Bảo mật tài sản trên chuỗi: Làm thế nào để tránh những tổn thất lớn do sai sót của con người gây ra
Với sự gia tăng của các ứng dụng blockchain như tài chính phi tập trung và NFT, tài sản của người dùng dần dần chuyển từ các nền tảng tập trung sang các dịch vụ trên chuỗi như ví phi tập trung, cầu nối chuỗi chéo và sản phẩm cho vay. Tuy nhiên, xu hướng này cũng đi kèm với sự tấn công của hacker thường xuyên và các sự kiện tài sản bị đánh cắp, khiến mạng lưới blockchain thường được gọi một cách hài hước là "máy rút tiền của hacker".
Trong số các sự kiện an ninh này, một phần đáng kể là do lỗ hổng mã gây ra, nhưng cũng không ít trường hợp do các yếu tố con người. Vào ngày 20 tháng 9, một nhà tạo lập thị trường tiền điện tử nổi tiếng đã gặp phải vụ đánh cắp 160 triệu đô la tài sản, đây là một trường hợp điển hình của sai sót do con người.
1.6 triệu đô la Mỹ thiệt hại do sai sót trong việc tối ưu hóa phí Gas
Sau sự việc, người sáng lập của nhà tạo lập thị trường này đã cho biết trên mạng xã hội rằng, hoạt động giao dịch tập trung và giao dịch OTC của công ty không bị ảnh hưởng, vốn còn lại vẫn gấp đôi so với nợ. Ông cũng nhấn mạnh rằng, tài sản của người dùng có thỏa thuận tạo lập thị trường với công ty vẫn được bảo mật. Trong số 90 loại tài sản bị tấn công, chỉ có hai loại có giá trị danh nghĩa vượt quá 1 triệu đô la, do đó khả năng xảy ra bán tháo quy mô lớn là rất thấp.
Công ty an ninh blockchain Salus Security đã nhanh chóng xác định được địa chỉ của hacker. Nguồn tiền của địa chỉ này bao gồm một công cụ trộn coin ẩn danh và nhiều giao dịch rút tiền lớn từ các nền tảng giao dịch.
Theo một nền tảng phân tích dữ liệu blockchain, khoảng 73% trong số 160 triệu đô la bị đánh cắp là stablecoin, 8% là WBTC, 6% là ETH. Kẻ tấn công đã gửi 114 triệu đô la vào một sàn giao dịch phi tập trung để cung cấp thanh khoản, trở thành nhà cung cấp thanh khoản lớn thứ ba trên nền tảng này.
Công ty an ninh Slow Mist phân tích cho rằng, lý do bị đánh cắp có thể là do sử dụng ví số đẹp được tạo ra bằng công cụ Profanity (địa chỉ bắt đầu bằng 0x0000000).
Ngày hôm sau, người sáng lập của nhà tạo lập thị trường xác nhận rằng họ đã sử dụng Profanity và các công cụ nội bộ để tạo địa chỉ ví vào tháng 6, với mục đích tối ưu hóa phí Gas chứ không phải để theo đuổi các số đẹp. Sau khi biết rằng Profanity có lỗ hổng vào tuần trước, công ty đã tăng tốc việc từ bỏ các khóa cũ, nhưng do sai sót trong thao tác nội bộ, đã gọi nhầm hàm, dẫn đến việc không thể xóa chữ ký và quyền thực thi của địa chỉ bị ảnh hưởng.
Đối với việc truy hồi tài sản bị đánh cắp, người sáng lập cho biết nếu hoàn trả toàn bộ, sẽ trả cho hacker 10%, tương đương 16 triệu đô la.
Về hoạt động tiếp theo, người sáng lập nhấn mạnh rằng mặc dù lỗ hổng này xuất phát từ sự cố do con người nội bộ, nhưng công ty sẽ không sa thải nhân viên, thay đổi chiến lược, huy động thêm vốn hoặc dừng hoạt động DeFi.
Tuy nhiên, dữ liệu trên chuỗi cho thấy công ty này có khoản nợ DeFi vượt quá 200 triệu đô la Mỹ đối với một số đối tác giao dịch. Khoản vay lớn nhất là khoản vay 92 triệu đô la Mỹ USDT sẽ đáo hạn vào ngày 15 tháng 10, bên cạnh đó còn có 75 triệu đô la và 22,4 triệu đô la nợ khác.
Nếu số tiền bị đánh cắp không thể được thu hồi kịp thời, công ty có thể đối mặt với rủi ro khủng hoảng nợ.
Lịch sử tái hiện: Đã mất 20 triệu token do lỗi của con người
Cần lưu ý rằng đây không phải là lần đầu tiên nhà tạo lập thị trường này chịu tổn thất do sai sót của con người. Vào ngày 9 tháng 6 năm nay, khi cung cấp dịch vụ thanh khoản token cho một dự án Layer 2, cũng vì sai sót trong thao tác đã dẫn đến việc 20 triệu token bị đánh cắp.
Khi đó, dự án Layer 2 đã mời nhà tạo lập thị trường này cung cấp thanh khoản cho token mới phát hành của họ. Hướng dự án đã cung cấp một khoản tặng token tạm thời 20 triệu token cho nhà tạo lập thị trường. Nhà tạo lập thị trường đã cung cấp một địa chỉ ví đa ký trên mạng Ethereum để nhận token. Sau khi thực hiện hai giao dịch thử nghiệm và nhận được xác nhận, bên dự án đã gửi số token còn lại.
Tuy nhiên, các nhà tạo lập thị trường cung cấp địa chỉ đa ký trên mạng chính Ethereum, nhưng địa chỉ này chưa được triển khai trên mạng Layer 2. Việc kiểm soát đa ký trên mạng chính không đảm bảo khả năng kiểm soát các chuỗi tương thích EVM khác, dẫn đến việc các nhà tạo lập thị trường sau đó phát hiện không thể truy cập vào những token này.
Các nhà tạo lập thị trường sau đó bắt đầu khôi phục hoạt động, cố gắng triển khai hợp đồng đa ký L1 lên cùng một địa chỉ trên L2. Nhưng trước khi quá trình này hoàn tất, kẻ tấn công đã nhanh chóng triển khai hợp đồng đa ký lên L2 và kiểm soát 20 triệu token này. Kẻ tấn công sau đó đã bán 1 triệu token.
May mắn thay, vào ngày hôm sau, hacker đã hoàn trả 17 triệu đồng token, nhà tạo lập thị trường hứa hẹn sẽ hoàn trả số còn lại là 2 triệu đồng.
Đề xuất bảo mật tài sản cá nhân
Vì các tổ chức thường xuyên gây ra thiệt hại lớn do lỗi con người, người dùng bình thường cần phải cẩn thận hơn khi bảo vệ tài sản cá nhân. Dưới đây là một số lời khuyên quan trọng:
Tránh sử dụng công cụ của bên thứ ba để tạo ví
Ngoài ví tiền điện tử gốc, không nên sử dụng các công cụ bên thứ ba khác để tạo ví. Các công cụ bên thứ ba có thể có nguy cơ giám sát hồ sơ người dùng và làm hại với chi phí thấp. Ví dụ, một nhà tổng hợp DEX từng cảnh báo rằng các địa chỉ Ethereum được tạo ra bằng Profanity có lỗ hổng bảo mật, có thể dẫn đến việc bị đánh cắp tài sản.
Cân nhắc kích hoạt chữ ký đa cho ví chính
Mặc dù chữ ký đa dạng có thể không phù hợp cho giao dịch tần suất cao, nhưng việc kích hoạt chữ ký đa dạng cho ví chính lưu trữ một lượng lớn tài sản có thể giảm thiểu rủi ro mất mát do sai sót của con người.
Chớ nên sao chép và dán để lưu trữ khóa riêng.
Sự phức tạp của khóa riêng dễ dàng khiến người dùng sử dụng cách sao chép và dán để lưu trữ. Tuy nhiên, nhiều ứng dụng hoặc plugin bên thứ ba trên thiết bị có thể có quyền truy cập vào clipboard, và độ an toàn của mạng không dây cũng khó đảm bảo. Ngay cả khi tạm thời không gặp phải cuộc tấn công, cũng có thể là hacker đang chờ đợi nhiều tài sản được chuyển vào trước khi thực hiện việc trộm cắp.
Khi thực hiện các thao tác on-chain, hãy kiểm tra cẩn thận hợp đồng và tài sản đã được ủy quyền.
Khi sử dụng sản phẩm DeFi, hãy đảm bảo xác minh tên miền của trang web và địa chỉ hợp đồng trên trình duyệt blockchain có phải là phiên bản chính thức hay không. Điều này có thể tránh việc ủy quyền cho các hợp đồng độc hại do các giao diện bị hack hoặc các trang web lừa đảo.
Kiểm soát hạn mức ủy quyền và kịp thời thu hồi các ủy quyền không cần thiết
Mặc dù việc ủy quyền không giới hạn có thể thuận tiện hơn, nhưng điều này làm tăng rủi ro tiềm ẩn. Khuyến nghị nên thiết lập hạn mức ủy quyền dựa trên nhu cầu sử dụng thực tế. Đối với các sản phẩm không còn sử dụng, nên ngay lập tức thu hồi quyền truy cập tài sản của chúng.
Các trình duyệt blockchain lớn thường cung cấp chức năng hủy quyền, người dùng có thể kiểm tra định kỳ và dọn dẹp các quyền không cần thiết.
Tài sản trên blockchain một khi bị đánh cắp thường khó phục hồi, và trong nhiều trường hợp có thể không được bảo vệ bởi pháp luật. Do đó, người dùng khi thực hiện các hoạt động on-chain phải giữ cảnh giác cao độ, thực hiện mọi biện pháp có thể để bảo vệ bảo mật tài sản của mình.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 thích
Phần thưởng
10
6
Chia sẻ
Bình luận
0/400
FlashLoanKing
· 07-24 09:41
1,6 triệu đô la Mỹ đã bay mất như vậy, thật sự là đau lòng.
Xem bản gốcTrả lời0
NotGonnaMakeIt
· 07-23 12:15
1.6 triệu mục tiêu nhỏ đã biến mất như vậy sao?
Xem bản gốcTrả lời0
MiningDisasterSurvivor
· 07-21 15:43
Vốn không có ảnh hưởng? Ai cũng nói như vậy vào năm 18.
Xem bản gốcTrả lời0
FomoAnxiety
· 07-21 15:43
giảm về 0 thì nằm phẳng, không có gì phải sợ cả
Xem bản gốcTrả lời0
retroactive_airdrop
· 07-21 15:43
Giao dịch khi bồn chồn thì thà nằm xuống treo máy nước nóng.
Tránh sai sót do con người: Cách bảo vệ bảo mật tài sản trên chuỗi
Bảo mật tài sản trên chuỗi: Làm thế nào để tránh những tổn thất lớn do sai sót của con người gây ra
Với sự gia tăng của các ứng dụng blockchain như tài chính phi tập trung và NFT, tài sản của người dùng dần dần chuyển từ các nền tảng tập trung sang các dịch vụ trên chuỗi như ví phi tập trung, cầu nối chuỗi chéo và sản phẩm cho vay. Tuy nhiên, xu hướng này cũng đi kèm với sự tấn công của hacker thường xuyên và các sự kiện tài sản bị đánh cắp, khiến mạng lưới blockchain thường được gọi một cách hài hước là "máy rút tiền của hacker".
Trong số các sự kiện an ninh này, một phần đáng kể là do lỗ hổng mã gây ra, nhưng cũng không ít trường hợp do các yếu tố con người. Vào ngày 20 tháng 9, một nhà tạo lập thị trường tiền điện tử nổi tiếng đã gặp phải vụ đánh cắp 160 triệu đô la tài sản, đây là một trường hợp điển hình của sai sót do con người.
1.6 triệu đô la Mỹ thiệt hại do sai sót trong việc tối ưu hóa phí Gas
Sau sự việc, người sáng lập của nhà tạo lập thị trường này đã cho biết trên mạng xã hội rằng, hoạt động giao dịch tập trung và giao dịch OTC của công ty không bị ảnh hưởng, vốn còn lại vẫn gấp đôi so với nợ. Ông cũng nhấn mạnh rằng, tài sản của người dùng có thỏa thuận tạo lập thị trường với công ty vẫn được bảo mật. Trong số 90 loại tài sản bị tấn công, chỉ có hai loại có giá trị danh nghĩa vượt quá 1 triệu đô la, do đó khả năng xảy ra bán tháo quy mô lớn là rất thấp.
Công ty an ninh blockchain Salus Security đã nhanh chóng xác định được địa chỉ của hacker. Nguồn tiền của địa chỉ này bao gồm một công cụ trộn coin ẩn danh và nhiều giao dịch rút tiền lớn từ các nền tảng giao dịch.
Theo một nền tảng phân tích dữ liệu blockchain, khoảng 73% trong số 160 triệu đô la bị đánh cắp là stablecoin, 8% là WBTC, 6% là ETH. Kẻ tấn công đã gửi 114 triệu đô la vào một sàn giao dịch phi tập trung để cung cấp thanh khoản, trở thành nhà cung cấp thanh khoản lớn thứ ba trên nền tảng này.
Công ty an ninh Slow Mist phân tích cho rằng, lý do bị đánh cắp có thể là do sử dụng ví số đẹp được tạo ra bằng công cụ Profanity (địa chỉ bắt đầu bằng 0x0000000).
Ngày hôm sau, người sáng lập của nhà tạo lập thị trường xác nhận rằng họ đã sử dụng Profanity và các công cụ nội bộ để tạo địa chỉ ví vào tháng 6, với mục đích tối ưu hóa phí Gas chứ không phải để theo đuổi các số đẹp. Sau khi biết rằng Profanity có lỗ hổng vào tuần trước, công ty đã tăng tốc việc từ bỏ các khóa cũ, nhưng do sai sót trong thao tác nội bộ, đã gọi nhầm hàm, dẫn đến việc không thể xóa chữ ký và quyền thực thi của địa chỉ bị ảnh hưởng.
Đối với việc truy hồi tài sản bị đánh cắp, người sáng lập cho biết nếu hoàn trả toàn bộ, sẽ trả cho hacker 10%, tương đương 16 triệu đô la.
Về hoạt động tiếp theo, người sáng lập nhấn mạnh rằng mặc dù lỗ hổng này xuất phát từ sự cố do con người nội bộ, nhưng công ty sẽ không sa thải nhân viên, thay đổi chiến lược, huy động thêm vốn hoặc dừng hoạt động DeFi.
Tuy nhiên, dữ liệu trên chuỗi cho thấy công ty này có khoản nợ DeFi vượt quá 200 triệu đô la Mỹ đối với một số đối tác giao dịch. Khoản vay lớn nhất là khoản vay 92 triệu đô la Mỹ USDT sẽ đáo hạn vào ngày 15 tháng 10, bên cạnh đó còn có 75 triệu đô la và 22,4 triệu đô la nợ khác.
Nếu số tiền bị đánh cắp không thể được thu hồi kịp thời, công ty có thể đối mặt với rủi ro khủng hoảng nợ.
Lịch sử tái hiện: Đã mất 20 triệu token do lỗi của con người
Cần lưu ý rằng đây không phải là lần đầu tiên nhà tạo lập thị trường này chịu tổn thất do sai sót của con người. Vào ngày 9 tháng 6 năm nay, khi cung cấp dịch vụ thanh khoản token cho một dự án Layer 2, cũng vì sai sót trong thao tác đã dẫn đến việc 20 triệu token bị đánh cắp.
Khi đó, dự án Layer 2 đã mời nhà tạo lập thị trường này cung cấp thanh khoản cho token mới phát hành của họ. Hướng dự án đã cung cấp một khoản tặng token tạm thời 20 triệu token cho nhà tạo lập thị trường. Nhà tạo lập thị trường đã cung cấp một địa chỉ ví đa ký trên mạng Ethereum để nhận token. Sau khi thực hiện hai giao dịch thử nghiệm và nhận được xác nhận, bên dự án đã gửi số token còn lại.
Tuy nhiên, các nhà tạo lập thị trường cung cấp địa chỉ đa ký trên mạng chính Ethereum, nhưng địa chỉ này chưa được triển khai trên mạng Layer 2. Việc kiểm soát đa ký trên mạng chính không đảm bảo khả năng kiểm soát các chuỗi tương thích EVM khác, dẫn đến việc các nhà tạo lập thị trường sau đó phát hiện không thể truy cập vào những token này.
Các nhà tạo lập thị trường sau đó bắt đầu khôi phục hoạt động, cố gắng triển khai hợp đồng đa ký L1 lên cùng một địa chỉ trên L2. Nhưng trước khi quá trình này hoàn tất, kẻ tấn công đã nhanh chóng triển khai hợp đồng đa ký lên L2 và kiểm soát 20 triệu token này. Kẻ tấn công sau đó đã bán 1 triệu token.
May mắn thay, vào ngày hôm sau, hacker đã hoàn trả 17 triệu đồng token, nhà tạo lập thị trường hứa hẹn sẽ hoàn trả số còn lại là 2 triệu đồng.
Đề xuất bảo mật tài sản cá nhân
Vì các tổ chức thường xuyên gây ra thiệt hại lớn do lỗi con người, người dùng bình thường cần phải cẩn thận hơn khi bảo vệ tài sản cá nhân. Dưới đây là một số lời khuyên quan trọng:
Ngoài ví tiền điện tử gốc, không nên sử dụng các công cụ bên thứ ba khác để tạo ví. Các công cụ bên thứ ba có thể có nguy cơ giám sát hồ sơ người dùng và làm hại với chi phí thấp. Ví dụ, một nhà tổng hợp DEX từng cảnh báo rằng các địa chỉ Ethereum được tạo ra bằng Profanity có lỗ hổng bảo mật, có thể dẫn đến việc bị đánh cắp tài sản.
Mặc dù chữ ký đa dạng có thể không phù hợp cho giao dịch tần suất cao, nhưng việc kích hoạt chữ ký đa dạng cho ví chính lưu trữ một lượng lớn tài sản có thể giảm thiểu rủi ro mất mát do sai sót của con người.
Sự phức tạp của khóa riêng dễ dàng khiến người dùng sử dụng cách sao chép và dán để lưu trữ. Tuy nhiên, nhiều ứng dụng hoặc plugin bên thứ ba trên thiết bị có thể có quyền truy cập vào clipboard, và độ an toàn của mạng không dây cũng khó đảm bảo. Ngay cả khi tạm thời không gặp phải cuộc tấn công, cũng có thể là hacker đang chờ đợi nhiều tài sản được chuyển vào trước khi thực hiện việc trộm cắp.
Khi sử dụng sản phẩm DeFi, hãy đảm bảo xác minh tên miền của trang web và địa chỉ hợp đồng trên trình duyệt blockchain có phải là phiên bản chính thức hay không. Điều này có thể tránh việc ủy quyền cho các hợp đồng độc hại do các giao diện bị hack hoặc các trang web lừa đảo.
Mặc dù việc ủy quyền không giới hạn có thể thuận tiện hơn, nhưng điều này làm tăng rủi ro tiềm ẩn. Khuyến nghị nên thiết lập hạn mức ủy quyền dựa trên nhu cầu sử dụng thực tế. Đối với các sản phẩm không còn sử dụng, nên ngay lập tức thu hồi quyền truy cập tài sản của chúng.
Các trình duyệt blockchain lớn thường cung cấp chức năng hủy quyền, người dùng có thể kiểm tra định kỳ và dọn dẹp các quyền không cần thiết.
Tài sản trên blockchain một khi bị đánh cắp thường khó phục hồi, và trong nhiều trường hợp có thể không được bảo vệ bởi pháp luật. Do đó, người dùng khi thực hiện các hoạt động on-chain phải giữ cảnh giác cao độ, thực hiện mọi biện pháp có thể để bảo vệ bảo mật tài sản của mình.