Blockchain bảo mật tài sản: từ những vụ trộm lớn nhìn vào bảo vệ tài sản cá nhân
Với sự trỗi dậy của các sản phẩm trên chuỗi như DeFi và NFT, tài sản của người dùng dần chuyển từ các kênh tập trung sang ví phi tập trung, cầu nối đa chuỗi và các sản phẩm cho vay. Tuy nhiên, các sự cố bị đánh cắp tài sản và dự án trên chuỗi thường xuyên xảy ra, khiến cho Blockchain thường bị chế giễu là "máy rút tiền" của hacker. Những vụ trộm này vừa do lỗ hổng mã gây ra, vừa do các yếu tố con người.
Wintermute gặp vụ trộm 160 triệu USD
Vào ngày 20 tháng 9, một nhà tạo lập thị trường tiền điện tử đã gặp phải vụ trộm tài sản trị giá 160 triệu đô la. Người sáng lập công ty sau đó cho biết, các dịch vụ tài chính phi tập trung và giao dịch OTC của công ty không bị ảnh hưởng, và khả năng thanh toán vẫn gấp đôi vốn cổ phần còn lại. Trong số 90 tài sản bị đánh cắp, chỉ có hai tài sản có giá trị danh nghĩa vượt quá 1 triệu đô la, vì vậy khó có khả năng gây ra sự bán tháo quy mô lớn.
Công ty bảo mật Blockchain nhanh chóng xác định địa chỉ của hacker, phát hiện nguồn tiền của họ bao gồm một số công cụ trộn tiền ẩn danh và các hoạt động rút tiền từ sàn giao dịch lớn. Khoảng 73% tài sản bị đánh cắp là stablecoin, 8% là WBTC, 6% là ETH. Kẻ tấn công đã gửi 114 triệu USD vào một sàn giao dịch phi tập trung để cung cấp tính thanh khoản.
Phân tích chuyên môn chỉ ra rằng vụ trộm lần này có thể xuất phát từ việc công ty bị nạn đã sử dụng công cụ tạo ví số đẹp có lỗ hổng. Người sáng lập công ty thừa nhận rằng họ thực sự đã sử dụng công cụ này và các công cụ nội bộ để tạo địa chỉ ví vào tháng 6, với mục đích tối ưu hóa phí giao dịch. Mặc dù đã thực hiện các biện pháp sau khi biết công cụ này có lỗ hổng, nhưng do sai sót trong hoạt động nội bộ, họ đã không thể hoàn toàn xóa bỏ các địa chỉ bị ảnh hưởng.
Để thu hồi số tiền bị đánh cắp, công ty cho biết sẵn sàng cung cấp 10% tiền thưởng cho hacker, tương đương 16 triệu USD. Mặc dù sự cố này do lỗi của nhân viên nội bộ gây ra, công ty cho biết sẽ không sa thải nhân viên, thay đổi chiến lược, huy động thêm vốn hoặc ngừng hoạt động DeFi.
Tuy nhiên, dữ liệu trên chuỗi cho thấy công ty có khoản nợ DeFi đối với nhiều đối tác giao dịch vượt quá 200 triệu USD, bao gồm một khoản vay USDT 92 triệu USD sẽ đáo hạn vào tháng 10. Nếu số tiền bị đánh cắp không thể được thu hồi kịp thời, công ty có thể phải đối mặt với khủng hoảng nợ.
Vụ trộm 20 triệu token OP trước đây
Đây không phải là lần đầu tiên công ty này chịu tổn thất tài sản do yếu tố con người. Vào tháng 6 năm 2022, khi cung cấp dịch vụ thanh khoản cho một dự án Layer 2, công ty đã bị mất 20 triệu mã thông báo do lỗi thao tác.
Nguyên nhân sự kiện là công ty đã cung cấp địa chỉ đa ký trên mạng chính Ethereum, chứ không phải địa chỉ trên mạng Layer 2. Do tính chất của hợp đồng đa ký, công ty không thể truy cập trực tiếp vào token trên Layer 2. Khi công ty cố gắng khắc phục vấn đề này, kẻ tấn công đã đi trước một bước triển khai hợp đồng độc hại và kiểm soát những token này.
May mắn là hacker cuối cùng đã trả lại hầu hết các token bị đánh cắp, công ty cũng hứa sẽ bồi thường cho những thiệt hại còn lại.
Hướng dẫn bảo vệ tài sản cá nhân
Xem xét việc các tổ chức thường xuyên gây ra tổn thất lớn do lỗi của con người, người dùng cá nhân càng nên thận trọng bảo vệ tài sản của mình. Dưới đây là một vài gợi ý:
Tránh sử dụng công cụ bên thứ ba để tạo ví, hãy kiên trì sử dụng ví mã hóa gốc. Công cụ bên thứ ba có thể tiềm ẩn rủi ro về bảo mật, dễ bị giám sát hoặc lợi dụng.
Sử dụng chữ ký đa cho ví tài sản chính. Mặc dù có thể không phù hợp với giao dịch tần suất cao, nhưng đối với hầu hết người dùng, chữ ký đa có thể giảm hiệu quả rủi ro tài sản bị đánh cắp.
Không sao chép và dán để lưu trữ khóa riêng. Nhiều thiết bị và ứng dụng có thể có quyền truy cập vào nội dung clipboard, và mạng không dây cũng tiềm ẩn rủi ro về bảo mật. Ngay cả khi tạm thời an toàn, nó cũng có thể bị hacker theo dõi chờ thời cơ.
Kiểm tra kỹ lưỡng hợp đồng và tài sản được ủy quyền khi thực hiện các thao tác trên Blockchain. Xác nhận tính xác thực của tên miền website và địa chỉ hợp đồng thông minh, ngăn chặn việc ủy quyền cho hợp đồng độc hại.
Hạn chế số lượng tài sản được ủy quyền và kịp thời thu hồi những ủy quyền không cần thiết. Cố gắng ủy quyền theo nhu cầu, ngay sau khi sử dụng thì thu hồi ngay để giảm thiểu rủi ro tiềm ẩn. Có thể quản lý ủy quyền thông qua công cụ kiểm tra ủy quyền của trình duyệt khối.
Trong thế giới Blockchain, an ninh là vô cùng quan trọng. Tài sản bị đánh cắp rất khó để lấy lại và thường không được pháp luật bảo vệ, vì vậy người dùng khi thực hiện các thao tác trên chuỗi phải luôn cảnh giác, thực hiện mọi biện pháp có thể để bảo vệ bảo mật tài sản của mình.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
17 thích
Phần thưởng
17
5
Đăng lại
Chia sẻ
Bình luận
0/400
GateUser-44a00d6c
· 8giờ trước
Thật không hiểu sao còn dám ném tiền vào on-chain.
Xem bản gốcTrả lời0
TokenTherapist
· 08-10 16:44
韭当韭 chơi đùa với mọi người cũng khá vui vẻ
Xem bản gốcTrả lời0
DegenDreamer
· 08-10 16:27
Người đầu tiên cướp ngân hàng chính là ngân hàng.
Xem bản gốcTrả lời0
digital_archaeologist
· 08-10 16:24
Chỉ có từng này tiền... Hacker đều kém như vậy rồi.
Xem bản gốcTrả lời0
HodlNerd
· 08-10 16:20
thú vị làm sao mà điều này hoàn toàn phù hợp với lý thuyết cân bằng Nash... các hacker tối ưu hóa để đạt được lợi nhuận tối đa so với rủi ro bị phát hiện, thực sự có thể dự đoán được về mặt thống kê.
Blockchain an ninh cảnh báo: từ các vụ trộm lớn nhìn nhận chiến lược bảo vệ tài sản cá nhân
Blockchain bảo mật tài sản: từ những vụ trộm lớn nhìn vào bảo vệ tài sản cá nhân
Với sự trỗi dậy của các sản phẩm trên chuỗi như DeFi và NFT, tài sản của người dùng dần chuyển từ các kênh tập trung sang ví phi tập trung, cầu nối đa chuỗi và các sản phẩm cho vay. Tuy nhiên, các sự cố bị đánh cắp tài sản và dự án trên chuỗi thường xuyên xảy ra, khiến cho Blockchain thường bị chế giễu là "máy rút tiền" của hacker. Những vụ trộm này vừa do lỗ hổng mã gây ra, vừa do các yếu tố con người.
Wintermute gặp vụ trộm 160 triệu USD
Vào ngày 20 tháng 9, một nhà tạo lập thị trường tiền điện tử đã gặp phải vụ trộm tài sản trị giá 160 triệu đô la. Người sáng lập công ty sau đó cho biết, các dịch vụ tài chính phi tập trung và giao dịch OTC của công ty không bị ảnh hưởng, và khả năng thanh toán vẫn gấp đôi vốn cổ phần còn lại. Trong số 90 tài sản bị đánh cắp, chỉ có hai tài sản có giá trị danh nghĩa vượt quá 1 triệu đô la, vì vậy khó có khả năng gây ra sự bán tháo quy mô lớn.
Công ty bảo mật Blockchain nhanh chóng xác định địa chỉ của hacker, phát hiện nguồn tiền của họ bao gồm một số công cụ trộn tiền ẩn danh và các hoạt động rút tiền từ sàn giao dịch lớn. Khoảng 73% tài sản bị đánh cắp là stablecoin, 8% là WBTC, 6% là ETH. Kẻ tấn công đã gửi 114 triệu USD vào một sàn giao dịch phi tập trung để cung cấp tính thanh khoản.
Phân tích chuyên môn chỉ ra rằng vụ trộm lần này có thể xuất phát từ việc công ty bị nạn đã sử dụng công cụ tạo ví số đẹp có lỗ hổng. Người sáng lập công ty thừa nhận rằng họ thực sự đã sử dụng công cụ này và các công cụ nội bộ để tạo địa chỉ ví vào tháng 6, với mục đích tối ưu hóa phí giao dịch. Mặc dù đã thực hiện các biện pháp sau khi biết công cụ này có lỗ hổng, nhưng do sai sót trong hoạt động nội bộ, họ đã không thể hoàn toàn xóa bỏ các địa chỉ bị ảnh hưởng.
Để thu hồi số tiền bị đánh cắp, công ty cho biết sẵn sàng cung cấp 10% tiền thưởng cho hacker, tương đương 16 triệu USD. Mặc dù sự cố này do lỗi của nhân viên nội bộ gây ra, công ty cho biết sẽ không sa thải nhân viên, thay đổi chiến lược, huy động thêm vốn hoặc ngừng hoạt động DeFi.
Tuy nhiên, dữ liệu trên chuỗi cho thấy công ty có khoản nợ DeFi đối với nhiều đối tác giao dịch vượt quá 200 triệu USD, bao gồm một khoản vay USDT 92 triệu USD sẽ đáo hạn vào tháng 10. Nếu số tiền bị đánh cắp không thể được thu hồi kịp thời, công ty có thể phải đối mặt với khủng hoảng nợ.
Vụ trộm 20 triệu token OP trước đây
Đây không phải là lần đầu tiên công ty này chịu tổn thất tài sản do yếu tố con người. Vào tháng 6 năm 2022, khi cung cấp dịch vụ thanh khoản cho một dự án Layer 2, công ty đã bị mất 20 triệu mã thông báo do lỗi thao tác.
Nguyên nhân sự kiện là công ty đã cung cấp địa chỉ đa ký trên mạng chính Ethereum, chứ không phải địa chỉ trên mạng Layer 2. Do tính chất của hợp đồng đa ký, công ty không thể truy cập trực tiếp vào token trên Layer 2. Khi công ty cố gắng khắc phục vấn đề này, kẻ tấn công đã đi trước một bước triển khai hợp đồng độc hại và kiểm soát những token này.
May mắn là hacker cuối cùng đã trả lại hầu hết các token bị đánh cắp, công ty cũng hứa sẽ bồi thường cho những thiệt hại còn lại.
Hướng dẫn bảo vệ tài sản cá nhân
Xem xét việc các tổ chức thường xuyên gây ra tổn thất lớn do lỗi của con người, người dùng cá nhân càng nên thận trọng bảo vệ tài sản của mình. Dưới đây là một vài gợi ý:
Tránh sử dụng công cụ bên thứ ba để tạo ví, hãy kiên trì sử dụng ví mã hóa gốc. Công cụ bên thứ ba có thể tiềm ẩn rủi ro về bảo mật, dễ bị giám sát hoặc lợi dụng.
Sử dụng chữ ký đa cho ví tài sản chính. Mặc dù có thể không phù hợp với giao dịch tần suất cao, nhưng đối với hầu hết người dùng, chữ ký đa có thể giảm hiệu quả rủi ro tài sản bị đánh cắp.
Không sao chép và dán để lưu trữ khóa riêng. Nhiều thiết bị và ứng dụng có thể có quyền truy cập vào nội dung clipboard, và mạng không dây cũng tiềm ẩn rủi ro về bảo mật. Ngay cả khi tạm thời an toàn, nó cũng có thể bị hacker theo dõi chờ thời cơ.
Kiểm tra kỹ lưỡng hợp đồng và tài sản được ủy quyền khi thực hiện các thao tác trên Blockchain. Xác nhận tính xác thực của tên miền website và địa chỉ hợp đồng thông minh, ngăn chặn việc ủy quyền cho hợp đồng độc hại.
Hạn chế số lượng tài sản được ủy quyền và kịp thời thu hồi những ủy quyền không cần thiết. Cố gắng ủy quyền theo nhu cầu, ngay sau khi sử dụng thì thu hồi ngay để giảm thiểu rủi ro tiềm ẩn. Có thể quản lý ủy quyền thông qua công cụ kiểm tra ủy quyền của trình duyệt khối.
Trong thế giới Blockchain, an ninh là vô cùng quan trọng. Tài sản bị đánh cắp rất khó để lấy lại và thường không được pháp luật bảo vệ, vì vậy người dùng khi thực hiện các thao tác trên chuỗi phải luôn cảnh giác, thực hiện mọi biện pháp có thể để bảo vệ bảo mật tài sản của mình.