- Chủ đề
20k Phổ biến
5k Phổ biến
14k Phổ biến
4k Phổ biến
5k Phổ biến
9k Phổ biến
11k Phổ biến
44k Phổ biến
151k Phổ biến
1797k Phổ biến
- Ghim
20k Phổ biến
5k Phổ biến
14k Phổ biến
4k Phổ biến
5k Phổ biến
9k Phổ biến
11k Phổ biến
44k Phổ biến
151k Phổ biến
1797k Phổ biến
2022 năm Tài chính phi tập trung tám sự kiện an toàn lớn: tổn thất hơn 4,3 tỷ USD
2022 năm Tài chính phi tập trung sự kiện an toàn hồi tưởng
Tác giả: Một chuyên gia an ninh
Gần đây, một chuyên gia an ninh kỳ cựu đã chia sẻ một bài học về an toàn DeFi cho các thành viên trong cộng đồng. Ông đã xem xét các sự kiện an ninh lớn mà ngành Web3 đã trải qua trong hơn một năm qua, thảo luận về nguyên nhân và biện pháp phòng ngừa của những sự kiện này, tóm tắt các lỗ hổng an ninh phổ biến trong hợp đồng thông minh và đưa ra một số lời khuyên về an toàn. Bài viết này đã tổng hợp nội dung chia sẻ của ông để các tín đồ DeFi tham khảo.
Theo thống kê, năm 2022 đã xảy ra hơn 300 sự kiện an ninh blockchain, tổng số tiền liên quan đạt 4,3 tỷ USD.
Dưới đây là phân tích chi tiết của 8 trường hợp điển hình, hầu hết các trường hợp này có số tiền thiệt hại vượt quá 100 triệu USD.
Ronin Bridge
Tổng kết sự kiện:
Cuộc tấn công này thuộc về mối đe dọa liên tục cao cấp APT( điển hình ). Nhóm hacker đã sử dụng các phương pháp như kỹ thuật xã hội, trước tiên kiểm soát một máy tính trong tổ chức mục tiêu làm bàn đạp, sau đó thâm nhập sâu hơn, cuối cùng đạt được mục tiêu tấn công.
Sự kiện đã phơi bày ra nhận thức an ninh của nhân viên công ty còn yếu, hệ thống an ninh nội bộ có vấn đề.
Wormhole
Tổng quan sự kiện:
Wormhole gặp phải vấn đề chủ yếu ở cấp độ mã, đã sử dụng một số hàm đã bị loại bỏ. Đề nghị các nhà phát triển sử dụng phiên bản mới nhất, tránh các vấn đề tương tự.
Cầu Nomad
Tổng quan sự kiện:
Đây là một trường hợp điển hình. Vấn đề trong việc thiết lập khởi tạo đã dẫn đến việc giao dịch hợp lệ có thể được thực hiện nhiều lần. Sau khi phát hiện ra, các robot MEV và những người khác đã phát tán nhiều giao dịch tấn công, gây ra sự kiện chiếm đoạt tài sản.
Tính năng mã nguồn mở của hệ sinh thái hợp đồng thông minh khiến cho hacker dễ dàng phân tích và phát hiện lỗ hổng. Một khi dự án xuất hiện lỗ hổng, cơ bản là đã tuyên bố thất bại.
Beanstalk
Tổng quan sự kiện:
Quá trình tấn công:
Trường hợp này đã phơi bày những rủi ro tiềm ẩn của cơ chế quản trị hoàn toàn phi tập trung. Đề nghị dự án thiết lập cơ chế xem xét đề xuất, ngưỡng bỏ phiếu và các biện pháp an toàn như khóa thời gian.
Wintermute
Tổng quan sự kiện:
Ngày 21 tháng 9 năm 2022, Wintermute xác nhận đã bị tấn công bởi hacker. Họ đã sử dụng công cụ Profanity để tạo địa chỉ ví đẹp nhằm tối ưu hóa chi phí giao dịch. Mặc dù đã biết đến lỗ hổng của Profanity và đã nhanh chóng ngừng sử dụng khóa cũ, nhưng do lỗi nội bộ, quyền ký của địa chỉ bị ảnh hưởng không được xóa hoàn toàn, dẫn đến việc tiền bị đánh cắp.
Khi sử dụng các công cụ mã nguồn mở, cần đánh giá đầy đủ các rủi ro về an ninh. Đặc biệt là đối với các công cụ liên quan đến quản lý khóa, cần phải cẩn thận hơn.
Harmony Bridge
Tổng kết sự kiện:
Nếu đúng là do tổ chức hacker Bắc Triều Tiên thực hiện, phương pháp tấn công có thể tương tự như sự kiện Ronin Bridge. Trong những năm gần đây, các hoạt động tấn công của tổ chức hacker Bắc Triều Tiên nhắm vào ngành công nghiệp tiền điện tử rất sôi nổi.
Ankr
Tổng kết sự kiện:
Cuộc điều tra tiếp theo cho thấy, sự kiện do một nhân viên đã nghỉ việc gây ra. Các vấn đề được phơi bày bao gồm:
Mango
Tổng quan sự kiện:
Điều này vừa có thể coi là sự kiện an ninh, vừa có thể coi là hành vi chênh lệch giá. Vấn đề chính nằm ở lỗ hổng mô hình kinh doanh, giá của các đồng tiền nhỏ dễ bị thao túng, dẫn đến khó khăn trong quản lý vị thế của nền tảng.
Nhà phát triển dự án nên xem xét đầy đủ các kịch bản cực đoan để tiến hành thử nghiệm. Người dùng tham gia vào dự án cũng cần đánh giá toàn diện rủi ro, không chỉ chú trọng vào lợi nhuận.