Trộm cắp tiền số trở thành vấn đề nóng của năm. Phần lớn tin tặc nhắm đến các giao thức DeFi dễ bị tổn thương. Hacker không chỉ rút sạch tiền khỏi ví người dùng, đánh cắp hàng trăm triệu USD trên sàn mà còn dùng các công cụ đòn bẩy để kiếm lời bất chính. Báo cáo từ Token Terminal cho thấy, từ 9/2020 đến nay có ít nhất 5 tỷ USD bị đánh cắp khỏi các giao thức DeFi. Còn theo Cathy Yoon, Giám đốc pháp lý của công ty tiền điện tử MPCH, 6 trong tổng số 10 vụ hack lớn nhất lịch sử tiền mã hóa đều diễn ra trong 2022.
Một trong những vụ hack nổi tiếng nhất năm là cuộc tấn công vào cầu nối Ronin của Axie Infinity, lấy đi 625 triệu USD. Nguyễn Thành Trung, cha đẻ của game, từng lên tiếng chỉ trích tin tặc đã quá tham lam. Sau đó, công ty tuyên bố sẽ bỏ tiền túi ra đền cho cộng đồng và hợp tác cùng FBI để điều tra. Tuy nhiên, không phải dự án nào cũng đủ tiền bù đắp cho người dùng.
Thương thảo với tin tặc
Một trong những người ủng hộ lựa chọn thương lượng với kẻ trộm là Mitchell Amador, CEO công ty bảo mật ImmuneFi. Ông cho rằng nhà phát triển dự án nên liên lạc và đàm phán với hacker ngay cả khi chúng vừa cướp tiền của mình, dù điều này gây khó chịu thế nào. "Giống như ai đó lùa bạn vào một con hẻm cụt và nói đưa ví đây. Sẽ không phải lựa chọn khôn ngoan nếu đối đầu. Tiền bị mất trên nền tảng không chỉ của bạn mà còn của người dùng, nhà đầu tư. Các chủ dự án phải có trách nhiệm bảo vệ lợi ích tài chính của cộng đồng hơn là cảm xúc cá nhân", Amador nói.
CEO của ImmuneFi cho rằng dù chỉ có 1% khả năng lấy lại tiền, các chủ dự án cũng phải thử, thay vì quay lưng bỏ đi và chấp nhận mất tiền. Ông dẫn chứng về vụ hack Poly Network năm ngoái. Sau các cuộc đàm phán, tin tặc đồng ý trả lại 610 triệu USD với điều kiện giữ lại 1 triệu USD như để "cảm ơn".
Đồng quan điểm, Giám đốc bảo mật Hugh Brooks của CertiK, nhận định việc chủ động thực hiện thỏa thuận với tin tặc là lựa chọn phù hợp với thị trường tiền mã hóa. Công ty ông theo dõi 16 vụ hack với tổng trị giá một tỷ USD và nhận thấy khoảng 800 triệu USD đã được trả lại. "Việc thương thảo chắc chắn có ý nghĩa. Một số tin tặc chủ động trả, nhưng phần lớn kết quả có được sau các cuộc đàm phán", Brooks khẳng định.
"Nhượng bộ là sai lầm"
Tuy nhiên, một số chuyên gia lại cho rằng hành động thương thảo không khác gì bắt tay với kẻ xấu. Chưa kể trong thế giới tiền mã hóa, ngồi lại với tin tặc còn khiến cộng đồng nghi ngờ về nguyên nhân thực sự của vụ hack.
Theo Erin Plante, Phó chủ tịch điều tra của Chainalysis, nhượng bộ kẻ tống tiền là sai lầm khi vẫn còn những cách khác. Hầu hết tin tặc trong thị trường tiền số không nhượng bộ để lấy vài trăm nghìn USD. Phần lớn yêu cầu nạn nhân phải chấp nhận mất 50% giá trị vụ hack mới chịu hoàn tiền. "Về cơ bản, đó là tống tiền và trái pháp luật", đại diện Chainalysis nói. Bà khuyến khích nạn nhân liên lạc với các công ty bảo mật về blockchain và cơ quan pháp luật khi gặp sự cố.
Erin Plante khẳng định ngày càng có nhiều nạn nhân lấy lại được tiền mà chưa công khai tiết lộ. Điều này cho thấy không phải cứ bị hack là mất sạch và tiếp tay cho kẻ trộm là không cần thiết.
Có nên báo án khi bị hack?
Khác với thị trường truyền thống, không gian tiền mã hóa vẫn còn quá mới mẻ. Rất ít quốc gia có luật rõ ràng để bảo vệ tài sản số của người dùng. Ví dụ trong vụ hack sàn giao dịch Mt.Gox năm 2014, người dùng mất đến 650.000 Bitcoin. Dù cơ quan chức năng đã vào cuộc điều tra 8 năm nay, chưa có dấu hiệu nào cho thấy danh tính của tin tặc sẽ bị đưa ra ánh sáng.
Theo Mitchell Amador, thông thường cơ quan chức năng sẽ giữ lại khoản tiền thu được từ tin tặc. Chưa kể việc theo đuổi các vụ kiện khiến nhà phát triển tốn nhiều công sức, thời gian và cả tiền bạc mà chưa chắc đã có kết quả như mong muốn.
Tuy nhiên, Hugh Brooks cho rằng vấn đề không chỉ là lấy lại tiền hay không mà là trách nhiệm phải thông báo cho cơ quan điều tra. "Những người thực thi pháp luật cần hiện diện để tiền mã hóa không còn là miền tây hoang dã. Dù việc này tốn thời gian, đây là việc bắt buộc phải làm", Brook nói. Ngoài ra, ông cũng tin cảnh sát điều tra có những công cụ hữu ích để truy vết, khoanh vùng, thậm chí truy cập các tài liệu mật để tìm ra được thủ phạm.
"Nếu có thể lấy lại tiền thông qua thương lượng thì cứ làm, nhưng đừng quên việc đó là phạm pháp. Trừ khi tin tặc hoàn trả đầy đủ số tiền bị cướp, còn không hãy báo án", Giám đốc bảo mật của CertiK nói.
Các chuyên gia bảo mật cho rằng lựa chọn tốt nhất là nhà phát triển dự án tiền mã hóa nên chú trọng vấn đề bảo mật ngay từ đầu, tránh "mất bò mới lo làm chuồng".
Khương Nha (theo Cointelegraph)