Khoảng 6,2 triệu USD từ vụ tấn công SagaEVM đã được lần theo dấu vết khi kẻ tấn công nạp vào Tornado Cash, khiến việc truy vết và thu hồi tài sản trở nên khó khăn hơn đáng kể.
Việc dùng “privacy mixer” để làm mờ dòng tiền là chiến thuật quen thuộc sau các vụ khai thác lỗ hổng trong crypto. Với SagaEVM, sự cố ngày 21/01 đã dẫn đến việc tạm dừng chuỗi để điều tra, khoanh vùng ảnh hưởng và triển khai biện pháp giảm thiểu.
NỘI DUNG CHÍNH
CertiK cho biết 6,2 triệu USD liên quan vụ SagaEVM đã được đưa vào Tornado Cash nhằm che giấu dấu vết.
SagaEVM tạm dừng tại block height 6.593.800 để điều tra, xác thực phạm vi ảnh hưởng và gia cố trước khi khởi động lại.
Nhóm Saga và Cosmos Labs cho biết lỗ hổng có nguồn gốc từ codebase Ethermint và đã phối hợp khắc phục, khuyến nghị tăng cường giám sát và rate-limiting.
6,2 triệu USD được đưa vào Tornado Cash làm mờ dấu vết vụ khai thác SagaEVM
Theo CertiK, 6,2 triệu USD trong số tài sản bị đánh cắp từ SagaEVM đã được chia nhỏ và nạp vào Tornado Cash trên Ethereum, một cơ chế trộn giúp che khuất luồng giao dịch, từ đó gây khó cho nỗ lực truy vết và thu hồi.
CertiK cho biết kẻ tấn công ban đầu phân tán tài sản qua 5 ví khác nhau, sau đó thực hiện nhiều giao dịch để “đổ” vào Tornado Cash. Tham chiếu: báo cáo của CertiK trên X.
Trong sự cố, gần 7.000.000 USD giá trị USDC, yUSD, ETH và tBTC đã được chuyển sang Ethereum mainnet. Ví của kẻ khai thác được xác định và chia sẻ tới các sàn giao dịch và cầu nối để đưa vào danh sách chặn (blacklist), nhằm tăng khả năng phong tỏa và thu hồi.
CertiK cập nhật rằng 6,2 triệu USD trong số tiền đó đã được tách thành nhiều khoản nạp vào Tornado Cash, một bước thường được dùng để làm đứt quãng mối liên hệ on-chain giữa nguồn tiền và điểm đến. Điều này được dự đoán sẽ làm giảm hiệu quả các biện pháp khắc phục và truy hồi.
Diễn biến mới tiếp tục đặt Tornado Cash vào tâm điểm, trong bối cảnh công cụ này từng gắn với nhiều tranh cãi pháp lý và lệnh trừng phạt tại Mỹ. Dù được thiết kế để tăng riêng tư giao dịch, trên thực tế các nhóm tấn công vẫn thường tận dụng nó để “biến mất” sau khi rút tiền.
SagaEVM tạm dừng chuỗi để khoanh vùng ảnh hưởng và triển khai giảm thiểu
SagaEVM cho biết chuỗi đã được tạm dừng tại block height 6.593.800 sau khi xác nhận bị khai thác, nhằm ngăn tác động lan rộng và tạo điều kiện điều tra, vá lỗi trước khi khởi động lại.
Trong thông báo thời điểm đó, nhóm dự án viết: cập nhật trên X, cho biết quá trình giảm thiểu đang được triển khai và đội ngũ tập trung xử lý sự cố.
Theo bản post-mortem công bố ngày 21/01, sự cố liên quan đến chuỗi hành động phối hợp gồm triển khai hợp đồng, hoạt động cross-chain và sau đó rút thanh khoản. Mục tiêu trước mắt là dừng thêm thiệt hại bằng cách giữ SagaEVM ở trạng thái tạm dừng trong lúc áp dụng các biện pháp giảm thiểu.
Tài liệu cũng nêu các đầu việc: xác thực toàn bộ “blast radius” bằng dữ liệu lưu trữ (archive data) và execution traces; đồng thời gia cố các thành phần liên quan trước khi đưa mạng hoạt động trở lại.
Các thành phần bị ảnh hưởng chính gồm SagaEVM chainlet, cùng Colt và Mustang. Một số phần khác được cho là không bị ảnh hưởng, gồm Saga SSC mainnet, cơ chế đồng thuận của giao thức Saga, bảo mật validator và các chainlet Saga khác.
“Không có sự cố đồng thuận, không có validator bị xâm nhập, cũng không có rò rỉ khóa ký.”
– Trích từ thông báo điều tra sự cố, Saga (Medium)
Nội dung đầy đủ: bài cập nhật điều tra trên Medium của Saga. Nhóm Saga cho biết các bước tiếp theo gồm xác thực nguyên nhân gốc, vá và gia cố các thành phần triển khai/cross-chain bị ảnh hưởng, phối hợp đối tác hệ sinh thái khi cần, và công bố bản post-mortem kỹ thuật chi tiết hơn.
Lỗ hổng được cho là bắt nguồn từ Ethermint và liên quan hệ Cosmos
Saga cho biết vấn đề xuất phát từ codebase Ethermint gốc, tức là lỗ hổng “kế thừa”, và Cosmos Labs đã phối hợp cùng Saga và đối tác bảo mật để điều tra và khắc phục lỗ hổng đã được xác nhận.
Sau khi nhận hỗ trợ từ kỹ sư Cosmos Labs, Saga công bố rằng nguyên nhân bắt nguồn từ Ethermint: chia sẻ trên X. Cosmos Labs sau đó xác nhận họ nắm được sự cố và đang làm việc chặt chẽ với Saga cùng các đối tác bảo mật bên ngoài để điều tra và xử lý.
Cosmos Labs cũng cho biết họ đã liên hệ một nhóm nhỏ các EVM chain được đánh giá có thể bị ảnh hưởng và cung cấp biện pháp giảm thiểu ngắn hạn.
Trong khuyến nghị công khai, Cosmos Labs nhấn mạnh các thực hành bảo mật nền tảng như rate-limiting và giám sát bảo mật để tăng khả năng phát hiện sớm và giảm thiểu: tuyên bố trên X.
Những câu hỏi thường gặp
Tornado Cash là gì và vì sao kẻ tấn công dùng công cụ này?
Tornado Cash là một “privacy mixer” trên Ethereum, giúp làm mờ mối liên hệ giữa địa chỉ gửi và nhận bằng cách trộn dòng tiền. Kẻ tấn công dùng công cụ này để giảm khả năng truy vết on-chain và khiến việc phong tỏa/thu hồi tài sản khó hơn.
SagaEVM bị đánh cắp bao nhiêu tiền và gồm những tài sản nào?
Báo cáo nêu gần 7.000.000 USD giá trị USDC, yUSD, ETH và tBTC đã được chuyển sang Ethereum mainnet. Trong số đó, CertiK cho biết 6,2 triệu USD đã được chia nhỏ và nạp vào Tornado Cash.
SagaEVM đã làm gì ngay sau khi xác nhận bị khai thác?
Nhóm Saga thông báo tạm dừng L1 tại block height 6.593.800 để điều tra và giảm thiểu. Các ưu tiên gồm ngăn tác động lan rộng, xác thực phạm vi ảnh hưởng bằng dữ liệu và dấu vết thực thi, rồi gia cố trước khi khởi động lại.
Những phần nào của hệ Saga được cho là bị ảnh hưởng?
Tài liệu điều tra cho biết các thành phần bị ảnh hưởng chính gồm SagaEVM chainlet, Colt và Mustang. Các phần như Saga SSC mainnet, cơ chế đồng thuận, bảo mật validator và các chainlet khác được nêu là không bị ảnh hưởng.
Lỗ hổng có liên quan Cosmos/Ethermint như thế nào?
Saga cho biết lỗ hổng bắt nguồn từ codebase Ethermint gốc nên là vấn đề “kế thừa”. Cosmos Labs xác nhận họ biết sự cố, đang phối hợp cùng Saga và các đối tác bảo mật, đồng thời đưa ra biện pháp giảm thiểu ngắn hạn và khuyến nghị tăng cường giám sát, rate-limiting.