Zero Day Attack là gì? Tìm hiểu về khái niệm zero day attack

Zero Day Attack là cuộc tấn công khai thác lỗ hổng phần mềm chưa được nhà cung cấp biết tới, diễn ra trước khi có bản vá, khiến nạn nhân không có thời gian phòng ngừa.

Trong bối cảnh tiền điện tử, cuộc tấn công zero-day thường nhắm vào ví, sàn giao dịch, hợp đồng thông minh hoặc dApp, gây mất mát tài sản lớn cho dự án và người dùng nếu không được phát hiện kịp thời.

Zero Day Attack là gì?

Zero Day Attack là tấn công khai thác lỗ hổng phần mềm chưa được biết đến bởi nhà phát triển, không có bản vá trước khi bị lợi dụng.

Định nghĩa kỹ thuật tương ứng theo NIST: “Một cuộc tấn công khai thác lỗ hổng phần cứng, phần mềm hoặc chương trình cơ sở chưa được biết đến trước đó”.

Vì không có bản vá, tỷ lệ thành công của cuộc tấn công thường cao hơn và có thể gây thiệt hại đáng kể cho dữ liệu và tài sản.

Phân biệt: Zero Day Vulnerability, Zero Day Exploit và Zero Day Attack?

Vulnerability là lỗ hổng; exploit là mã/ phương pháp khai thác; attack là hành vi dùng exploit để tấn công.

Vulnerability: lỗi chưa được phát hiện bởi nhà cung cấp. Exploit: đoạn mã hoặc kỹ thuật cụ thể tận dụng lỗ hổng.

Attack: quá trình thực hiện khai thác, dẫn tới rò rỉ, thay đổi hoặc đánh cắp dữ liệu. Phân biệt rõ ràng giúp tổ chức xác định trách nhiệm xử lý (vá lỗi vs. ứng phó sự cố).

Làm sao lỗ hổng trở thành zero day?

Lỗ hổng được phát hiện bởi bên thứ ba (tin tặc, nhà nghiên cứu) trước khi nhà phát triển biết; nếu bị giữ bí mật và chưa có bản vá thì được gọi là zero day.

Nguồn phát hiện có thể là khai thác có chủ ý (offensive research), tìm lỗi ngẫu nhiên khi audit code, hoặc do rò rỉ thông tin nội bộ.

Khi lỗ hổng chưa được public và chưa có patch, thời gian “zero days” là khoảng thời gian nhà cung cấp phải đối mặt không có biện pháp bảo vệ.

Một cuộc tấn công khai thác lỗ hổng phần cứng, chương trình cơ sở hoặc phần mềm chưa được biết đến trước đó.
NIST CSRC — Định nghĩa Zero-Day (tham khảo), 2019

Quy trình diễn ra một Zero Day Attack?

Ba bước chính: (1) phát hiện lỗ hổng, (2) phát triển exploit, (3) thực hiện tấn công và thu lợi/ gây hại.

Giai đoạn 1: phát hiện: tin tặc hoặc nhà nghiên cứu tìm lỗi trong ứng dụng, smart contract, trình duyệt hay hệ điều hành.

Giai đoạn 2: phát triển: viết mã khai thác (exploit code), có thể kết hợp social engineering, phishing, malware như spyware hoặc ransomware để xâm nhập.

Giai đoạn 3: tấn công: chiếm quyền, chuyển tiền, mã hóa dữ liệu hoặc rút token trước khi có bản vá.

Ví dụ các phương thức trợ giúp exploit

Social engineering (lừa người dùng), phishing (trang giả mạo), spyware (theo dõi), ransomware (mã hoá). Những kỹ thuật này thường phối hợp với exploit để đạt mục tiêu nhanh và kín đáo.

Lỗ hổng này có thể xảy ra do lỗ hổng tái nhập trong một số phiên bản trình biên dịch Vyper.
Certik — Phân tích sự cố Vyper, 31/07/2023

Một số vụ tấn công zero day điển hình trong lĩnh vực tiền điện tử

Nhiều sự cố nổi bật: MyEtherWallet (04/2018), Parity multi-sig (07/2017), và chuỗi sự cố liên quan Vyper/Curve (07/2023).

MyEtherWallet (24/04/2018): cuộc tấn công DNS/phishing khiến người dùng bị redirect sang site giả, thiệt hại khoảng 152.000 USD.

Parity (tháng 7/2017): lỗ hổng trong hợp đồng đa chữ ký dẫn tới ~153.037 ETH bị đánh, ước tính ~30 triệu USD thời điểm đó.

Vyper / Curve (30/07/2023): lỗi trong các phiên bản Vyper (0.2.15, 0.2.16, 0.3.0) mở cửa cho reentrancy, tổng thiệt hại nhiều dự án khoảng 52–70 triệu USD, một phần được white-hat trả lại.

Hôm nay, chúng tôi đã chứng kiến ​​vụ hack lớn thứ hai về số lượng ETH bị đánh cắp trong lịch sử mạng lưới Ethereum.
OpenZeppelin — Phân tích Parity Multisig, 19/07/2017

Các biện pháp phòng ngừa cho người dùng và dự án tiền điện tử

Cập nhật phần mềm, dùng IDS/IPS, kiểm tra nguồn ứng dụng, hiểu rủi ro và triển khai bug bounty, monitoring, ML để phát hiện bất thường.

Người dùng: luôn cập nhật ví/sàn, xác thực nguồn cài đặt, không click link lạ, dùng 2FA và giữ seed phrase an toàn.

Dự án: audit mã nguồn, chương trình bug bounty để thu hút white-hat, giám sát lưu lượng, hệ thống phát hiện hành vi bất thường dùng machine learning, và chuẩn hoá quy trình phản ứng sự cố.

Vào ngày 30 tháng 7, các báo cáo về lỗ hổng bảo mật trong Vyper phiên bản 0.2.15, 0.2.16 và 0.3.0 đã xuất hiện khiến nhiều nhóm trên Curve dễ bị tấn công tái nhập.
Halborn / Certik — Báo cáo phân tích, 30–31/07/2023

Giải pháp kỹ thuật cụ thể cho dự án

Triển khai IDS/IPS, giám sát log và giao dịch theo thời gian thực, sandboxing, rate-limiting cho chức năng rút tiền, multi-sig với kiểm tra on-chain/off-chain, và rollback plan.

Dùng code review, formal verification cho smart contract quan trọng.

Những câu hỏi thường gặp

Zero day có phải luôn là do tin tặc phát hiện không?

Không nhất thiết; lỗ hổng có thể được phát hiện bởi nhà nghiên cứu bảo mật, nhà cung cấp hoặc tin tặc. Chìa khoá là liệu lỗ hổng đã được tiết lộ và patched chưa.

Dự án tiền điện tử có thể hoàn toàn phòng tránh zero day không?

Không thể hoàn toàn loại trừ rủi ro, nhưng bằng audit, formal verification, bug bounty và giám sát thời gian thực có thể giảm đáng kể khả năng bị khai thác và thiệt hại.

Nếu bị tấn công bằng zero day, bước đầu cần làm gì?

Kích hoạt incident response, cô lập hệ thống, tắt chức năng rủi ro (ví dụ rút tiền), liên hệ đội pháp lý và bảo mật, thông báo cộng đồng, và phối hợp với nhà nghiên cứu/white-hat nếu cần.

Tiền của người dùng có khả năng lấy lại sau tấn công zero day không?

Tùy trường hợp; một số vụ được white-hat trả lại phần hoặc toàn bộ, một số khác không thể phục hồi. Nên luôn có kế hoạch bảo hiểm rủi ro và quỹ dự phòng.

Lưu ý: Nội dung bài viết chỉ nhằm cung cấp thông tin, không phải khuyến nghị đầu tư. Vui lòng tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định. Chúng tôi không chịu trách nhiệm đối với mọi kết quả phát sinh từ quyết định đầu tư của bạn.