- Chủ đề
81k Phổ biến
36k Phổ biến
12k Phổ biến
4k Phổ biến
4k Phổ biến
29k Phổ biến
16k Phổ biến
22k Phổ biến
13k Phổ biến
3k Phổ biến
- Ghim
81k Phổ biến
36k Phổ biến
12k Phổ biến
4k Phổ biến
4k Phổ biến
29k Phổ biến
16k Phổ biến
22k Phổ biến
13k Phổ biến
3k Phổ biến
Tổng kết 8 sự kiện an toàn DeFi năm 2022: Thiệt hại vượt quá 4,3 tỷ USD, cầu nối Cross-chain trở thành khu vực chịu ảnh hưởng nặng nề.
Tổng quan và phân tích các sự kiện an ninh nghiêm trọng trong lĩnh vực Tài chính phi tập trung năm 2022
Năm 2022, các sự kiện an ninh blockchain xảy ra thường xuyên, theo thống kê có hơn 300 sự kiện xảy ra trong suốt năm, liên quan đến số tiền lên tới 4,3 tỷ USD. Bài viết này sẽ phân tích 8 trường hợp điển hình, hầu hết các trường hợp này đều có tổn thất trên 100 triệu USD và có tính đại diện rất cao.
Ronin Bridge
Vào tháng 3 năm 2022, chuỗi phụ Ronin Network của trò chơi NFT Axie Infinity đã bị xâm nhập, mất 173.600 ETH và 25,5 triệu USD, tổng giá trị khoảng 625 triệu USD. Theo điều tra, tổ chức tin tặc Triều Tiên Lazarus có liên quan đến sự kiện này.
Kẻ tấn công đã sử dụng kỹ thuật kỹ thuật xã hội để lừa nhân viên của công ty Sky Mavis tải xuống thông báo nhập học giả mạo chứa phần mềm độc hại, từ đó xâm nhập vào hệ thống và kiểm soát 5 nút xác thực, cuối cùng hoàn thành cuộc tấn công.
Sự kiện này đã phơi bày sự thiếu sót của bên dự án trong nhận thức an toàn của nhân viên và hệ thống an ninh nội bộ. Đồng thời, nó cũng cho thấy, các nhóm hacker truyền thống đang dần chuyển mục tiêu tấn công sang các dự án blockchain.
Wormhole
Cầu nối Wormhole bị tấn công, thiệt hại khoảng 120.000 ETH. Vấn đề nằm ở mã xác minh chữ ký của hợp đồng lõi ở đầu Solana có lỗi, cho phép kẻ tấn công giả mạo tin nhắn "người giám hộ" để đúc ETH đã được đóng gói.
Lỗ hổng này chủ yếu do việc sử dụng một số hàm đã bị loại bỏ gây ra. Khuyến nghị các nhà phát triển nên luôn sử dụng phiên bản mới nhất của ngôn ngữ lập trình và công cụ, để tránh các vấn đề tương tự.
Nomad Bridge
Giao thức chuỗi chéo Nomad Bridge đã bị tấn công, thiệt hại vượt quá 190 triệu USD. Nguyên nhân là do gốc tin cậy bị thiết lập sai trong quá trình khởi tạo và không làm mất hiệu lực gốc cũ, dẫn đến việc kẻ tấn công có thể xây dựng thông điệp tùy ý để rút tiền.
Tin tặc đã lợi dụng lỗ hổng này để gửi đi nhiều lần dữ liệu giao dịch được cấu trúc, rút cạn hầu hết số tiền đã khóa. Khoảng 41 địa chỉ đã thu lợi 1,52 triệu đô la, bao gồm các robot MEV, những kẻ tấn công khác và một số hacker mũ trắng.
Trường hợp này làm nổi bật tầm quan trọng của việc thiết lập khởi tạo hợp đồng thông minh, cũng như sự phức tạp của các loại người tham gia trong hệ sinh thái blockchain công khai.
Beanstalk
Dự án stablecoin thuật toán Beanstalk Farms đã bị tấn công bằng vay nhanh, thiệt hại khoảng 1,82 triệu USD. Kẻ tấn công đã thu lợi hơn 80 triệu USD.
Cuộc tấn công đã lợi dụng lỗ hổng trong cơ chế quản trị dự án - không có khoảng thời gian giữa việc bỏ phiếu đề xuất và thực hiện. Kẻ tấn công đã đạt được quyền bỏ phiếu lớn thông qua vay chớp nhoáng, và thông qua đề xuất độc hại, đã thực hiện trực tiếp các hoạt động chênh lệch giá.
Sự kiện này tiết lộ những rủi ro có thể tồn tại trong cơ chế quản trị phi tập trung hoàn toàn, chẳng hạn như việc xem xét đề xuất, trọng số quyền bỏ phiếu, khóa thời gian, v.v. đều cần được thiết kế cẩn thận.
Wintermute
Nhà tạo lập thị trường Wintermute đã bị lỗ khoảng 160 triệu USD do sử dụng công cụ tạo địa chỉ Profanity có lỗ hổng, dẫn đến việc khóa riêng bị xâm phạm.
Ví dụ này cảnh báo chúng ta cần thận trọng khi sử dụng các công cụ mã nguồn mở, tốt nhất là nên thực hiện đánh giá an ninh đầy đủ. Đồng thời cũng phản ánh rằng việc theo đuổi địa chỉ "số đẹp" có thể mang lại nguy cơ an ninh.
Cầu Harmony
Cầu nối đa chuỗi Horizon của Harmony đã bị tấn công, thiệt hại hơn 100 triệu USD. Theo phân tích, nghi ngờ là do tổ chức hacker Triều Tiên Lazarus Group thực hiện.
Các phương pháp tấn công tương tự như sự kiện Ronin Bridge, một lần nữa làm nổi bật mối đe dọa từ hacker cấp quốc gia đối với ngành công nghiệp tiền điện tử ngày càng nghiêm trọng.
Ankr
Ankr gặp phải sự gian lận từ nội bộ, dẫn đến 100 triệu tỷ aBNBc bị đúc ra một cách vô lý. Kẻ tấn công đã rút 5 triệu USDC, và một số người khác đã kiếm được 17 triệu đô la từ việc này.
Sự kiện này đã phơi bày những thiếu sót nghiêm trọng của dự án trong quản lý quyền, bảo quản khóa riêng, và nhấn mạnh tầm quan trọng của việc hoàn thiện hệ thống an ninh nội bộ.
Mango
Sàn giao dịch phi tập trung Mango Markets đã bị tấn công thao túng thị trường, thiệt hại khoảng 115 triệu USD. Kẻ tấn công đã lợi dụng hợp đồng vĩnh cửu và oracle của nền tảng, thông qua việc đẩy giá token có vốn hóa nhỏ MNGO để thu lợi.
Trường hợp này cho thấy các dự án Tài chính phi tập trung cần xem xét các tình huống cực đoan khác nhau khi thiết kế mô hình kinh doanh, đặc biệt là kiểm soát rủi ro đối với các token có giá trị thị trường nhỏ.
Tổng thể, sự kiện an ninh DeFi năm 2022 xảy ra thường xuyên, phơi bày ra nhiều điểm yếu an ninh ở các khía cạnh như hợp đồng thông minh, cầu nối chuỗi chéo, cơ chế quản trị. Các bên dự án cần nâng cao nhận thức về an ninh, hoàn thiện hệ thống quản lý rủi ro; người dùng nên tham gia một cách cẩn thận, hiểu rõ các rủi ro.