5 vụ hack tiền điện tử và DeFi hàng đầu mọi thời đại

Trong thế giới thú vị nhưng đầy rủi ro của tiền điện tử, việc tìm kiếm tự do tài chính không phải là không có những thách thức. Khi các loại tiền kỹ thuật số tiếp tục nổi bật (và giá cao hơn), chúng cũng trở thành mục tiêu hàng đầu cho những kẻ độc hại đang tìm cách khai thác các lỗ hổng để thu lợi tài chính. Trong cuộc khám phá này, chúng ta sẽ đi sâu vào các vụ hack tiền điện tử tồi tệ nhất mọi thời đại, từ Mt. Gox cho đến những năm gần đây (cho đến năm 2023).

Ngoài ra, chúng tôi cũng sẽ dấn thân vào lĩnh vực tiền điện tử dựa trên DAG và kiểm tra các trường hợp trong đó các mạng dựa trên Đồ thị tuần hoàn được định hướng, đổi mới này phải đối mặt với những thách thức bảo mật riêng của chúng. Hãy chuẩn bị sẵn sàng cho cuộc hành trình qua những thăng trầm của thế giới tiền điện tử, nơi sự đổi mới gặp phải lỗ hổng và nơi tiền đặt cược cao hơn bao giờ hết.

Núi Gox

Nói đúng ra, về mặt lý thuyết, đã có những cuộc tấn công có mức tiền thưởng cao hơn kể từ vụ này vào năm 2014. Nhưng toàn bộ thế giới tiền điện tử năm đó về cơ bản chỉ có Bitcoin (BTC); và Mt. Gox là sàn giao dịch Bitcoin hàng đầu thế giới. Nền tảng này đã xử lý hơn 70% tổng số giao dịch trên toàn cầu trong bối cảnh giá cả rất biến động. Sau đó, sau vô số vấn đề và các vụ hack ẩn, các vấn đề nghiêm trọng về khả năng thanh toán đã được tiết lộ vào tháng 2 năm 2014.

Tất cả các hoạt động rút tiền đã bị tạm dừng với những lý do yếu ớt vào ngày 7 tháng 2. Vào ngày 23 tháng 2, Giám đốc điều hành, Mark Karpelès, đã từ chức khỏi hội đồng quản trị của Bitcoin Foundation và xóa tất cả các tweet của Mt. Gox. Ngày hôm sau, trang web ngừng hoạt động và tài liệu bị rò rỉ cho biết khoản lỗ 744,408 BTC (khoảng 473 triệu USD vào thời điểm đó). Đó sẽ là hơn 19,1 tỷ USD theo giá ngày nay [CMC].

Như đã đọc trên các tài liệu bị rò rỉ, các tin tặc đã bòn rút Bitcoin từ Mt. Gox trong vài năm mà công ty không hề hay biết. Dựa theo Nghiên cứu của WizSec Bằng cách nào đó, tin tặc đã đánh cắp được khóa riêng tư từ ví Bitcoin nóng (trực tuyến) của Mt. Gox, cho phép chúng xử lý số tiền trao đổi theo ý muốn của mình. Chúng ta phải nói rằng bảo mật của họ không phải là tốt nhất, vì Bitcoin với tư cách là sổ cái không bị hack mà chỉ là sàn giao dịch.

Do quy mô cộng đồng tiền điện tử vẫn còn nhỏ trong những năm đó, nên cú đánh này rất nặng nề. Bitcoin đã mất hơn 43% kể từ tháng 2 và cho đến tháng 12. Nó sẽ không có dấu hiệu cải thiện cho đến cuối năm 2015. Về phần mình, các nạn nhân của vụ hack Mt. Gox đã phải đợi hàng năm để nhận được hy vọng được hoàn trả. Sau cuộc chiến pháp lý lớn, người được ủy thác của Mt. Gox quyết định cuối cùng trả nợ chủ nợ của sàn giao dịch vào cuối tháng 10 năm 2023.

kiểm tra tiền xu

Vào tháng 1 năm 2018, Coincheck, một sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản, đã trở thành nạn nhân của một trong những vụ hack tiền điện tử lớn nhất trong lịch sử. Tin tặc khai thác lỗ hổng trong hệ thống bảo mật của sàn giao dịch, chiếm quyền truy cập vào ví nóng của Coincheck (trực tuyến). Họ đã đánh cắp khoảng 523 triệu token NEM (XEM), trị giá gần 530 triệu USD vào thời điểm đó.

Theo báo cáo của một số nguồn , vi phạm được thực hiện bằng cách gửi email bị nhiễm phần mềm độc hại cho nhân viên Coincheck, cho phép kẻ tấn công giành quyền kiểm soát hệ thống nội bộ. Khi vào bên trong, họ nhanh chóng chuyển các token XEM bị đánh cắp đến nhiều địa chỉ khác nhau, khiến việc truy tìm số tiền trở nên khó khăn.

Sau đó, Coincheck phải đối mặt với sự giám sát chặt chẽ từ các cơ quan quản lý, dẫn đến các biện pháp an ninh được cải thiện và nỗ lực hoàn trả lớn . Việc trao đổi thề để bồi thường cho những người dùng bị ảnh hưởng bằng cách trả lại token XEM bị đánh cắp của họ với mức giá 88,549 JPY mỗi xu, thấp hơn đáng kể so với giá trị thị trường vào thời điểm đó. Họ đã làm điều đó bằng tiền riêng của họ.

Mặc dù nỗ lực hoàn trả , vụ hack này đã để lại tác động đáng kể đến cả Coincheck và cộng đồng tiền điện tử rộng lớn hơn. Nó đóng vai trò như một lời nhắc nhở rõ ràng về những rủi ro bảo mật liên quan đến trao đổi tiền điện tử tập trung và tầm quan trọng của các giao thức bảo mật mạnh mẽ. Việc xử lý vụ việc của Coincheck đã đặt ra câu hỏi về sự an toàn của các khoản tiền được giao phó cho các sàn giao dịch và khiến các cơ quan quản lý trên toàn thế giới thắt chặt giám sát các nền tảng tiền điện tử để bảo vệ các nhà đầu tư và ngăn chặn các vi phạm trong tương lai.

Trung tâm mã thông báo BSC

Thương hiệu Binance cũng không được miễn trừ khỏi các vấn đề. Vào ngày 7 tháng 10 năm 2022, cầu nối chuỗi chéo gốc của BNB Smart Chain giữa BNB Beacon Chain và BNB Smart Chain đã trở thành nạn nhân của một vụ hack. Việc khai thác đã dẫn đến việc Chuỗi thông minh Binance bị đình chỉ tạm thời để hạn chế thiệt hại. Kẻ tấn công đã đúc trái phép 2 triệu token BNB, trị giá khoảng 566 triệu USD vào thời điểm đó. Phần lớn số tiền đó nhanh chóng bị nhóm đóng băng, nhưng hacker đã chuyển được khoảng 137 triệu USD sang các chuỗi khác.

Các vi phạm bắt đầu bằng việc kẻ tấn công nhận được 100 BNB từ ví ChangeNOW vào ngày 5 tháng 10 năm 2022. Điều này cho phép chúng đăng ký làm Người chuyển tiếp cho BSC Token Hub, tạo điều kiện thuận lợi cho các giao dịch chuỗi chéo giữa BNB Beacon Chain (BEP2) và Binance Smart Chain (BEP20) . Kẻ tấn công đã khai thác lỗ hổng trong cách BSC Token Hub xác minh bằng chứng, giả mạo các tin nhắn tùy ý và bắt đầu tạo và rút 2 triệu BNB trong hai giao dịch.

Thay vì ngay lập tức chuyển số tiền bị đánh cắp sang các sàn giao dịch, kẻ tấn công đã sử dụng Venus, một giao thức cho vay phổ biến trên Chuỗi BNB. Họ đã thế chấp 900 nghìn BNB để vay các stablecoin như USDT, USDC và BUSD trong 5 giao dịch, trị giá hơn 250 triệu USD . Những stablecoin này sau đó được chuyển đến nhiều chuỗi bằng cách sử dụng cầu nối và nhiều sản phẩm DeFi khác nhau được sử dụng để tránh bị phát hiện.

Sau vụ hack, BSC đã tạm dừng chuỗi do hoạt động bất thường, ngăn cản việc chuyển vốn tiếp theo. Số dư của kẻ tấn công trên các chuỗi được theo dõi chặt chẽ. Chuỗi BNB đã triển khai hardfork (cập nhật) để giải quyết các lỗ hổng và giới thiệu cơ chế quản trị trên chuỗi mới để chống lại các cuộc tấn công trong tương lai.

Mạng nhiều

Poly Network, một giao thức tương tác hỗ trợ giao dịch giữa các chuỗi khác nhau, là nạn nhân của một vụ khai thác vào ngày 10 tháng 8 năm 2021. Nó đã bị các tin tặc ẩn danh dàn dựng, dẫn đến việc chuyển hơn 610 triệu đô la tiền điện tử vào tay họ. Họ đã đánh cắp ETH, USDC, DAI, UNI, SHIB, FEI, MATIC và một số token BSC; tất cả đều từ các thành viên cộng đồng nói chung. Đáng chú ý, đây là một trong những sự cố bảo mật lớn nhất trong lịch sử tài chính phi tập trung (DeFi).

bọn hacker đã chuyển số tiền bị đánh cắp đến các địa chỉ mà họ kiểm soát trên Ethereum, Binance Smart Chain và Polygon. Sau cuộc tấn công, nhóm Poly đã kêu gọi các sàn giao dịch và thợ mỏ theo dõi luồng token bị đánh cắp và kêu gọi tạm dừng các giao dịch của hacker. Tether đã đóng băng số USDT trị giá 33 triệu USD.

Trong một diễn biến đáng ngạc nhiên, vào ngày 11 tháng 8 năm 2021, tin tặc đã thông báo ý định trả lại mã thông báo , cho rằng hành vi trộm cắp nhằm mục đích vạch trần các lỗ hổng và tăng cường bảo mật của Poly Network. Họ đã sử dụng các tin nhắn được nhúng trong các giao dịch để giao tiếp công khai.

Để đáp lại, nhóm giao thức đã bắt đầu quá trình khôi phục và gọi các tin tặc là "Mr. White Hat". Họ đưa ra khoản tiền thưởng trị giá 500.000 USD cho lỗi và vai trò "cố vấn bảo mật chính" để đảm bảo trả lại an toàn số tài sản còn lại. Phần cuối cùng của số tiền bị đánh cắp đã được trả lại vào ngàyngày 23 tháng 8 .

Vụ việc đã gây ra một số tranh cãi về việc sử dụng thuật ngữ "mũ trắng" cho tin tặc, với lo ngại rằng nó có thể tạo tiền lệ cho các tin tặc tội phạm trong việc làm sạch hành động của chúng. Tuy nhiên, Poly Network đã đưa ra chương trình thưởng lỗi để cải thiện bảo mật, mời các cơ quan bảo mật và tổ chức mũ trắng kiểm tra các chức năng cốt lõi của nó. Phần thưởng lên tới 100.000 USD đã được trao cho những lỗ hổng nghiêm trọng.

Ronin (Axie Infinity)

Đây được coi là vụ hack lớn nhất từ trước đến nay trong thế giới tiền điện tử. Vào ngày 23 tháng 3 năm 2022, Mạng Ronin, một sidechain Ethereum cho trò chơi Axie Infinity, đã trở thành nạn nhân của một cuộc tấn công lớn. Các hacker đã kiếm được tổng cộng 173.600 ETH và 25,5 triệu USDC hơn 625 triệu USD , vượt qua các vụ trộm tiền điện tử phá kỷ lục trước đó.

vụ hack đã khai thác cầu Ronin, một thành phần quan trọng để chuyển giao tài sản giữa Ronin và các hệ sinh thái khác. Những kẻ tấn công đã giành được quyền kiểm soát bốn khóa xác thực Ronin được lưu trữ trên Sky Mavis (công ty đứng sau Axie Infinity). Điều phổ biến đối với các blockchain là số lượng khóa nhỏ này đủ để giành quyền kiểm soát mạng. Để hoàn thành kế hoạch của mình, họ đã tận dụng cửa sau thông qua nút RPC không cần gas, lấy chữ ký cho trình xác thực Axie DAO. Điều này cho phép họ kiểm soát tất cả các khóa cần thiết để thực hiện việc rút tiền giả.

Sky Mavis đã phát hiện vi phạm sau khi người dùng báo cáo vấn đề rút tiền, sáu ngày sau cuộc tấn công . Mặc dù một phần đáng kể số tiền bị đánh cắp vẫn nằm trong tay tin tặc, nhưng chúng đã cố gắng rút số tiền nhỏ hơn thông qua các sàn giao dịch tiền điện tử tập trung. Ít nhất, Sky Mavis bị xâm phạm để hoàn trả cho người dùng của mình.

Vụ việc khiến giá token của Ronin giảm mạnh hơn 20%, làm trầm trọng thêm mối lo ngại trong không gian DeFi, vốn đang phải vật lộn với một loạt các cuộc tấn công quy mô lớn. Sàn giao dịch tiền điện tử Binance và Huobi cam kết hỗ trợ theo dõi và trả lại số tiền bị đánh cắp cho người dùng Axie Infinity, trong khi Sky Mavis đang hợp tác với các cơ quan chính phủ để đưa bọn tin tặc ra trước công lý.

Tất cả những điều này có thể thực hiện được trong một DAG như Obyte không?

Các sổ cái đồ thị theo chu kỳ (DAG) được định hướng như Obyte có cấu trúc và cơ chế đồng thuận độc đáo của riêng chúng, có thể mang lại những lợi thế nhất định về mặt phân cấp so với các hệ thống blockchain. Tuy nhiên, chúng không hoàn toàn tránh khỏi các lỗ hổng bảo mật và các vụ hack tiềm ẩn.

Các vectơ tấn công cụ thể và khai thác tiềm năng có thể khác với các blockchain, nhưng các hệ thống dựa trên DAG vẫn có thể dễ bị tấn công bởi nhiều kiểu tấn công khác nhau. Một số mối lo ngại có thể xảy ra, tùy thuộc vào nền tảng liên quan, bao gồm:

• Tấn công Sybil: Thủ phạm tạo ra nhiều danh tính hoặc nút giả để kiểm soát mạng, xâm phạm cơ chế tin cậy, bảo mật và đồng thuận của mạng thông qua thao tác và tác động nhân tạo. Chỉ một số DAG được thiết kế đơn giản mới dễ gặp phải vấn đề này và chúng thường giải quyết nó thông qua tập trung hóa (ví dụ: IOTA).
  

• Lỗ hổng hợp đồng thông minh: Khai thác lỗ hổng mã hóa để thực hiện các hành động trái phép, hút tài sản hoặc làm gián đoạn các ứng dụng phi tập trung, thường dẫn đến tổn thất tài chính.
  

• Chi tiêu gấp đôi: Hành động gian lận trong đó người dùng sao chép một giao dịch tiền điện tử, cho phép họ chi tiêu cùng một tài sản kỹ thuật số nhiều lần, làm suy yếu tính toàn vẹn của sổ cái. Giống như trong blockchain, sự cố này chỉ xảy ra nếu người dùng chấp nhận thanh toán mà không đợi đến thời điểm cuối cùng (hoặc không đợi đủ lâu nếu không có thời điểm cuối cùng xác định).
  

• Tập trung tiềm năng: Một số DAG có nguy cơ bị kiểm soát hoặc ảnh hưởng quá mức bởi một số thực thể trong mạng (như công ty, người khai thác hoặc người xác nhận), làm xói mòn tính phân cấp của nó và có khả năng ảnh hưởng đến tính bảo mật, tính bất biến và độ tin cậy của nó. Tuy nhiên, đây không phải là trường hợp của Nhà cung cấp đơn đặt hàng ở Obyte.
  

• Thất bại của các sàn giao dịch bên ngoài: Các lỗ hổng trong các sàn giao dịch tiền điện tử bên ngoài có thể dẫn đến vi phạm an ninh, sự cố hack hoặc khiến sàn giao dịch mất khả năng thanh toán, gây tổn thất tài chính đáng kể và gián đoạn hoạt động giao dịch.

  
  

Không phải mọi DAG đều dễ gặp phải tất cả những vấn đề này và họ có những phương pháp riêng để tránh chúng. Vì vậy, mặc dù DAG mang lại những lợi ích riêng nhưng chúng không tránh khỏi những lo ngại về bảo mật. Bản chất cụ thể của các cuộc tấn công tiềm năng có thể khác nhau, nhưng các nguyên tắc cơ bản về bảo mật sổ cái phi tập trung vẫn được áp dụng. Điều cần thiết là phải liên tục đánh giá và giải quyết các lỗ hổng bảo mật trong bất kỳ hệ thống dựa trên blockchain hoặc DAG nào.

Đó là lý do tại sao Obyte có chương trình tiền thưởng lỗi trên Immunefi, nơi mọi người có thể báo cáo lỗi—nếu họ tìm thấy lỗi đó. Chúng tôi đang cung cấp tới 50.000 USD cho mỗi lỗi nghiêm trọng. Cho đến nay, Obyte đã trả khoảng 5.000 USD cho mũ trắng thông qua Immunefi –và khoảng 10.000 USD cho các báo cáo lỗi trước chương trình này. Bảo mật luôn là điều cần thiết cho bất kỳ loại nền tảng tiền điện tử nào!

Hình ảnh Vector nổi bật của Freepik