Hacker liên quan vụ Garden Finance đã trộn khoảng 6,65 triệu USD tiền điện tử qua Tornado Cash, trong khi một địa chỉ tấn công vẫn giữ khoảng 910.000 USD chưa tẩu tán, theo theo dõi on-chain của CertiK.
Tranh cãi gia tăng vì trước khi bị khai thác, ZachXBT cáo buộc Garden Finance từng xử lý dòng tiền nghi là rửa tiền. Nhóm phát triển nói chỉ hạ tầng solver web2 bên thứ 3 bị xâm nhập, nhưng bằng chứng on-chain cho thấy phạm vi có thể rộng hơn.
- 6,65 triệu USD bị chuyển qua Tornado Cash; khoảng 910.000 USD vẫn nằm ở một địa chỉ tấn công, theo CertiK.
- Garden Finance nói chỉ solver web2 bị ảnh hưởng, trong khi thông điệp on-chain thừa nhận sự cố trên nhiều blockchain.
- Vụ việc gây tranh cãi do cáo buộc Garden từng xử lý dòng tiền từ các vụ hack lớn; rủi ro phục hồi thấp khi tiền đã vào mixer.
Dòng tiền bị đánh cắp đã đi vào Tornado Cash và vẫn còn 910.000 USD chưa tẩu tán
Theo CertiK, kẻ tấn công đã gửi 501 BNB và 1.910 ETH qua Tornado Cash, tương đương khoảng 6,65 triệu USD; một địa chỉ vẫn nắm khoảng 910.000 USD tài sản bị đánh cắp.
Tornado Cash là dịch vụ trộn giúp che mờ vết tích on-chain, khiến công tác truy vết và thu hồi tài sản trở nên khó khăn. Việc sử dụng mixer ngay sau tấn công thường là dấu hiệu dàn xếp thoát hàng và cắt chuỗi bằng chứng.
“Tornado Cash đã được sử dụng để rửa hơn 7 tỷ USD tiền điện tử kể từ năm 2019.”
– U.S. Department of the Treasury, Thông cáo báo chí, 08/08/2022
Vụ tấn công ngày 31/10 gây thiệt hại 10,8 triệu USD trên nhiều chuỗi
Garden Finance bị khai thác ngày 31/10, với tổng thiệt hại ước khoảng 10,8 triệu USD trên Arbitrum, Ethereum và Solana. ZachXBT là người đầu tiên phát hiện rút tiền trái phép.
Ngoài bounty 10% đề nghị cho white-hat nhưng không được hồi đáp, dòng tiền sau đó bắt đầu được rửa qua Tornado Cash trong tuần này. Mô hình tẩu tán phân mảnh theo chuỗi giúp kéo dài thời gian điều tra, tăng nguy cơ mất dấu.
| Hạng mục | Số liệu | Nguồn |
|---|---|---|
| Tổn thất ban đầu | 10,8 triệu USD | AMBCrypto |
| Tiền đã trộn qua Tornado Cash | 6,65 triệu USD (501 BNB, 1.910 ETH) | CertiK |
| Tài sản còn giữ bởi 1 địa chỉ | Khoảng 910.000 USD | CertiK |
| Chuỗi bị ảnh hưởng | Arbitrum, Ethereum, Solana | AMBCrypto |
| Đề nghị bounty | 10% | Garden Finance |
Đội ngũ Garden Finance khẳng định chỉ hạ tầng solver bên thứ 3 bị xâm nhập
Ngày 05/11, đồng sáng lập Jaz Gulati nói sự cố chỉ ảnh hưởng hạ tầng web2 của một solver bên thứ 3, không chạm vào hợp đồng cốt lõi hay tiền người dùng.
“Không có tiền người dùng hay hợp đồng giao thức nào bị ảnh hưởng. Tất cả hệ thống hoạt động đúng như kỳ vọng trong điều kiện lỗi.”
– Jaz Gulati, Đồng sáng lập Garden Finance, bài đăng trên X, 05/11
Nhóm công bố kế hoạch khôi phục vận hành, tăng cường bảo mật solver và bổ sung nhiều solver độc lập để dự phòng. Cách tiếp cận đa solver thường giúp giảm rủi ro điểm lỗi đơn, nhưng vẫn cần kiểm soát khóa, quản trị quyền và giám sát hạ tầng web2 chặt chẽ.
Bằng chứng on-chain và điều tra độc lập đặt dấu hỏi về phạm vi sự cố
ZachXBT công bố ảnh chụp thông điệp on-chain từ một địa chỉ deployer của Garden gửi kẻ tấn công, thừa nhận hệ thống bị xâm phạm trên nhiều blockchain, trái ngược tuyên bố chỉ solver web2 bị ảnh hưởng.
Độ vênh giữa thông cáo công khai và thông điệp on-chain làm gia tăng nghi vấn về quy mô thực của sự cố. Trong các vụ việc tương tự, minh bạch nhật ký on-chain và nhật ký hệ thống là chìa khóa lấy lại niềm tin cộng đồng và hỗ trợ điều tra.
Những cáo buộc rửa tiền khiến vụ việc đặc biệt gây tranh cãi
Trước khi bị tấn công, ZachXBT cáo buộc hơn 25% hoạt động của Garden có liên quan dòng tiền từ các vụ hack lớn, trong đó có vụ Bybit trị giá 1,4 tỷ USD. Điều này khiến Garden vừa là nạn nhân, vừa bị nghi là bên trung gian xử lý tiền bẩn.
Garden do các cựu nhà phát triển Ren Protocol xây dựng. Theo Elliptic (2022), RenBridge từng bị tội phạm lạm dụng để rửa tối thiểu 540 triệu USD tiền điện tử. Nguy cơ tái phạm qua các cầu nối và solver càng khiến cơ quan điều tra giám sát chặt chẽ các luồng cross-chain.
Nhà điều tra nghi nhóm “Dangerous Password” có liên hệ CHDCND Triều Tiên đứng sau vụ Garden. Dù chưa có kết luận chính thức, mô thức dùng mixer và khai thác đa chuỗi phù hợp với nhiều chiến thuật trước đây của các nhóm APT trong lĩnh vực tiền điện tử.
Rủi ro tuân thủ tăng và khả năng thu hồi tài sản thấp khi tiền đã vào mixer
Khi tiền được trộn qua Tornado Cash, cơ hội phong tỏa và thu hồi giảm đáng kể do tính ẩn danh và chia nhỏ giao dịch. Điều này cũng kéo theo rủi ro tuân thủ cho bất kỳ thực thể nào vô tình tương tác với đầu ra mixer.
“Tornado Cash đã được sử dụng để rửa hơn 7 tỷ USD tiền điện tử kể từ năm 2019.”
– U.S. Department of the Treasury, Thông cáo báo chí, 08/08/2022
Vụ Garden tiếp tục cho thấy các lỗ hổng trong hạ tầng DeFi đa chuỗi, nơi solver, RPC, quản trị khóa và quy trình vận hành web2 là mục tiêu tấn công phổ biến. Tăng cường kiểm toán, tách quyền trên đa môi trường và giám sát on-chain thời gian thực là tối quan trọng.
Điều gì tiếp theo cho Garden Finance?
Nền tảng chưa bình luận về các giao dịch mới vào Tornado Cash. Khi hàng triệu USD đã được trộn, khả năng khôi phục gần hạn chế, trừ khi kẻ tấn công chủ động thương lượng hoàn trả.
Đội ngũ cho biết sẽ củng cố bảo mật solver và mở rộng mạng lưới solver độc lập. Trong ngắn hạn, minh bạch dòng tiền, nhật ký sự cố và hợp tác với các đơn vị điều tra như CertiK là yếu tố then chốt để khôi phục niềm tin.
Những câu hỏi thường gặp
Garden Finance là gì?
Garden Finance là nền tảng DeFi đa chuỗi sử dụng solver để tối ưu lệnh. Theo báo cáo, sự cố ngày 31/10 ảnh hưởng Arbitrum, Ethereum, Solana, gây thiệt hại 10,8 triệu USD và đang được theo dõi bởi các nhà điều tra on-chain như CertiK và ZachXBT.
Vì sao Tornado Cash khiến việc thu hồi tài sản khó?
Mixer như Tornado Cash làm mờ nguồn gốc tài sản bằng cách trộn và phân mảnh dòng tiền, khiến phân tích truy vết phức tạp. OFAC từng nhấn mạnh Tornado Cash bị lạm dụng để rửa hơn 7 tỷ USD, cho thấy mức rủi ro cực cao với nỗ lực thu hồi.
Điểm mâu thuẫn lớn nhất trong vụ việc là gì?
Garden nói chỉ hạ tầng solver web2 bị xâm nhập và hợp đồng vẫn an toàn, trong khi thông điệp on-chain do ZachXBT nêu cho thấy hệ thống bị ảnh hưởng trên nhiều blockchain. Sự mâu thuẫn làm dấy lên câu hỏi về phạm vi thực của sự cố.
Bounty 10% có còn cơ hội giúp hoàn tiền?
Kẻ tấn công đã bắt đầu trộn tiền, cho thấy ít thiện chí thương lượng. Khi tài sản đã qua mixer, xác suất thu hồi giảm mạnh, trừ khi có thỏa thuận hoàn trả hoặc sai sót khi rút tiền khỏi mixer bị phát hiện.
RenBridge liên quan thế nào đến cáo buộc rửa tiền?
Theo Elliptic (2022), RenBridge từng bị lạm dụng để rửa tối thiểu 540 triệu USD. Garden do các cựu nhà phát triển Ren xây dựng, khiến cáo buộc của ZachXBT về dòng tiền rủi ro trước sự cố càng gây tranh cãi.
