Vi phạm an ninh lớn nhất năm 2021

Theo công ty phân tích chuỗi trực tuyến Chainalysis, khối lượng giao dịch tiền điện tử tội phạm vào năm 2021 đạt mức cao nhất mọi thời đại – 14 tỷ đô la. Tuy nhiên, bất chấp sự gia tăng về khối lượng chuyển khoản tội phạm, tỷ trọng tương đối của nó đối với toàn bộ khối lượng giao dịch tiền điện tử của năm 2021 là thấp nhất mọi thời đại. Những thống kê này cho thấy sự mở rộng của lĩnh vực tiền điện tử đang vượt xa tội phạm mạng liên quan đến tiền điện tử, nó cũng cho thấy rằng bảo mật trong ngành cũng đang bắt kịp nhu cầu.

Các cuộc tấn công mạng béo bở nhất năm 2021

Mặc dù đã có sự sụt giảm về tỷ trọng khối lượng giao dịch liên quan đến tội phạm trong không gian tiền điện tử vào năm 2021, nhưng vẫn có một số trường hợp khiến một số người ngạc nhiên. Sau đây tôi sẽ điểm qua một số cái bắt mắt nhất.

1. Poly Community – 611 triệu USD

Vụ hack Poly Community xảy ra vào ngày 10 tháng 8 năm 2021 và dẫn đến việc đánh cắp tài sản kỹ thuật số trị giá khoảng 611 triệu đô la bị đánh cắp trên ba blockchain: Ethereum, BSC và Polygon. Chi tiết dễ thấy là hacker đã trả lại toàn bộ số tiền mà hắn đã đánh cắp, giải thích động thái của hắn là nỗ lực chỉ ra những lỗ hổng trong giao thức Poly Community không trục lợi.

Poly Network là một mạng chuỗi chéo cho phép người dùng thực hiện các hoạt động xuyên chuỗi khối một cách phi tập trung. Ví dụ: chuyển tiền từ blockchain này sang blockchain khác. Để làm được điều này, cần có một lượng lớn thanh khoản trong giao thức. Trong Poly Network, tính thanh khoản này được kiểm soát bởi các hợp đồng thông minh đặc biệt.

Các hợp đồng được khai thác là EthCrossChainManager và EthCrossChainData. EthCrossChainData thuộc sở hữu của EthCrossChainManager và lưu trữ danh sách các khóa công khai, những người có thể kiểm soát tính thanh khoản này (người giữ).

Kẻ tấn công đã khai thác một lỗ hổng trong hợp đồng EthCrossChainManager và có thể lừa nó để thay thế những người giữ hợp đồng cho những người tấn công. Sau đó, kẻ tấn công đã đánh lừa tính thanh khoản từ giao thức Poly Network, đã giành được toàn quyền kiểm soát các hoạt động của giao thức.

2. Bitmart – 196 triệu đô la

Vào ngày 4 tháng 12 năm 2021, sàn giao dịch tiền điện tử tập trung Bitmart đã bị tấn công, với tài sản tiền điện tử trị giá 200 triệu đô la bị đánh cắp khỏi ví nóng của nó. Những kẻ tấn công đã đánh cắp các khóa riêng tư của các ví nóng của sàn giao dịch.

Sàn giao dịch Bitmart tuyên bố rằng nó đã mất 150 triệu đô la, nhưng công ty an ninh mạng blockchain Peckshield sau đó đã đưa ra một yêu cầu 196 triệu đô la đã bị đánh cắp khỏi chuỗi khối Ethereum và Binance Wise Chain trong hơn 20 loại tiền điện tử và mã thông báo. Họ cũng hiển thị đường đi trong đồ họa mà các tài sản bị đánh cắp đã đi ngoại trừ điểm đến cuối cùng. Đầu tiên, kẻ tấn công đã hoán đổi tài sản bị đánh cắp lấy Ether bằng cách sử dụng bộ tổng hợp DEX 1 inch và sau đó rửa Ether bằng máy trộn quyền riêng tư Twister Income. Sau đó dấu vết trở nên trống rỗng.

Cuộc tấn công mạng này một lần nữa cho thấy lỗ hổng lưu trữ khóa cá nhân đến nhiều địa chỉ với số tiền khổng lồ trên một máy chủ duy nhất. Điều này làm lộ tất cả các ví nóng của sàn giao dịch cùng một lúc.

3. Cream Finance – 130 triệu USD

Trong cuộc tấn công mạng Cream Finance diễn ra vào tháng 12 năm 2021, một hoặc hai tin tặc đã sử dụng nhiều giao thức – MakerDAO, AAVE, Curve, Yearn.finance – để thực hiện một vụ trộm khỏi Product Finance trị giá 130 triệu đô la mã thông báo và tiền điện tử.

Bằng chứng cho thấy có thể đã có hai kẻ tấn công, tôi sẽ giả định như vậy. Có hai địa chỉ được sử dụng trong cuộc tấn công: địa chỉ A và địa chỉ B. Địa chỉ đầu tiên A đã vay DAI trị giá 500 triệu đô la từ MakerDAO và, đã kéo thanh khoản đó thông qua Curve và Calendar year.finance, đã sử dụng chúng để kiếm 500 triệu cryUSD trên Product Finance . Đồng thời, địa chỉ A đã tăng thanh khoản trong YUSD Vault của Yearn.finance lên 511 triệu yUSDTVault.

Sau đó, địa chỉ B flash đã vay 2 tỷ đô la Ether từ AAVE, khai thác cEther trị giá 2 tỷ đô la bằng cách gửi 2 tỷ đô la ETH đã vay vào Cream. Sau đó, địa chỉ B sử dụng nó để lấy 1 tỷ yUSDVault và đổi chúng lấy 1 tỷ cryUSD và chuyển chúng đến địa chỉ A. Như vậy, địa chỉ A nhận được 1,5 tỷ cryUSD.

Sau khi địa chỉ đó, A đã mua 3 triệu DUSD từ Curve và đổi tất cả chúng cho yUSDVault, do đó nhận được 503 triệu yUSDVault trên số dư của nó. Sau đó, địa chỉ A đã đổi 503 triệu yUSDVault lấy mã thông báo yUSD cơ bản và nâng tổng nguồn cung của yUSDVault lên 8 triệu.

Sau đó, địa chỉ A đã chuyển 8 triệu yUSD vào kho tiền Yearn.finance yUSD và tăng gấp đôi định giá của kho tiền. Điều này khiến PriceOracleProxy của Product tăng gấp đôi định giá của cryUSD vì nó xác định giá của cryUSD dựa trên (định giá của yUSD Yearn Vault) / (tổng nguồn cung của yUSDVault), tức là 16 triệu đô / 8 triệu yUSDVault. Do đó, Product nhận thấy rằng địa chỉ A có 3 tỷ đô la Mỹ.

Sai lầm này cuối cùng phải trả giá bằng Tài chính Kem. Các tin tặc đã có thể trả lại khoản vay chớp nhoáng với thanh khoản vượt quá mà chúng tạo ra và bỏ túi toàn bộ thanh khoản (130 triệu đô la) đã bị khóa trong Product Finance bằng cách sử dụng 1 tỷ đô la cryUSD mà họ còn lại.

Các kiểu tấn công phổ biến nhất vào năm 2021

Nói về các cuộc tấn công vào hợp đồng thông minh, loại tấn công phổ biến nhất là cuộc tấn công cho vay nhanh như mô tả ở trên. Dựa theo Khối tiền điện tử, trong số 70 vụ tấn công DeFi vào năm 2021, 34 vụ sử dụng các khoản vay nhanh, vụ trộm Product Finance tháng 12 là đỉnh cao về số tiền bị đánh cắp. Đặc điểm tinh túy của các cuộc tấn công này là sử dụng nhiều giao thức. Về bản chất, chúng có thể an toàn, nhưng khi sử dụng một chuỗi chúng, có thể tìm thấy các lỗ hổng bảo mật.

Một kiểu tấn công khác đối với các hợp đồng thông minh có thể được phân loại là kiểu tấn công DeFi cổ điển là kiểu tấn công reentrancy. Một cuộc tấn công reentrancy có thể xảy ra nếu hàm gọi một hợp đồng bên ngoài không cập nhật số dư địa chỉ trước khi nó thực hiện một cuộc gọi khác đến hợp đồng đó. Trong trường hợp này, hợp đồng bên ngoài có thể rút tiền đệ quy vì số dư địa chỉ trong hợp đồng mục tiêu không được cập nhật sau mỗi lần rút tiền. Và các cuộc gọi đệ quy này có thể tiếp tục cho đến khi số dư của hợp đồng cạn kiệt.

Và kiểu tấn công phổ biến thứ ba vào năm 2021 là các cuộc tấn công vào các sàn giao dịch tập trung bằng cách đánh cắp khóa cá nhân vào ví nóng của các sàn giao dịch. Đây là một cách tấn công mạng rất cũ trong lịch sử tiền điện tử, nhưng nó không trở nên quá cũ.

Làm thế nào để bảo vệ tiền của bạn trong không gian tiền điện tử?

Khi nói đến quỹ của người dùng cá nhân, tốt hơn hết là bạn nên xem xét kỹ lưỡng nền tảng mà bạn muốn gửi tiền vào đó: xem xét trang world-wide-web, xem xã hội của các thành viên trong nhóm, xem Sách trắng và kiểm toán kỹ thuật. Ngoài ra, sẽ rất tốt nếu sử dụng chức năng trong ví tiền điện tử cho phép liệt kê các hợp đồng mà người dùng thường xuyên sử dụng vào danh sách trắng, nó tồn tại trong ví Metamask và trong các dịch vụ trực tuyến chuyên dụng để giữ tiền điện tử an toàn Unrekt và Debank. Nếu việc chuyển nhượng sang một hợp đồng không quen thuộc đã được chấp thuận, họ sẽ đánh dấu một hợp đồng như vậy.

Khi quan tâm đến sự an toàn của giao thức DeFi, tốt hơn hết là bạn nên sử dụng cơ sở mã của các dự án đã được thử nghiệm và thử nghiệm khác. Nhưng người sáng lập vẫn nên xử phạt ít nhất một cuộc kiểm tra kỹ thuật đối với các hợp đồng thông minh của dự án. Điều này đặc biệt quan trọng với các giao thức được triển khai trên nhiều blockchains và tương tác với các giao thức khác. Họ yêu cầu sự giám sát đặc biệt nghiêm ngặt trong các cuộc kiểm toán.