Các vụ vi phạm bảo mật lớn nhất năm 2021

Theo công ty phân tích on-chain Chainalysis, khối lượng giao dịch tiền điện tử có liên quan đến tội phạm vào năm 2021 đạt mức cao nhất mọi thời đại là 14 tỷ đô la. Tuy nhiên, bất chấp khối lượng chuyển tiền phạm pháp gia tăng, tỷ trọng tương đối của nó so với toàn bộ khối lượng giao dịch tiền điện tử của năm 2021 đạt mức thấp nhất mọi thời đại. Những thống kê này cho thấy tốc độ mở rộng của lĩnh vực tiền điện tử đang vượt xa tội phạm mạng có liên quan. Đồng thời, nó cũng cho thấy bảo mật trong ngành đang bắt kịp nhu cầu.

Mặc dù đã có tỷ trọng khối lượng giao dịch liên quan đến tội phạm trong không gian tiền điện tử giảm vào năm 2021, nhưng vẫn có một số trường hợp gây thiệt hại nặng nề.

Các vụ tấn công mạng béo bở nhất năm 2021

Poly Network – $611 triệu

Vụ hack Poly Network xảy ra vào ngày 10/8/2021, đánh cắp các tài sản kỹ thuật số trị giá khoảng 611 triệu đô la trên ba blockchain: Ethereum, BSC và Polygon. Sau đó, hacker đã trả lại toàn bộ số tiền và giải thích chỉ muốn cảnh báo những lỗ hổng trong giao thức Poly Network, không có ý định trục lợi cá nhân.

Poly Network là mạng chuỗi chéo cho phép người dùng thực hiện các hoạt động xuyên blockchain theo cách phi tập trung. Ví dụ, chuyển tiền từ blockchain này sang blockchain khác. Để làm được điều này, cần có lượng lớn thanh khoản trong giao thức. Với Poly Network, thanh khoản được các hợp đồng thông minh đặc biệt kiểm soát.

Các hợp đồng bị tấn công là EthCrossChainManager và EthCrossChainData. EthCrossChainData thuộc sở hữu của EthCrossChainManager và lưu trữ danh sách các khóa công khai, là những người có thể kiểm soát thanh khoản (keeper).

Kẻ tấn công đã khai thác một lỗ hổng trong hợp đồng EthCrossChainManager và lừa nó thay thế họ vào vị trí của keeper hợp đồng. Sau đó, hacker đã chiếm lấy thanh khoản từ giao thức Poly Network, giành được toàn quyền kiểm soát các hoạt động của giao thức.

• Thiệt hại hơn $611 triệu, Poly Network trở thành nạn nhân của vụ hack DeFi hack lớn nhất lịch sử crypto

Bitmart – $196 triệu

Vào ngày 4/12/2021, sàn giao dịch tập trung Bitmart đã bị đánh cắp 200 triệu đô la tiền điện tử từ ví nóng. Những kẻ tấn công đã đánh cắp khóa cá nhân để truy cập vào ví nóng của sàn giao dịch.

Sàn giao dịch Bitmart tuyên bố họ đã mất 150 triệu đô la, nhưng công ty an ninh mạng blockchain Peckshield sau đó khẳng định hơn 20 loại tiền điện tử và token bị đánh cắp từ blockchain Ethereum và Binance Smart Chai, thiệt hại lên đến 196 triệu đô la đã. Họ cũng đã phát họa đường đi của các tài sản bị đánh cắp ngoại trừ điểm đến cuối cùng. Đầu tiên, kẻ tấn công đã hoán đổi tài sản đánh cắp lấy ETH bằng cách sử dụng công cụ tổng hợp DEX 1inch, sau đó rửa ETH bằng máy trộn riêng tư Tornado Cash và mất dấu vết từ đó.

Cuộc tấn công mạng này một lần nữa cho thấy lỗ hổng lưu trữ khóa cá nhân của nhiều địa chỉ với tổng số tiền khổng lồ trên một máy chủ. Điều này làm lộ tất cả các ví nóng của sàn giao dịch cùng một lúc.

• PeckShield nghi rằng sàn giao dịch BitMart vừa bị hack 100 triệu đô la

Cream Finance – $130 triệu

Trong cuộc tấn công diễn ra vào tháng 12/2021, một hoặc hai hacker đã sử dụng nhiều giao thức (MakerDAO, AAVE, Curve, Yearn.finance) để trộm 130 triệu đô la token và tiền điện tử từ Cream Finance.

Bằng chứng cho thấy có thể có hai hacker vì hai địa chỉ được sử dụng: địa chỉ A và địa chỉ B. Đầu tiên, địa chỉ A đã vay 500 triệu đô la DAI từ MakerDAO, kéo thanh khoản đó qua Curve và Year.finance, sử dụng chúng để đúc 500 triệu cryUSD trên Cream Finance. Đồng thời, địa chỉ A đã tăng thanh khoản trong YUSD Vault của Yearn.finance lên 511 triệu yUSDTVault.

Sau đó, địa chỉ B đã vay nhanh 2 tỷ đô la ETH từ AAVE, gửi chúng vào Cream để đúc 2 tỷ đô la cEther. Sau đó, địa chỉ B đổi lấy 1 tỷ yUSDVault và 1 tỷ cryUSD, chuyển chúng đến địa chỉ A. Như vậy, địa chỉ A nhận được 1,5 tỷ cryUSD.

Sau đó, địa chỉ A mua 3 triệu DUSD từ Curve và đổi tất cả lấy yUSDVault, do đó nhận được 503 triệu yUSDVault trong số dư. Địa chỉ A tiếp tục đổi 503 triệu yUSDVault lấy token yUSD cơ bản và nâng tổng nguồn cung yUSDVault lên 8 triệu.

Tiếp theo, địa chỉ A chuyển 8 triệu yUSD vào kho tiền yUSD của Yearn.finance và tăng gấp đôi định giá của kho tiền. Điều này đã làm cho PriceOracleProxy của Cream tăng gấp đôi định giá cryUSD vì nó xác định giá của cryUSD dựa trên định giá của yUSD Yearn Vault/tổng nguồn cung của yUSDVault, tức là 16 triệu đô la/8 triệu yUSDVault. Do đó, Cream nhận thấy địa chỉ A có 3 tỷ cryUSD.

Sai lầm này cuối cùng đã khiến cho Cream Finance phải trả giá. Các hacker có thể trả lại khoản vay nhanh và bỏ túi toàn bộ thanh khoản (130 triệu đô la) đã bị khóa trong Cream Finance bằng cách sử dụng 1 tỷ đô la cryUSD còn lại.

• Cream Finance bị tấn công lần thứ hai trong năm, ước tính thiệt hại 18 triệu USD

Các kiểu tấn công phổ biến nhất vào năm 2021

Nói về các cuộc tấn công hợp đồng thông minh, loại tấn công phổ biến nhất là cho vay nhanh như mô tả ở trên. Theo The Block Crypto, trong số 70 cuộc tấn công DeFi vào năm 2021, 34 vụ sử dụng các khoản vay nhanh, vụ trộm Cream Finance vào tháng 12 là vụ gây thiệt hại nhiều nhất. Đặc điểm tiêu biểu nhất của kiểu tấn công này là sử dụng nhiều giao thức. Về bản chất, từng giao thức có lẽ an toàn, nhưng nếu sử dụng nhiều giao thức thì có thể tìm thấy các lỗ hổng bảo mật.

Một hình thức xâm phạm hợp đồng thông minh khác có thể được phân loại như kiểu tấn công DeFi cổ điển là tấn công Reentrancy. Cuộc tấn công Reentrancy xảy ra khi hàm gọi một hợp đồng bên ngoài không cập nhật số dư địa chỉ trước khi thực hiện một lệnh gọi khác đến hợp đồng đó. Trong trường hợp này, hợp đồng bên ngoài có thể rút tiền liên tục vì số dư địa chỉ trong hợp đồng không được cập nhật sau mỗi lần rút tiền. Các lệnh liên tục này có thể tiếp diễn cho đến khi số dư của hợp đồng cạn kiệt.

Kiểu tấn công phổ biến thứ ba vào năm 2021 là nhắm đến các sàn giao dịch tập trung bằng cách đánh cắp khóa cá nhân truy cập ví nóng của sàn. Đây là một cách tấn công mạng quá quen thuộc trong lịch sử tiền điện tử, nhưng nó vẫn có thể được thực hiện thành công.

Làm thế nào để bảo vệ tiền trong không gian tiền điện tử?

Để bảo vệ tiền trong không gian crypto, tốt hơn là bạn nên xem xét kỹ nền tảng mà bạn muốn gửi tiền vào đó: quan sát trang web, quá trình tương tác xã hội của các thành viên trong team, kiểm tra whitepaper (sách trắng) và kiểm toán kỹ thuật. Ngoài ra, sẽ rất tốt nếu sử dụng chức năng trong các ví tiền điện tử cho phép whitelist (thiết lập danh sách) những hợp đồng mà người dùng thường xuyên sử dụng. Tính năng này hiện có trong ví Metamask và các dịch vụ trực tuyến chuyên dụng để bảo quản tiền điện tử an toàn như Unrekt và Debank. Nếu tiền được chuyển đến một hợp đồng lạ đã được chấp thuận, tính năng sẽ làm đánh dấu các hợp đồng đó.

Nếu lo ngại về sự an toàn của giao thức DeFi, tốt hơn hết bạn nên sử dụng codebase của các dự án đã được thử nghiệm khác. Nhưng nhà sáng lập vẫn nên thực hiện ít nhất một cuộc kiểm toán kỹ thuật đối với các hợp đồng thông minh của dự án. Điều này đặc biệt quan trọng với các giao thức được triển khai trên nhiều blockchain và tương tác với các giao thức khác. Vì họ yêu cầu sự giám sát đặc biệt nghiêm ngặt trong suốt các cuộc kiểm toán.

Tham gia Telegram của Tạp Chí Bitcoin để theo dõi tin tức và bình luận về bài viết này: https://t.me/tapchibitcoinvn

• Giá Bitcoin “nản” nhưng hodler và thợ mỏ không nản
• CEO Messari: Ripple phạm tội gian lận chứ không vi phạm luật chứng khoán
• Cơ quan quản lý Canada cáo buộc nhà điều hành sàn OKEx vi phạm luật chứng khoán

Minh Anh

Theo Crytoslate