Bạn nghĩ rằng multi-sig 5/9 là an toàn? Sai. Nó chỉ an toàn khi 9 chìa khóa nằm trong 9 túi khác nhau. Kẻ tấn công đã chứng minh điều đó vào tháng 3 năm 2022 khi rút sạch 173.600 ETH và 25,5 triệu USDC khỏi cầu nối Ronin. Tổng thiệt hại: 620 triệu USD. Không có lỗi smart contract. Đây là một vụ tấn công có chủ đích vào quy trình vận hành – thứ mà audit code không thể phát hiện.
Hãy quay lại bối cảnh. Ronin là sidechain của Axie Infinity, game Play-to-Earn từng gây sốt. Để kết nối với Ethereum chính, Sky Mavis xây dựng cầu nối Ronin. Cơ chế bảo mật: 9 validator, cần 5/9 chữ ký để xác nhận giao dịch. Nghe có vẻ phi tập trung? Thực tế, Sky Mavis kiểm soát 4 validator, một công ty Axie DAO kiểm soát 1, và 4 validator còn lại thuộc về các bên thứ ba. Nhưng vấn đề không nằm ở số lượng.
Điểm mù chết người: Sky Mavis vận hành một node RPC nội bộ (axie-infinity-validator) cho phép gửi giao dịch mà không cần xác thực đầy đủ. Kẻ tấn công đã chiếm được quyền kiểm soát validator của Sky Mavis thông qua một cuộc tấn công phishing vào ngày 23 tháng 11 năm 2021. Họ không vội vàng. Họ chờ đến ngày 23 tháng 3 năm 2022 để thực hiện cú đánh lớn. Tại sao? Vì họ biết rằng 4 validator của Sky Mavis + 1 validator của Axie DAO (cũng bị xâm nhập) chỉ cần thêm một chữ ký nữa là đủ 5. Và họ đã có được chữ ký đó từ một validator thứ ba thông qua backdoor mà giao thức để lại? Không. Họ đã giả mạo chữ ký vì hệ thống cho phép gửi giao dịch mà không cần kiểm tra địa chỉ đầy đủ? Sai. Sự thật là họ đã chiếm được 5 private key: 4 từ Sky Mavis và 1 từ Axie DAO. Làm thế nào? Thông qua token truy cập RPC bị rò rỉ. Tóm lại: 5/9 là quá đủ.
Phân tích có hệ thống: Đây không phải lỗi kỹ thuật trong code cầu nối, mà là lỗi trong thiết kế quy trình và kiểm soát truy cập. Kẻ tấn công đã khai thác sự phụ thuộc của hệ thống vào một node RPC không được bảo vệ đúng cách. Họ không cần phải hack từng validator một; họ cần duy nhất một điểm entry: máy chủ RPC của Sky Mavis. Từ đó, họ có thể giả mạo các giao dịch và nhận được chữ ký từ các validator khác? Thực tế, họ đã có thể ký trực tiếp từ các validator bị chiếm. Đó là một vụ social engineering kết hợp với quản lý khóa yếu kém.
Quan điểm phản trực giác: Phe bò có thể nói rằng multi-sig là giải pháp tốt nhất cho cầu nối, và vụ hack này chỉ là do Sky Mavis chủ quan. Tôi cho rằng multi-sig không phải là giải pháp, nó chỉ là một lớp bảo vệ khi được triển khai đúng cách. Sai lầm cốt lõi là Sky Mavis đã tập trung hóa quyền kiểm soát vào một tổ chức duy nhất, biến 4/9 thành 4/5 ảo. Nếu 4 validator đó thuộc cùng một thực thể, thì multi-sig 5/9 trở thành 2/6? Không. Thực tế, họ chỉ cần chiếm 2/3 số lượng cần thiết từ một nhóm. Bài học: không bao giờ để một thực thể duy nhất nắm giữ nhiều hơn một chìa khóa, và phải có sự phân tách địa lý, pháp lý và kỹ thuật giữa các validator.
Kết luận: Vụ hack Ronin là lời cảnh tỉnh cho toàn bộ ngành cầu nối. Các dự án đang chạy đua TVL mà quên mất rằng an toàn vận hành quan trọng hơn code audit. Bạn có dám tin tưởng một cầu nối mà validator tập trung trong tay đội ngũ phát triển? Tôi thì không. Câu hỏi dành cho bạn: Lần cuối cùng bạn kiểm tra danh sách validator của cầu nối mình đang dùng là khi nào?

