Tài chính phi tập trung An toàn sự kiện hồi cứu: Phân tích các trường hợp quan trọng năm 2022
Năm 2022, lĩnh vực blockchain đã xảy ra hơn 300 sự kiện an ninh, với số tiền liên quan lên tới 4,3 tỷ đô la. Bài viết này sẽ phân tích chi tiết 8 trường hợp điển hình, trong đó hầu hết các trường hợp có số tiền thiệt hại vượt quá 100 triệu đô la.
Ronin Bridge
Vào ngày 23 tháng 3 năm 2022, chuỗi phụ Axie Infinity Ronin Network đã bị tấn công, dẫn đến việc 173.600 ETH và 25.500.000 USD bị đánh cắp, tổng giá trị khoảng 590 triệu USD.
Kẻ tấn công đã điều khiển 5 nút xác thực của mạng Ronin thông qua các phương pháp kỹ thuật xã hội, từ đó đạt được quyền kiểm soát mạng. Hình thức tấn công này được gọi là APT( mối đe dọa liên tục nâng cao ), tin tặc trước tiên kiểm soát một máy tính nội bộ như một bước nhảy, sau đó xâm nhập toàn bộ hệ thống.
Sự kiện này đã phơi bày nhận thức an ninh yếu kém của nhân viên công ty Axie Infinity, cũng như các lỗ hổng trong hệ thống an ninh nội bộ của công ty.
Wormhole
Cầu nối Wormhole giữa các chuỗi đã bị tấn công, thiệt hại khoảng 120.000 ETH. Vấn đề nằm ở mã xác thực chữ ký của hợp đồng cốt lõi phía Solana có lỗi, cho phép kẻ tấn công giả mạo tin nhắn "người giám hộ" để đúc ETH được đóng gói bởi Wormhole.
Vấn đề này chủ yếu là do việc sử dụng một số hàm đã bị ngừng hỗ trợ. Đề xuất các nhà phát triển sử dụng phiên bản mới nhất của kho mã, để tránh các vấn đề tương tự.
Cầu Nomad
Cầu Nomad do vấn đề cấu hình trong quá trình khởi tạo, dẫn đến việc kẻ tấn công có thể tạo ra bất kỳ thông điệp nào để đánh cắp tiền từ cầu, tổng thiệt hại khoảng 190 triệu USD.
Kẻ tấn công đã lợi dụng lỗ hổng này để gửi đi gửi lại dữ liệu giao dịch được cấu trúc, rút tiền từ quỹ bị khóa của cầu nối chuỗi. Rất nhiều robot MEV cũng đã tham gia vào sự kiện "cướp tiền" này.
Trường hợp này phơi bày rằng, một khi dự án mã nguồn mở xuất hiện lỗ hổng, nó rất dễ bị kẻ tấn công lợi dụng. Các bên dự án cần xử lý vấn đề an toàn mã code một cách cẩn thận hơn.
Beanstalk
Dự án stablecoin thuật toán Beanstalk Farms đã bị tấn công bằng vay mượn chớp nhoáng, thiệt hại khoảng 1.82 triệu đô la.
Kẻ tấn công đã lợi dụng lỗ hổng trong cơ chế quản trị của dự án: không có khoảng thời gian giữa việc bỏ phiếu đề xuất và thực hiện. Kẻ tấn công đã lấy được một lượng lớn mã thông báo thông qua vay chớp nhoáng để bỏ phiếu thông qua đề xuất độc hại và thực hiện ngay lập tức.
Trường hợp này phản ánh rằng, cơ chế quản trị phi tập trung cần nhiều xem xét về an toàn hơn, như thiết lập khóa thời gian.
Wintermute
Nhà tạo lập thị trường Wintermute đã mất khoảng 160 triệu đô la do sử dụng công cụ tạo số đẹp Profanity có lỗ hổng, dẫn đến việc khóa riêng của chủ sở hữu một hợp đồng bị bẻ khóa.
Điều này nhắc nhở chúng ta rằng cần phải thực hiện đánh giá bảo mật đầy đủ khi sử dụng bất kỳ công cụ mã nguồn mở nào.
Cầu Harmony
Cầu nối đa chuỗi Horizon của Harmony bị tấn công, thiệt hại hơn 100 triệu USD. Theo báo cáo, có vẻ như là do tổ chức hacker Bắc Triều Tiên Lazarus Group thực hiện.
Điều này một lần nữa làm nổi bật rủi ro an ninh của cầu nối chuỗi chéo, cũng như mối đe dọa từ một số tổ chức hacker cấp quốc gia đối với các dự án blockchain.
Ankr
Dự án Ankr do nhân viên nội bộ phạm tội, dẫn đến việc 1 triệu tỷ aBNBc bị đúc ra một cách vô lý, gây ra hậu quả nghiêm trọng.
Điều này phản ánh rằng quản lý quyền nội bộ của dự án có vấn đề nghiêm trọng, các hoạt động quan trọng nên được thực hiện bằng cách sử dụng ví đa chữ ký và các phương pháp an toàn hơn.
Mango
Nền tảng giao dịch phi tập trung Mango đã bị tấn công thao túng thị trường, thiệt hại khoảng 1,15 triệu đô la.
Kẻ tấn công lợi dụng vấn đề thiếu thanh khoản của các đồng coin nhỏ trên nền tảng, kiếm lợi thông qua việc mở cả vị thế mua và bán cùng lúc và thao tác kéo giá. Điều này phơi bày ra những lỗ hổng trong thiết kế mô hình kinh doanh của dự án.
Những trường hợp này nhắc nhở chúng ta rằng, các dự án blockchain không chỉ cần chú ý đến an toàn mã nguồn, mà còn phải xem xét kỹ lưỡng các lỗ hổng tiềm ẩn trong mô hình kinh doanh. Người dùng tham gia vào dự án cũng cần đánh giá toàn diện các rủi ro.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Phân tích tám sự cố an toàn DeFi năm 2022: Thiệt hại lên đến hàng trăm triệu đô la
Tài chính phi tập trung An toàn sự kiện hồi cứu: Phân tích các trường hợp quan trọng năm 2022
Năm 2022, lĩnh vực blockchain đã xảy ra hơn 300 sự kiện an ninh, với số tiền liên quan lên tới 4,3 tỷ đô la. Bài viết này sẽ phân tích chi tiết 8 trường hợp điển hình, trong đó hầu hết các trường hợp có số tiền thiệt hại vượt quá 100 triệu đô la.
Ronin Bridge
Vào ngày 23 tháng 3 năm 2022, chuỗi phụ Axie Infinity Ronin Network đã bị tấn công, dẫn đến việc 173.600 ETH và 25.500.000 USD bị đánh cắp, tổng giá trị khoảng 590 triệu USD.
Kẻ tấn công đã điều khiển 5 nút xác thực của mạng Ronin thông qua các phương pháp kỹ thuật xã hội, từ đó đạt được quyền kiểm soát mạng. Hình thức tấn công này được gọi là APT( mối đe dọa liên tục nâng cao ), tin tặc trước tiên kiểm soát một máy tính nội bộ như một bước nhảy, sau đó xâm nhập toàn bộ hệ thống.
Sự kiện này đã phơi bày nhận thức an ninh yếu kém của nhân viên công ty Axie Infinity, cũng như các lỗ hổng trong hệ thống an ninh nội bộ của công ty.
Wormhole
Cầu nối Wormhole giữa các chuỗi đã bị tấn công, thiệt hại khoảng 120.000 ETH. Vấn đề nằm ở mã xác thực chữ ký của hợp đồng cốt lõi phía Solana có lỗi, cho phép kẻ tấn công giả mạo tin nhắn "người giám hộ" để đúc ETH được đóng gói bởi Wormhole.
Vấn đề này chủ yếu là do việc sử dụng một số hàm đã bị ngừng hỗ trợ. Đề xuất các nhà phát triển sử dụng phiên bản mới nhất của kho mã, để tránh các vấn đề tương tự.
Cầu Nomad
Cầu Nomad do vấn đề cấu hình trong quá trình khởi tạo, dẫn đến việc kẻ tấn công có thể tạo ra bất kỳ thông điệp nào để đánh cắp tiền từ cầu, tổng thiệt hại khoảng 190 triệu USD.
Kẻ tấn công đã lợi dụng lỗ hổng này để gửi đi gửi lại dữ liệu giao dịch được cấu trúc, rút tiền từ quỹ bị khóa của cầu nối chuỗi. Rất nhiều robot MEV cũng đã tham gia vào sự kiện "cướp tiền" này.
Trường hợp này phơi bày rằng, một khi dự án mã nguồn mở xuất hiện lỗ hổng, nó rất dễ bị kẻ tấn công lợi dụng. Các bên dự án cần xử lý vấn đề an toàn mã code một cách cẩn thận hơn.
Beanstalk
Dự án stablecoin thuật toán Beanstalk Farms đã bị tấn công bằng vay mượn chớp nhoáng, thiệt hại khoảng 1.82 triệu đô la.
Kẻ tấn công đã lợi dụng lỗ hổng trong cơ chế quản trị của dự án: không có khoảng thời gian giữa việc bỏ phiếu đề xuất và thực hiện. Kẻ tấn công đã lấy được một lượng lớn mã thông báo thông qua vay chớp nhoáng để bỏ phiếu thông qua đề xuất độc hại và thực hiện ngay lập tức.
Trường hợp này phản ánh rằng, cơ chế quản trị phi tập trung cần nhiều xem xét về an toàn hơn, như thiết lập khóa thời gian.
Wintermute
Nhà tạo lập thị trường Wintermute đã mất khoảng 160 triệu đô la do sử dụng công cụ tạo số đẹp Profanity có lỗ hổng, dẫn đến việc khóa riêng của chủ sở hữu một hợp đồng bị bẻ khóa.
Điều này nhắc nhở chúng ta rằng cần phải thực hiện đánh giá bảo mật đầy đủ khi sử dụng bất kỳ công cụ mã nguồn mở nào.
Cầu Harmony
Cầu nối đa chuỗi Horizon của Harmony bị tấn công, thiệt hại hơn 100 triệu USD. Theo báo cáo, có vẻ như là do tổ chức hacker Bắc Triều Tiên Lazarus Group thực hiện.
Điều này một lần nữa làm nổi bật rủi ro an ninh của cầu nối chuỗi chéo, cũng như mối đe dọa từ một số tổ chức hacker cấp quốc gia đối với các dự án blockchain.
Ankr
Dự án Ankr do nhân viên nội bộ phạm tội, dẫn đến việc 1 triệu tỷ aBNBc bị đúc ra một cách vô lý, gây ra hậu quả nghiêm trọng.
Điều này phản ánh rằng quản lý quyền nội bộ của dự án có vấn đề nghiêm trọng, các hoạt động quan trọng nên được thực hiện bằng cách sử dụng ví đa chữ ký và các phương pháp an toàn hơn.
Mango
Nền tảng giao dịch phi tập trung Mango đã bị tấn công thao túng thị trường, thiệt hại khoảng 1,15 triệu đô la.
Kẻ tấn công lợi dụng vấn đề thiếu thanh khoản của các đồng coin nhỏ trên nền tảng, kiếm lợi thông qua việc mở cả vị thế mua và bán cùng lúc và thao tác kéo giá. Điều này phơi bày ra những lỗ hổng trong thiết kế mô hình kinh doanh của dự án.
Những trường hợp này nhắc nhở chúng ta rằng, các dự án blockchain không chỉ cần chú ý đến an toàn mã nguồn, mà còn phải xem xét kỹ lưỡng các lỗ hổng tiềm ẩn trong mô hình kinh doanh. Người dùng tham gia vào dự án cũng cần đánh giá toàn diện các rủi ro.