paint-brush
Khóa riêng tư bị xâm phạm: Mục tiêu chính và giải pháp sắp tớitừ tác giả@hackless
13,909 lượt đọc
13,909 lượt đọc

Khóa riêng tư bị xâm phạm: Mục tiêu chính và giải pháp sắp tới

từ tác giả Hackless5m2023/02/15
Read on Terminal Reader

dài quá đọc không nổi

Khóa riêng tư bị xâm phạm có thể gây ra tổn thất nghiêm trọng ở mọi cấp độ DeFi. Điều này có thể xảy ra với bất kỳ ai, đó là lý do tại sao bất kỳ ai tham gia DeFi đều cần nhận thức được quy mô của vấn đề và các giải pháp khả dụng. Tại Hackless, chúng tôi đang thiết kế một sản phẩm có tên là Wallet Rescue – một giải pháp hữu ích khi ví tiền điện tử bị tấn công.
featured image - Khóa riêng tư bị xâm phạm: Mục tiêu chính và giải pháp sắp tới
Hackless HackerNoon profile picture

Các khóa riêng tư bị xâm phạm có thể gây ra tổn thất nghiêm trọng ở tất cả các cấp DeFi và cho tất cả các loại người bảo trợ - cá voi, nhà phát triển và người dùng phổ thông. Bất kỳ ai tham gia vào Defi đều có thể giải quyết vấn đề này. Đó là lý do tại sao các tổ chức và cá nhân khách hàng quen cần phải nhận thức được quy mô của vấn đề và các giải pháp khả dụng.

Tại Hackless, chúng tôi đang thiết kế một sản phẩm có tên là Giải cứu ví tiền – một giải pháp hữu ích khi ví tiền điện tử bị tấn công và bạn cần di chuyển tiền một cách an toàn đến một địa chỉ mới được tạo.

Tại sao giải pháp này cần thiết và ai có thể hưởng lợi từ nó?

Khi xem xét kỹ hơn các vụ hack gần đây đã xảy ra liên quan đến ví tiền điện tử, chúng tôi nhận thấy rằng nguyên nhân chính luôn là do các khóa riêng tư bị xâm phạm – của ví nóng của nền tảng, khóa của quản trị viên hoặc khóa của người dùng cá nhân. Chúng tôi đang tìm hiểu sâu hơn về kiểu khai thác này và cách Giải cứu ví sắp tới của Hackless có thể hữu ích như thế nào! Đầu tiên, chúng ta hãy xem xét một số câu chuyện cảnh báo.

Các dự án DeFi đã bị tấn công thông qua khóa riêng tư bị xâm phạm

1. Mạng lưới Ronin, $624M

Trong một trong những vụ hack lớn nhất trong lịch sử tiền điện tử, khai thác Ronin, khóa của 5 trong số 9 trình xác thực đã bị xâm phạm. Điều này được phát hiện khi một khách hàng cố gắng rút tiền hợp pháp. Như nhóm đã thông báo, kẻ tấn công đã giành được quyền sở hữu đối với các khóa riêng cần thiết để xác thực giao dịch. Những kẻ xấu đã tìm cách đánh cắp 173.600 ETH và 25,5 triệu USDC vào ví của họ.

2. Cầu Harmony, 100 triệu USD

Cầu Harmony đã bị rút 100 triệu đô la thông qua các khóa riêng bị xâm phạm của multisig của họ. Cây cầu chỉ cần hai tài khoản xác thực để phê duyệt giao dịch. Các tin tặc đã tìm cách xâm nhập khóa riêng tư và có thể phê duyệt việc chuyển tiền vào tài khoản của họ.

3.Raydium, 4,4 triệu USD

DEX này đã mất 4,4 triệu đô la tiền điện tử, trở thành nạn nhân của kẻ tấn công đã khai thác lỗ hổng hợp đồng thông minh cho phép quản trị viên rút toàn bộ nhóm thanh khoản. Kẻ tấn công đã giành được quyền kiểm soát khóa riêng của nhóm quản trị viên và rút cạn các nhóm LP mà thậm chí không có mã thông báo LP. Nhóm không chắc khóa riêng này được lấy chính xác như thế nào, nhưng họ cho rằng một chương trình trojan đã lây nhiễm máy ảo giữ khóa.

Các dự án DeFi có khóa riêng tư của người dùng bị lộ

1.Mùa đông, $160 triệu

Nhà tạo lập thị trường, Wintermute, đã mất 160 triệu đô la vì ví nóng của họ đã bị xâm phạm thông qua một địa chỉ phù phiếm được tạo bằng Thô tục. Cả ví nóng của Wintermute và hợp đồng kho tiền DeFi dường như đều có địa chỉ phù phiếm thô tục. Khóa riêng của ví nóng có khả năng đã bị khai thác và sử dụng để rút cạn kho tiền. Mặc dù lỗ hổng bảo mật của các địa chỉ do từ tục tĩu đã được cộng đồng biết đến trong một thời gian, nhưng có vẻ như điều này không được coi trọng.

2. Ví dốc, $6M

Vụ hack ví di động dựa trên Solana, Slope, đã ảnh hưởng đến hơn 8.000 ví duy nhất và dẫn đến mất 6 triệu đô la tiền. Hóa ra, thông tin khóa cá nhân của người dùng đã vô tình được truyền đến dịch vụ giám sát ứng dụng Slope, dẫn đến việc bị lộ.

Cá voi và nhà phát triển blockchain không miễn dịch

Mặc dù các giao thức DeFi và quản trị viên dự án là nạn nhân chính của tin tặc, nhưng những người dùng tiền điện tử nổi tiếng như cá voi và thậm chí cả các nhà phát triển blockchain cũng là mục tiêu. Tại sao không thực sự? Đôi khi, phần thưởng có thể là một khoản tiền, như trong các trường hợp được nêu dưới đây.

1.Nhà phát triển Bitcoin, 3,6 triệu USD

Ngay cả một nhà phát triển Bitcoin cũng có thể gặp khó khăn trong việc giữ an toàn cho các khóa. Đó là điều đã xảy ra với Luke Dashjr, một nhà phát triển Bitcoin thời kỳ đầu. Anh ấy đã mất 3,6 triệu đô la BTC do bị hack khóa. Dashjr đã tweet rằng khóa PGP của anh ấy đã bị xâm phạm và anh ấy không biết mọi chuyện đã xảy ra như thế nào.

2. Cá voi GMX, 3,5 triệu USD

Các tin tặc đã chiếm quyền kiểm soát 82.519 mã thông báo GMX thuộc về chủ sở hữu mã thông báo cao cấp. Điều tra sâu hơn đã xác định rằng chỉ một tài khoản bị ảnh hưởng, khiến nguyên nhân có thể xảy ra vụ trộm là do khóa cá nhân bị xâm phạm.

 If DeFi teams and advanced crypto investors cannot secure their assets, does the general public have any hope?

Người dùng DeFi thông thường luôn nằm trong tầm ngắm của tin tặc

Tin tặc thường có xu hướng tấn công các ví lớn hơn, tuy nhiên, các cá nhân cũng là mục tiêu. Hãy xem những cách tiếp cận và chiến thuật mà tin tặc phát minh ra để xâm phạm ví của người dùng cá nhân:

  • Airdrop độc hại – người dùng nhận được email, văn bản hoặc thông báo trên mạng xã hội rằng một loại tiền nhất định đã được thêm vào ví của họ thông qua airdrop. Sau đó, họ được yêu cầu kết nối địa chỉ ví của họ với trang web của kẻ tấn công. Sau khi kết nối, tất cả tiền của họ sẽ bị rút cạn.
  • Lừa đảo cụm từ gốc – người dùng thường bị đe dọa đình chỉ tài khoản và được yêu cầu cung cấp cụm từ gốc của họ như một phần của quá trình xác minh tài khoản hoặc quá trình khôi phục.
  • Ice lừa đảo – loại kế hoạch clickjacking này đánh lừa người dùng ủy thác việc phê duyệt đồng xu của người dùng cho một kẻ xấu. Thông thường, những kẻ tấn công sửa đổi giao diện người dùng hợp đồng thông minh bằng cách đưa một tập lệnh độc hại vào đó.
  • Các email, trang web và tin nhắn độc hại – các trang web nhân bản, tài khoản mạng xã hội và email lừa đảo xuất hiện hàng ngày, lừa người dùng bằng cách phát tán tin tức giả mạo và đánh lừa họ thông qua các chiến dịch và quảng cáo lừa đảo.

Nếu ví tiền điện tử cần được giải cứu thì sao?

Khi một giao thức DeFi hoặc một ví cá nhân bị tấn công, kẻ tấn công sẽ theo dõi sát sao nó. Điều này có nghĩa là họ thấy bất kỳ hoạt động nào bạn có thể thực hiện với ví. Ngoài ra, nếu họ hiểu rằng họ đã bị phát hiện, thì họ có thể điều chỉnh công nghệ của mình để làm cho cuộc tấn công của họ hiệu quả hơn nữa.

Nhưng nếu bạn có cổ phần hoặc tiền được giao kết nối với ví này và bạn muốn chuyển chúng thì sao? Giải cứu ví bằng Hackless sau đó bắt đầu hoạt động. Trước đây được gọi là Conductor , Wallet Rescue đã chứng tỏ hiệu quả đối với một số khách hàng của chúng tôi, giúp họ tiết kiệm khoảng 700 nghìn đô la tiền điện tử.

Với Giải cứu ví, bạn sẽ có thể di chuyển tài sản khỏi ví bị tấn công một cách an toàn theo cách mà tin tặc không nhìn thấy được. Điều này có thể được thực hiện thông qua khả năng khai thác riêng theo các bước sau:

  1. Tạo một gói giao dịch để khai thác riêng.
  2. Mô phỏng các giao dịch này để đảm bảo mọi thứ sẽ diễn ra suôn sẻ.
  3. Gửi riêng một gói giao dịch đã tạo, mô phỏng và đã ký trước đó trực tiếp tới những người khai thác thông qua các nhà cung cấp đáng tin cậy.

 First and foremost – Hackless does not have any access to assets of the protocol's users or their private keys.

Wallet Rescue là một công cụ trực quan tiện dụng cho bất kỳ nhà đầu tư tiền điện tử nào tự sử dụng. Ứng dụng chỉ nhận các giao dịch đã ký từ người dùng và chủ sở hữu giao thức, sau đó gửi chúng để khai thác riêng nhằm đảm bảo thực hiện các giao dịch trong một khối. Nhưng quyền sở hữu là tất cả của bạn.

Giải cứu ví sắp có sẵn trong phiên bản beta

Nhóm của chúng tôi đang hoàn thiện ứng dụng web Wallet Rescue, ứng dụng này sẽ sớm có sẵn cho những người thử nghiệm bản beta sớm. Và bạn có thể là một trong số họ. Tất cả những gì bạn cần làm là điền vào biểu mẫu người dùng beta và chúng tôi sẽ liên hệ với bạn sau khi chúng tôi bắt đầu sử dụng sản phẩm.