Liệu tin tặc có thể lấy lại được số tiền đã đánh cắp không?
Vào ngày 12 tháng 2, zkLend, một giao thức cho vay trên Starknet, đã bị tấn công, gây ra thiệt hại gần 5 triệu đô la. Tuy nhiên, tin tặc không ngờ rằng sau khi trộn tiền vào Railgun, bước cuối cùng trước khi rửa tiền sẽ bị hạn chế bởi chính sách giao thức của Railgun và buộc phải trả lại.
Sau sự cố, zkLend đã tạm dừng các dịch vụ rút tiền để đảm bảo an toàn cho số tiền còn lại và đưa ra tuyên bố tới cộng đồng rằng nhóm đang tích cực theo dõi danh tính của tin tặc và dòng tiền với nhiều đối tác, đồng thời cam kết sẽ minh bạch và cuối cùng sẽ công bố báo cáo điều tra và phân tích chi tiết. Ngoài ra, zkLend còn đề xuất với hacker rằng anh ta có thể giữ 10% số tiền dưới dạng tiền thưởng mũ trắng và chuyển 90% còn lại (3.300 ETH) trở lại địa chỉ Ethereum của zklend. Sau khi nhận được chuyển khoản, chúng tôi sẽ đồng ý miễn trừ mọi trách nhiệm liên quan đến vụ tấn công.
Tính đến thời điểm báo chí đưa tin, chưa có tin tặc nào phản hồi đề xuất này. zkLend đã đăng trên mạng xã hội rằng họ đã gửi báo cáo sự cố tới cảnh sát Hong Kong, FBI và Bộ An ninh Nội địa, và sẽ tiến hành các thủ tục pháp lý.
Vào ngày 13 tháng 2, nhà đồng sáng lập Ethereum Vitalik, người luôn ủng hộ Railgun, đã đăng một thông điệp trên mạng xã hội giải thích cụ thể cách Railgun đã thành công trong việc tránh xử lý số tiền kiếm được thông qua tội phạm lần này.
Sau khi Vitalik đăng bài viết, thị trường phản ứng rất nhạy cảm với tin tức này và giá cổ phiếu Railgun cũng tăng theo. Theo dữ liệu thị trường, tính đến thời điểm báo chí đưa tin, Railgun đã tăng 7,00% trong 24 giờ qua và khối lượng giao dịch đã tăng 162,31%.
Railgun thực hiện chống rửa tiền trên chuỗi như thế nào?
Khi nói về Railgun, một thỏa thuận chính sách nhằm mục đích chống rửa tiền, chúng ta phải nhắc đến Tornado Cash, dự án hàng đầu về dịch vụ trộn tiền tệ.
Tornado Cash và Railgun đều nằm trong lộ trình bảo mật và là những dự án đầu tiên cung cấp dịch vụ trộn tiền tệ. Các tính năng bảo vệ quyền riêng tư của nó khiến nó trở thành công cụ cho tin tặc và tội phạm rửa tiền và che giấu tiền. Nó đã thu hút sự chú ý của các chính phủ và cơ quan quản lý trên toàn thế giới, đặc biệt là các lệnh trừng phạt do Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Hoa Kỳ áp đặt.
Vào tháng 8 năm 2022, Bộ Tài chính Hoa Kỳ đã áp đặt lệnh trừng phạt đối với Tornado Cash, với lý do dịch vụ này đã rửa hơn 7 tỷ đô la trong ba năm qua và giúp nhóm tin tặc do nhà nước Triều Tiên điều hành, Lazarus Group, trốn tránh các lệnh trừng phạt của Hoa Kỳ. Vào tháng 5 năm 2024, Alexey Pertsev, một trong những người sáng lập và phát triển cốt lõi của Tornado Cash, đã bị kết án 5 năm 4 tháng tù.
Bài đọc liên quan: Đã bị kết tội! Phán quyết trong vụ kiện Tornado Cash có ý nghĩa gì đối với quy định về DeFi? 》
Tornado Cash đã trở thành công cụ hữu ích cho tin tặc và kẻ rửa tiền vì nó không có chức năng chống rửa tiền. Sự đàn áp mạnh tay của các cơ quan quản lý đã gióng lên hồi chuông cảnh báo cho toàn bộ lĩnh vực quyền riêng tư. Với tiền lệ của Tornado Cash, Railgun, với tư cách là công ty lớn thứ hai trong lĩnh vực bảo mật, tất nhiên phải rút ra bài học và hướng cải thiện rất rõ ràng: chống rửa tiền.
Railgun đã áp dụng chiến lược chống rửa tiền chặt chẽ hơn, tập trung vào việc tăng cường tuân thủ đồng thời bảo vệ quyền riêng tư. Cốt lõi của chiến lược này là đảm bảo rằng nền tảng có thể duy trì quyền riêng tư của người dùng và đáp ứng hiệu quả các yêu cầu của cơ quan quản lý để ngăn chặn việc sử dụng tiền cho các hoạt động bất hợp pháp. Sau đây là các biện pháp cụ thể mà Railgun thực hiện:
Trong bước đầu tiên, Railgun không tập trung toàn bộ sự chú ý vào việc tối ưu hóa mã mà khéo léo lập danh sách đen từ các cơ quan quản lý, nền tảng tuân thủ, v.v. Danh sách đen bao gồm dữ liệu giao dịch liên quan đến các hoạt động bất hợp pháp như rửa tiền, gian lận và vi phạm lệnh trừng phạt. Với những hồ sơ tội phạm này, có những mục tiêu để tấn công chính xác.
Ở bước thứ hai, sau khi bất kỳ người dùng nào thực hiện khoản tiền gửi, sẽ có thời gian phát hiện kéo dài 1 giờ, trong thời gian đó, nhiều thuật toán khác nhau sẽ phân tích xem khoản tiền gửi đó có phải đến từ danh sách đen hay không. Toàn bộ quá trình được mã hóa hoàn toàn và chỉ đưa ra kết luận có liên quan hay không. Nó không tiết lộ thông tin nhạy cảm như địa chỉ người dùng, lịch sử giao dịch hoặc số dư và về mặt kỹ thuật có thể đảm bảo rằng quyền riêng tư của người dùng không bị xâm phạm.
Ở bước thứ ba, người dùng có thể sử dụng bằng chứng không tiết lộ thông tin (ZKP) để rút tiền riêng tư sau 1 giờ. Ngoài ra, chính sách giao thức nội bộ của Railgun cũng quy định rằng khi một địa chỉ bị nghi ngờ nằm trong danh sách đen cố gắng trộn tiền, số tiền của địa chỉ đáng ngờ đó sẽ bị trả lại một cách cưỡng bức.
Cuối cùng, Railgun đã chủ động tuân thủ. Mọi bằng chứng do ví người dùng tạo ra đều có thể được cung cấp cho các sàn giao dịch hoặc cơ quan quản lý và các tổ chức bên thứ ba này sẽ xác nhận tính hợp lệ của bằng chứng thông qua các thuật toán xác minh mà không cần lấy dòng tiền của người dùng, thông tin chi tiết về hoạt động của ví hoặc dữ liệu nhận dạng. Cơ chế này không chỉ đáp ứng nhu cầu của các tổ chức bên ngoài trong việc rà soát tính tuân thủ giao dịch mà còn tránh hoàn toàn nguy cơ rò rỉ quyền riêng tư của người dùng, đạt được sự tự chứng minh vô tội mà không cần tin tưởng.
Sự kết hợp giữa bảo vệ quyền riêng tư, cơ chế tuân thủ và chiến lược kiểm soát rủi ro chính là rào cản cuối cùng ngăn chặn những kẻ tấn công rửa tiền trong sự cố zkLend này.
Người sáng lập SlowMist cũng cho biết: Đây là giải pháp bảo mật tốt.
Đường lối riêng tư, tương lai sẽ đi về đâu?
Trong khi Railgun đang xây dựng rào cản để tuân thủ, các chính sách quản lý của Hoa Kỳ dường như đang nới lỏng.
Vào ngày 27 tháng 11 năm ngoái, Tòa án liên bang Hoa Kỳ đã phán quyết rằng lệnh trừng phạt của Bộ Tài chính Hoa Kỳ đối với hợp đồng thông minh Tornado Cash là bất hợp pháp . Đây là một chiến thắng lịch sử cho tiền điện tử và tất cả những ai quan tâm đến việc bảo vệ tự do. Người sáng lập Uniswap gọi đó là “hợp đồng thông minh bất biến đánh bại Bộ Tài chính tại tòa án”.
Liệu phán quyết này có làm nảy sinh ngày càng nhiều dự án trong lĩnh vực bảo mật tuyên bố rằng “mã không có tội” nhưng thực chất lại khuyến khích tội phạm không?
Bài đọc liên quan: Phân tích toàn cảnh về con đường riêng tư: bảo vệ quyền riêng tư cũng có thể khuyến khích tội phạm, cuộc cách mạng vẫn chưa thành công
Trong mọi trường hợp, trong môi trường hiện tại khi quy định về mã hóa ngày càng rõ ràng hơn sau khi Trump nhậm chức, Railgun, công ty kết hợp quyền riêng tư và tuân thủ, nên trở thành ví dụ cho sự phát triển của hướng đi này.
