Đồng sáng lập deBridge, Alex Smirnov, cảnh báo đề xuất “rollback” của Flow sau vụ tấn công có thể gây thiệt hại tài chính lớn hơn chính vụ khai thác ban đầu và tạo rủi ro hệ thống cho cầu nối, đơn vị lưu ký và người dùng.
Trong quá trình khôi phục, Flow đề xuất đưa mạng về trạng thái trước khi bị khai thác, nhưng Smirnov cho biết deBridge—một đối tác tích hợp—không nhận được trao đổi hay phối hợp, dù Flow nói đang đồng bộ với các đối tác quan trọng.
- Alex Smirnov cho rằng rollback của Flow bị vội vàng và có thể gây hại hệ thống vượt xa tác động của vụ khai thác.
- Smirnov kêu gọi validator tạm dừng xác thực cho đến khi có kế hoạch khắc phục rõ ràng và phối hợp đầy đủ với đối tác.
- Flow nói rollback là phương án an toàn nhất để loại bỏ giao dịch trái phép, mạng vẫn ở chế độ chỉ đọc để tránh lệch trạng thái.
Rollback bị cho là giải pháp vội vàng và gây thiệt hại lan rộng
Smirnov đánh giá rollback của Flow được triển khai quá gấp, có thể gây thiệt hại tài chính vượt xa vụ tấn công vì làm phát sinh lỗi hệ thống cho cầu nối, đơn vị lưu ký, người dùng và các bên giao dịch trung thực.
Trong bài đăng trên X, Smirnov nói quyết định rollback là “vội vàng” và có nguy cơ tạo ra các tác động dây chuyền ngoài phạm vi khắc phục sự cố ban đầu. Thay vì chỉ xử lý giao dịch trái phép, rollback có thể làm đảo lộn trạng thái sổ cái đối với những người dùng và đối tác đã tương tác hợp lệ trong “cửa sổ” bị ảnh hưởng.
Theo Smirnov, rollback không chỉ là vấn đề “quay lại một checkpoint”, mà còn đưa vào các rủi ro mang tính hệ thống cho hạ tầng liên chuỗi như bridge, các bên lưu ký, nhà cung cấp thanh khoản và đối tác thanh toán, vì họ thường phải dựa vào tính bất biến của trạng thái để đối soát, quản trị rủi ro và giải quyết tranh chấp.
Smirnov cũng nêu rằng nhiều sự cố tương tự trước đây được xử lý “chuyên nghiệp hơn”, trong đó kẻ tấn công bị cô lập mà không cần rollback. Ông đặt câu hỏi vì sao Flow chọn cách tiếp cận khác và ai là người đưa ra quyết định rollback.
Smirnov nói deBridge không được Flow trao đổi và phối hợp
Smirnov cho biết deBridge không nhận được thông tin liên lạc hay điều phối từ Flow, dù Flow tuyên bố đang đồng bộ với các đối tác quan trọng trong quá trình khôi phục sau sự cố.
Điểm gây tranh cãi là mức độ phối hợp trong hệ sinh thái khi triển khai biện pháp mạnh như rollback. Smirnov nhấn mạnh deBridge có tích hợp với Flow nhưng vẫn không được trao đổi trước về hướng xử lý, trong khi việc thay đổi trạng thái chuỗi có thể ảnh hưởng trực tiếp đến quy trình bridge in/out và đối soát tài sản giữa các mạng.
Trong bối cảnh nhiều hệ thống (bridge, CEX, DEX, đơn vị lưu ký) vận hành dựa trên sự nhất quán trạng thái, một thay đổi chuỗi không được phối hợp có thể làm tăng nguy cơ “state mismatch”, kéo theo tranh chấp số dư và sự cố vận hành cho các bên liên quan.
Các câu hỏi cốt lõi: số dư bị nhân đôi, hoàn tiền và giao dịch trong cửa sổ rollback
Smirnov yêu cầu Flow làm rõ cách xử lý các trường hợp số dư bị nhân đôi do bridge out trong cửa sổ rollback, cơ chế bồi hoàn cho người bridge vào trong cửa sổ đó, và cách các đơn vị lưu ký xử lý giao dịch đã thực thi.
Một rủi ro cụ thể là người dùng bridge out khỏi Flow trong khoảng thời gian sau đó bị revert có thể thấy số dư bị “nhân đôi” trên Flow do trạng thái bị quay lại, trong khi tài sản đã rời chuỗi theo đường bridge. Ngược lại, người bridge vào Flow trong giai đoạn rollback có thể bị mất quyền lợi nếu các giao dịch hợp lệ bị loại khỏi sổ cái mà không có cơ chế bồi hoàn rõ ràng.
Smirnov cũng nêu vấn đề với các đơn vị lưu ký và hạ tầng hệ sinh thái, lấy ví dụ LayerZero, trong việc xử lý các giao dịch đã được thực thi ngay bên trong cửa sổ rollback. Nếu giao dịch đã hoàn tất trên một phía nhưng bị xóa ở phía còn lại, rủi ro đối soát và tranh chấp tăng mạnh.
Smirnov kêu gọi validator tạm dừng xác thực cho đến khi có kế hoạch khắc phục rõ ràng
Smirnov kêu gọi các validator Flow tạm dừng node và ngừng xác thực cho đến khi Flow công bố kế hoạch khắc phục cụ thể, phối hợp đầy đủ với đối tác hệ sinh thái và có sự tham gia của các nhóm an ninh.
Ông đề nghị các validator không xác thực giao dịch trên chuỗi sau rollback cho tới khi những câu hỏi quan trọng được trả lời rõ ràng. Theo Smirnov, việc tiếp tục vận hành trong khi chưa có cơ chế xử lý số dư, hoàn tiền và quy trình đối soát có thể khiến rủi ro lan sang những bên hành xử trung thực trong cửa sổ bị ảnh hưởng.
Smirnov cũng nhấn mạnh yếu tố phối hợp với đối tác hệ sinh thái và sự tham gia của các nhóm bảo mật như Security Alliance, nhằm đảm bảo kế hoạch khắc phục được thống nhất, kiểm soát rủi ro và truyền thông đầy đủ trước khi khôi phục hoạt động bình thường.
Smirnov cho rằng rollback không ảnh hưởng kẻ tấn công nếu tài sản đã được bridge out
Smirnov nói kẻ tấn công đã bridge out khoảng 4 triệu USD, vì vậy rollback gần như không tác động đến kẻ tấn công mà chủ yếu gây hại cho người dùng, nhà cung cấp thanh khoản và đối tác trung thực.
Trong một bài đăng khác, Smirnov nhấn mạnh kẻ tấn công đã chuyển tài sản ra khỏi Flow và gom về một địa chỉ trước khi tiếp tục di chuyển. Theo lập luận này, rollback không thể “thu hồi” phần tài sản đã rời khỏi chuỗi qua bridge, trong khi lại tạo thêm thiệt hại vận hành và tài chính cho các bên còn lại.
Ông kết luận ở giai đoạn này rollback “không có tác động” lên kẻ tấn công, nhưng gây tổn hại cho những người dùng và đối tác đã giao dịch hợp lệ trong cửa sổ rollback.
“Ở giai đoạn này, rollback không tác động gì đến kẻ tấn công Flow và thay vào đó chỉ gây hại cho người dùng vô tội, nhà cung cấp thanh khoản và đối tác hệ sinh thái đã hành động trung thực trong cửa sổ rollback.”
– Alex Smirnov, đồng sáng lập deBridge, bài đăng trên X
Flow nói rollback là phương án an toàn nhất để loại bỏ giao dịch trái phép
Flow cho biết họ không thấy lựa chọn hợp lý nào khác ngoài việc đưa mạng về checkpoint trước vụ khai thác để loại bỏ các giao dịch trái phép khỏi sổ cái.
Theo Flow, mục tiêu của rollback là phục hồi sổ cái về trạng thái trước sự cố và xóa các giao dịch không được ủy quyền. Cửa sổ rollback bao phủ các giao dịch được gửi từ khoảng 14:25 (GMT+7) ngày 27/12 đến khi mạng dừng lúc 20:30 (GMT+7) ngày 27/12; các giao dịch trong giai đoạn này sẽ cần được gửi lại sau khi khởi động lại.
Flow cho biết các validator đã chấp nhận và triển khai bản sửa lỗi Mainnet-28, nhưng mạng vẫn ở chế độ chỉ đọc để đồng bộ với bridge, CEX và DEX nhằm tránh lệch trạng thái. Tính đến ngày 28/12, quá trình đồng bộ được gia hạn để đảm bảo các đối tác cùng đặt lại trạng thái về trước thời điểm bị khai thác.
Những câu hỏi thường gặp
Rollback trên blockchain Flow là gì trong bối cảnh sự cố này?
Rollback là việc đưa trạng thái mạng về một checkpoint trước vụ khai thác, nhằm loại bỏ các giao dịch trái phép khỏi sổ cái. Các giao dịch hợp lệ trong cửa sổ rollback có thể phải gửi lại sau khi mạng khởi động lại.
Vì sao Alex Smirnov phản đối rollback của Flow?
Ông cho rằng rollback bị vội vàng, tạo rủi ro hệ thống cho bridge, đơn vị lưu ký và người dùng, có thể gây thiệt hại lớn hơn vụ khai thác. Ông cũng đặt vấn đề về phối hợp đối tác và tính công bằng với các giao dịch trung thực trong cửa sổ rollback.
Rủi ro “số dư bị nhân đôi” khi bridge out trong cửa sổ rollback là gì?
Nếu người dùng đã bridge out nhưng trạng thái Flow bị quay lại, số dư trên Flow có thể hiển thị như chưa bị trừ, tạo chênh lệch đối soát vì tài sản thực tế đã rời chuỗi qua bridge. Điều này đòi hỏi cơ chế xử lý và đối soát rõ ràng.
Flow đưa ra khung thời gian rollback nào, quy đổi sang giờ Việt Nam?
Flow nêu cửa sổ rollback từ khoảng 14:25 (GMT+7) ngày 27/12 đến 20:30 (GMT+7) ngày 27/12. Các giao dịch trong giai đoạn này sẽ cần được gửi lại sau khi mạng khởi động lại.
Theo bài đăng của Smirnov về mức độ vội vàng của rollback: xem trên X. Và bài viết nhấn mạnh rollback không tác động kẻ tấn công: xem bài đăng liên quan.