Hồi chuông cảnh tỉnh về an toàn tài sản trên CEX
Tính an toàn của sàn giao dịch tập trung (CEX) từ lâu đã là mối quan ngại. Nhưng tiết lộ từ CEO mới của FTX lại càng dấy lên những hồi chuông báo động khác.
John Ray III, CEO hiện tại của FTX cho biết sàn đã lưu trữ các private key nhưng không hề áp dụng công nghệ mã hóa. Thông tin được hé lộ trước Ủy ban Dịch vụ Tài chính Hạ viện Mỹ. Ray nói thêm ông đã thực hiện các biện pháp nhằm bảo vệ số tài sản mã hóa 1 tỷ USD trên nền tảng kể từ khi tiếp quản.
Ở DEX, người dùng tự nắm giữ private key và quản lý tài sản của mình. Trong khi đó, các CEX kiểm soát private key đối với ví chứa tất cả tài sản của người dùng, tương tự như các hệ thống ngân hàng truyền thống.
Nói cách khác, CEX gần như có toàn quyền nắm giữ tài sản của khách hàng. Các sàn có trách nhiệm bảo đảm tiền không bị mất, đánh cắp hay sử dụng cho hoạt động bất hợp pháp.
Điều này mang lại cả ưu điểm và nhược điểm cho người dùng. Một mặt, người dùng không cần lo lắng chuyện quản lý tài sản hay duy trì bảo mật. Tuy nhiên, họ cũng gặp nhiều nguy cơ, bao gồm khả năng bị hack, rò rỉ thông tin, bank run và rủi ro từ bên thứ 3.
Private key lẽ ra phải được lưu trữ cẩn thận trên các hệ thống thông qua công nghệ blockchain. Giới chuyên gia bảo mật cảnh báo việc FTX không mã hóa private key đã mở đường cho những giao dịch bất hợp pháp.
“Do FTX không mã hóa private key, bất kỳ nhân viên hay tác nhân bên ngoài nào cũng có quyền truy cập hệ thống nội bộ. Từ đó, họ có thể di chuyển và đánh cắp tài sản của khách hàng một cách dễ dàng”, theo Nick Neuman, CEO công ty cung cấp ví không lưu ký (non-custodial) Casa.
Dù có chủ đích hay không, việc FTX “quên” mã hóa private key đã đẩy tiền của người dùng đứng trước nhiều nguy hiểm hơn cả các sàn CEX khác. Và thực tế đã chứng minh điều đó đúng. Ngày 12/11, ngay sau khi FTX nộp đơn phá sản, hàng trăm triệu USD bị bòn rút khỏi sàn.
Trong khi danh tính thủ phạm chưa được xác định, Sam Bankman-Fried cho rằng kẻ cắp thuộc chính nội bộ sàn hoặc một ai đó đã lấy private key thông qua hack hệ thống máy tính nhân viên.
Trước đây, nhiều sàn CEX cũng từng bị hacker viếng thăm. Dù các nhà phát triển có sử dụng nhiều lưới bảo vệ đến mức nào, nạn hack vẫn là vấn đề quen thuộc. Chẳng hạn, Mt. Gox, sàn giao dịch Bitcoin lớn nhất một thời bị đánh cắp 480 triệu USD vào năm 2014. Vụ việc đã đẩy Mt. Gox từ đỉnh cao đi đến cảnh phá sản trong khi hàng loạt người dùng vẫn chưa thể lấy lại tài sản.
Năm 2016, hacker đã lợi dụng lỗ hổng trong hệ thống private key của Bitfinex và lấy đi 65 triệu USD. Cùng năm, Coincheck bị hack 500 triệu USD. Vụ việc đã khuấy lên tranh cãi xung quanh quyền lưu ký tài sản và bảo mật trên sàn tiền ảo. Chính quyền Nhật Bản đã buộc phải siết chặt hoạt động của các sàn giao dịch để tránh sự việc tương tự tái diễn.
Tuy nhiên, đây chỉ là các tác nhân xấu đến từ bên ngoài. Khi “mở cửa” private key, FTX có thể đã có động cơ xấu ngay từ đầu. Nắm giữ private key, nhà sáng lập Sam Bankman-Fried đã “mượn” tiền của khách hàng để hỗ trợ các hoạt động kinh doanh khác và những mục đích cá nhân như giao dịch đòn bẩy và mua những bất động sản xa hoa ở Bahamas.
Đến lúc sự việc vỡ lở, khách hàng mới muộn màng nhận ra họ có quá ít quyền kiểm soát đối với tiền của mình. Đồng thời, tiền của họ có nguy cơ kẹt lại trên FTX trong nhiều năm tới.