp tài chính chủ lực của quốc gia. Theo báo cáo của Liên Hợp Quốc, hàng nghìn hacker Triều Tiên được tổ chức chặt chẽ, KPI duy nhất là hút máu trong thị trường mã hóa, nơi thiếu quy định và dòng chảy không kiểm soát.
Công nghệ AI còn giúp các hacker cấp quốc gia này có thêm cánh. Trước đây, các cuộc tấn công xã hội kỹ thuật xuyên văn hóa, xuyên ngôn ngữ rất tốn kém, dễ bị lộ sơ hở trong giao tiếp. Giờ đây, các mô hình ngôn ngữ lớn có thể tạo ra tiếng lóng Silicon Valley cực kỳ tự nhiên, giúp hacker duy trì hình ảnh tinh anh không thể phân biệt. Chi phí click giảm về 0, trust-building giảm mạnh. Cuộc chiến bất đối xứng này ngày càng khó phòng thủ hơn theo cấp số nhân. Bởi vì lỗ hổng mã có thể được sửa bằng chứng toán, nhưng điểm yếu của con người là vô đáy. Đối mặt với các cuộc xâm nhập trang bị vũ khí đầy đủ này, kiểm tra công nghệ trở thành thứ yếu, và các biện pháp phòng thủ thực sự hiệu quả lại vô cùng phi lý.
Trong cơn bão này, một đoạn video lan truyền trên X trở thành lời kết kỳ ảo nhất. Một giám đốc công nghệ nước ngoài đang phỏng vấn từ xa một nhân viên IT, khi nhận ra đối phương khả nghi, không hỏi các bài toán phức tạp, mà yêu cầu ứng viên hét lớn bằng tiếng Anh “Kim Chính Un là một con lợn béo xấu xí”. Người “kỹ sư toàn diện” trên màn hình lập tức cứng đờ, giả vờ không hiểu, rồi lúng túng rút lui khỏi cuộc họp. Trong áp lực chính trị khắc nghiệt, ngay cả hacker ở nước ngoài, làm việc cho chính quyền, cũng không dám mạo hiểm tính mạng của mình và gia đình để chơi trò này.
Chắc chắn đây là lời châm biếm cay đắng nhất về thực trạng an ninh DeFi ngày nay. Chúng ta đã xây dựng chứng minh không kiến thức tối tân nhất của nhân loại, thiết kế hệ thống đồng thuận Byzantine phức tạp nhất, bỏ ra hàng tỷ đô để phòng chống tấn công phù thủy, nhưng cuối cùng, phương pháp phát hiện mối đe dọa chính trong hệ thống lại chỉ là một câu nói chính trị đầy công kích cá nhân. Drift Protocol hơn 200 triệu đô la biến thành pháo hoa trên bầu trời Bình Nhưỡng, trong khi ngành công nghiệp kỳ ảo này vẫn ngày ngày tìm kiếm câu chuyện thần thoại về tài sản tưởng chừng bất khả xâm phạm nhưng thực ra đầy vết nứt.