- Chủ đề
61k Phổ biến
20k Phổ biến
6k Phổ biến
4k Phổ biến
4k Phổ biến
29k Phổ biến
16k Phổ biến
22k Phổ biến
12k Phổ biến
2k Phổ biến
- Ghim
61k Phổ biến
20k Phổ biến
6k Phổ biến
4k Phổ biến
4k Phổ biến
29k Phổ biến
16k Phổ biến
22k Phổ biến
12k Phổ biến
2k Phổ biến
Phân tích tám sự kiện an ninh DeFi năm 2022: Bài học và gợi ý từ khoản thiệt hại 4,3 tỷ đô la
Tài chính phi tập trung an toàn quay ngược: Phân tích và gợi ý về các sự kiện lớn năm 2022
Năm 2022, các sự kiện an ninh blockchain xảy ra thường xuyên, theo thống kê đã xảy ra hơn 300 vụ, với tổng số tiền lên tới 4,3 tỷ USD. Bài viết này sẽ phân tích chi tiết tám trường hợp điển hình, những trường hợp này có số tiền thiệt hại chủ yếu vượt quá 100 triệu USD, mang lại ý nghĩa tham khảo quan trọng.
Sự kiện Ronin Bridge
Vào ngày 23 tháng 3 năm 2022, chuỗi phụ Ronin Network của Axie Infinity đã bị xâm nhập, thiệt hại 173.6 nghìn ETH và 25.5 triệu USD, tổng cộng khoảng 5.9 tỷ USD. Kẻ tấn công nghi ngờ là tổ chức hacker Lazarus của Triều Tiên.
Kẻ tấn công đã tiếp cận nhân viên của công ty Sky Mavis thông qua phương pháp kỹ thuật xã hội, cài đặt phần mềm độc hại và kiểm soát 5 nút xác thực, cuối cùng hoàn thành cuộc tấn công. Điều này đã phơi bày ra sự yếu kém trong nhận thức an ninh của nhân viên công ty và sự tồn tại của lỗ hổng trong hệ thống an ninh nội bộ.
Sự kiện này thuộc về mối đe dọa liên tục cao cấp APT( điển hình ). Các nhóm hacker truyền thống và các thế lực quốc gia đã bắt đầu chuyển sang tấn công các dự án blockchain, trực tiếp thu được lợi ích kinh tế.
Sự kiện Wormhole
Cầu nối Wormhole bị tấn công, thiệt hại khoảng 120.000 ETH. Nguyên nhân cơ bản là mã xác thực chữ ký trong hợp đồng cốt lõi bên Solana có lỗ hổng, cho phép kẻ tấn công giả mạo tin nhắn "người giám hộ" để đúc ETH đóng gói.
Đây chủ yếu là vấn đề ở cấp độ mã, đã sử dụng một số hàm đã bị ngừng sử dụng. Các nhà phát triển nên kịp thời cập nhật phiên bản mới nhất để tránh các vấn đề tương tự.
Sự kiện Nomad Bridge
Khi khởi tạo hợp đồng cầu Nomad của giao thức đa chuỗi, gốc tin cậy đã được thiết lập sai và khi sửa đổi không làm cho gốc cũ không còn hiệu lực, dẫn đến việc kẻ tấn công có thể tạo ra bất kỳ thông điệp nào để rút tiền, gây thiệt hại hơn 190 triệu USD.
Đây là một trường hợp lỗi khởi tạo hợp đồng điển hình. Một khi bị phát hiện, bất kỳ ai cũng có thể phát lại giao dịch hợp lệ để kiếm lợi. Nhiều robot MEV tham gia vào việc tranh giành, khiến nó trở thành một "cuộc chiến cướp tiền".
Mã nguồn mở mặc dù minh bạch, nhưng cũng khiến kẻ tấn công dễ dàng phát hiện lỗ hổng hơn. Đội ngũ dự án nên tăng cường kiểm toán mã, đảm bảo tính chính xác của các khâu quan trọng như khởi tạo.
Sự kiện Beanstalk
Dự án stablecoin thuật toán Beanstalk đã bị tấn công bằng vay mượn chớp nhoáng, thiệt hại khoảng 1.82 triệu USD. Nguyên nhân chính là do không có khoảng thời gian giữa việc bỏ phiếu và thực hiện đề xuất, kẻ tấn công có thể ngay lập tức thực hiện đề xuất độc hại.
Kẻ tấn công mua trước token để có quyền đề xuất, lấy được nhiều quyền biểu quyết thông qua vay chớp nhoáng, hoàn thành việc chênh lệch giá thông qua các đề xuất ác ý. Điều này phơi bày rủi ro của việc quản trị hoàn toàn phi tập trung.
Dự án nên thiết lập cơ chế kiểm tra đề xuất, thời gian khóa bỏ phiếu, thời gian thực hiện khóa và các biện pháp khác để ngăn ngừa rủi ro tương tự.
Sự kiện Wintermute
Nhà tạo lập thị trường Wintermute đã sử dụng công cụ mã nguồn mở để tạo địa chỉ đẹp, dẫn đến việc khóa riêng của hợp đồng chủ sở hữu bị bẻ khóa, thiệt hại khoảng 160 triệu USD.
Khi sử dụng công cụ mã nguồn mở, cần đánh giá đầy đủ các rủi ro tiềm ẩn. Đối với các địa chỉ quan trọng, nên sử dụng phương pháp tạo an toàn hơn, tránh sử dụng các công cụ bên thứ ba không đáng tin cậy.
Sự kiện Harmony Bridge
Cầu nối Harmony Horizon đã bị tấn công, thiệt hại hơn 100 triệu đô la. Theo phân tích, có thể đây cũng là do tổ chức hacker Bắc Triều Tiên thực hiện, phương pháp tấn công tương tự như Ronin Bridge.
Cầu nối chuỗi chéo là cơ sở hạ tầng quan trọng kết nối các chuỗi khác nhau, luôn là mục tiêu tấn công chính của hacker. Các dự án nên tăng cường bảo vệ an ninh, nâng cao ngưỡng tấn công.
Sự kiện Ankr
Việc lộ khóa riêng của chủ sở hữu hợp đồng Ankr đã dẫn đến việc hacker đúc ra một lượng lớn token và rút 5000000 USDC. Sau đó, đã xuất hiện những nhà đầu tư chênh lệch giá lợi dụng sự chậm trễ của oracle để kiếm lợi 17000000 USD.
Điều này phơi bày vấn đề nghiêm trọng trong quản lý an ninh nội bộ của Ankr: các khóa riêng quan trọng do cá nhân kiểm soát, nhân viên nghỉ việc vẫn có thể sử dụng. Dự án nên thiết lập một hệ thống quản lý khóa hoàn chỉnh, sử dụng các cơ chế an toàn hơn như ký đa.
Sự kiện Mango
Kẻ tấn công đã lợi dụng lỗ hổng về tính thanh khoản của các đồng tiền nhỏ trên nền tảng Mango, kiếm được 115 triệu USD thông qua việc thao túng giá. Điều này thuộc về lỗ hổng mô hình kinh doanh hơn là lỗ hổng bảo mật.
Các bên dự án cần xem xét đầy đủ các tình huống cực đoan và hoàn thiện các biện pháp kiểm soát rủi ro. Người dùng tham gia dự án cũng cần đánh giá toàn diện rủi ro, không thể chỉ nhìn vào lợi nhuận mà bỏ qua an toàn.
Tóm lại, khi hệ sinh thái Web3 ngày càng phức tạp, các mối đe dọa an ninh cũng trở nên đa dạng hơn. Các dự án cần xây dựng một hệ thống an ninh hoàn chỉnh, người dùng cũng cần nâng cao nhận thức về an ninh, cùng nhau duy trì sự phát triển lành mạnh của ngành.