Giải thích vụ hack $10 triệu của THORChain: chuyện gì đã xảy ra và người dùng cần biết gì

Mục tiêu của cuộc tấn công là một Asgard vault — loại vault cốt lõi của THORChain dùng để lưu trữ và quản lý thanh khoản phục vụ các giao dịch hoán đổi tài sản giữa nhiều blockchain.

Các vault này giữ tài sản từ nhiều mạng khác nhau và sử dụng cơ chế ký phân tán giữa các node xác thực (validator) để cho phép rút hoặc chuyển tài sản.

Lỗ hổng GG20 và cơ chế chữ ký ngưỡng (TSS)

Giả thuyết kỹ thuật phổ biến nhất cho rằng cuộc tấn công liên quan đến GG20 Threshold Signature Scheme (TSS) — hệ thống chữ ký ngưỡng mà THORChain sử dụng trong ví MPC.

Trong mô hình này:

• Không có node nào giữ toàn bộ khóa riêng.
• Khóa được chia thành nhiều "key share" giữa các node.
• Giao dịch chỉ được ký khi đủ số node kết hợp các phần khóa lại.

Các nhà điều tra cho rằng kẻ tấn công có thể đã:

• lợi dụng lỗ hổng trong triển khai GG20, và
• có liên quan tới một node mới được thêm vào tập validator.

Bằng cách này, kẻ tấn công được cho là đã từ từ rò rỉ hoặc thu thập các phần khóa, cho đến khi có đủ dữ liệu để tái tạo quyền ký giao dịch của vault. Khi đó, họ có thể tạo các giao dịch rút tiền trông giống giao dịch hợp lệ.

Hệ thống giám sát tự động của THORChain cuối cùng đã phát hiện hành vi bất thường và tạm dừng việc ký giao dịch, nhờ đó hạn chế tổng thiệt hại.

Tranh cãi về “cổng hoàn tiền” cho người dùng

Một trong những điểm gây nhầm lẫn nhất sau sự cố là thông tin trái chiều về chương trình hoàn tiền.

Một số nguồn tin cho biết THORChain đã mở cổng recovery portal vào ngày 16/5, được hỗ trợ bởi quỹ treasury trị giá 10 triệu USD. Theo các báo cáo này, người dùng có thể:

• kiểm tra xem ví của mình có đủ điều kiện nhận bồi thường hay không
• thu hồi các quyền cấp token độc hại
• gửi yêu cầu hoàn tiền

Các báo cáo này cho biết:

• 12.847 ví bị ảnh hưởng
• thời gian nộp yêu cầu 21 ngày
• hạn cuối 4/6.

Tuy nhiên, các báo cáo khác lại cho rằng THORChain phủ nhận việc triển khai chương trình hoàn tiền, đồng thời cảnh báo về thông tin sai lệch đang lan truyền trên mạng.

Do đó, người dùng được khuyến cáo chỉ tin tưởng thông báo từ kênh chính thức của THORChain trước khi kết nối ví hoặc ký bất kỳ giao dịch nào.

Cảnh báo lừa đảo sau vụ hack

Ngay sau sự cố, THORChain cho biết đã xuất hiện nhiều tài khoản và trang web giả mạo quảng bá:

• chương trình hoàn tiền
• airdrop
• yêu cầu bồi thường

Dự án cảnh báo người dùng không truy cập các liên kết không chính thức, vì các chiến dịch phishing thường gia tăng mạnh sau các vụ hack DeFi lớn.

Phản ứng của thị trường: RUNE giảm mạnh

Tin tức về vụ khai thác đã tác động ngay đến thị trường.

Token gốc của giao thức, RUNE, giảm khoảng 11–12% trong vòng 24 giờ, có thời điểm giao dịch quanh 0,51 USD sau khi sự cố được công bố.

Đợt giảm giá phản ánh lo ngại của nhà đầu tư về:

• độ an toàn của ví MPC
• rủi ro từ hạ tầng cross‑chain
• giả định về độ tin cậy của validator

Ý nghĩa đối với bảo mật DeFi

Vụ việc của THORChain cho thấy một rủi ro quan trọng trong DeFi: các hệ thống cross‑chain thường tập trung rủi ro vào cơ chế ký mật mã.

Khi các giao thức sử dụng MPC và chữ ký ngưỡng để quản lý tài sản trên nhiều blockchain, bất kỳ lỗ hổng nào trong hệ thống ký này đều có thể khiến tài sản trên nhiều mạng bị ảnh hưởng cùng lúc.

Ngoài ra, sự cố cũng cho thấy truyền thông sau vụ hack có thể trở thành một phần của bề mặt tấn công. Thông tin sai lệch hoặc các cổng hoàn tiền giả có thể khiến người dùng mất thêm tiền nếu họ kết nối ví hoặc ký giao dịch độc hại.

Điều gì xảy ra tiếp theo

Cuộc điều tra vẫn đang diễn ra. Các nhà nghiên cứu bảo mật và công ty phân tích blockchain đang theo dõi dòng tiền của kẻ tấn công để truy vết số tài sản bị đánh cắp.

Một số dữ liệu on‑chain cho thấy các ví liên quan đến vụ tấn công đã được cấp vốn từ nhiều tuần trước đó, cho thấy đây có thể là một cuộc tấn công được chuẩn bị trước chứ không phải cơ hội ngẫu nhiên.

Song song đó, các nhà phát triển THORChain đang đánh giá nâng cấp hoặc thay thế hệ thống chữ ký ngưỡng hiện tại để giảm nguy cơ xảy ra các sự cố tương tự trong tương lai.

Cho đến khi bản báo cáo kỹ thuật đầy đủ được công bố, sự cố này vẫn là lời nhắc rằng ngay cả những giao thức DeFi phức tạp nhất cũng có thể tồn tại lỗ hổng nghiêm trọng — và việc minh bạch sau sự cố quan trọng không kém gì các bản vá kỹ thuật.