Bảo mật tài sản on-chain gây theo dõi, thị trường tiền điện tử thường xuyên xuất hiện các vụ trộm cắp lớn.
Với sự nổi lên của tài chính phi tập trung ( DeFi ) và token không thể thay thế ( NFT ) cùng với các sản phẩm on-chain khác, tài sản của người dùng đang dần chuyển từ các kênh tập trung truyền thống sang ví phi tập trung, cầu nối đa chuỗi và các nền tảng cho vay. Tuy nhiên, xu hướng này cũng mang đến những rủi ro an ninh mới, các sự cố bị đánh cắp tài sản và dự án on-chain thường xuyên xảy ra, đến mức cộng đồng thường gọi blockchain là "máy rút tiền" của hacker.
Trong các vụ trộm cắp này, vừa có những vấn đề kỹ thuật phát sinh từ lỗ hổng mã, vừa có không ít là do sơ suất của con người. Vào ngày 20 tháng 9, nhà tạo lập thị trường tiền điện tử Wintermute đã gặp phải thiệt hại lớn lên tới 160 triệu USD do sai sót của con người.
Một sai sót nhân tạo tốn kém
Sau khi bị tấn công, người sáng lập công ty đã cho biết trên mạng xã hội rằng, các dịch vụ tài chính phi tập trung và giao dịch ngoài sàn của công ty không bị ảnh hưởng, vốn còn lại vẫn gấp đôi nợ và tiền của khách hàng có thỏa thuận cung cấp dịch vụ với Wintermute vẫn an toàn. Trong số 90 loại tài sản bị tin tặc xâm phạm, chỉ có hai loại có giá trị danh nghĩa vượt quá 1 triệu USD, do đó khả năng xảy ra bán tháo quy mô lớn là không cao. Công ty đang nhanh chóng liên lạc với các bên bị ảnh hưởng.
Công ty an ninh blockchain Salus Security đã nhanh chóng xác định địa chỉ của hacker. Nguồn tài chính của địa chỉ này bao gồm dịch vụ trộn tiền và rút tiền lớn từ nhiều sàn giao dịch. Công ty an ninh phân tích cho rằng, cuộc tấn công có thể liên quan đến việc Wintermute sử dụng công cụ tạo số đẹp Profanity để tạo ví EOA.
Nhà sáng lập Wintermute sau đó thừa nhận, công ty thực sự đã sử dụng Profanity và các công cụ nội bộ để tạo địa chỉ ví vào tháng 6, với mục đích tối ưu hóa phí giao dịch chứ không phải để lấy số đẹp. Sau khi biết rằng Profanity tồn tại lỗ hổng vào tuần trước, công ty đã tăng tốc việc từ bỏ khóa cũ, nhưng do lỗi nội bộ đã gọi nhầm hàm, không thể kịp thời xóa quyền ký của địa chỉ bị ảnh hưởng.
Đối với số tiền bị đánh cắp, người sáng lập cho biết nếu hoàn trả toàn bộ sẽ được thưởng 10%, tức 16 triệu đô la. Ông nhấn mạnh cuộc tấn công này chỉ ảnh hưởng đến kho lưu trữ Ethereum được sử dụng cho giao dịch DeFi on-chain, công ty sẽ không sa thải nhân viên, thay đổi chiến lược, huy động vốn hoặc ngừng hoạt động DeFi.
Tuy nhiên, dữ liệu trên chuỗi cho thấy Wintermute có khoản nợ DeFi hơn 200 triệu USD đối với nhiều đối tác giao dịch, trong đó khoản lớn nhất là khoản vay 92 triệu USD USDT đến hạn vào tháng 10. Nếu số tiền bị đánh cắp không thể được thu hồi kịp thời, công ty có thể phải đối mặt với nguy cơ khủng hoảng nợ.
Wintermute đã mất 20 triệu token do lỗi của con người
Trên thực tế, đây không phải là lần đầu tiên Wintermute chịu tổn thất do yếu tố con người. Vào tháng 6 năm nay, công ty đã mất 20 triệu đồng token do sai sót trong quá trình cung cấp dịch vụ thanh khoản cho một đồng tiền công khai.
Khi đó, Wintermute được mời cung cấp tính thanh khoản cho token của chuỗi công khai này, nhận được 20 triệu token dưới dạng quà tặng tạm thời. Nhưng địa chỉ nhận mà công ty cung cấp là địa chỉ đa chữ ký trên mạng chính Ethereum, không được triển khai trên chuỗi mục tiêu. Do không thể trực tiếp kiểm soát tài sản xuyên chuỗi, Wintermute đã cố gắng triển khai hợp đồng đa chữ ký đến cùng một địa chỉ trên chuỗi mục tiêu, nhưng đã bị kẻ tấn công đi trước một bước.
May mắn thay, hacker đã trả lại 17 triệu mã thông báo, Wintermute hứa hẹn sẽ hoàn trả 2 triệu mã thông báo còn lại. Sự kiện này lại một lần nữa làm nổi bật sự phức tạp và rủi ro của các hoạt động trên chuỗi.
Người dùng cá nhân làm thế nào để tránh rủi ro bị đánh cắp tài sản
Các tổ chức thường xuyên phải chịu tổn thất lớn do sai sót của con người, vậy là người dùng cá nhân, chúng ta nên làm gì để bảo vệ bảo mật tài sản của mình? Dưới đây là một số gợi ý:
Tránh sử dụng công cụ bên thứ ba để tạo ví. Các công cụ như vậy có thể tồn tại lỗ hổng bảo mật và dễ bị giám sát độc hại. Nên kiên trì sử dụng ví mã hóa gốc.
Sử dụng chữ ký đa cho ví tài sản chính. Mặc dù không phù hợp cho giao dịch tần suất cao, nhưng là biện pháp bảo mật hiệu quả cho hầu hết người dùng.
Chớ nên sao chép và dán để lưu trữ khóa riêng. Nhiều thiết bị và ứng dụng có thể đánh cắp nội dung từ clipboard, dẫn đến việc lộ khóa riêng.
Kiểm tra kỹ địa chỉ hợp đồng khi thực hiện các thao tác ủy quyền. Phòng ngừa các trang web lừa đảo và giao diện bị hack.
Hạn chế số tiền được ủy quyền và kịp thời thu hồi ủy quyền không sử dụng. Ủy quyền không giới hạn có thể mang lại rủi ro tiềm ẩn, sau khi sử dụng nên kịp thời thu hồi.
Tài sản trên blockchain một khi bị đánh cắp khó có thể thu hồi và thường không được pháp luật bảo vệ. Người dùng nên luôn cảnh giác, thực hiện các biện pháp cần thiết để bảo vệ bảo mật tài sản của mình. Khi thực hiện các thao tác on-chain, càng cần phải hành động cẩn thận, giảm thiểu rủi ro.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
8 thích
Phần thưởng
8
6
Chia sẻ
Bình luận
0/400
FOMOmonster
· 6giờ trước
Lại là một sai sót do con người? Hãy chú ý hơn một chút nhé mọi người.
Xem bản gốcTrả lời0
WalletWhisperer
· 6giờ trước
Thấy có người lại bị Được chơi cho Suckers rồi, không dễ dàng gì.
Xem bản gốcTrả lời0
rugpull_ptsd
· 6giờ trước
Đã nói là dùng ví cứng, ai sẽ gánh trách nhiệm này?
Xem bản gốcTrả lời0
StakeOrRegret
· 6giờ trước
Lại là đồ ngốc mới cống hiến, Ví tiền cũng không biết giữ.
Xem bản gốcTrả lời0
StrawberryIce
· 6giờ trước
Lại bắt đầu rút tiền rồi, chuyên nghiệp luôn nhiều hơn nhân viên hỗ trợ.
Xem bản gốcTrả lời0
DeFiVeteran
· 6giờ trước
Cuộc sống thật kỳ diệu, chơi đùa với mọi người một phen.
Wintermute遭1.6亿美元 Hacker tấn công, sai sót của con người khiến bảo mật tài sản trên chuỗi reo cảnh báo một lần nữa.
Bảo mật tài sản on-chain gây theo dõi, thị trường tiền điện tử thường xuyên xuất hiện các vụ trộm cắp lớn.
Với sự nổi lên của tài chính phi tập trung ( DeFi ) và token không thể thay thế ( NFT ) cùng với các sản phẩm on-chain khác, tài sản của người dùng đang dần chuyển từ các kênh tập trung truyền thống sang ví phi tập trung, cầu nối đa chuỗi và các nền tảng cho vay. Tuy nhiên, xu hướng này cũng mang đến những rủi ro an ninh mới, các sự cố bị đánh cắp tài sản và dự án on-chain thường xuyên xảy ra, đến mức cộng đồng thường gọi blockchain là "máy rút tiền" của hacker.
Trong các vụ trộm cắp này, vừa có những vấn đề kỹ thuật phát sinh từ lỗ hổng mã, vừa có không ít là do sơ suất của con người. Vào ngày 20 tháng 9, nhà tạo lập thị trường tiền điện tử Wintermute đã gặp phải thiệt hại lớn lên tới 160 triệu USD do sai sót của con người.
Một sai sót nhân tạo tốn kém
Sau khi bị tấn công, người sáng lập công ty đã cho biết trên mạng xã hội rằng, các dịch vụ tài chính phi tập trung và giao dịch ngoài sàn của công ty không bị ảnh hưởng, vốn còn lại vẫn gấp đôi nợ và tiền của khách hàng có thỏa thuận cung cấp dịch vụ với Wintermute vẫn an toàn. Trong số 90 loại tài sản bị tin tặc xâm phạm, chỉ có hai loại có giá trị danh nghĩa vượt quá 1 triệu USD, do đó khả năng xảy ra bán tháo quy mô lớn là không cao. Công ty đang nhanh chóng liên lạc với các bên bị ảnh hưởng.
Công ty an ninh blockchain Salus Security đã nhanh chóng xác định địa chỉ của hacker. Nguồn tài chính của địa chỉ này bao gồm dịch vụ trộn tiền và rút tiền lớn từ nhiều sàn giao dịch. Công ty an ninh phân tích cho rằng, cuộc tấn công có thể liên quan đến việc Wintermute sử dụng công cụ tạo số đẹp Profanity để tạo ví EOA.
Nhà sáng lập Wintermute sau đó thừa nhận, công ty thực sự đã sử dụng Profanity và các công cụ nội bộ để tạo địa chỉ ví vào tháng 6, với mục đích tối ưu hóa phí giao dịch chứ không phải để lấy số đẹp. Sau khi biết rằng Profanity tồn tại lỗ hổng vào tuần trước, công ty đã tăng tốc việc từ bỏ khóa cũ, nhưng do lỗi nội bộ đã gọi nhầm hàm, không thể kịp thời xóa quyền ký của địa chỉ bị ảnh hưởng.
Đối với số tiền bị đánh cắp, người sáng lập cho biết nếu hoàn trả toàn bộ sẽ được thưởng 10%, tức 16 triệu đô la. Ông nhấn mạnh cuộc tấn công này chỉ ảnh hưởng đến kho lưu trữ Ethereum được sử dụng cho giao dịch DeFi on-chain, công ty sẽ không sa thải nhân viên, thay đổi chiến lược, huy động vốn hoặc ngừng hoạt động DeFi.
Tuy nhiên, dữ liệu trên chuỗi cho thấy Wintermute có khoản nợ DeFi hơn 200 triệu USD đối với nhiều đối tác giao dịch, trong đó khoản lớn nhất là khoản vay 92 triệu USD USDT đến hạn vào tháng 10. Nếu số tiền bị đánh cắp không thể được thu hồi kịp thời, công ty có thể phải đối mặt với nguy cơ khủng hoảng nợ.
Wintermute đã mất 20 triệu token do lỗi của con người
Trên thực tế, đây không phải là lần đầu tiên Wintermute chịu tổn thất do yếu tố con người. Vào tháng 6 năm nay, công ty đã mất 20 triệu đồng token do sai sót trong quá trình cung cấp dịch vụ thanh khoản cho một đồng tiền công khai.
Khi đó, Wintermute được mời cung cấp tính thanh khoản cho token của chuỗi công khai này, nhận được 20 triệu token dưới dạng quà tặng tạm thời. Nhưng địa chỉ nhận mà công ty cung cấp là địa chỉ đa chữ ký trên mạng chính Ethereum, không được triển khai trên chuỗi mục tiêu. Do không thể trực tiếp kiểm soát tài sản xuyên chuỗi, Wintermute đã cố gắng triển khai hợp đồng đa chữ ký đến cùng một địa chỉ trên chuỗi mục tiêu, nhưng đã bị kẻ tấn công đi trước một bước.
May mắn thay, hacker đã trả lại 17 triệu mã thông báo, Wintermute hứa hẹn sẽ hoàn trả 2 triệu mã thông báo còn lại. Sự kiện này lại một lần nữa làm nổi bật sự phức tạp và rủi ro của các hoạt động trên chuỗi.
Người dùng cá nhân làm thế nào để tránh rủi ro bị đánh cắp tài sản
Các tổ chức thường xuyên phải chịu tổn thất lớn do sai sót của con người, vậy là người dùng cá nhân, chúng ta nên làm gì để bảo vệ bảo mật tài sản của mình? Dưới đây là một số gợi ý:
Tránh sử dụng công cụ bên thứ ba để tạo ví. Các công cụ như vậy có thể tồn tại lỗ hổng bảo mật và dễ bị giám sát độc hại. Nên kiên trì sử dụng ví mã hóa gốc.
Sử dụng chữ ký đa cho ví tài sản chính. Mặc dù không phù hợp cho giao dịch tần suất cao, nhưng là biện pháp bảo mật hiệu quả cho hầu hết người dùng.
Chớ nên sao chép và dán để lưu trữ khóa riêng. Nhiều thiết bị và ứng dụng có thể đánh cắp nội dung từ clipboard, dẫn đến việc lộ khóa riêng.
Kiểm tra kỹ địa chỉ hợp đồng khi thực hiện các thao tác ủy quyền. Phòng ngừa các trang web lừa đảo và giao diện bị hack.
Hạn chế số tiền được ủy quyền và kịp thời thu hồi ủy quyền không sử dụng. Ủy quyền không giới hạn có thể mang lại rủi ro tiềm ẩn, sau khi sử dụng nên kịp thời thu hồi.
Tài sản trên blockchain một khi bị đánh cắp khó có thể thu hồi và thường không được pháp luật bảo vệ. Người dùng nên luôn cảnh giác, thực hiện các biện pháp cần thiết để bảo vệ bảo mật tài sản của mình. Khi thực hiện các thao tác on-chain, càng cần phải hành động cẩn thận, giảm thiểu rủi ro.