5 sự cố bảo mật liên quan đến mạng DAG—và cách tự bảo vệ mình

Đồ thị tuần hoàn có hướng (DAG) đã nổi lên như một giải pháp thay thế đầy hứa hẹn cho công nghệ blockchain. Không giống như blockchain, DAG có cấu trúc độc đáo nơi các giao dịch được liên kết theo cách trực tiếp, không tuần hoàn, với những cách mới để đạt được sự đồng thuận. Sự đổi mới này hứa hẹn tốc độ giao dịch nhanh hơn và tính phân cấp cao hơn, khiến chúng trở thành lựa chọn hấp dẫn cho những người đam mê tiền điện tử. Tuy nhiên, chúng có thể gặp phải những thách thức bảo mật riêng.

Rốt cuộc, có những chương trình thưởng lỗi là có lý do. Tuy nhiên, cho đến nay, chúng ta có thể nói rằng chưa có cấu trúc DAG nào bị hack. Mặt khác, các dịch vụ liên quan của họ, từ mạng xã hội và thậm chí cả hợp đồng thông minh, lại là một câu chuyện khác. Tội phạm mạng sẽ nhắm mục tiêu vào những điểm dễ bị tổn thương nhất và thường nằm ngoài chính DAG, nhưng dù sao cũng nhắm mục tiêu vào người dùng của nó.

Chúng tôi sẽ đi sâu vào một số cuộc tấn công liên quan đến nền tảng DAG, kể lại 5 trường hợp khi các dịch vụ liên quan của họ trở thành nạn nhân của các nỗ lực tấn công. Ngoài ra, chúng ta sẽ khám phá các chiến lược và phương pháp hay nhất để bảo vệ bản thân khỏi những mối đe dọa như vậy. Cho dù bạn là nhà đầu tư dày dạn kinh nghiệm hay người mới đến, việc hiểu rõ những thách thức này là điều cần thiết để bảo vệ tài sản kỹ thuật số của bạn trong hệ sinh thái tiền điện tử ngày càng phức tạp.

Nano + BitGrail

Năm 2018, thế giới tiền điện tử đã chứng kiến một vụ vi phạm an ninh lớn liên quan đến sàn giao dịch tiền điện tử BitGrail của Ý và tiền kỹ thuật số Nano (trước đây gọi là Raiblocks). Loại tiền tệ này sử dụng sổ cái có cấu trúc giống như DAG (chính xác hơn là mạng khối) và hệ thống đồng thuận của nó khá giống với chuỗi khối Proof-of-Stake (PoS).

Sự cố bắt đầu khi BitGrail báo cáo một lượng đáng kể mã thông báo Nano bị thiếu khỏi nền tảng của nó. Người sáng lập sàn giao dịch, Francesco Firano, tuyên bố rằng vụ hack đã dẫn đến việc đánh cắp khoảng 17 triệu mã thông báo Nano, tương đương khoảng 170 triệu USD vào thời điểm đó.

Hậu quả của vụ hack BitGrail được đánh dấu bằng tranh chấp gây tranh cãi giữa ban quản lý sàn giao dịch và nhóm phát triển Nano. Firano ban đầu cho rằng mã của Nano là nguyên nhân gây ra lỗ hổng bảo mật, đồng thời đổ lỗi cho các nhà phát triển về hành vi trộm cắp. Anh ta yêu cầu nhóm Nano nắm giữ một bản fork (bản cập nhật) gây tranh cãi (để xóa bản hack), nhưng họ đã từ chối.

Nhiều cuộc điều tra sau đó đã tiết lộ rằng các biện pháp bảo mật và kiểm soát nội bộ của BitGrail là không đầy đủ, dẫn đến việc tiền của người dùng bị xâm phạm. Thật vậy, vụ hack xảy ra đúng lúc chứng kiến giá Nano tăng lên và Firano đã che giấu rằng các vi phạm đã xảy ra kể từ năm 2017. BitGrail và Firano đã nhận được ít nhất hai vụ kiện tập thể , và cuối cùng, Firano bị phát hiện là người chịu trách nhiệm trực tiếp về vụ tấn công.

Trong trường hợp này, DAG không bị tấn công nhưng người dùng đã tin tưởng nhầm công ty. Trong các sàn giao dịch tập trung, bạn không có khóa riêng cho tiền của mình. Thay vào đó, chỉ một tài khoản có mật khẩu được cung cấp và tiền được công ty đó quản lý (kiểm soát) hoàn toàn. Nếu họ thua (hack, phá sản, v.v.), thì bạn cũng thua. Đó là lý do tại sao điều quan trọng là không sử dụng sàn giao dịch làm ví vĩnh viễn.

IOTA + Moonpay

IOTA là một nền tảng tiền điện tử sử dụng công nghệ Đồ thị không theo chu kỳ được định hướng (DAG) để cho phép giao dịch nhanh hơn và tập trung vào lĩnh vực Internet of Things (IoT). Không giống như blockchain, Tangle DAG của IOTA cho phép người dùng xác thực các giao dịch bằng cách xác nhận những giao dịch khác, nhưng có một nút điều phối cuối cùng để đạt được sự đồng thuận. Họ có ý định loại bỏ nó (từ năm 2016), nhưng trong khi đó, điều phối viên được kiểm soát bởi IOTA Foundation và mạng lưới được tập trung hóa.

Điều đó đã được chứng minh rõ ràng vào tháng 2 năm 2020, khi toàn bộ mạng lưới bị điều phối viên đóng băng sau một vụ vi phạm lớn. Vào thời điểm đó, tin tặc đã đánh cắp trực tiếp 8,5 triệu token gốc MIOTA của IOTA từ người dùng — khoảng 2 triệu USD vào thời điểm đó. IOTA Ví Trinity bị vi phạm bảo mật do sự phụ thuộc của bên thứ ba từ Moonpay (dịch vụ thanh toán tiền điện tử), đã xâm phạm hạt giống ví của người dùng bằng cách tải các phiên bản SDK của Moonpay bất hợp pháp từ máy chủ của Moonpay.

Tội phạm mạng đang chờ phiên bản Trinity mới để ghi đè các tệp được lưu trong bộ nhớ đệm và xóa dấu vết. IOTA Foundation đã thực hiện các hành động ngay lập tức, bao gồm tạm dừng điều phối viên và tạo kế hoạch quản lý sự cố với các cập nhật trạng thái công khai. Cuộc tấn công liên quan đến việc chặn DNS, sửa đổi mã và lạm dụng khóa API.

IOTA đã phản hồi bằng cách phát triển các công cụ di chuyển cho người dùng bị ảnh hưởng, tăng cường các công cụ phân tích và cộng tác với các chuyên gia bảo mật và cơ quan thực thi pháp luật. Trinity không còn được sử dụng nữa và MoonPay cộng tác với họ để khắc phục vấn đề. Vì vậy, một lần nữa, đó không phải là DAG bị vi phạm mà là một dịch vụ bên ngoài liên quan đến nó.

Hedera Hashgraph

Hedera Hashgraph là một hệ thống sổ cái phân tán sử dụng Đồ thị chu kỳ có hướng (DAG) để đạt được sự đồng thuận. Ở Hedera giao thức tin đồn , các nút chia sẻ thông tin mới với nhau, dần dần đạt được sự đồng thuận thông qua nhiều vòng chia sẻ. Lịch sử các sự kiện chia sẻ thông tin này được thể hiện dưới dạng biểu đồ băm — một loại DAG. Hệ thống này đã được cấp bằng sáng chế nhưng không phải là không có lỗi.

Vào ngày 9 tháng 3 năm 2023, mạng Hedera Hashgraph trở thành nạn nhân để khai thác hợp đồng thông minh, dẫn đến việc đánh cắp nhiều mã thông báo khác nhau từ các sàn giao dịch phi tập trung (DEX) như Pangolin, SaucerSwap và HeliSwap. Tài khoản người dùng bán lẻ và ví Hedera vẫn không bị ảnh hưởng, nhưng kẻ tấn công đã đánh cắp được số token trị giá gần 600.000 USD. Chúng bao gồm DAI Stablecoin, Tether USD, USD Coin và Wrapped HBAR.

Hành động nhanh chóng đã được thực hiện để giảm thiểu cuộc tấn công. DEX và bridge đã hợp tác để ngăn chặn luồng token qua bridge trong vòng một giờ sau khi được cảnh báo về vi phạm. Nhóm Hedera đã vô hiệu hóa quyền truy cập proxy vào mạng chính Hedera (nhờ mạng được tập trung hóa, như IOTA), ngăn cản người dùng và kẻ tấn công truy cập thêm. Bản sửa lỗi đã được phát triển, thử nghiệm và triển khai nhanh chóng trong vòng 41 giờ kể từ khi phát hiện ra lỗ hổng.

Không giống như các cuộc tấn công trước đây trong các DAG khác, lần này, hệ thống gốc thực sự là hệ thống bị xâm phạm, cụ thể là lớp hợp đồng thông minh của nó. Nhóm nghiên cứu đã hành động nhanh chóng để giảm thiểu nó.

Sui Network + Discord

Sui Network là một sổ cái phân tán được ra mắt vào tháng 5 năm 2023. Nó chia các giao dịch thành các giao dịch đơn giản (như gửi tiền) và các giao dịch phức tạp (như đấu giá trực tuyến). Các giao dịch đơn giản không yêu cầu sự đồng thuận, nhưng giao dịch phức tạp sử dụng trình xác thực Proof-of-Stake (PoS) và giao thức đồng thuận dựa trên DAG thông lượng cao có tên là Bullshark.

Mạng lưới này đã chứng minh rằng việc phòng ngừa là quan trọng, đặc biệt là khi nói đến các công nghệ mới. Ngay trước khi phát hành mạng chính, công ty bảo mật CertiK đã tìm thấy một lỗi nghiêm trọng trong hệ thống. Lỗ hổng này là một lỗi vòng lặp vô hạn trong mã của Sui có thể được kích hoạt bởi một hợp đồng thông minh độc hại. Kiểu tấn công này, được gọi là "tấn công HamsterWheel", không làm hỏng các nút mà thay vào đó khiến chúng hoạt động liên tục mà không xử lý các giao dịch mới, khiến mạng không thể hoạt động.

Một khi lỗi đã được xác định , các nhà phát triển Sui đã nhanh chóng triển khai các bản sửa lỗi để giảm thiểu tác động của nó và CertiK xác nhận rằng các bản sửa lỗi này đã được triển khai. Sui Foundation đã trao 500.000 USD cho CertiK dưới dạng tiền thưởng phát hiện lỗi. Tuy nhiên, đó không phải là mối đe dọa duy nhất mà nền tảng này phải đối mặt.

Ngay cả trước khi xảy ra lỗi tiềm ẩn, vào tháng 8 năm 2022, máy chủ Discord của Mysten Labs (người sáng tạo Sui) đã bị hack. Thông báo đã được chia sẻ trên Twitter , trong đó một số người dùng phàn nàn về việc bị mất tiền do sự kiện này. Vụ việc liên quan đến việc tin tặc chia sẻ liên kết tới một airdrop được cho là trên kênh thông báo của máy chủ. Kể từ đó, họ đã tăng cường quy trình xác minh và bảo mật trong cuộc trò chuyện.

Tuyết lở + DeFi

Avalanche là một giao thức tiền điện tử khác sử dụng cấu trúc DAG thay vì chuỗi khối. Nó bao gồm chuỗi khác nhau : Chuỗi hợp đồng (C-Chain) dành cho hợp đồng thông minh, Chuỗi trao đổi (X-Chain) để chuyển tiền nhanh chóng với mức phí thấp và Chuỗi nền tảng (P-Chain) để đặt cược và phần thưởng. Đặc biệt, X-Chain tận dụng công nghệ DAG để đạt được thông lượng cao và khả năng hoàn tất giao dịch nhanh chóng.

Một số giao thức DeFi dựa trên Avalanche đã phải đối mặt với các cuộc tấn công quan trọng trong những năm qua. Vụ hack nổi tiếng đầu tiên là nhằm vào nền tảng cho vay Tài chính Vee vào tháng 9 năm 2021. Cuộc tấn công xảy ra do họ dựa vào một nguồn duy nhất để cung cấp thông tin về giá (oracle) và nguồn này không xử lý đúng dấu thập phân. Điều này cho phép kẻ tấn công thao túng giá và thực hiện giao dịch trên các cặp không được phép giao dịch.

Điều đó dẫn đến việc rút trái phép 8804,7 ETH và 213,93 BTC (khoảng 36 triệu USD vào thời điểm đó). Các token sau đó được kết nối với Ethereum và vẫn thuộc quyền sở hữu của kẻ tấn công. Vee Finance đã đình chỉ các hợp đồng nền tảng và các chức năng liên quan (điều này chứng tỏ rằng nền tảng này không được phân cấp như thuật ngữ DeFi ám chỉ), tích cực theo đuổi các nỗ lực thu hồi tài sản. Tuy nhiên, đây không phải là tất cả đối với Avalanche. Nhiều cuộc tấn công sẽ đến trong thời gian tới.

Vào tháng 2 năm 2023, hai giao thức DeFi nữa lại bị tấn công: công cụ tổng hợp đa chuỗi Dexible và DEX Platypus. Trong trường hợp đầu tiên , kẻ tấn công đã tận dụng chức năng selfSwap của ứng dụng để di chuyển số tiền điện tử trị giá hơn 2 triệu đô la từ những người dùng đã ủy quyền cho ứng dụng truy cập vào mã thông báo của họ. Dexible đã tạm dừng hợp đồng và khuyên người dùng thu hồi ủy quyền mã thông báo.

Trong trường hợp thứ hai, Thú mỏ vịt lạc lối 8,5 triệu USD trong một cuộc tấn công cho vay chớp nhoáng. Tin tặc đã khai thác hợp đồng tài sản của giao thức bằng hợp đồng thông minh độc hại với mã nguồn chưa được xác minh. Bây giờ, về ba trường hợp, chúng ta có thể nói rằng một số lỗi đã thoát khỏi các nhà phát triển DeFi ngay từ đầu, dẫn đến việc mất tiền.

Bảo vệ bạn khỏi rủi ro DAG

Đối với người dùng trung bình của nền tảng Đồ thị không theo chu kỳ được định hướng (DAG), một số biện pháp bảo mật và biện pháp bảo vệ chính có thể được áp dụng để giảm thiểu rủi ro:

• Sử dụng Dịch vụ có uy tín: Trước khi sử dụng bất kỳ dịch vụ nào của bên thứ ba, chẳng hạn như ví hoặc sàn giao dịch, hãy nghiên cứu để đảm bảo họ có danh tiếng tốt về bảo mật. Ngoài ra, tránh để lại số lượng lớn tiền điện tử trên các sàn giao dịch trong thời gian dài.
• Bảo mật khóa riêng của bạn: Nếu bạn có ví cho phép bạn kiểm soát khóa riêng của mình, hãy sử dụng chúng. Điều này có nghĩa là bạn có quyền kiểm soát trực tiếp số tiền của mình. Ví lạnh cung cấp thêm một lớp bảo mật.

• Sử dụng Mật khẩu mạnh và bật 2FA: Khi giao dịch với bất kỳ tài khoản nào liên quan đến tiền điện tử, hãy sử dụng mật khẩu mạnh và duy nhất. Hãy cân nhắc sử dụng trình quản lý mật khẩu uy tín để giữ chúng an toàn. Bất cứ khi nào có thể, hãy bật Xác thực hai yếu tố (2FA) trên tài khoản của bạn.

  
  

• Luôn cập nhật: Luôn cập nhật những tin tức và sự phát triển mới nhất liên quan đến nền tảng DAG mà bạn đang sử dụng. Hiểu các lỗ hổng tiềm ẩn có thể giúp bạn thực hiện hành động phòng ngừa.
• Cảnh giác với các trò lừa đảo: Hãy thận trọng với các email, tin nhắn hoặc trang web lừa đảo nhằm đánh cắp thông tin đăng nhập hoặc khóa riêng tư của bạn. Luôn kiểm tra kỹ các URL và nguồn.

• Thường xuyên xem xét quyền: Đối với các ứng dụng hoặc dịch vụ yêu cầu quyền truy cập vào ví hoặc mã thông báo của bạn, hãy xem xét và thu hồi các quyền này khi chúng không còn cần thiết nữa.

• Đa dạng hóa khoản đầu tư của bạn: Tránh đặt tất cả tài sản của bạn vào một loại tiền điện tử hoặc nền tảng duy nhất. Đa dạng hóa có thể giúp phân tán rủi ro.

  
  

Cho đến nay, Obyte (cũng là một nền tảng tiền điện tử-DAG) chưa gặp phải một vụ hack nghiêm trọng nào trên hệ thống hoặc các dịch vụ liên quan của mình. Tuy nhiên, điều đó không có nghĩa là họ miễn nhiễm với các cuộc tấn công. Một chương trình tiền thưởng lỗi đang hoạt động trên Immunefi, với phần thưởng cao dành cho các nhà phát triển lành nghề. Tuy nhiên, điều quan trọng luôn là áp dụng các biện pháp an ninh tốt nhất trên ví của riêng bạn và tự nghiên cứu cho từng nền tảng!

Hình ảnh Vector nổi bật của Freepik