Tài chính phi tập trung An toàn sự kiện hồi tưởng: Phân tích các trường hợp quan trọng năm 2022

Năm 2022, ngành công nghiệp blockchain đã xảy ra hơn 300 sự kiện an ninh, tổng thiệt hại lên tới 4,3 tỷ USD. Bài viết này sẽ phân tích chi tiết 8 trường hợp điển hình, hầu hết các trường hợp này liên quan đến thiệt hại vượt quá 100 triệu USD.

Sự kiện Ronin Bridge

Vào tháng 3 năm 2022, chuỗi phụ Ronin Network của Axie Infinity đã bị xâm nhập, thiệt hại 173.600 ETH và 25,5 triệu USD, tổng giá trị khoảng 625 triệu USD. Theo báo cáo, tổ chức tin tặc Triều Tiên Lazarus đã xâm nhập vào hệ thống của công ty Sky Mavis thông qua các phương pháp kỹ thuật xã hội, cuối cùng kiểm soát 5 trong số 9 nút xác thực, hoàn tất cuộc tấn công.

Sự kiện này đã phơi bày những vấn đề nghiêm trọng về nhận thức an ninh của nhân viên và hệ thống an ninh nội bộ của nhóm dự án. Đồng thời cũng phản ánh rằng, các nhóm hacker truyền thống và lực lượng cấp quốc gia đang chuyển mục tiêu tấn công sang các dự án blockchain, nhằm thu lợi kinh tế trực tiếp.

Sự kiện Wormhole

Cầu nối Wormhole đã bị tấn công do mã xác thực chữ ký của hợp đồng cốt lõi ở phía Solana có lỗi, cho phép kẻ tấn công giả mạo tin nhắn "người giám hộ" để đúc ETH được đóng gói bởi Wormhole, gây thiệt hại khoảng 120.000 ETH.

Vấn đề này chủ yếu xuất phát từ việc sử dụng các hàm đã bị loại bỏ. Khuyến nghị các nhà phát triển sử dụng phiên bản công cụ phát triển mới nhất, để tránh các vấn đề tương tự.

Sự kiện Nomad Bridge

Cầu nối Nomad đã gặp vấn đề do cấu hình khởi tạo, dẫn đến việc kẻ tấn công có thể phát lại giao dịch hợp lệ để rút tiền, gây ra thiệt hại khoảng 190 triệu đô la. Một số robot MEV cũng đã tham gia vào sự kiện "cướp tiền" này.

Trường hợp này phản ánh rằng, khi dự án mã nguồn mở xuất hiện lỗ hổng, rất dễ bị lợi dụng. Đơn vị dự án cần xem xét đầy đủ các tình huống bất thường và thực hiện kiểm tra toàn diện.

Sự kiện Beanstalk

Dự án stablecoin thuật toán Beanstalk đã bị tấn công qua vay mượn chớp nhoáng, thiệt hại khoảng 1,82 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng trong cơ chế quản trị của dự án, thông qua vay mượn chớp nhoáng để có được quyền bỏ phiếu lớn, và thông qua các đề xuất ác ý để đánh cắp quỹ.

Điều này phản ánh những rủi ro tiềm ẩn của cơ chế quản trị phi tập trung. Đề xuất các dự án thiết lập cơ chế xem xét đề xuất, thời gian khóa phiếu và các biện pháp an toàn như khóa thời gian.

Sự kiện Wintermute

Nhà tạo lập thị trường Wintermute đã bị mất khoảng 160 triệu USD do sử dụng công cụ tạo địa chỉ Profanity có lỗ hổng, dẫn đến việc khóa riêng của một hợp đồng quan trọng bị xâm phạm.

Điều này nhắc nhở chúng ta cần đánh giá đầy đủ các rủi ro an ninh khi sử dụng công cụ mã nguồn mở, không nên quá phụ thuộc vào một công cụ duy nhất.

Sự kiện Harmony Bridge

Cầu nối đa chuỗi Horizon của Harmony bị tấn công, thiệt hại lên tới hơn 100 triệu đô la, nghi ngờ cũng là do tổ chức hacker Triều Tiên thực hiện. Chi tiết cụ thể chưa được công bố, nhưng phương pháp tấn công có thể tương tự như sự kiện Ronin Bridge.

Sự kiện Ankr

Dự án Ankr gặp phải hành vi xấu từ bên trong, dẫn đến việc một lượng lớn token bị đúc và bán tháo một cách ác ý, từ đó gây ra phản ứng dây chuyền.

Điều này phản ánh sự mong manh của hệ sinh thái Tài chính phi tập trung và tầm quan trọng của việc quản lý quyền hạn nội bộ. Đề xuất áp dụng các cơ chế như đa chữ ký để tăng cường an toàn.

Sự kiện Mango

Một nhà giao dịch đã lợi dụng hợp đồng vĩnh viễn và thị trường giao ngay để thao túng giá của token MNGO trên nền tảng Mango, từ đó thu được một lượng lớn vay mượn, gây ra thiệt hại khoảng 115 triệu USD cho nền tảng.

Điều này phản ánh rằng các dự án Tài chính phi tập trung cũng gặp phải lỗ hổng trong thiết kế mô hình kinh doanh và cần xem xét các tình huống cực đoan khác nhau. Là người dùng, cũng cần thận trọng khi tham gia giao dịch các đồng tiền nhỏ.