2022 năm Tài chính phi tập trung sự kiện an toàn tổng kết và phân tích
Tác giả: Một chuyên gia bảo mật Web3 kỳ cựu
Gần đây, một chuyên gia an ninh nổi tiếng trong ngành đã chia sẻ một bài học về an ninh DeFi cho các thành viên trong cộng đồng. Chuyên gia này đã xem xét những sự kiện an ninh lớn mà ngành Web3 đã gặp phải trong hơn một năm qua, và đã thảo luận sâu về nguyên nhân của những sự kiện này cũng như các biện pháp phòng ngừa, tóm tắt những lỗ hổng an ninh hợp đồng thông minh thường gặp, đồng thời đưa ra một số gợi ý an ninh cho các dự án và người dùng bình thường.
Theo thống kê, trong năm 2022 đã xảy ra hơn 300 sự kiện an ninh blockchain, với số tiền liên quan lên tới 4,3 tỷ USD. Bài viết này sẽ phân tích chi tiết tám trường hợp điển hình sau đây, hầu hết các trường hợp đều có khoản lỗ trên 100 triệu USD.
Sự kiện Ronin Bridge
Vào tháng 3 năm 2022, chuỗi phụ Ronin Network của Axie Infinity đã bị xâm nhập, thiệt hại khoảng 600 triệu USD. Hacker đã lấy được lòng tin của nhân viên thông qua các phương thức kỹ thuật xã hội, từ đó xâm nhập vào hệ thống và kiểm soát phần lớn các nút xác thực. Điều này đã phơi bày vấn đề quản lý an ninh nội bộ của công ty, nhận thức an toàn của nhân viên còn yếu. Sự kiện này được cho là có liên quan đến tổ chức hacker của Triều Tiên, phản ánh rằng các lực lượng hacker cấp quốc gia đã bắt đầu nhắm mục tiêu vào các dự án blockchain.
Sự kiện Wormhole
Cầu nối Wormhole đã bị tấn công do lỗ hổng mã, gây tổn thất khoảng 120.000 ETH. Nguyên nhân là do đã sử dụng một số hàm đã bị bỏ đi. Điều này nhắc nhở các nhà phát triển cần cập nhật kịp thời để sử dụng phiên bản mã mới nhất, nhằm tránh các vấn đề tương tự.
Sự kiện Nomad Bridge
Cầu nối Nomad bị tấn công do vấn đề trong cài đặt khởi tạo, cho phép kẻ tấn công phát lại giao dịch hợp lệ và rút tiền, gây thiệt hại khoảng 190 triệu USD. Trong trường hợp này, có rất nhiều robot MEV tham gia vào việc tranh giành tiền. Các dự án mã nguồn mở dễ bị phân tích tấn công, và một khi xuất hiện lỗ hổng, có thể phải chịu tổn thất nghiêm trọng.
Sự kiện Beanstalk
Dự án stablecoin thuật toán Beanstalk đã bị tấn công bởi vay nhanh, gây thiệt hại khoảng 1,82 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng trong cơ chế quản trị của dự án, thông qua vay nhanh để có được quyền biểu quyết lớn, và chuyển tiền thông qua đề xuất ác ý. Điều này phản ánh rằng cơ chế quản trị phi tập trung nếu được thiết kế không hợp lý cũng có thể mang lại rủi ro về an ninh.
Sự kiện Wintermute
Nhà tạo lập thị trường Wintermute đã bị mất khoảng 160 triệu USD do sử dụng công cụ tạo địa chỉ có lỗ hổng, dẫn đến việc khóa riêng bị xâm phạm. Điều này nhắc nhở chúng ta cần đánh giá đầy đủ tính an toàn khi sử dụng các công cụ mã nguồn mở.
Sự kiện Harmony Bridge
Cầu nối Harmony Horizon bị đánh cắp hơn 100 triệu USD. Theo phân tích, có thể đây cũng là do tổ chức hacker Bắc Triều Tiên thực hiện, phương pháp tương tự như sự kiện Ronin. Điều này lại một lần nữa làm nổi bật mối đe dọa của hacker cấp quốc gia đối với ngành công nghiệp tiền điện tử.
Sự kiện Ankr
Dự án Ankr đã gây ra tổn thất tài chính do hành động xấu của nhân viên nội bộ. Vấn đề chính nằm ở việc kiểm soát quyền sở hữu hợp đồng không đúng cách, cũng như việc quản lý an ninh nội bộ có lỗ hổng. Điều này phản ánh tầm quan trọng của quản lý an ninh nội bộ đối với nhóm dự án.
Sự kiện Mango
Nền tảng giao dịch Mango đã bị tấn công thao túng thị trường, gây thiệt hại khoảng 1,15 triệu đô la Mỹ. Kẻ tấn công đã lợi dụng vấn đề thiếu tính thanh khoản của các đồng coin nhỏ trên nền tảng để thao túng giá và thu lợi. Điều này nhắc nhở chúng ta cần xem xét các rủi ro trong các tình huống cực đoan khác nhau.
Tóm lại, các dự án Web3 đang đối mặt với nhiều mối đe dọa an ninh khác nhau, cần phải tăng cường phòng ngừa từ nhiều khía cạnh như mã nguồn, cơ chế quản trị, và quản lý nội bộ. Người dùng khi tham gia dự án cũng cần phải đánh giá đầy đủ rủi ro, không chỉ nhìn vào lợi nhuận mà bỏ qua an toàn.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Tài chính phi tập trung an toàn cảnh báo: Tám sự kiện tiết lộ tổn thất 4,3 tỷ USD của các dự án Web3
2022 năm Tài chính phi tập trung sự kiện an toàn tổng kết và phân tích
Tác giả: Một chuyên gia bảo mật Web3 kỳ cựu
Gần đây, một chuyên gia an ninh nổi tiếng trong ngành đã chia sẻ một bài học về an ninh DeFi cho các thành viên trong cộng đồng. Chuyên gia này đã xem xét những sự kiện an ninh lớn mà ngành Web3 đã gặp phải trong hơn một năm qua, và đã thảo luận sâu về nguyên nhân của những sự kiện này cũng như các biện pháp phòng ngừa, tóm tắt những lỗ hổng an ninh hợp đồng thông minh thường gặp, đồng thời đưa ra một số gợi ý an ninh cho các dự án và người dùng bình thường.
Theo thống kê, trong năm 2022 đã xảy ra hơn 300 sự kiện an ninh blockchain, với số tiền liên quan lên tới 4,3 tỷ USD. Bài viết này sẽ phân tích chi tiết tám trường hợp điển hình sau đây, hầu hết các trường hợp đều có khoản lỗ trên 100 triệu USD.
Sự kiện Ronin Bridge
Vào tháng 3 năm 2022, chuỗi phụ Ronin Network của Axie Infinity đã bị xâm nhập, thiệt hại khoảng 600 triệu USD. Hacker đã lấy được lòng tin của nhân viên thông qua các phương thức kỹ thuật xã hội, từ đó xâm nhập vào hệ thống và kiểm soát phần lớn các nút xác thực. Điều này đã phơi bày vấn đề quản lý an ninh nội bộ của công ty, nhận thức an toàn của nhân viên còn yếu. Sự kiện này được cho là có liên quan đến tổ chức hacker của Triều Tiên, phản ánh rằng các lực lượng hacker cấp quốc gia đã bắt đầu nhắm mục tiêu vào các dự án blockchain.
Sự kiện Wormhole
Cầu nối Wormhole đã bị tấn công do lỗ hổng mã, gây tổn thất khoảng 120.000 ETH. Nguyên nhân là do đã sử dụng một số hàm đã bị bỏ đi. Điều này nhắc nhở các nhà phát triển cần cập nhật kịp thời để sử dụng phiên bản mã mới nhất, nhằm tránh các vấn đề tương tự.
Sự kiện Nomad Bridge
Cầu nối Nomad bị tấn công do vấn đề trong cài đặt khởi tạo, cho phép kẻ tấn công phát lại giao dịch hợp lệ và rút tiền, gây thiệt hại khoảng 190 triệu USD. Trong trường hợp này, có rất nhiều robot MEV tham gia vào việc tranh giành tiền. Các dự án mã nguồn mở dễ bị phân tích tấn công, và một khi xuất hiện lỗ hổng, có thể phải chịu tổn thất nghiêm trọng.
Sự kiện Beanstalk
Dự án stablecoin thuật toán Beanstalk đã bị tấn công bởi vay nhanh, gây thiệt hại khoảng 1,82 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng trong cơ chế quản trị của dự án, thông qua vay nhanh để có được quyền biểu quyết lớn, và chuyển tiền thông qua đề xuất ác ý. Điều này phản ánh rằng cơ chế quản trị phi tập trung nếu được thiết kế không hợp lý cũng có thể mang lại rủi ro về an ninh.
Sự kiện Wintermute
Nhà tạo lập thị trường Wintermute đã bị mất khoảng 160 triệu USD do sử dụng công cụ tạo địa chỉ có lỗ hổng, dẫn đến việc khóa riêng bị xâm phạm. Điều này nhắc nhở chúng ta cần đánh giá đầy đủ tính an toàn khi sử dụng các công cụ mã nguồn mở.
Sự kiện Harmony Bridge
Cầu nối Harmony Horizon bị đánh cắp hơn 100 triệu USD. Theo phân tích, có thể đây cũng là do tổ chức hacker Bắc Triều Tiên thực hiện, phương pháp tương tự như sự kiện Ronin. Điều này lại một lần nữa làm nổi bật mối đe dọa của hacker cấp quốc gia đối với ngành công nghiệp tiền điện tử.
Sự kiện Ankr
Dự án Ankr đã gây ra tổn thất tài chính do hành động xấu của nhân viên nội bộ. Vấn đề chính nằm ở việc kiểm soát quyền sở hữu hợp đồng không đúng cách, cũng như việc quản lý an ninh nội bộ có lỗ hổng. Điều này phản ánh tầm quan trọng của quản lý an ninh nội bộ đối với nhóm dự án.
Sự kiện Mango
Nền tảng giao dịch Mango đã bị tấn công thao túng thị trường, gây thiệt hại khoảng 1,15 triệu đô la Mỹ. Kẻ tấn công đã lợi dụng vấn đề thiếu tính thanh khoản của các đồng coin nhỏ trên nền tảng để thao túng giá và thu lợi. Điều này nhắc nhở chúng ta cần xem xét các rủi ro trong các tình huống cực đoan khác nhau.
Tóm lại, các dự án Web3 đang đối mặt với nhiều mối đe dọa an ninh khác nhau, cần phải tăng cường phòng ngừa từ nhiều khía cạnh như mã nguồn, cơ chế quản trị, và quản lý nội bộ. Người dùng khi tham gia dự án cũng cần phải đánh giá đầy đủ rủi ro, không chỉ nhìn vào lợi nhuận mà bỏ qua an toàn.