Bisq bị tấn công, 11 BTC bị đánh cắp và có kế hoạch bồi thường

Bisq, giao thức giao dịch Bitcoin phi tập trung, đã gặp một vụ khai thác nhắm vào các lệnh đang mở, khiến khoảng 11 BTC bị lấy đi. Trong cộng đồng của dự án, một phương án bồi hoàn cho người dùng bị ảnh hưởng đang được bàn thảo, nhưng chưa có điều khoản cuối cùng.

Sự cố này làm gián đoạn hoạt động giao dịch trên Bisq trong lúc đội ngũ tiến hành điều tra. Hiện đã có một số dữ kiện được xác nhận, nhưng nhiều chi tiết kỹ thuật và cách xử lý thiệt hại vẫn chưa được công bố đầy đủ.

Vụ việc tại Bisq diễn ra như thế nào

Đội ngũ phát triển Bisq cho biết họ đã phát hiện một vụ khai thác trong trade protocol và ngay lập tức tạm dừng giao dịch để điều tra. Theo thông tin đã được xác nhận, số tiền bị lấy đi đến từ các active offers trên nền tảng, tức các lệnh đang mở tại thời điểm xảy ra sự cố.

Số BTC bị mất và điểm kỹ thuật được nhắc tới

Tổng thiệt hại được xác nhận vào khoảng 11 BTC. Một số báo cáo dẫn lời đội ngũ Bisq cho rằng vụ việc liên quan đến khoảng trống trong khâu kiểm tra negative miner fee validation ở Bisq v1. Đây là chi tiết kỹ thuật hiện được nhắc tới nhiều nhất, nhưng dự án chưa công bố một bản báo cáo hậu kiểm đầy đủ để mô tả toàn bộ cách thức bị khai thác.

Những gì vẫn chưa được làm rõ

Hiện chưa có thông tin công khai đầy đủ về cách kẻ tấn công tận dụng khoảng trống kiểm tra nói trên. Danh tính của người đứng sau vụ việc vẫn chưa được xác định. Cũng chưa rõ có bao nhiêu trader bị ảnh hưởng trực tiếp, và sự cố này là một lần tấn công đơn lẻ hay diễn ra qua nhiều giao dịch trong một khoảng thời gian.

Tác động đối với người dùng và hoạt động của giao thức

Với những người đang có lệnh mở trên Bisq vào thời điểm xảy ra sự cố, thiệt hại là trực tiếp. Vì Bisq là một giao thức phi tập trung và không vận hành theo mô hình sàn tập trung, nền tảng này không có một cơ chế bù lỗ tự động như quỹ bảo hiểm nội bộ của nhiều sàn giao dịch tập trung. Việc tạm dừng giao dịch trong lúc điều tra cũng khiến toàn bộ người dùng bị ảnh hưởng về mặt vận hành, không chỉ nhóm mất tiền.

Về phía giao thức, sự cố này tác động đến niềm tin vào cơ chế giao dịch của Bisq. Nền tảng này được xây dựng như một nơi giao dịch Bitcoin không lưu ký và ưu tiên quyền riêng tư. Khi một vụ khai thác có thể rút tiền từ các lệnh đang mở, rủi ro kỹ thuật của cơ chế lõi lập tức trở thành vấn đề trung tâm.

Phương án bồi hoàn đang được thảo luận

Bisq cho biết một khuôn khổ bồi hoàn đang được xem xét trong cộng đồng. Vì dự án vận hành theo mô hình quản trị phi tập trung, bất kỳ phương án chi trả nào cũng cần đi qua quy trình biểu quyết hoặc thảo luận của cộng đồng trước khi được thực hiện. Điều đó đồng nghĩa với việc người dùng bị ảnh hưởng chưa thể nhận hỗ trợ ngay lập tức.

Hiện còn nhiều câu hỏi chưa có câu trả lời. Chưa rõ ai sẽ đủ điều kiện nhận bồi hoàn, mức bồi hoàn sẽ được tính như thế nào, thời gian xử lý kéo dài bao lâu, và kho bạc của DAO có đủ để bù toàn bộ số BTC bị mất hay không. Dự án cũng chưa nói rõ khoản bồi hoàn, nếu có, sẽ được tính bằng BTC hay BSQ.

Vì sao sự cố này đáng chú ý với mô hình giao dịch phi tập trung

Bisq là một trong số ít giao thức giao dịch Bitcoin phi tập trung và không KYC. Mô hình này giảm phụ thuộc vào bên trung gian, nhưng cũng đồng nghĩa với việc khi xảy ra sự cố, không có một tổ chức tập trung nào đứng ra xử lý thiệt hại theo cách đơn phương. Việc khắc phục sẽ phụ thuộc vào cơ chế quản trị và nguồn lực sẵn có trong cộng đồng.

Sự cố cũng cho thấy các giao thức giao dịch phi tập trung vẫn có thể gặp rủi ro từ lỗi kiểm tra giao dịch hoặc logic xác thực. Với người dùng, điều còn thiếu lúc này là bản phân tích kỹ thuật đầy đủ và thông tin rõ hơn về phạm vi ảnh hưởng. Khi những dữ liệu đó chưa được công bố, chưa thể kết luận chắc chắn về mức độ lan rộng của sự cố hay khả năng phục hồi hoàn toàn của hệ thống.

Tổng kết

Bisq đã xác nhận một vụ khai thác nhắm vào trade protocol, khiến khoảng 11 BTC bị lấy từ các lệnh đang mở và buộc nền tảng phải tạm dừng giao dịch để điều tra. Cộng đồng đang bàn về phương án bồi hoàn, nhưng chưa có quyết định cuối cùng. Những điểm quan trọng nhất hiện vẫn là bản hậu kiểm kỹ thuật, phạm vi ảnh hưởng thực tế và cách thức xử lý thiệt hại cho người dùng.