Gần đây, một chuyên gia an ninh dày dạn kinh nghiệm đã chia sẻ một bài học về an ninh DeFi cho các thành viên trong cộng đồng. Chuyên gia này đã xem xét những sự kiện an ninh lớn mà ngành Web3 đã gặp phải trong năm 2022, thảo luận về nguyên nhân và biện pháp phòng ngừa cho những sự kiện này, tổng kết các lỗ hổng an ninh hợp đồng thông minh thường gặp và cung cấp các lời khuyên về an ninh cho các dự án và người dùng.
Theo thống kê, năm 2022 đã xảy ra hơn 300 sự kiện an ninh blockchain, với số tiền liên quan lên tới 4,3 tỷ USD.
Bài viết này sẽ giới thiệu chi tiết về 8 trường hợp điển hình, hầu hết các trường hợp này đều mất hơn 100 triệu USD, trong đó Ankr mặc dù tổn thất tương đối nhỏ nhưng cũng rất tiêu biểu.
Sự kiện Ronin Bridge
Vào tháng 3 năm 2022, chuỗi phụ Ronin Network của Axie Infinity đã bị xâm nhập, mất 173.6 nghìn ETH và 25.5 triệu USD.
Kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để giành được lòng tin của nhân viên, cài đặt phần mềm độc hại, và cuối cùng kiểm soát 4 trong 5 nút xác thực, thực hiện cuộc tấn công. Điều này đã phơi bày những vấn đề về nhận thức và quản lý an ninh nội bộ của công ty.
Sự kiện Wormhole
Mã xác minh hợp đồng của cầu nối Wormhole trên Solana có lỗ hổng, dẫn đến việc kẻ tấn công giả mạo thông điệp "người giám hộ" để đúc 120.000 ETH.
Điều này chủ yếu là do việc sử dụng một số hàm đã bị loại bỏ. Khuyên các nhà phát triển nên sử dụng phiên bản mới nhất, để tránh các vấn đề tương tự.
Sự kiện Nomad Bridge
Khi khởi tạo hợp đồng Replica của cầu nối cross-chain Nomad, gốc tin cậy được đặt là 0x0 và không làm cho gốc cũ không còn hiệu lực, dẫn đến việc kẻ tấn công có thể tạo ra bất kỳ thông điệp nào để đánh cắp tiền, thiệt hại khoảng 190 triệu USD.
Trường hợp điển hình này cho thấy, vấn đề cài đặt khởi tạo có thể mang lại hậu quả nghiêm trọng. Khi phát hiện giao dịch hợp lệ có thể thực hiện lại, nhiều người tham gia đã đến để giành giật tiền, cuối cùng biến thành một "cuộc chiến giành tiền".
Sự kiện Beanstalk
Dự án stablecoin thuật toán Beanstalk đã bị tấn công cho vay chớp nhoáng, thiệt hại khoảng 1.82 triệu USD.
Kẻ tấn công lợi dụng lỗ hổng cơ chế của dự án, thông qua vay chớp nhoáng để có được một lượng lớn token, tiến hành bỏ phiếu thông qua đề xuất độc hại và ngay lập tức thực hiện. Điều này phơi bày một số vấn đề của việc quản trị phi tập trung hoàn toàn, chẳng hạn như việc xem xét đề xuất, cơ chế bỏ phiếu, thời gian khóa, v.v. cần được thiết kế cẩn thận.
Sự kiện Wintermute
Nhà tạo lập thị trường Wintermute đã sử dụng công cụ tạo số đẹp Profanity có lỗ hổng, dẫn đến việc khóa riêng của chủ hợp đồng bị bẻ khóa, tài sản bị chuyển đi.
Điều này nhắc nhở chúng ta cần đánh giá đầy đủ các rủi ro về an ninh khi sử dụng các công cụ mã nguồn mở.
Sự kiện Harmony Bridge
Cầu nối Harmony Horizon bị thiệt hại trên 100 triệu USD, nghi ngờ là do tổ chức hacker Bắc Triều Tiên thực hiện. Phương pháp tấn công có thể tương tự như sự kiện Ronin Bridge.
Sự kiện Ankr
Ankr gặp phải sự phá hoại từ nhân viên nội bộ, dẫn đến việc một lượng lớn token bị đúc và bán ra, từ đó gây ra phản ứng dây chuyền.
Điều này phơi bày ra những vấn đề nghiêm trọng trong quản lý quyền hạn nội bộ và hệ thống an ninh của dự án.
Sự kiện Mango
Kẻ tấn công đã kiếm lợi nhuận trên nền tảng hợp đồng vĩnh viễn bằng cách thao túng giá của đồng tiền nhỏ MNGO và cho vay một lượng lớn tiền.
Điều này phản ánh rằng một số mô hình kinh doanh của các dự án Tài chính phi tập trung có lỗ hổng. Các bên dự án cần phải kiểm tra đầy đủ các kịch bản cực đoan, người dùng cũng cần chú ý đến sự an toàn của vốn gốc chứ không chỉ nhìn vào lợi nhuận.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Tổng quan về tổn thất lớn trong DeFi năm 2022: Phân tích 8 sự kiện an ninh và gợi ý phòng ngừa
Tổng quan về các sự kiện an ninh DeFi năm 2022
Tác giả: Một chuyên gia bảo mật Web3
Gần đây, một chuyên gia an ninh dày dạn kinh nghiệm đã chia sẻ một bài học về an ninh DeFi cho các thành viên trong cộng đồng. Chuyên gia này đã xem xét những sự kiện an ninh lớn mà ngành Web3 đã gặp phải trong năm 2022, thảo luận về nguyên nhân và biện pháp phòng ngừa cho những sự kiện này, tổng kết các lỗ hổng an ninh hợp đồng thông minh thường gặp và cung cấp các lời khuyên về an ninh cho các dự án và người dùng.
Theo thống kê, năm 2022 đã xảy ra hơn 300 sự kiện an ninh blockchain, với số tiền liên quan lên tới 4,3 tỷ USD.
Bài viết này sẽ giới thiệu chi tiết về 8 trường hợp điển hình, hầu hết các trường hợp này đều mất hơn 100 triệu USD, trong đó Ankr mặc dù tổn thất tương đối nhỏ nhưng cũng rất tiêu biểu.
Sự kiện Ronin Bridge
Vào tháng 3 năm 2022, chuỗi phụ Ronin Network của Axie Infinity đã bị xâm nhập, mất 173.6 nghìn ETH và 25.5 triệu USD.
Kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để giành được lòng tin của nhân viên, cài đặt phần mềm độc hại, và cuối cùng kiểm soát 4 trong 5 nút xác thực, thực hiện cuộc tấn công. Điều này đã phơi bày những vấn đề về nhận thức và quản lý an ninh nội bộ của công ty.
Sự kiện Wormhole
Mã xác minh hợp đồng của cầu nối Wormhole trên Solana có lỗ hổng, dẫn đến việc kẻ tấn công giả mạo thông điệp "người giám hộ" để đúc 120.000 ETH.
Điều này chủ yếu là do việc sử dụng một số hàm đã bị loại bỏ. Khuyên các nhà phát triển nên sử dụng phiên bản mới nhất, để tránh các vấn đề tương tự.
Sự kiện Nomad Bridge
Khi khởi tạo hợp đồng Replica của cầu nối cross-chain Nomad, gốc tin cậy được đặt là 0x0 và không làm cho gốc cũ không còn hiệu lực, dẫn đến việc kẻ tấn công có thể tạo ra bất kỳ thông điệp nào để đánh cắp tiền, thiệt hại khoảng 190 triệu USD.
Trường hợp điển hình này cho thấy, vấn đề cài đặt khởi tạo có thể mang lại hậu quả nghiêm trọng. Khi phát hiện giao dịch hợp lệ có thể thực hiện lại, nhiều người tham gia đã đến để giành giật tiền, cuối cùng biến thành một "cuộc chiến giành tiền".
Sự kiện Beanstalk
Dự án stablecoin thuật toán Beanstalk đã bị tấn công cho vay chớp nhoáng, thiệt hại khoảng 1.82 triệu USD.
Kẻ tấn công lợi dụng lỗ hổng cơ chế của dự án, thông qua vay chớp nhoáng để có được một lượng lớn token, tiến hành bỏ phiếu thông qua đề xuất độc hại và ngay lập tức thực hiện. Điều này phơi bày một số vấn đề của việc quản trị phi tập trung hoàn toàn, chẳng hạn như việc xem xét đề xuất, cơ chế bỏ phiếu, thời gian khóa, v.v. cần được thiết kế cẩn thận.
Sự kiện Wintermute
Nhà tạo lập thị trường Wintermute đã sử dụng công cụ tạo số đẹp Profanity có lỗ hổng, dẫn đến việc khóa riêng của chủ hợp đồng bị bẻ khóa, tài sản bị chuyển đi.
Điều này nhắc nhở chúng ta cần đánh giá đầy đủ các rủi ro về an ninh khi sử dụng các công cụ mã nguồn mở.
Sự kiện Harmony Bridge
Cầu nối Harmony Horizon bị thiệt hại trên 100 triệu USD, nghi ngờ là do tổ chức hacker Bắc Triều Tiên thực hiện. Phương pháp tấn công có thể tương tự như sự kiện Ronin Bridge.
Sự kiện Ankr
Ankr gặp phải sự phá hoại từ nhân viên nội bộ, dẫn đến việc một lượng lớn token bị đúc và bán ra, từ đó gây ra phản ứng dây chuyền.
Điều này phơi bày ra những vấn đề nghiêm trọng trong quản lý quyền hạn nội bộ và hệ thống an ninh của dự án.
Sự kiện Mango
Kẻ tấn công đã kiếm lợi nhuận trên nền tảng hợp đồng vĩnh viễn bằng cách thao túng giá của đồng tiền nhỏ MNGO và cho vay một lượng lớn tiền.
Điều này phản ánh rằng một số mô hình kinh doanh của các dự án Tài chính phi tập trung có lỗ hổng. Các bên dự án cần phải kiểm tra đầy đủ các kịch bản cực đoan, người dùng cũng cần chú ý đến sự an toàn của vốn gốc chứ không chỉ nhìn vào lợi nhuận.