Tài chính phi tập trung An toàn sự kiện hồi cứu: Phân tích các trường hợp quan trọng năm 2022
Năm 2022, ngành công nghiệp blockchain đã xảy ra hơn 300 sự kiện an ninh, với số tiền lên tới 4,3 tỷ USD. Bài viết này sẽ phân tích chi tiết 8 trường hợp điển hình, hầu hết các trường hợp này liên quan đến khoản lỗ trên 100 triệu USD.
Sự kiện Ronin Bridge
Ngày 23 tháng 3 năm 2022, chuỗi phụ Ronin Network của Axie Infinity đã bị xâm phạm, thiệt hại 173.600 ETH và 25,5 triệu USD. Theo báo cáo, tổ chức tin tặc Triều Tiên Lazarus có liên quan đến sự kiện này. Những kẻ tấn công đã thâm nhập vào hệ thống thông qua kỹ thuật xã hội, cuối cùng kiểm soát được 5 trong số 9 nút xác thực, thực hiện thành công cuộc tấn công.
Sự kiện lần này đã phơi bày ra rằng ý thức an toàn của nhân viên trong công ty còn yếu kém và hệ thống an ninh nội bộ còn tồn tại lỗ hổng. Nó cũng cho thấy rằng các tổ chức hacker truyền thống và các thế lực cấp quốc gia đang dần dần chuyển đổi mục tiêu sang các dự án blockchain, để trực tiếp thu lợi kinh tế.
Sự kiện Wormhole
Hợp đồng lõi ở phía Solana của cầu nối Wormhole có lỗi xác thực chữ ký, cho phép kẻ tấn công giả mạo tin nhắn "người giám hộ" để đúc ETH được đóng gói qua Wormhole, thiệt hại khoảng 120.000 ETH.
Vấn đề này chủ yếu nằm ở cấp độ mã, sử dụng một số hàm đã bị loại bỏ. Các nhà phát triển nên kịp thời cập nhật sử dụng phiên bản mới nhất, tránh các vấn đề tương tự.
Sự kiện Nomad Bridge
Khi khởi tạo hợp đồng Replica của cầu nối đa chuỗi Nomad, gốc tin cậy được thiết lập thành 0x0, và khi sửa đổi gốc tin cậy không làm cho gốc cũ mất hiệu lực, dẫn đến việc kẻ tấn công có thể tạo ra bất kỳ tin nhắn nào để đánh cắp tiền, thiệt hại lên đến hơn 190 triệu USD.
Đây là một vấn đề cài đặt khởi tạo điển hình. Hacker đã trích xuất tiền bị khóa bằng cách phát lại giao dịch hợp lệ. Nhiều robot MEV tham gia vào, khiến sự kiện này biến thành một cuộc "cướp tiền".
Điều này cũng phản ánh hiệu ứng hai mặt của mã nguồn mở - vừa dễ dàng kiểm tra, vừa thuận tiện cho hacker phân tích. Một khi phát hiện ra lỗ hổng, dự án có thể phải đối mặt với cú đánh chí mạng.
Sự kiện Beanstalk
Dự án stablecoin thuật toán Beanstalk đã bị tấn công qua vay mượn chớp nhoáng, thiệt hại khoảng 1,82 triệu đô la. Kẻ tấn công đã sử dụng vay mượn chớp nhoáng để thu được một lượng lớn token, bỏ phiếu thông qua đề xuất độc hại và ngay lập tức thực hiện việc thu lợi.
Trường hợp này đã phơi bày những rủi ro của việc quản trị phi tập trung. Dự án cần xem xét việc thiết lập cơ chế kiểm tra đề xuất, phân bổ trọng số biểu quyết và các biện pháp an ninh như khóa thời gian.
Sự kiện Wintermute
Nhà tạo lập thị trường Wintermute đã sử dụng công cụ tạo số đẹp có lỗ hổng để tạo địa chỉ hợp đồng, dẫn đến việc khóa riêng của chủ hợp đồng bị khai thác, và tiền bị chuyển đi.
Điều này nhắc nhở chúng ta cần cẩn thận khi sử dụng các công cụ mã nguồn mở, tốt nhất là nên thực hiện đánh giá an ninh đầy đủ.
Sự kiện Harmony Bridge
Cầu nối đa chuỗi Harmony Horizon đã mất hơn 100 triệu đô la, được cho là do rò rỉ khóa cá nhân. Phân tích cho thấy điều này có thể cũng là do tổ chức hacker Triều Tiên thực hiện.
Các hacker Triều Tiên gần đây thường xuyên tấn công vào ngành công nghiệp tiền điện tử, nhiều công ty đã từng bị các cuộc tấn công lừa đảo của họ.
Sự kiện Ankr
Hợp đồng staking của Ankr bị các nhân viên trước đây lợi dụng khóa riêng để kiểm soát, dẫn đến việc một lượng lớn token bị đúc một cách độc hại. Điều này đã phơi bày ra những vấn đề nghiêm trọng trong quản lý quyền hạn và hệ thống an ninh nội bộ của dự án.
Sự kiện Mango
Kẻ tấn công đã lợi dụng lỗ hổng trong mô hình kinh doanh của nền tảng giao dịch Mango, kiếm lợi hơn 100 triệu USD bằng cách thao túng giá của các token có giá trị thị trường nhỏ.
Điều này nhắc nhở các bên dự án cần xem xét đầy đủ các kịch bản cực đoan để tiến hành kiểm tra. Người dùng tham gia vào dự án cũng cần chú ý đến việc mô hình kinh doanh có tồn tại lỗ hổng có thể bị lợi dụng hay không.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
12 thích
Phần thưởng
12
4
Chia sẻ
Bình luận
0/400
ForkItAllDay
· 20giờ trước
Thua lỗ lớn... Dù sao cũng không phải việc của tôi
Xem bản gốcTrả lời0
SignatureVerifier
· 20giờ trước
về mặt kỹ thuật, 5/9 node chỉ là kiến trúc xác thực lỏng lẻo... smh
Xem bản gốcTrả lời0
just_another_fish
· 20giờ trước
Tiền đã bị trộm hết rồi, ai dám chơi nữa.
Xem bản gốcTrả lời0
CryptoHistoryClass
· 20giờ trước
*kiểm tra nhật ký lịch sử* thêm 4.3 tỷ đô la đã biến mất... giống như mt.gox năm 2014 fr fr
Tổng quan về sự kiện an ninh DeFi năm 2022: Phân tích sâu 8 trường hợp điển hình
Tài chính phi tập trung An toàn sự kiện hồi cứu: Phân tích các trường hợp quan trọng năm 2022
Năm 2022, ngành công nghiệp blockchain đã xảy ra hơn 300 sự kiện an ninh, với số tiền lên tới 4,3 tỷ USD. Bài viết này sẽ phân tích chi tiết 8 trường hợp điển hình, hầu hết các trường hợp này liên quan đến khoản lỗ trên 100 triệu USD.
Sự kiện Ronin Bridge
Ngày 23 tháng 3 năm 2022, chuỗi phụ Ronin Network của Axie Infinity đã bị xâm phạm, thiệt hại 173.600 ETH và 25,5 triệu USD. Theo báo cáo, tổ chức tin tặc Triều Tiên Lazarus có liên quan đến sự kiện này. Những kẻ tấn công đã thâm nhập vào hệ thống thông qua kỹ thuật xã hội, cuối cùng kiểm soát được 5 trong số 9 nút xác thực, thực hiện thành công cuộc tấn công.
Sự kiện lần này đã phơi bày ra rằng ý thức an toàn của nhân viên trong công ty còn yếu kém và hệ thống an ninh nội bộ còn tồn tại lỗ hổng. Nó cũng cho thấy rằng các tổ chức hacker truyền thống và các thế lực cấp quốc gia đang dần dần chuyển đổi mục tiêu sang các dự án blockchain, để trực tiếp thu lợi kinh tế.
Sự kiện Wormhole
Hợp đồng lõi ở phía Solana của cầu nối Wormhole có lỗi xác thực chữ ký, cho phép kẻ tấn công giả mạo tin nhắn "người giám hộ" để đúc ETH được đóng gói qua Wormhole, thiệt hại khoảng 120.000 ETH.
Vấn đề này chủ yếu nằm ở cấp độ mã, sử dụng một số hàm đã bị loại bỏ. Các nhà phát triển nên kịp thời cập nhật sử dụng phiên bản mới nhất, tránh các vấn đề tương tự.
Sự kiện Nomad Bridge
Khi khởi tạo hợp đồng Replica của cầu nối đa chuỗi Nomad, gốc tin cậy được thiết lập thành 0x0, và khi sửa đổi gốc tin cậy không làm cho gốc cũ mất hiệu lực, dẫn đến việc kẻ tấn công có thể tạo ra bất kỳ tin nhắn nào để đánh cắp tiền, thiệt hại lên đến hơn 190 triệu USD.
Đây là một vấn đề cài đặt khởi tạo điển hình. Hacker đã trích xuất tiền bị khóa bằng cách phát lại giao dịch hợp lệ. Nhiều robot MEV tham gia vào, khiến sự kiện này biến thành một cuộc "cướp tiền".
Điều này cũng phản ánh hiệu ứng hai mặt của mã nguồn mở - vừa dễ dàng kiểm tra, vừa thuận tiện cho hacker phân tích. Một khi phát hiện ra lỗ hổng, dự án có thể phải đối mặt với cú đánh chí mạng.
Sự kiện Beanstalk
Dự án stablecoin thuật toán Beanstalk đã bị tấn công qua vay mượn chớp nhoáng, thiệt hại khoảng 1,82 triệu đô la. Kẻ tấn công đã sử dụng vay mượn chớp nhoáng để thu được một lượng lớn token, bỏ phiếu thông qua đề xuất độc hại và ngay lập tức thực hiện việc thu lợi.
Trường hợp này đã phơi bày những rủi ro của việc quản trị phi tập trung. Dự án cần xem xét việc thiết lập cơ chế kiểm tra đề xuất, phân bổ trọng số biểu quyết và các biện pháp an ninh như khóa thời gian.
Sự kiện Wintermute
Nhà tạo lập thị trường Wintermute đã sử dụng công cụ tạo số đẹp có lỗ hổng để tạo địa chỉ hợp đồng, dẫn đến việc khóa riêng của chủ hợp đồng bị khai thác, và tiền bị chuyển đi.
Điều này nhắc nhở chúng ta cần cẩn thận khi sử dụng các công cụ mã nguồn mở, tốt nhất là nên thực hiện đánh giá an ninh đầy đủ.
Sự kiện Harmony Bridge
Cầu nối đa chuỗi Harmony Horizon đã mất hơn 100 triệu đô la, được cho là do rò rỉ khóa cá nhân. Phân tích cho thấy điều này có thể cũng là do tổ chức hacker Triều Tiên thực hiện.
Các hacker Triều Tiên gần đây thường xuyên tấn công vào ngành công nghiệp tiền điện tử, nhiều công ty đã từng bị các cuộc tấn công lừa đảo của họ.
Sự kiện Ankr
Hợp đồng staking của Ankr bị các nhân viên trước đây lợi dụng khóa riêng để kiểm soát, dẫn đến việc một lượng lớn token bị đúc một cách độc hại. Điều này đã phơi bày ra những vấn đề nghiêm trọng trong quản lý quyền hạn và hệ thống an ninh nội bộ của dự án.
Sự kiện Mango
Kẻ tấn công đã lợi dụng lỗ hổng trong mô hình kinh doanh của nền tảng giao dịch Mango, kiếm lợi hơn 100 triệu USD bằng cách thao túng giá của các token có giá trị thị trường nhỏ.
Điều này nhắc nhở các bên dự án cần xem xét đầy đủ các kịch bản cực đoan để tiến hành kiểm tra. Người dùng tham gia vào dự án cũng cần chú ý đến việc mô hình kinh doanh có tồn tại lỗ hổng có thể bị lợi dụng hay không.