Multichain bị hack với tổng thiệt hại 130 triệu USD, điều này làm ảnh hưởng tiêu cực tới hệ sinh thái DeFi trên Fantom. Rất nhiều người dùng trên Fantom bị ảnh hưởng nặng nề. 

Giá USDC trên Fantom hiện chỉ còn 0.4 USD. Nhiều người bắt đầu nghi vấn Multichain tự rug-pull sau những khủng hoảng gặp phải.

Vậy chuyện gì đã xảy ra và Fantom Foundation cần làm gì để cứu vãn tình thế hiện tại?

Chuyện gì đã xảy ra với Multichain?

Theo phát hiện từ công ty bảo mật blockchain Peckshield, vào ngày 7/7/2023 vừa qua, Multichain  (trước đó là Anyswap) dự án cung cấp dịch vụ bridge xuyên chuỗi, đã đột ngột gửi đi hàng trăm triệu USD giá trị tài sản crypto. Có khoảng hơn 125 triệu USD bị gửi đi một cách “kỳ lạ”, trong đó có tới 120 triệu USD tài sản trên blockchain Fantom. 

Đội ngũ dự án sau khi biết được hoạt động trên đã công bố đây là một vụ tấn công chưa rõ nguyên nhân, khuyến cáo người dùng ngừng sử dụng dịch vụ.

Multichain cũng là một trong những cầu nối chính của hệ sinh thái này, hacker lấy đi lượng lớn token trên Fantom và chuyển sang Ethereum, ảnh hưởng nghiêm trọng tới giá trị các token đó trên mạng Fantom. 

Các stablecoin của Multichain trên Fantom hầu hết đã mất peg, rơi xuống mức giá 0.3 – 0.5 USD, wETH-MULTI rơi xuống mức giá ~680 USD, wBTC-MULTI chỉ còn giá trị ~8180 USD. TVL trên Fantom giảm từ 200 triệu USD trước sự kiện còn 124 triệu USD.

Ngoài Fantom, sự cố trên còn ảnh hưởng tới các chain khác như Moonriver, Dogechain. Các loại tài sản bị lấy đi chủ yếu bao gồm LINK, wBTC, wETH, và các loại stablecoin trên Fantom. Cụ thể:

• Fantom: 20 triệu USD giá trị DAI, LINK và USDT; 1023 wBTC (khoảng 30,9 triệu USD), 7124 wETH (khoảng 13,6 triệu USD) và 57 triệu USDC
• Moonriver: 6.8 triệu USD dưới dạng wBTC, USDT, USDC và DAI
• Dogechain: 600,000 USD giá trị USDC

Đội ngũ dự án cũng đã nhanh chóng phát hiện tình hình và bắt đầu tổ chức điều tra, tuy nhiên tới nay vẫn chưa có kết quả cụ thể cho người dùng, dự án bắt buộc phải đưa ra quyết định dừng hoạt động chưa rõ ngày tiếp tục, đồng thời khuyến cáo người dùng ngừng sử dụng dịch vụ, revoke các hợp đồng đã phê duyệt liên quan tới Multichain.

Do sự kiện được phát hiện sớm, Circle đã cho địa chỉ ví nắm giữ hơn 63 triệu USDC vào danh sách đen, Tether cũng đã hành động khi đóng băng 2 triệu USDT. Các loại tài sản khác trên các ví hacker đa phần cũng chưa có biến động, không swap USDC sang các loại tài sản khác, không gửi lên sàn giao dịch để rút tiền về… Sự việc này đặt ra nhiều nghi vấn.

Nghi vấn Multichain tự rug-pull?

Dù đã qua vài ngày nhưng Multichain vẫn chưa đưa ra được lời giải thích cụ thể, cộng thêm việc dự án đang có nhiều vấn đề tiêu cực xoay quanh việc vận hành, dẫn tới nghi vấn đây là hành động tự rug-pull từ phía đội ngũ dự án.

Lý do thực sự khiến Multichain bị lấy đi 130 triệu USD vẫn đang là một dấu hỏi lớn. Theo công ty chuyên cung cấp dịch vụ audit Certik, đây không phải là lỗi nằm trong phạm vi audit của dự án mà liên quan tới việc để lộ private key. Trước đó, Certik đã audit cho dự án 2 lần và không phát hiện lỗi trong codebase của dự án. 

Trước sự kiện này, Multichain đã có một vài dấu hiệu cho thấy dự án đang đi vào khủng hoảng. Vào ngày 31/5/2023, Multichain tiết lộ không thể liên lạc với Zhaojun – CEO của Multichain và cũng không thể thực hiện bảo trì kĩ thuật trên nền tảng. Đồng thời rộ lên tin đồn Zhaojun đã bị bắt giữ tại Trung Quốc và bị tịch thu 1.5 tỷ USD tiền quỹ của giao thức. Kết quả là Multichain đã buộc phải tạm dừng dịch vụ cho hơn 10 chuỗi.

Tin đồn CEO bị bắt giữ tại Thượng Hải đã làm các quỹ đầu tư/holder của token MULTI mất niềm tin và rút thanh khoản, gửi token lên sàn giao dịch. Ngoài những quỹ đầu tư HashKey Group, Fantom Foundation thực hiện rút thanh khoản MULTI, chính ví của dự án cũng thực hiện gửi token lên sàn Gate.

Binance cũng một lần nữa đưa ra quyết định tạm dừng nạp rút cho những bridged-token của Multichain cho tới khi có thông báo tiếp theo. Trước đó, vào cuối tháng 5 vừa qua, Binance cũng từng phải tạm dừng hoạt động nạp tài sản bridged-token của Multichain do những bê bối không rõ ràng của dự án này.

Nếu dự án đang thực sự có nhiều vấn đề không thể giải quyết, việc các thành viên chán nản và muốn từ bỏ dự án là điều hoàn toàn có thể xảy ra. Đã gần một tuần trôi qua nhưng Multichain vẫn đang giữ im lặng. Dù đây là một vụ hack hay rug-pull, người chịu thiệt vẫn là phía người dùng, đặc biệt là người dùng trên hệ sinh thái Fantom.

Hậu quả của vụ hack Multichain

Do Multichain là một trong những bridge lớn nhất trên Fantom, các tài sản bridged-token trên hệ sinh thái này chủ yếu do Multichain phát hành. Các token trên Fantom bị hack đã ảnh hưởng tiêu cực tới hệ sinh thái này.

TVL trên Fantom đã giảm từ mốc 200 triệu USD trước sự kiện xuống còn 124 triệu USD. Do bị lấy mất một lượng lớn stablecoin ra khỏi chain, các stablecoin như USDC, USDT, DAI đang mất peg (xuống mức giá 0.3 – 0.5 USD) trên Fantom. Kéo theo đó, tất cả các dự án lending & borrowing trên Fantom đã phải tạm dừng hoạt động, holder trên Fantom chịu thiệt hại do tài sản nắm giữ bị giảm giá.

Đứng trước tình hình trên, Tether và Circle đã nhanh chóng đóng băng 63 triệu USD tài sản liên quan tới vụ hack, tuy nhiên vấn đề giải quyết việc mất peg của các loại stablecoin này trên Fantom hoàn toàn không được các nhà phát hành đề cập.

Về phía Fantom Foundation, dự án đã nắm được tình hình khó khăn mà nhiều holder, người cung cấp thanh khoản trên Fantom gặp phải, tuy nhiên Fantom FDN cũng chưa thể được ra cách giải quyết phù hợp và đang trông đợi vào thông báo chính thức từ Multichain. 

 Tình hình trên diễn ra cũng một phần do Fantom quá phụ thuộc vào một giải pháp bridge duy nhất là Multichain. Vì vậy, Fantom Foundation thông báo lựa chọn các giải pháp bridge mới là Axelar Network và LayerZero. Đáng chú ý, 2 protocol này đưa ra thông báo triển khai trên Fantom ngay trước thời điểm xảy ra vụ hack.

Hiện tại, hệ sinh thái Fantom đang trông chờ vào 2 giải pháp bridge mới này triển khai các sản phẩm của họ trên Fantom để thay thế các loại token được issue bởi Multichain. Tuy nhiên vấn đề quan trọng nhất là tới khi nào các loại bridged-token của Multichain mới khôi phục lại peg hoặc nhận được sự hỗ trợ thì vẫn chưa có câu trả lời.

Cộng đồng đặt ra nhiều nghi vấn, rằng Fantom hay LayerZero/Axelar có liên quan tới vụ mất tiền kỳ lạ này của Multichain?