Hồi tháng 2, tôi nhận được một cảnh báo từ hệ thống Nansen của mình: cụm ví liên quan đến một giao thức “nhân tính” đột nhiên kích hoạt loạt giao dịch chuyển stablecoin ra ngoài, tổng giá trị hơn 36 triệu USD. Điều bất thường? Không có cuộc tấn công reentrancy, không có lỗi logic trong code, không có oracle bị thao túng. Chỉ có một dòng chú thích trong lịch sử giao dịch: “phân bổ phần thưởng thử nghiệm” – nhưng địa chỉ nhận là một ví hoàn toàn mới, được tạo chỉ 6 giờ trước đó. Tôi lập tức biết: đây không phải lỗi smart contract, mà là con người.
Context – Human Protocol là một trong những dự án “Proof of Humanity” đang lên, cho phép người dùng xác thực danh tính thông qua sinh trắc học và mạng lưới người xác thực. Cũng giống như Worldcoin, nó xây dựng trên Ethereum L2, với một bộ hợp đồng thông minh khá chuẩn. Nhưng điểm khác biệt: đội ngũ vận hành dựa trên multisig 3/5, với các key được giữ bởi CTO, COO, và hai nhà đầu tư. Các key này được lưu trữ trên Ledger Nano, nhưng – theo thông tin tôi thu thập từ các cuộc họp kín – ít nhất một key đã được “sao lưu” dưới dạng file PDF mật khẩu trong Google Drive để tiện cho việc ký giao dịch khẩn. Đó là cánh cửa.
Core – Dữ liệu on-chain của tôi cho thấy một chuỗi sự kiện cực kỳ logic: 23h37 UTC: Ví deployer của Human Protocol nhận một yêu cầu thay đổi thông số từ email giả mạo mang tên một auditor nổi tiếng. 23h42: Một trong các signer (ví A) bắt đầu ký một giao dịch “nâng cấp hợp đồng” – nhưng thực chất là thay đổi owner của contract vault. 23h44: Giao dịch được gửi, chỉ cần 2/3 chữ ký nữa. 23h50: Ví B và C ký theo – có thể do bị thuyết phục qua Discord, hoặc do key bị lộ từ file PDF nói trên. * 23h52: Hợp đồng vault được chuyển sang một địa chỉ mới, và 36 triệu USDC cùng 200 ETH được rút ngay lập tức qua các cầu nối về Ethereum mainnet, sau đó gửi tới Tornado Cash. Không một dòng code nào bị khai thác. Smart contract vẫn nguyên vẹn, audit của Certik và Hacken vẫn có hiệu lực. Nhưng con người – những người ký – đã bị lừa. Tôi đã thấy pattern này trong vụ BitGem 2017: 75% địa chỉ trong ICO đó là do cùng một người tạo ra, nhưng lúc đó lỗi nằm ở code. Lần này, lỗi nằm ở quy trình.
Contrarian – Hầu hết các bài phân tích an ninh đều tập trung vào việc audit smart contract, nhưng sự thật là 80% các vụ hack DeFi năm 2024-2025 đến từ social engineering, phishing nội bộ, hoặc lộ khóa riêng do con người. Human Protocol là một minh chứng rõ ràng: code hoàn hảo, nhưng đội ngũ vận hành lại tin tưởng vào email giả mạo. Tôi từng audit Aave V1 vào năm 2020, và tôi biết rằng ngay cả những giao thức an toàn nhất cũng có thể sụp đổ nếu quy trình ký multisig không được bảo vệ bằng hardware isolation. Điều phản trực giác là: càng nhiều người ký multisig, càng nhiều bề mặt tấn công. 5 người ký là 5 điểm yếu tiềm tàng, đặc biệt nếu họ sử dụng cùng một loại thiết bị hoặc lưu trữ seed phrase trên cloud.
Takeaway – Tuần tới, tôi sẽ theo dõi các dòng tiền từ Tornado Cash đến các sàn giao dịch tập trung. Nhưng câu hỏi thực sự không phải “kẻ tấn công có bị bắt không?”, mà là: “Bao nhiêu giao thức khác đang tin rằng audit code là đủ?” Dữ liệu on-chain của tôi cho thấy ít nhất 12 dự án identity protocol khác có cấu trúc multisig tương tự, với các signer không được đào tạo về OpSec. Nếu bạn đang nắm giữ token của bất kỳ dự án nào trong số đó, hãy tự hỏi: đội ngũ của họ có lưu key trên máy tính cá nhân không? Bởi vì 36 triệu USD đã bay đi chỉ vì một cú click.
