Logo

Bảo mật khi vào trận - Một vụ hack thật, và cách DAO lấy lại

June 9, 2026
Bảo mật khi vào trận - Một vụ hack thật, và cách DAO lấy lại

Hôm qua, DAO đã bỏ phiếu cho một việc nghiêm túc hơn nhiều so với một bài kiểm thử.

Một người dùng của chúng tôi bị hack. Toàn bộ business của họ, gồm NFT và cấu trúc partner, đã bị đánh cắp. Và hôm qua, bằng lá phiếu của cộng đồng, nó đã được trả lại cho chủ sở hữu hợp pháp.

Nhiều bạn hỏi câu chuyện đầy đủ. Đây là toàn bộ, nói thẳng: chuyện gì đã xảy ra, nó được xử lý ra sao, điều đó chứng minh gì về cách protocol này được xây dựng, và lớp bảo mật mới mà chúng tôi thêm vào vì vụ này.

Chuyện gì đã xảy ra

Một participant của chúng tôi bị xâm phạm ví. Kẻ tấn công lấy được seed phrase của ví, chìa khóa chính cho mọi thứ bên trong.

Cần nói thật rõ một điều: đây không phải là một vụ xâm nhập platform hay smart contracts. Bản thân protocol chưa từng bị xâm phạm. Kẻ tấn công chui vào ví của người dùng theo cách cũ rích, bằng cách đánh cắp chìa khóa.

Vào thời điểm đó, chức năng Business Sale đang tạm thời được bật. Chúng tôi đã kích hoạt nó trước đó như một phần của bài kiểm thử DAO governance, và đã thông báo công khai. Kẻ tấn công tận dụng đúng khoảng cửa mở ấy. Khi kiểm soát được ví bị xâm phạm, hắn kích hoạt chuyển nhượng business và chuyển toàn bộ account của nạn nhân, gồm NFT và toàn bộ cấu trúc partner-tree, sang địa chỉ của chính hắn.

Một business xây nhiều tháng, biến mất trong một giao dịch.

Trước bất cứ điều gì khác, điều quan trọng nhất

Để hiểu việc này được xử lý như thế nào, trước tiên bạn cần hiểu điều gì KHÔNG thể xảy ra.

Team không có quyền truy cập vào business của bạn. Không hề.

Chúng tôi không thể di chuyển NFT của bạn. Chúng tôi không thể chạm vào cấu trúc của bạn. Chúng tôi không thể đóng băng, tịch thu, hay chuyển bất cứ thứ gì trong account của bạn. Đây không phải một chính sách mà chúng tôi có thể âm thầm đổi vào ngày mai, đó là cách smart contracts được xây dựng, được xác nhận trong audit của CertiK, và được blockchain tự nó thực thi.

Đây mới là ý nghĩa thật sự của decentralization. Nếu chúng tôi có thể thò tay vào account và tự “sửa” mọi thứ, tài sản của bạn rốt cuộc chỉ an toàn ngang với thiện chí của chúng tôi, và bạn sẽ phải tin chúng tôi như cách bạn tin một ngân hàng. Đó chính xác là mô hình mà protocol này được xây để thay thế.

Vì vậy khi vụ hack xảy ra, không có nút admin nào để bấm. Không thể có. Và đó là thiết kế có chủ đích.

Nó thật sự được xử lý ra sao

Thứ tồn tại ở đây là DAO.

Nạn nhân liên hệ support. Upline leader của họ, người ban đầu đưa họ vào ecosystem, đã đứng ra cùng họ và xác nhận tình hình. Team xác minh danh tính của chủ sở hữu và quyền kiểm soát độc quyền của họ đối với một ví mới, an toàn. Rồi cơ chế duy nhất có thẩm quyền hành động được khởi động: một cuộc bỏ phiếu cộng đồng.

Hai proposal được đưa lên on-chain:

1. Tắt Business Sale. Giai đoạn kiểm thử governance dù sao cũng đã hoàn tất, và đường chuyển nhượng đang mở chính là bề mặt mà kẻ tấn công đã dùng. DAO bỏ phiếu tắt chức năng này trên toàn protocol. Nó sẽ vẫn tắt cho đến khi một cuộc bỏ phiếu trong tương lai quyết định khác đi.

2. Khôi phục account bị đánh cắp. DAO cho phép di chuyển vị thế bị đánh cắp, gồm NFT, cấu trúc, và mọi thứ gắn với nó, từ địa chỉ của kẻ tấn công sang một ví mới do riêng chủ sở hữu đã được xác minh kiểm soát. Không phải trả về ví ban đầu: ví đó vẫn còn bị xâm phạm, và đưa business về đó chẳng khác nào trao thẳng lại cho cùng kẻ tấn công.

Cả hai proposal đều được thông qua. Cả hai đều được thực thi on-chain. Toàn văn proposal được công khai trên trang DAO cho bất kỳ ai muốn xem từng chi tiết.

Kết quả: chủ sở hữu quay lại business từ một ví an toàn. Địa chỉ của kẻ tấn công chẳng còn gì.

Nói cho rõ, DAO cũng có quyền đóng băng hoàn toàn một account độc hại. Trong trường hợp này thậm chí không cần dùng đến, vì chính việc di chuyển đã tước sạch mọi vị thế mà kẻ tấn công nắm giữ.

Điều này chứng minh gì

Chúng tôi dự tính một bài kiểm thử governance để xác nhận proposal, bỏ phiếu, và thực thi. Thay vào đó, thứ xảy ra là một sự cố thật, đặt toàn bộ mô hình bảo mật dưới áp lực thật.

Mô hình đã trụ vững:

  • Một mình team không thể làm gì, đúng như thiết kế.

  • Cộng đồng, thông qua DAO, có thể làm mọi thứ cần thiết, đóng bề mặt tấn công, tước quyền kẻ tấn công, khôi phục chủ sở hữu.

Chính sự kết hợp đó mới là điểm cốt lõi. Không một bên đơn lẻ nào, không phải team, cũng không phải bất kỳ cá nhân nào, có thể chạm vào tài sản của bạn. Nhưng cộng đồng, cùng hành động qua một cuộc bỏ phiếu on-chain công khai, có thể khôi phục công lý khi có chuyện sai lệch xảy ra.

Các platform tập trung cho bạn vế thứ hai mà thiếu vế thứ nhất. Hầu hết DeFi cho bạn vế thứ nhất mà thiếu vế thứ hai. Protocol này có cả hai.

Bạn nên làm gì ngay bây giờ

Hàng rào phòng thủ của protocol đã hoạt động. Nhưng sự cố này bắt đầu ở nơi phần lớn sự cố bắt đầu: một ví bị xâm phạm. Lớp bảo mật mạnh nhất là lớp bạn tự thiết lập.

Ba việc, ngay hôm nay:

1. Đặt financial password của bạn. Một mật khẩu riêng cần có để chuyển tiền, độc lập với đăng nhập của bạn. Nếu scammer vào được account của bạn mà không có nó, hắn đâm vào tường.

2. Bật mọi lớp bảo mật mà platform cung cấp cho bạn. TAN codes cho giao dịch, 2FA, và bot Telegram chính thức để xác minh hành động. Mỗi lớp là thêm một thứ kẻ tấn công phải phá.

3. Bảo vệ seed phrase của bạn như thể nó là chính business. Vì đúng là vậy. Đừng bao giờ nhập nó vào bất kỳ website nào, đừng bao giờ chia sẻ với bất kỳ ai, đừng bao giờ lưu trong ghi chú cloud hay screenshot.

Nếu các lớp này chưa được thiết lập, kẻ tấn công lọt vào trong có thể di chuyển rất nhanh. Mỗi lớp bạn bật sẽ làm hắn chậm lại hoặc chặn hẳn hắn.

Mới: Secret Code

Vụ này cho chúng tôi thấy thêm một lớp nữa là hợp lý. Vì vậy chúng tôi đang thêm nó.

Trong tuần tới, chúng tôi sẽ triển khai Secret Code - một thành phần mới của hệ thống bảo mật account.

Cách nó hoạt động:

  • Khi bạn tạo financial password, hệ thống tạo một Secret Code, một từ ngẫu nhiên, chỉ hiển thị cho bạn một lần.

  • Nếu bạn đã có financial password, code của bạn cũng sẽ được hiển thị cho bạn.

  • Hãy ghi nó ra và lưu offline. Hãy đối xử với nó như cách bạn đối xử với seed phrase.

  • Từ lúc đó trở đi, mọi yêu cầu nhạy cảm về bảo mật gửi tới support, như reset financial password, hành động recovery, bất cứ việc gì trong nhóm đó, đều sẽ yêu cầu bạn nêu Secret Code của mình.

Không có code, không có thay đổi. Ngay cả khi kẻ tấn công chiếm email hoặc tin nhắn của bạn, hắn cũng không thể giả danh bạn với support nếu không có từ đó.

Cuộc bỏ phiếu hôm qua làm được nhiều hơn việc sửa một account. Nó chứng minh, ngay trong production, với rủi ro thật, rằng protocol này có thể bảo vệ người dùng mà không cần bất kỳ ai nắm quyền lực tập trung lên họ.

Người dùng bị tấn công đã lấy lại business. Kẻ tấn công ra đi tay trắng. Cộng đồng đã làm được điều đó, công khai, on-chain, bằng bỏ phiếu.

Công lý đã thắng. Đó là hệ thống vận hành đúng như thiết kế.