Trang chủ Tạp chí Các vụ vi phạm bảo mật lớn nhất năm 2021

Các vụ vi phạm bảo mật lớn nhất năm 2021

Theo công ty phân tích on-chain Chainalysis, khối lượng giao dịch tiền điện tử có liên quan đến tội phạm vào năm 2021 đạt mức cao nhất mọi thời đại là 14 tỷ đô la. Tuy nhiên, bất chấp khối lượng chuyển tiền phạm pháp gia tăng, tỷ trọng tương đối của nó so với toàn bộ khối lượng giao dịch tiền điện tử của năm 2021 đạt mức thấp nhất mọi thời đại. Những thống kê này cho thấy tốc độ mở rộng của lĩnh vực tiền điện tử đang vượt xa tội phạm mạng có liên quan. Đồng thời, nó cũng cho thấy bảo mật trong ngành đang bắt kịp nhu cầu.

bảo mật

Mặc dù đã có tỷ trọng khối lượng giao dịch liên quan đến tội phạm trong không gian tiền điện tử giảm vào năm 2021, nhưng vẫn có một số trường hợp gây thiệt hại nặng nề.

Các vụ tấn công mạng béo bở nhất năm 2021

Poly Network – $611 triệu

Vụ hack Poly Network xảy ra vào ngày 10/8/2021, đánh cắp các tài sản kỹ thuật số trị giá khoảng 611 triệu đô la trên ba blockchain: Ethereum, BSC và Polygon. Sau đó, hacker đã trả lại toàn bộ số tiền và giải thích chỉ muốn cảnh báo những lỗ hổng trong giao thức Poly Network, không có ý định trục lợi cá nhân.

Poly Network là mạng chuỗi chéo cho phép người dùng thực hiện các hoạt động xuyên blockchain theo cách phi tập trung. Ví dụ, chuyển tiền từ blockchain này sang blockchain khác. Để làm được điều này, cần có lượng lớn thanh khoản trong giao thức. Với Poly Network, thanh khoản được các hợp đồng thông minh đặc biệt kiểm soát.

Các hợp đồng bị tấn công là EthCrossChainManager và EthCrossChainData. EthCrossChainData thuộc sở hữu của EthCrossChainManager và lưu trữ danh sách các khóa công khai, là những người có thể kiểm soát thanh khoản (keeper).

Kẻ tấn công đã khai thác một lỗ hổng trong hợp đồng EthCrossChainManager và lừa nó thay thế họ vào vị trí của keeper hợp đồng. Sau đó, hacker đã chiếm lấy thanh khoản từ giao thức Poly Network, giành được toàn quyền kiểm soát các hoạt động của giao thức.

Bitmart – $196 triệu

Vào ngày 4/12/2021, sàn giao dịch tập trung Bitmart đã bị đánh cắp 200 triệu đô la tiền điện tử từ ví nóng. Những kẻ tấn công đã đánh cắp khóa cá nhân để truy cập vào ví nóng của sàn giao dịch.

Sàn giao dịch Bitmart tuyên bố họ đã mất 150 triệu đô la, nhưng công ty an ninh mạng blockchain Peckshield sau đó khẳng định hơn 20 loại tiền điện tử và token bị đánh cắp từ blockchain Ethereum và Binance Smart Chai, thiệt hại lên đến 196 triệu đô la đã. Họ cũng đã phát họa đường đi của các tài sản bị đánh cắp ngoại trừ điểm đến cuối cùng. Đầu tiên, kẻ tấn công đã hoán đổi tài sản đánh cắp lấy ETH bằng cách sử dụng công cụ tổng hợp DEX 1inch, sau đó rửa ETH bằng máy trộn riêng tư Tornado Cash và mất dấu vết từ đó.

Cuộc tấn công mạng này một lần nữa cho thấy lỗ hổng lưu trữ khóa cá nhân của nhiều địa chỉ với tổng số tiền khổng lồ trên một máy chủ. Điều này làm lộ tất cả các ví nóng của sàn giao dịch cùng một lúc.

Cream Finance – $130 triệu

Trong cuộc tấn công diễn ra vào tháng 12/2021, một hoặc hai hacker đã sử dụng nhiều giao thức (MakerDAO, AAVE, Curve, Yearn.finance) để trộm 130 triệu đô la token và tiền điện tử từ Cream Finance.

Bằng chứng cho thấy có thể có hai hacker vì hai địa chỉ được sử dụng: địa chỉ A và địa chỉ B. Đầu tiên, địa chỉ A đã vay 500 triệu đô la DAI từ MakerDAO, kéo thanh khoản đó qua Curve và Year.finance, sử dụng chúng để đúc 500 triệu cryUSD trên Cream Finance. Đồng thời, địa chỉ A đã tăng thanh khoản trong YUSD Vault của Yearn.finance lên 511 triệu yUSDTVault.

Sau đó, địa chỉ B đã vay nhanh 2 tỷ đô la ETH từ AAVE, gửi chúng vào Cream để đúc 2 tỷ đô la cEther. Sau đó, địa chỉ B đổi lấy 1 tỷ yUSDVault và 1 tỷ cryUSD, chuyển chúng đến địa chỉ A. Như vậy, địa chỉ A nhận được 1,5 tỷ cryUSD.

Sau đó, địa chỉ A mua 3 triệu DUSD từ Curve và đổi tất cả lấy yUSDVault, do đó nhận được 503 triệu yUSDVault trong số dư. Địa chỉ A tiếp tục đổi 503 triệu yUSDVault lấy token yUSD cơ bản và nâng tổng nguồn cung yUSDVault lên 8 triệu.

Tiếp theo, địa chỉ A chuyển 8 triệu yUSD vào kho tiền yUSD của Yearn.finance và tăng gấp đôi định giá của kho tiền. Điều này đã làm cho PriceOracleProxy của Cream tăng gấp đôi định giá cryUSD vì nó xác định giá của cryUSD dựa trên định giá của yUSD Yearn Vault/tổng nguồn cung của yUSDVault, tức là 16 triệu đô la/8 triệu yUSDVault. Do đó, Cream nhận thấy địa chỉ A có 3 tỷ cryUSD.

Sai lầm này cuối cùng đã khiến cho Cream Finance phải trả giá. Các hacker có thể trả lại khoản vay nhanh và bỏ túi toàn bộ thanh khoản (130 triệu đô la) đã bị khóa trong Cream Finance bằng cách sử dụng 1 tỷ đô la cryUSD còn lại.

Các kiểu tấn công phổ biến nhất vào năm 2021

Nói về các cuộc tấn công hợp đồng thông minh, loại tấn công phổ biến nhất là cho vay nhanh như mô tả ở trên. Theo The Block Crypto, trong số 70 cuộc tấn công DeFi vào năm 2021, 34 vụ sử dụng các khoản vay nhanh, vụ trộm Cream Finance vào tháng 12 là vụ gây thiệt hại nhiều nhất. Đặc điểm tiêu biểu nhất của kiểu tấn công này là sử dụng nhiều giao thức. Về bản chất, từng giao thức có lẽ an toàn, nhưng nếu sử dụng nhiều giao thức thì có thể tìm thấy các lỗ hổng bảo mật.

Một hình thức xâm phạm hợp đồng thông minh khác có thể được phân loại như kiểu tấn công DeFi cổ điển là tấn công Reentrancy. Cuộc tấn công Reentrancy xảy ra khi hàm gọi một hợp đồng bên ngoài không cập nhật số dư địa chỉ trước khi thực hiện một lệnh gọi khác đến hợp đồng đó. Trong trường hợp này, hợp đồng bên ngoài có thể rút tiền liên tục vì số dư địa chỉ trong hợp đồng không được cập nhật sau mỗi lần rút tiền. Các lệnh liên tục này có thể tiếp diễn cho đến khi số dư của hợp đồng cạn kiệt.

Kiểu tấn công phổ biến thứ ba vào năm 2021 là nhắm đến các sàn giao dịch tập trung bằng cách đánh cắp khóa cá nhân truy cập ví nóng của sàn. Đây là một cách tấn công mạng quá quen thuộc trong lịch sử tiền điện tử, nhưng nó vẫn có thể được thực hiện thành công.

Làm thế nào để bảo vệ tiền trong không gian tiền điện tử?

Để bảo vệ tiền trong không gian crypto, tốt hơn là bạn nên xem xét kỹ nền tảng mà bạn muốn gửi tiền vào đó: quan sát trang web, quá trình tương tác xã hội của các thành viên trong team, kiểm tra whitepaper (sách trắng) và kiểm toán kỹ thuật. Ngoài ra, sẽ rất tốt nếu sử dụng chức năng trong các ví tiền điện tử cho phép whitelist (thiết lập danh sách) những hợp đồng mà người dùng thường xuyên sử dụng. Tính năng này hiện có trong ví Metamask và các dịch vụ trực tuyến chuyên dụng để bảo quản tiền điện tử an toàn như Unrekt và Debank. Nếu tiền được chuyển đến một hợp đồng lạ đã được chấp thuận, tính năng sẽ làm đánh dấu các hợp đồng đó.

Nếu lo ngại về sự an toàn của giao thức DeFi, tốt hơn hết bạn nên sử dụng codebase của các dự án đã được thử nghiệm khác. Nhưng nhà sáng lập vẫn nên thực hiện ít nhất một cuộc kiểm toán kỹ thuật đối với các hợp đồng thông minh của dự án. Điều này đặc biệt quan trọng với các giao thức được triển khai trên nhiều blockchain và tương tác với các giao thức khác. Vì họ yêu cầu sự giám sát đặc biệt nghiêm ngặt trong suốt các cuộc kiểm toán.

Tham gia Telegram của Tạp Chí Bitcoin để theo dõi tin tức và bình luận về bài viết này: https://t.me/tapchibitcoinvn

Minh Anh

Theo Crytoslate

MỚI CẬP NHẬT

Tâm lý xã hội về Bitcoin chạm đáy trong năm, báo hiệu giá sắp...

Tâm lý xã hội về Bitcoin đã chạm mức thấp nhất vào năm 2024, báo hiệu khả năng giá sắp phục hồi trên ngưỡng...
stablecoin

SpaceX của Elon Musk sử dụng stablecoin để phòng ngừa rủi ro ngoại hối

Theo nhà đầu tư mạo hiểm Chamath Palihapitiya đến từ Silicon Valley cho biết trong podcast All-In vào thứ 6, SpaceX đang sử dụng...

UAE hiện nắm giữ 40 ​​tỷ đô la Bitcoin

Các Tiểu vương quốc Ả Rập Thống nhất (UAE) hiện sở hữu 40 tỷ đô la Bitcoin sau nhiều năm đầu tư để xây...

4 sự kiện kinh tế quan trọng có thể định hình giá trị của...

Khi năm 2024 đang dần khép lại, cộng đồng đam mê Bitcoin không khỏi xôn xao suy đoán về tương lai của đồng tiền...
Wall Street Pepe presale xuất sắc huy động vượt 33,5 triệu USD

Dogecoin và Pepe phục hồi mạnh mẽ, Wall Street Pepe presale xuất sắc huy...

Sau cú sụt giảm mạnh khiến toàn bộ thị trường điêu đứng, Bitcoin đã ngay lập tức phục hồi ấn tượng, tăng 3,9% và...

Tin vắn Crypto 22/12: Bitcoin đã sẵn sàng bước vào giai đoạn tăng giá...

Từ nhận định Bitcoin đã sẵn sàng bước vào giai đoạn parabol của chu kỳ thị trường hiện tại đến Spacecoin XYZ đã phóng...
doge-giam-gia

Dogecoin lao dốc 30% từ đỉnh, đối mặt nguy cơ tụt dưới mốc $0,20

Giá Dogecoin (DOGE) giảm hơn 30% so với mức cao nhất năm là $0,48 vào đầu tháng này. Sự sụt giảm được liên kết...

Nhiều Bitcoin “ngủ đông” đang dần hồi sinh và được chuyển đến ví mới

Trong suốt bốn ngày qua, giá Bitcoin liên tục thoái lui khỏi mức đỉnh kỷ lục 108.000 USD, chứng kiến giá trị giảm hơn...

Doanh số NFT tăng 32% trong tuần đạt 304 triệu đô la

Tuần trước, doanh số bán NFT dựa trên Ethereum đã ghi nhận mức tăng mạnh, đẩy tổng khối lượng giao dịch NFT kỹ thuật...

Altcoin tăng 20.000% và 9 token khác đang dẫn đầu về hoạt động cá...

Dữ liệu mới nhất từ công ty nghiên cứu thị trường Santiment đã chỉ ra một altcoin đang ghi nhận mức tăng trưởng ấn...
XRP

Cá voi XRP mua dip, ảnh hưởng thế nào đến giá?

Giá Ripple (XRP) giảm gần đây đã thu hút sự chú ý của các nhà đầu tư lớn, với dữ liệu on-chain cho thấy...
Bitcoin

Bitcoin sụp đổ có thể là bước đệm cho sự phục hồi lịch sử...

Giá Bitcoin gần đây đã đạt mức cao nhất mọi thời đại là 108.364 đô la trước khi lao dốc xuống còn 92.118 đô...

Cựu CEO Binance.US Brian Brooks gia nhập hội đồng quản trị MicroStrategy

MicroStrategy, công ty phần mềm nổi bật của bò Bitcoin Michael Saylor, vừa thông báo việc bổ nhiệm cựu CEO của Binance.US, Brian Brooks,...
hype-tang-gia

Hyperliquid (HYPE) lập kỷ lục mới, điều gì thúc đẩy sự tăng trưởng đột...

Hyperliquid đã đạt được một cột mốc quan trọng với khối lượng giao dịch đạt 11,5 tỷ USD và khối lượng thanh lý lên...

Nhà sáng lập Hex, Richard Heart, bị Interpol và Europol truy nã vì trốn...

Tổ chức cảnh sát quốc tế Interpol đã phát hành "Thông báo Đỏ" đến các quốc gia thành viên theo yêu cầu của Phần...
mua-altcoin

Cơ hội mùa altcoin giảm, nhưng 3 chỉ số chỉ ra tiềm năng hồi...

Ngày 4 tháng 12, chỉ số mùa altcoin đã đạt mức 88, gợi ý rằng các tiền điện tử ngoài Bitcoin có thể sẽ...