Theo một báo cáo được thực hiên bởi nền tảng dữ liệu blockchain Chainalysis, 2 tỷ đô la đã bị mất từ các vụ hack cầu nối cross-chain (chuỗi chéo) vào năm 2022. Trong báo cáo, Chainalysis tuyên bố rằng đây là một mối đe dọa đáng kể đối với việc xây dựng niềm tin cho công nghệ blockchain.
Hơn nữa, các nhà nghiên cứu cho biết các vụ hack cầu nối là mục tiêu yêu thích của hacker Triều Tiên – ước tính thu về một nửa trong số 2 tỷ đô la bị đánh cắp.
Báo cáo này trở nên nóng bỏng sau vụ hack Nomad, trong đó gần 191 triệu đô la đã bị đánh cắp. Nomad liên kết các blockchain Ethereum, Avalanche, Evmos, Moonbeam và Milkomeda.
Cầu nối cross chain có nhiều điểm yếu
Cầu nối cross chain kết nối các blockchain khác nhau, cho phép chuyển dữ liệu hoặc token giữa các chain không tương thích. Công nghệ này là một phần của động lực giúp toàn bộ hệ sinh thái tiền điện tử có thể tương tác với nhau.
Cầu nối giúp bạn có thể sử dụng tài sản vào một blockchain mà không cần chuyển sang off-chain để giao dịch lấy token cần thiết trên một sàn giao dịch. Thông thường, chúng hoạt động theo quy trình chuyển đổi tài sản sử dụng cơ chế lock-mint-burn (khóa – đúc – đốt).
Tuy nhiên, các cầu nối dễ gặp một số lỗ hổng, bao gồm một điểm lỗi/tập trung duy nhất, tính thanh khoản thấp vì thực thể tập trung phải giữ một lượng tài sản, lỗ hổng kỹ thuật do cơ chế lock-mint-burn được điều chỉnh bởi hợp đồng thông minh và kiểm duyệt.
Báo cáo của Chainalysis cho biết đã xảy ra 13 vụ hack cối cầu riêng biệt trong năm nay, chiếm 69% tổng số tiền bị đánh cắp.
Các nhà nghiên cứu đã lập biểu đồ phân tích các vụ hack khác so với các vụ hack cầu nối, cho thấy không có mô hình rõ ràng nào. Trước Q3 năm 2021, các vụ hack cầu nối không tồn tại. Nhưng Q1 năm 2022 đã chứng kiến mức đỉnh điểm trong số tiền bị đánh cắp từ các cầu nối; điều này trùng hợp với số tiền bị đánh cắp kỷ lục.
Nguồn: blog.chainalysis.com
Chainalysis cho biết trong báo cáo rằng, trước đây, các sàn giao dịch là mục tiêu chính của hacker. Nhưng việc tăng cường bảo mật tại các sàn giao dịch đã buộc chúng phải tìm kiếm các mục tiêu mới hơn, dễ bị tấn công hơn.
Để giải quyết vấn đề, các nhà nghiên cứu kêu gọi kiểm tra mã hợp đồng thông minh nghiêm ngặt và để các hợp đồng đã được chứng minh được sử dụng làm khuôn mẫu cho các nhà phát triển. Chainalysis cũng đưa ra lời khuyên trong báo cáo về “sự bất cẩn của bản chất con người”, nói rằng các team yêu cầu đào tạo để phát hiện “các chiến thuật kỹ thuật xã hội tinh vi”.
Mặc dù không được đề cập đến trong báo cáo, bình luận trên liên quan đến vụ hack cầu nối Ronin, trong đó người dùng Axie Infinity bị mất 615 triệu đô la – sau đó đã được hoàn trả.
Gần đây đã nổi lên rằng vụ hack của Ronin được dàn dựng bởi các hacker Triều Tiên, nhằm vào một kỹ sư cấp cao với công việc giả mạo. Quá trình này liên quan đến các cuộc phỏng vấn giả với đỉnh điểm là một lời mời làm việc được gửi qua một file bị nhiễm. Việc mở file cho phép hacker nắm quyền kiểm soát một số node mạng.
Trộm NFT
Nghiên cứu gần đây từ Comparitech cho thấy rằng các vụ trộm NFT đang trở nên thường xuyên hơn bao giờ hết— và số tiền bị đánh cắp ngày càng nhiều hơn.
Công ty đã theo dõi các vụ trộm NFT kể từ khi tiêu chuẩn NFT lần đầu tiên được giới thiệu và ghi nhận các token bị đánh cắp đầu tiên vào đầu năm 2020. Kể từ đó, hơn 86,6 triệu đô la NFT đã bị trộm. Tính theo giá trị hiện hành, tổng số tiền bị đánh cắp lên tới 896,5 triệu đô la.
Cũng có sự gia tăng đáng kể về tổng số vụ trộm NFT vào năm 2022, hoàn toàn trái ngược với số lượng các vụ hack tiền điện tử ngày càng giảm được ghi nhận bởi Comparitech. Trong tổng số 166 vụ trộm NFT, 14 vụ xảy ra vào năm 2021 và chỉ 2 vụ xảy ra vào năm 2020. 150 vụ còn lại diễn ra vào năm 2022, với tháng 3 là tháng tồi tệ nhất với 31 vụ trộm xảy ra.
Biểu đồ các vụ trộm NFT từ năm 2020 đến năm 2022. Nguồn: Comparitech
Vụ trộm lớn nhất dựa trên số tiền bị đánh cắp tại thời điểm tấn công là Lympo. Vào tháng 1 năm 2022, công ty con NFT của Animoca Brands đã mất 165,2 triệu LMT trong một vụ hack ví nóng. Vào thời điểm xảy ra vụ tấn công, số token trị giá 18,7 triệu đô la.
Vào tháng 11 năm 2021, chuỗi trò chơi WAX Agricultural World bị tấn công khiến 15,7 triệu đô la NFT bay màu.
Với 13,7 triệu đô la bị đánh cắp, BAYC là vụ hack NFT lớn thứ ba từ trước đến nay. Vào tháng 4 năm 2022, tài khoản Instagram của BAYC đã bị tấn công và hàng chục NFT đã bị trộm khỏi ví người dùng.
- Cầu nối Nomad bị hack và 190,7 triệu đô la bay màu
- Solana bị hack loạt ví nóng Phantom, Slope và Trust Wallet, thiệt hại trước mắt là 5 triệu đô la
Ông Giáo
Theo CryptoSlate
