Chào anh em, nếu anh em mới bước chân vào thị trường crypto và nghe các “lão làng” nhắc về sự kiện Hard Fork hay vì sao lại có hai đồng Ethereum (ETH) và Ethereum Classic (ETC), thì tất cả đều bắt nguồn từ một drama kinh điển: The DAO Hack.

1. The DAO là cái gì mà ghê gớm vậy?

Vào khoảng đầu năm 2016, cộng đồng Ethereum sục sôi với một dự án tên là The DAO (Decentralized Autonomous Organization – Tổ chức Tự trị Phi tập trung).

Tưởng tượng thế này cho dễ: Nó giống như một quỹ đầu tư chung khổng lồ. Thay vì có một ông giám đốc ngồi quyết định tiền sẽ rót vào đâu, thì tất cả những người góp vốn đều có quyền biểu quyết trên blockchain.

• Bạn bỏ ETH vào, bạn nhận lại DAO token.
• Có dự án nào hay, cộng đồng biểu quyết. Nếu đa số đồng ý, tiền (ETH) sẽ tự động chảy từ quỹ sang dự án đó nhờ Smart Contract (Hợp đồng thông minh).

Kết quả là gì? Người ta đổ xô vào góp vốn. The DAO huy động được khoảng 150 triệu USD (tương đương 14% tổng lượng ETH lưu hành lúc bấy giờ). Một con số kinh thiên động địa vào năm 2016!

2. “Lỗ hổng” chết người và cú ra tay của hacker

Mọi chuyện đang đẹp như mơ thì vào ngày 17/06/2016, một “vị khách không mời” đã tìm thấy một cái khe cửa hẹp trong mã code của The DAO.

Kỹ thuật này được gọi là Recursive Call Attack (Tấn công đệ quy). Giải thích theo kiểu đời thường thì nó giống như việc bạn đi rút tiền ở ATM:

1. Bạn đưa thẻ vào, chọn rút 1 triệu.
2. Máy ATM chuẩn bị nhả tiền.
3. Nhưng ngay trước khi máy kịp trừ số dư trong tài khoản của bạn, bạn lại nhấn nút “Rút tiếp” một lần nữa.
4. Cái máy “ngây thơ” này cứ thế nhả tiền liên tục mà không kịp cập nhật xem bạn còn bao nhiêu tiền trong thẻ.

Hacker đã tạo ra một vòng lặp như vậy. Hắn rút tiền ra, rồi trước khi hệ thống kịp ghi nhận là tiền đã bị rút, hắn lại ra lệnh rút tiếp. Cứ thế, chỉ trong vài tiếng đồng hồ, khoảng 3,6 triệu ETH (lúc đó trị giá tầm 50 triệu USD) “không cánh mà bay” khỏi quỹ chung.

3. Cuộc đấu tranh nội tâm: Giữ “đạo” hay giữ “tiền”?

Cả cộng đồng Ethereum rúng động. Vitalik Buterin (cha đẻ Ethereum) và các nhà phát triển đứng trước một lựa chọn cực kỳ đau đớn:

• Phương án 1 (Soft Fork): Chặn không cho hacker tẩu tán số tiền đó. Nhưng cách này bị lỗi kỹ thuật và không giải quyết được gốc rễ.
• Phương án 2 (Hard Fork): Đây là phương án “xóa bài làm lại”. Họ sẽ can thiệp vào blockchain, đưa toàn bộ số tiền bị mất về một hợp đồng mới để trả lại cho nhà đầu tư. Coi như vụ hack chưa từng xảy ra.

Tranh cãi nổ ra:

• Một bên nói: “Blockchain là không thể thay đổi (Immutability). Nếu chúng ta can thiệp để sửa lỗi, thì nó khác gì ngân hàng truyền thống đâu? Mất uy tín lắm!”
• Bên kia nói: “Nhưng 14% lượng ETH bị mất là quá lớn, nó có thể giết chết Ethereum ngay từ trong trứng nước. Phải cứu người đã!”

Cuối cùng, đa số chọn Hard Fork. Một nhánh mới ra đời (chính là ETH chúng ta dùng hiện nay), nơi vụ hack bị xóa sổ. Nhánh cũ vẫn giữ nguyên lịch sử bị hack và đổi tên thành Ethereum Classic (ETC).

Bài học xương máu: Chẳng có cái két sắt nào là tuyệt đối

Vụ The DAO Hack không chỉ là một câu chuyện về mất tiền, nó để lại cho chúng ta một bài học “đắng lòng” nhưng thực tế:

Mọi blockchain đều có thể bị hack.

Nghe thì hơi phũ phàng, nhưng anh em cần nhớ:

1. Blockchain không sai, nhưng Code thì có thể sai: Blockchain có thể bảo mật cực tốt, nhưng các ứng dụng (Smart Contract) chạy trên nó lại do con người viết ra. Mà con người thì luôn có sai sót. Một lỗi đánh máy, một logic chưa chặt chẽ cũng đủ để “mở cửa” cho trộm vào nhà.
2. Sự phi tập trung là một phổ rộng, không phải tuyệt đối: Khi gặp biến cố quá lớn, con người vẫn có thể can thiệp (như vụ Hard Fork). Điều này cho thấy công nghệ dù tân tiến đến đâu vẫn chịu sự chi phối bởi cộng đồng và niềm tin của con người.
3. Đừng bao giờ bỏ hết trứng vào một giỏ: Dù dự án đó có “xịn” đến đâu, có được quảng cáo là “an toàn tuyệt đối” đến đâu, thì rủi ro kỹ thuật vẫn luôn treo lơ lửng.

End

The DAO Hack là một vết sẹo lớn, nhưng cũng là bài học quý giá giúp Ethereum trưởng thành và bảo mật hơn như ngày nay. Trong thế giới crypto, sự cẩn trọng chưa bao giờ là thừa. Đừng để cái mác “phi tập trung” làm bạn chủ quan, bởi vì hacker không bao giờ ngủ, và chúng luôn tìm kiếm những “khe cửa hẹp” mà chúng ta vô tình bỏ sót.