Thời gian gần đây, Pi Network nổi lên như một hiện tượng trong cộng đồng tiền điện tử tại Việt Nam. Rất nhiều người, từ những bạn trẻ năng động đến các cô chú lớn tuổi, đều tham gia “đào” Pi với hy vọng đổi đời. Những lời đồn thổi về việc Pi sẽ có giá trị lớn, thậm chí ngang ngửa Bitcoin, càng khiến cho trào lưu này trở nên sôi động. Tuy nhiên, liệu Pi Network có thực sự là cơ hội đầu tư tiềm năng, hay chỉ là một chiêu trò lừa đảo tinh vi? Bài viết này sẽ đi sâu vào Phân Tích Pi Network, giúp bạn có cái nhìn khách quan và đưa ra quyết định sáng suốt.
Hình ảnh minh họa về Pi Network và các thiết bị di động
Giải Mã Ứng Dụng Pi Network: Từ APK Đến Source Code
Nội dung
- 1 Giải Mã Ứng Dụng Pi Network: Từ APK Đến Source Code
- 2 Phân Tích Mã Nguồn Pi Network: “Mỏ Vàng” Hay “Bãi Rác”?
- 3 Bóc Tách Mã React Native: Thu Thập Dữ Liệu và Hiển Thị Quảng Cáo
- 4 Man-in-the-Middle (MITM) Tấn Công API: Lật Tẩy Sự Thật
- 5 “Đào” Pi Như Thế Nào: Ảo Ảnh Hay Thực Tế?
- 6 Xác Thực SMS: “Lươn Lẹo” Hay Tiết Kiệm?
- 7 Kết Luận: Pi Network – Cơ Hội Hay Rủi Ro?
Để hiểu rõ bản chất của Pi Network, chúng ta cần “mổ xẻ” ứng dụng này từ trong ra ngoài. Bắt đầu bằng việc tải file APK (Android Package Kit) của ứng dụng Pi Network từ Google Play Store. Sở dĩ chọn hệ điều hành Android vì tính mở của nó, cho phép chúng ta dễ dàng tiếp cận và phân tích mã nguồn.
Sau khi có file APK, công cụ JADX (một trình dịch ngược mã nguồn mở) sẽ giúp chúng ta chuyển đổi mã máy thành mã nguồn dễ đọc hơn. Toàn bộ mã nguồn đã dịch ngược (bao gồm code Java, React Native và phần WebView) có thể được tìm thấy trên các nền tảng chia sẻ code như Github.
Phân Tích Mã Nguồn Pi Network: “Mỏ Vàng” Hay “Bãi Rác”?
Điều đáng ngạc nhiên là ứng dụng Pi Network không sử dụng các kỹ thuật bảo mật mã nguồn phức tạp như Proguard/R8. Điều này giúp cho việc đọc và phân tích code trở nên dễ dàng hơn bao giờ hết. Hầu hết logic của ứng dụng được viết bằng React Native và nằm trong file assets/index.android.bundle. Phần code Java khá đơn giản, chủ yếu liên quan đến file MainApplication và một số thư viện quảng cáo.
Ảnh chụp màn hình code Java của ứng dụng Pi Network
Một điểm đáng chú ý là Pi Network tích hợp rất nhiều mạng quảng cáo khác nhau, bao gồm Admob, IronSource và Facebook Audience Network.
-
Admob: Mạng quảng cáo phổ biến của Google.
-
Facebook Audience Network: Mạng quảng cáo của Facebook, cho phép hiển thị quảng cáo trên ứng dụng di động.
Ảnh chụp màn hình code Facebook Audience Network trong ứng dụng Pi Network
- IronSource: Nền tảng quảng cáo và kiếm tiền cho ứng dụng di động.
Ảnh chụp màn hình code IronSource trong ứng dụng Pi Network
Ngoài ra, Pi Network còn sử dụng thư viện RN device info để thu thập thông tin thiết bị của người dùng.
Ảnh chụp màn hình code RN device info trong ứng dụng Pi Network
Bóc Tách Mã React Native: Thu Thập Dữ Liệu và Hiển Thị Quảng Cáo
Mã React Native trong file assets/index.android.bundle chủ yếu tập trung vào việc thu thập thông tin thiết bị và hiển thị quảng cáo.
Ảnh chụp màn hình code React Native trong ứng dụng Pi Network
Ảnh chụp màn hình code React Native trong ứng dụng Pi Network (tiếp)
Man-in-the-Middle (MITM) Tấn Công API: Lật Tẩy Sự Thật
Để hiểu rõ hơn về cách Pi Network hoạt động, chúng ta có thể sử dụng kỹ thuật Man-in-the-Middle (MITM) để chặn và phân tích các API (Application Programming Interface) mà ứng dụng gọi đến. Vì Pi Network thực chất chỉ là một trang web được hiển thị thông qua WebView của Android, việc debug trở nên khá đơn giản.
Để debug được WebView, chúng ta cần chèn thêm dòng WebView.setWebContentsDebuggingEnabled(true) vào file DEX của ứng dụng. Có nhiều cách để thực hiện việc này, như sử dụng Frida, repack lại ứng dụng hoặc dùng Xposed.
Sử dụng Xposed, một framework cho phép can thiệp vào hệ thống Android, chúng ta có thể “hook” vào WebView và bật chế độ debug.
Sử dụng Xposed để bật chrome remote debug
Sử dụng Xposed để bật chrome remote debug (tiếp)
Sử dụng Xposed để bật chrome remote debug (tiếp)
Sử dụng Xposed để bật chrome remote debug (tiếp)
Sau khi debug được WebView, chúng ta thấy rằng Pi Network không sử dụng công nghệ Blockchain hay bất kỳ cơ chế phức tạp nào. Tất cả chỉ là việc gọi API và lưu trữ dữ liệu trên server của họ.
- Đăng ký số điện thoại: Gọi API
https://socialchain.app/api/users/phoneđể kiểm tra xem số điện thoại đã được đăng ký hay chưa. - Thiết lập mật khẩu: Gọi API
https://socialchain.app/api/setup_password. - Đăng nhập: Gọi API
https://socialchain.app/api/password_sign_in. - Nhập mã giới thiệu: Gọi API
https://socialchain.app/api/referrals/recover. - Thiết lập hồ sơ: Gọi API
https://socialchain.app/api/profile.
Đáng chú ý, Pi Network sử dụng Google invisible reCAPTCHA để chống lại bot và ngăn chặn việc đăng ký hàng loạt tài khoản. Tuy nhiên, reCAPTCHA này vẫn có thể bị vượt qua bằng cách sử dụng Speech Recognition.
reCAPTCHA
Vì không sử dụng Blockchain, rất khó để nói Pi có giá trị thực tế. Khác với Bitcoin, nơi giao dịch được xác thực bởi tất cả các thành viên trong mạng lưới Blockchain, Pi Network chỉ lưu trữ dữ liệu trên server tập trung, khiến cho việc sửa đổi dữ liệu trở nên dễ dàng hơn và tính minh bạch bị đặt dấu hỏi lớn.
“Đào” Pi Như Thế Nào: Ảo Ảnh Hay Thực Tế?
Thực chất, việc “đào” Pi chỉ đơn giản là gọi API https://socialchain.app/api/proof_of_presences.
Gọi API proof_of_presences
Gọi API proof_of_presences (tiếp)
Hàng ngày, khi người dùng mở ứng dụng, Pi Network sẽ gọi API này để đánh dấu người dùng là “active”. Sau 24 giờ, ứng dụng sẽ đánh dấu người dùng là “inactive”. Khi người dùng nhấn vào biểu tượng tia sét, ứng dụng lại gọi API proof_of_presences để kích hoạt lại trạng thái “active”. Tất cả những con số Pi đang chạy trên màn hình thực chất chỉ là một hiệu ứng hiển thị được tạo ra bằng Javascript timer, chứ không phải là quá trình “đào” coin thực sự.
Javascript timer
Thêm vào đó, ứng dụng Pi Network được thiết kế rất kỹ lưỡng để hiển thị quảng cáo và kiếm tiền.
Hiển thị quảng cáo
Hiển thị quảng cáo (tiếp)
Ứng dụng còn có logic riêng để bật quảng cáo tại thị trường Trung Quốc, nơi không có Google Play Service.
Bật quảng cáo tại Trung Quốc
Xác Thực SMS: “Lươn Lẹo” Hay Tiết Kiệm?
Pi Network không đủ khả năng chi trả chi phí gửi tin nhắn SMS xác thực cho người dùng. Thay vào đó, người dùng phải chủ động gửi tin nhắn đến số điện thoại của Pi Network để xác thực tài khoản.
Kết Luận: Pi Network – Cơ Hội Hay Rủi Ro?
Qua phân tích trên, có thể thấy rằng ứng dụng Pi Network thực chất chỉ là một ứng dụng gọi API và lưu trữ dữ liệu trên server thông thường, không sử dụng Blockchain và không có giá trị xác thực giao dịch như Bitcoin. Ứng dụng này chủ yếu kiếm tiền thông qua quảng cáo.
Việc Pi có giá trị thực tế hay không phụ thuộc vào số lượng người tin tưởng vào nó. Tuy nhiên, người dùng nên cẩn trọng và không nên tải lên các thông tin cá nhân nhạy cảm như hình ảnh, CMND hay hộ chiếu lên ứng dụng Pi Network, để tránh rủi ro bị đánh cắp và sử dụng vào mục đích xấu.