Blockchain an ninh sự kiện thường xuyên xảy ra, làm thế nào để bảo vệ tài sản cá nhân?

Trong những năm gần đây, với sự trỗi dậy của các sản phẩm trên chuỗi như tài chính phi tập trung (DeFi) và token không thể thay thế (NFT), tài sản của người dùng dần chuyển từ các nền tảng tập trung sang ví phi tập trung, cầu nối đa chuỗi và các giao thức cho vay. Tuy nhiên, các sự cố bị đánh cắp tài sản trên chuỗi và dự án thường xuyên xảy ra, khiến blockchain bị gọi vui là "máy rút tiền của hacker".

Trong số các sự kiện an ninh này, một số xuất phát từ lỗ hổng mã, một số khác là do sự sơ suất của con người. Ví dụ, vào ngày 20 tháng 9 năm 2022, một nhà tạo lập thị trường tiền mã hóa đã gặp sự cố bị đánh cắp 160 triệu USD.

Sai sót do con người dẫn đến thiệt hại lớn

Sau khi sự việc xảy ra, người sáng lập của nhà tạo lập thị trường đã tuyên bố trên mạng xã hội rằng các hoạt động tài chính phi tập trung và giao dịch OTC của công ty không bị ảnh hưởng, khả năng thanh toán vẫn gấp đôi vốn còn lại. Ông nhấn mạnh rằng quỹ của người dùng có thỏa thuận tạo lập thị trường với công ty là an toàn. Trong số 90 tài sản bị đánh cắp, chỉ có hai tài sản có giá trị danh nghĩa vượt quá 1 triệu đô la, vì vậy khả năng gây ra một cuộc bán tháo quy mô lớn là rất thấp.

Công ty an ninh phân tích phát hiện rằng địa chỉ hacker có liên quan đến một nền tảng giao dịch ẩn danh và các sàn giao dịch chính. Khoảng 73% số tiền bị đánh cắp là stablecoin, 8% là WBTC, 6% là ETH. Kẻ tấn công đã gửi 114 triệu đô la vào một sàn giao dịch phi tập trung để cung cấp thanh khoản.

Các chuyên gia an ninh suy đoán rằng nguyên nhân bị đánh cắp có thể là do nhà tạo lập thị trường đã sử dụng công cụ bên thứ ba có lỗ hổng để tạo địa chỉ ví. Người sáng lập công ty sau đó đã thừa nhận rằng họ thực sự đã sử dụng loại công cụ này vào tháng Sáu để tạo ví, với mục đích tối ưu hóa phí giao dịch. Mặc dù công ty đã thực hiện các biện pháp ứng phó khi biết rằng công cụ có lỗ hổng, nhưng do sai sót trong hoạt động nội bộ, họ đã không kịp thời xóa quyền ký của địa chỉ bị ảnh hưởng.

Đối với việc thu hồi vốn, công ty cho biết sẵn sàng cung cấp 10% tiền thưởng cho hacker, khoảng 16 triệu USD. Mặc dù sự cố này do sai sót của nhân viên nội bộ gây ra, nhưng công ty cho biết sẽ không sa thải nhân viên, không thay đổi chiến lược hoặc ngừng hoạt động DeFi.

Tuy nhiên, dữ liệu trên chuỗi cho thấy công ty có khoản nợ DeFi vượt quá 200 triệu USD đối với nhiều đối tác giao dịch, trong đó khoản vay lớn nhất là 92 triệu USD USDT sẽ đến hạn vào tháng 10. Nếu số tiền bị đánh cắp không thể được thu hồi kịp thời, công ty có thể đối mặt với khủng hoảng nợ.

Một lần nữa chịu tổn thất do yếu tố con người

Cần lưu ý rằng đây không phải là lần đầu tiên nhà tạo lập thị trường này chịu thiệt hại do yếu tố con người. Vào tháng 6 năm 2022, khi cung cấp dịch vụ thanh khoản cho một dự án Layer 2, do sai sót trong quản lý địa chỉ, 20 triệu mã thông báo đã bị đánh cắp.

Lúc đó, quỹ dự án Layer 2 đã mời các nhà tạo lập thị trường cung cấp dịch vụ thanh khoản và phân bổ 20 triệu mã thông báo như một khoản trợ cấp tạm thời. Tuy nhiên, địa chỉ nhận mà các nhà tạo lập thị trường cung cấp là địa chỉ đa chữ ký trên mạng chính Ethereum, chứ không phải địa chỉ trên mạng Layer 2. Điều này đã dẫn đến việc các nhà tạo lập thị trường không thể truy cập những mã thông báo này, và tin tặc đã nhân cơ hội triển khai hợp đồng đa chữ ký của riêng họ và kiểm soát những mã thông báo này.

May mắn thay, hacker đã trả lại hầu hết các token, nhà tạo lập thị trường cam kết hoàn trả phần còn lại.

Đề xuất bảo vệ tài sản cá nhân

Xem xét việc các tổ chức thường xuyên chịu thiệt hại lớn do lỗi con người, người dùng cá nhân càng nên chú ý đến an toàn tài sản. Dưới đây là một vài gợi ý:

1. Tránh sử dụng công cụ của bên thứ ba để tạo ví: Công cụ bên thứ ba có thể có rủi ro về an ninh, nên sử dụng ví mã hóa gốc.

2. Cân nhắc sử dụng chữ ký đa: Đối với ví lưu trữ tài sản lớn, chữ ký đa có thể giảm thiểu rủi ro một cách hiệu quả.

3. Xử lý khóa riêng một cách cẩn thận: Không sao chép và dán để lưu giữ khóa riêng, vì các ứng dụng bên thứ ba trên thiết bị có thể có quyền truy cập vào clipboard.

4. Kiểm tra kỹ lưỡng các thao tác ủy quyền: Khi sử dụng các sản phẩm DeFi, hãy xác minh tính xác thực của tên miền trang web và địa chỉ hợp đồng thông minh.

5. Quản lý hạn mức ủy quyền hợp lý: Cố gắng tránh ủy quyền không giới hạn, sau khi sử dụng hãy kịp thời thu hồi các ủy quyền không cần thiết. Có thể quản lý ủy quyền thông qua chức năng kiểm tra phê duyệt token của trình duyệt khối.

Trong thế giới Blockchain, an ninh là vô cùng quan trọng. Do tài sản trên chuỗi khó có thể lấy lại sau khi bị đánh cắp và thường không được pháp luật bảo vệ, người dùng nên đặc biệt cẩn thận khi thực hiện các thao tác trên chuỗi, cố gắng hết sức để bảo vệ an toàn tài sản của mình.