1,4 tỷ USD bị đánh cắp: thực trạng báo động các lỗ hổng cầu nối blockchain

Ngọc Diệp| 11/08/2022 23:12
Theo dõi ICTVietnam trên

Theo số liệu từ công ty nghiên cứu Chainalysis, từ đầu năm tới nay đã có tổng cộng khoảng 1,4 tỷ USD đã bị đánh cắp do các vi phạm liên quan tới cầu nối blockchain.

Các vụ tấn công cầu nối blockchain gây thiệt hại 1,4 tỷ USD

Các nhà đầu tư tiền điện tử đã bị ảnh hưởng nặng nề trong năm nay bởi các vụ tấn công và lừa đảo. Trong đó, tấn công cầu nối blockchain là một vũ khí lợi hại được tội phạm mạng lựa chọn để đánh cắp tiền điện tử trong năm 2022.

Cầu nối trong blockchain là một mắt xích ngày càng quan trọng trong hệ thống tiền điện tử. Nó cho phép các mã thông báo (token) được thiết kế cho một chuỗi khối có thể chuyển giao và sử dụng được trên một chuỗi khối khác. Công cụ này có thể giúp người dùng loại bỏ được nhiều hạn chế của một số mạng lưới hiện tại như giảm chi phí, tăng tốc độ giao dịch, tìm kiếm cơ hội giao dịch dễ dàng hơn,... Chính vì vậy, chúng được giới tin tặc xem là "những con đường màu mỡ" để khai thác lỗ hổng và đánh cắp tiền điện tử mã hóa.

Gần đây, ngày càng có nhiều vụ đánh cắp tiền điện tử xảy ra trong khi cầu nối blockchain đang tồn tại nhiều điểm yếu về bảo mật và thường xuyên bị tin tặc khai thác nhằm chiếm đoạt hàng tỷ USD. Điều đó đã khiến các chuyên gia đặt nghi vấn về tính bảo mật cũng như độ an toàn của các cầu nối trong blockchain.

Theo dữ liệu từ công ty nghiên cứu Chainalysis, kể từ đầu năm đến nay, những điểm yếu của các cầu nối trong công nghệ blockchain đã gây thiệt hại khoảng 1,4 tỷ USD. Trong đó, vụ tin tặc đánh cắp 625 triệu USD từ mạng Ronin của Axie Infinity, mạng lưới blockchain kết nối game Axie Infinity với Ethereum, là vụ tấn công "tài chính phi tập trung" lớn nhất trong lịch sử tiền số và trò chơi trực tuyến.

1,4 tỷ USD bị đánh cắp: thực trạng báo động các lỗ hổng cầu nối blockchain - Ảnh 1.

Các vụ tấn công liên quan cầu nối blockchain trong năm 2022 (tính đến ngày 2/8)

Ngoài ra, một vụ trộm nổi bật khác là việc 320 triệu USD bị "cuỗm" khỏi Wormhole (dùng trong ứng dụng tài chính phi tập trung), một cầu tiền điện tử được hỗ trợ bởi công ty giao dịch Jump Trading ở Phố Wall.

Vào tháng 6 vừa qua, cầu nối Horizon của Harmony cũng bị hack mất 100 triệu USD. Ngay đầu tháng 8, tin tặc đã khai thác lỗ hổng trên cầu nối Nomad, đánh cắp 190 triệu USD khỏi ví điện tử và chỉ để lại 651,54 USD. Đây là cuộc tấn công lớn thứ 8 trong lịch sử tiền số, đồng thời là vụ trộm thứ 7 kể từ đầu năm đến nay. Theo đó, tin tặc đã loại bỏ token blockchain một cách bất thường khi những mã bị bỏ đều có mệnh giá tương đương, ví dụ giao dịch có giá trị chính xác 202.440,725413 được thực hiện hơn 200 lần. Không giống các vụ khai thác lỗ hổng vốn ngày càng phổ biến trong năm 2022, sự cố lần này có tới hàng trăm địa chỉ nhận token trực tiếp từ cầu nối.

Nomad là cầu nối token cho phép chuyển mã thông báo qua lại giữa các hệ sinh thái và giao thức khác nhau như Avalanche (AVAX), ethereum (ETH), Evmos (EVMOS), Milkomeda C1 và Moonbeam (GLMR).

Nomad cho biết công ty này đang làm việc với các cơ quan thực thi pháp luật và một công ty phân tích blockchain để theo dõi các khoản tiền bị đánh cắp.

Ông Steve Bassi, người đồng sáng lập và là Giám đốc điều hành của chương trình phát hiện phần mềm độc hại PolySwarm, cho biết: "Các cầu nối trong blockchain chính là mảnh đất màu mỡ nhất để khai phá các lỗ hổng bảo mật".

Tom Robinson, đồng sáng lập và nhà khoa học trưởng tại công ty phân tích blockchain Elliptic, cho biết trong một cuộc phỏng vấn: "Những cầu nối này đã bị tin tặc xâm phạm theo nhiều cách khác nhau, cho thấy mức độ bảo mật của chúng không theo kịp giá trị tài sản mà chúng nắm giữ".

Việc khai thác cầu nối trong blockchain đang diễn ra với tốc độ đáng kinh ngạc. Dữ liệu của Chainalysis cho thấy số tiền bị đánh cắp trong các vụ trộm liên quan tới cầu nối blockchain chiếm 69% tổng số tiền bị đánh cắp trong các vụ tấn công tiền điện tử từ đầu năm 2022 đến nay.

Tại sao cầu nối blockchainlại bị tấn công

Cầu nối dễ bị nằm trong tầm ngắm khi giá trị của các token đi qua chúng tăng lên. Hiện tại, có hàng nghìn blockchain khác nhau với lợi thế riêng như phí giao dịch thấp hơn hay ứng dụng phong phú. Với sự đa dạng trong mạng lưới, các nhà đầu tư có thể dễ dàng nhảy từ chuỗi này sang chuỗi khác để kiếm lợi nhuận và cũng làm tăng rủi ro bị tấn công hơn.

Jess Symington, trưởng nhóm nghiên cứu tại công ty phân tích blockchain Elliptic cho biết các cây cầu "duy trì tính thanh khoản lớn", khiến chúng trở thành "mục tiêu hấp dẫn đối với hacker".

Sự an toàn của cầu Horizon được đặt trên một ví "multisig" chỉ yêu cầu hai chữ ký để xác thực và bắt đầu giao dịch. Một số nhà nghiên cứu suy đoán vi phạm là kết quả của một "sự xâm phạm khóa riêng tư", trong đó tin tặc lấy được mật khẩu để truy cập vào.

Theo các chuyên gia, các cây cầu đã trở thành mục tiêu chính của tin tặc do các lỗ hổng trong mã cơ bản của chúng. Ví dụ: vụ tấn công cầu Harmony của Horizon xảy ra do số lượng trình xác thực được yêu cầu để phê duyệt giao dịch có giới hạn. Cụ thể, sự an toàn của cầu Horizon được đặt trên một ví "multisig" chỉ yêu cầu hai chữ ký để xác thực và bắt đầu giao dịch. Một số nhà nghiên cứu suy đoán vi phạm là kết quả của một "sự xâm phạm khóa riêng tư", trong đó tin tặc chỉ cần xâm nhập hai trong tổng số năm tài khoản để lấy được mật khẩu cần thiết cho việc rút tiền.

Tình huống tương tự cũng xảy ra với cầu Ronin. Sau khi xâm phạm 5 trong số 9 node xác thực, kẻ tấn công có thể ghi đè một cách hiệu quả bất kỳ bảo mật giao dịch nào và rút bất kỳ khoản tiền nào chúng thích.

Trong trường hợp của Nomad, chiếc cầu này đơn giản hơn và dễ dàng bị tin tặc thao túng. Những kẻ tấn công có thể nhập bất kỳ giá trị nào vào hệ thống và sau đó rút tiền, ngay cả khi không có đủ tài sản gửi vào cầu. Theo Elliptic, tin tặc không cần nắm được các kỹ năng lập trình đặc biệt.

Hồi cuối tuần trước, Nomad công bố sẽ thưởng lên đến 10% cho tin tặc hoàn trả số tiền đánh cắp từ cầu nối. Thông báo ngày 6/8 của Nomad cho biết công ty này đã thu lại được hơn 32 triệu USD trong tổng số tiền bị đánh cắp.

Giám đốc điều hành của Nomad - ông Pranay Mohan, cho biết: "Điều quan trọng nhất trong hệ thống tiền điện tử là cộng đồng và mục tiêu số 1 của chúng tôi là khôi phục quỹ người dùng bắc cầu. Chúng tôi sẽ thưởng cho tin tặc hoàn trả tối thiểu 90% số tiền đã đánh cắp và chúng tôi sẽ không tiến hành truy tố về vấn đề này".

Để khắc phục các sự cố liên quan tới cầu nối trong hệ thống tiền điện tử, một số chuyên gia cho rằng việc kiểm tra kỹ lưỡng các hợp đồng giao dịch thông minh có thể giúp đề phòng vấn nạn tin tặc, cũng như phát động các chương trình "tặng tiền thưởng khi phát hiện lỗi" nhằm khuyến khích công tác đánh giá mở rộng về mã hợp đồng thông minh.

Những ý kiến khác lại kêu gọi nới lỏng kiểm soát các cầu nối trong blockchain do các công ty riêng lẻ phát triển, do điều này có thể thúc đẩy khả năng phục hồi và tính minh bạch của mã giao dịch./.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Vượt qua hơn 1.000 doanh nghiệp, Bưu điện Việt Nam đạt giải Thương hiệu Quốc gia 2024
    Đây là lần thứ 2 liên tiếp Bưu điện Việt Nam vinh dự nhận giải thưởng danh giá này bởi những thành tựu lớn trong lĩnh vực logistics, bưu chính chuyển phát tại Việt Nam và Quốc tế.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
  • Zalo giữ vững ngôi đầu nền tảng nhắn tin được yêu thích nhất
    Ngày 5/11, theo báo cáo “The Connected Consumer Q.III/2024” mới nhất do Decision Lab công bố, Zalo tiếp tục dẫn đầu các nền tảng nhắn tin tại Việt Nam về tỷ lệ sử dụng (renetration rate) và mức độ yêu thích (preference rate).
  • Triển vọng thị trường chữ ký số toàn cầu
    Thị trường chữ ký số toàn cầu đang có ​​sự tăng trưởng chưa từng có khi các doanh nghiệp và cá nhân ngày càng áp dụng các giải pháp số để xác thực tài liệu và giao dịch an toàn.
  • ĐMST mở xã hội mang lại cho 90% doanh nghiệp cơ hội tạo giá trị kinh doanh bền vững
    Theo bà Nguyễn Phương Linh, Viện trưởng Viện MSD, hơn 90% các doanh nghiệp cho rằng đổi mới sáng tạo (ĐMST) mở xã hội mang lại cho doanh nghiệp cơ hội tạo ra giá trị kinh doanh bền vững, tác động tích cực đến xã hội và môi trường.
  • ‏FPT đẩy mạnh phát triển giải pháp low-code tại thị trường Hàn Quốc‏
    ‏Mới đây, FPT vừa ký kết thỏa thuận hợp tác ba năm với OutSystems, chính thức trở thành đối tác phân phối và triển khai tại thị trường Hàn Quốc, đảm bảo thời gian ra mắt phần mềm của khách hàng được rút ngắn và tối ưu chi phí.
1,4 tỷ USD bị đánh cắp: thực trạng báo động các lỗ hổng cầu nối blockchain
POWERED BY ONECMS - A PRODUCT OF NEKO