Đọc hiểu cuộc tấn công đúc tiền vô hạn trong một bài viết

Bản chất, ý tưởng cốt lõi của Web3 là loại bỏ sự can thiệp từ các tổ chức trung tâm, để giao dịch trở nên tự do hơn. Lý do mà các tổ chức trung tâm có thể tham gia giao dịch truyền thống đến mức lớn là vì chúng có thể đảm bảo an toàn cho cả hai bên giao dịch và tài sản của họ. Mặc dù Web3 có mức độ an toàn cao hơn ở điểm này, nhưng nó vẫn tồn tại một số rủi ro.

Tiền điện tử mang đến một cách mới để chuyển giao tài sản, nhưng cũng đồng thời mang đến những rủi ro mới. Cuộc tấn công không giới hạn tiền tệ là một phương pháp đổi mới và cực kỳ phá hoại.

Qua phương thức tấn công này, Hacker đã đánh cắp hàng triệu đô la từ nhiều dự án mã hóa và nhiều dự án vẫn chưa hoàn toàn phục hồi. Để giải quyết vấn đề này, chúng ta cần hiểu nguyên lý và cách thức hoạt động của cuộc tấn công tạo ra tiền ảo vô hạn, cũng như cách thực hiện các biện pháp phòng ngừa tương ứng.

###Điều gì là cuộc tấn công đúc tiền vô hạn?

Phi tập trung金融（Tài chính phi tập trung）giao thức通常是无限铸币攻击的主要目标。Tài chính phi tập trung项目依靠Hợp đồng thông minh来实现自动化管理，而这些合约是Mã nguồn mở的，这意味着任何人都能查看其代码。如果合约编写不当或安全性不足，Hacker很容易找到其中的漏洞并加以利用。

Trong khi thực hiện cuộc tấn công đúc tiền vô hạn, Hacker sẽ tận dụng lỗ hổng trong hợp đồng để thay đổi chức năng đúc tiền của dự án. Chức năng đúc tiền là trách nhiệm điều khiển số lượng Token, trong khi Hacker sẽ thông qua cuộc tấn công, yêu cầu hợp đồng đúc ra các Token mới vượt quá giới hạn, dẫn đến giá trị Token giảm mạnh.

Tốc độ của việc đang đúc Token không giới hạn rất nhanh. Trong quá trình tấn công, Hacker nhanh chóng xâm nhập vào hệ thống, sửa đổi hợp đồng đúc ra đồng tiền mới, sau đó nhanh chóng bán phá giá những đồng tiền này. Thông thường, họ sẽ đổi đồng tiền thành BTC (BTC) hoặc stablecoin (USDC) và các tài sản có giá trị khác. Thông qua việc lặp lại các hoạt động, khi thị trường phản ứng, Hacker đã lợi nhuận, trong khi giá trị của Token gần như không còn giá trị.

###Tấn công đúc tiền vô hạn hoạt động như thế nào?

Hacker trong quá trình tiến hành cuộc tấn công đúc tiền vô hạn thường rất nhanh và chính xác。Thời gian thực hiện cuộc tấn công phụ thuộc vào tình trạng tắc nghẽn mạng và thời gian phản hồi của nền tảng, tuy nhiên cuộc tấn công có thể được hoàn thành trong vài phút. Cuộc tấn công đúc tiền vô hạn thường có bốn bước chính:

1. Phát hiện lỗ hổng

Để tấn công thành công, dự án phải có lỗ hổng, và Hacker rất rõ ràng về nơi tìm kiếm lỗ hổng - tức là hợp đồng thông minh. Hợp đồng thông minh là yếu tố quan trọng trong việc thực hiện tự động của dự án Phi tập trung, không cần sự can thiệp của bên thứ ba.

Do not modify or add formatting of the original text, such as paragraphs, line breaks, special symbols, etc.

2. Sử dụng lỗ hổng

Hacker thường tìm kiếm lỗ hổng trong chức năng đúc đồng trong hợp đồng thông minh. Một khi họ tìm thấy, họ sẽ thiết lập giao dịch cụ thể, vượt qua các kiểm tra và hạn chế tiêu chuẩn trong hợp đồng, từ đó đúc ra lượng Token vượt quá 01928374656574839201.

Giao dịch được xây dựng này có thể thực hiện chức năng cụ thể, điều chỉnh tham số, hoặc tận dụng mối liên hệ không biết giữa mã.

3. đang đúc并bán phá giá

Sau khi Hợp đồng thông minh bị Hacker tấn công, Hacker có thể tự do đúc Token mới và bán phá giá Token này nhanh chóng.

Một lượng lớn Token mới đang tràn vào thị trường, thường thì hacker sẽ nhanh chóng đổi chúng sang stablecoin. Trong quá trình này, giá trị của Token sẽ giảm nhanh chóng.

4. Nhận lợi nhuận

Sau khi Token giảm giá, Hacker có lợi từ bước cuối cùng của cuộc tấn công đúc Token vô hạn. Mặc dù Token đã mất phần lớn giá trị của nó vào thời điểm đó, nhưng sự điều chỉnh trên thị trường diễn ra chậm, Hacker sẽ tận dụng trước phản ứng của thị trường để đổi những Token gần như vô giá thành stablecoin và thu lợi từ đó.

在这一步，Hacker获利的方式可通过多种方式进行，如在市场反应前高价bán phá giáToken；在不同平台上找到尚未调整的价格进行出售以获得Kinh doanh chênh lệch giá；也可以通过兑换新đúc的Token来耗尽流动性池的现有资产。

Nguồn: pexels

###Trường hợp thực tế của cuộc tấn công không giới hạn tiền ảo

Với sự phổ biến của Web3, đặc biệt là sự nổi lên của BTC, các vụ tấn công cũng tăng lên; sự kiện đáng chú ý đầu tiên được theo dõi là vụ tấn công của Hacker vào năm 2011 Mg.Gox Từ đó, các phương pháp tấn công trở nên ngày càng phức tạp, ngay cả việc tấn công vô hạn đồng xu cũng đã xuất hiện. Dưới đây là những trường hợp liên quan của nó:

####Tấn công giao thức Cover

Cover giao thức là một dự án DeFi, nhằm mục đích cung cấp bảo hiểm cho các dự án DeFi khác trong trường hợp lỗ hỏng hợp đồng thông minh, tấn công, v.v. Vào tháng 12 năm 2020, họ đã trải qua một vụ tấn công sản xuất coin vô hạn, Hacker đã đánh cắp 1 triệu DAI, 1400 ETH và 90 WBTC, tổng cộng hơn 4 triệu USD.

Kẻ tấn công đã sử dụng lỗ hổng trong hợp đồng thông minh của Cover để đào ra một lượng lớn Token. Bằng cách tận dụng lỗ hổng trong quản lý bộ nhớ và lưu trữ trong ngôn ngữ lập trình, Hacker đã thành công đào ra 40 nghìn tỷ COVER Token và bán phá giá Token trị giá 5 triệu đô la trong thời gian ngắn. Giá trị của COVER Token đã giảm 75% trong vòng 24 giờ.

Vài giờ sau, một người tên là Grap Finance, một 白帽Hacker đã thông qua mạng xã hội X đã công bố chịu trách nhiệm về vụ tấn công này và tuyên bố tất cả các quỹ đã được trả lại.

####Tấn công mạng PAID

Mạng lưới PAID.) là một nền tảng tài chính Phi tập trung nhằm đơn giản hóa việc soạn thảo hợp đồng. Nó sử dụng công nghệ blockchain để tự động hóa và đơn giản hóa quá trình soạn thảo hợp đồng pháp lý và thương mại giao thức. Đầu năm 2021, mạng lưới PAID đã bị Hacker tấn công. Hacker đã khai thác lỗ hổng trong hợp đồng đúc Token của mạng lưới PAID, đào ra một lượng lớn Token và thành công đổi 250 triệu Token thành Ethereum.

Cuộc tấn công này đã khiến mạng Paid mất 180 triệu đô la và giá trị Token giảm 85%. Một số người dùng đã có nghi ngờ và cho rằng đây là một trò lừa đảo tự chủ động. Sau đó, mạng Paid đã bồi thường cho tất cả người dùng bị ảnh hưởng và làm rõ các nghi ngờ liên quan.

####Tấn công cầu BNB

Cầu BNB cho phép người dùng thực hiện giao dịch chuỗi cross, thông qua đó, người dùng có thể chuyển tài sản từ chuỗi Binance Smart Chain sang chuỗi Binance Smart Chain (BSC). Vào tháng 10 năm 2022, cầu này đã trải qua một cuộc tấn công đúc token vô hạn. Hacker đã tận dụng lỗ hổng hợp đồng để đúc ra 200 triệu token BNB trị giá khoảng 5,66 tỷ USD.

Hacker đang đúc trực tiếp những BNB này vào Ví tiền của họ, nhưng họ không đổi Token này và cũng không chuyển nó ra khỏi nền tảng Binance, thay vào đó sử dụng BNB làm tài sản thế chấp để nhận khoản vay và gửi khoản vay đó đến một mạng lưới khác. May mắn thay, cuộc tấn công này đã bị Người xác thực của Binance kịp thời ngăn chặn, trong khi chuỗi thông minh phải tạm dừng hoạt động.

####Tấn công Ankr

(https://kriptomat.io/cryptocurrency-prices/ankr-price/what-is/#:~:text=Ankr%20was%20founded,ANKR%20Web3%20platform.)là một cơ sở hạ tầng dựa trên chuỗi Khối và có tính năng DeFi, với mục tiêu thúc đẩy sự phát triển của Web3. Trong[Ankr]2022 Trong năm 2022, Ankr đã bị tấn công bởi hacker. Hacker đã có được khóa riêng của nhà phát triển và nâng cấp hợp đồng thông minh, cho phép tạo ra 6 nghìn tỷ mã thông báo aBNBc. Sau đó, hacker đã hoán đổi chúng thành khoảng 5 triệu USDC. Cuộc tấn công này đã gây thiệt hại 5 triệu đô la cho Ankr và làm tạm dừng rút tiền ở sàn Binance.

###Làm thế nào để phòng chống cuộc tấn công đúc tiền vô hạn?

Trong quá trình phát triển dự án mã hóa, các nhà phát triển nên đặt an ninh lên hàng đầu. Với sự phát triển nhanh chóng của nền kinh tế Phi tập trung, các ý tưởng sáng tạo đa dạng, và phương pháp tấn công của Hacker cũng ngày càng tinh vi. Do đó, phòng ngừa quan trọng hơn là sửa chữa.

Nhà phát triển cần thực hiện nhiều biện pháp để ngăn chặn các hành vi Hacker như tấn công đúc tiền vô hạn. Trước tiên, bảo mật Hợp đồng thông minh cần được đảm bảo thông qua việc thực hiện kiểm tra định kỳ (https://cointelegraph.com/learn/what-is-a-smart-contract-security-audit-a-beginners-guide). Kiểm tra định kỳ là quá trình kiểm tra xem mã Hợp đồng thông minh có tồn tại lỗ hổng bảo mật hay không, tốt nhất nên được thực hiện bởi các chuyên gia bảo mật bên thứ ba thay vì dựa vào kiểm tra nội bộ.

Thứ hai, hãy hạn chế nghiêm ngặt quyền truy cập vào việc đúc tiền. Nếu có quá nhiều người có thể kiểm soát chức năng đúc tiền, dự án sẽ dễ bị xâm nhập và lạm dụng hơn. Việc sử dụng Ví tiền đa chữ ký là một biện pháp an ninh hiệu quả khác, vì Ví tiền đa chữ ký yêu cầu nhiều Khóa riêng để truy cập vào tài khoản, từ đó tăng cường đáng kể tính an toàn.

Cuối cùng, các dự án nên coi trọng việc giám sát và giao tiếp thời gian thực. Bằng việc trang bị hệ thống giám sát tiên tiến, các dự án có thể phản ứng ngay lập tức khi có dấu hiệu bất thường. Ngoài ra, duy trì liên lạc chặt chẽ với sàn giao dịch, các dự án khác và cộng đồng mã hóa có thể giúp dự án dự đoán kịp thời các mối đe dọa tiềm ẩn và lập kế hoạch phòng ngừa.

###mã hóa世界中的Hợp đồng thông minh安全未来

Với sự phổ biến của hợp đồng thông minh, các quy định pháp lý và tiêu chuẩn an ninh liên quan đến việc sử dụng hợp đồng thông minh cũng cần được hoàn thiện liên tục. Trong bối cảnh hiện tại, chúng tôi đặc biệt theo dõi vấn đề 'an ninh' của hợp đồng thông minh để đảm bảo người dùng không gặp thiệt hại do lỗ hổng. Đầu tiên, bên dự án nên thực hiện các biện pháp an ninh cần thiết, có thể tuân thủ các bước phòng ngừa được đề cập trước đây. Tuy nhiên, thực tế là, luật pháp hiện hành liên quan đến hợp đồng thông minh vẫn chưa hoàn chỉnh, và một số dự án có thể bỏ qua các khuyến nghị được đề cập trong bài viết này. Trong trường hợp này, chúng ta sẽ làm thế nào để đối phó với vấn đề này?

Hợp đồng thông minh作为一种新兴技术，尚处于法律框架制定的边缘地带。现阶段，最值得theo dõi的两个问题是合约的可执行性和管辖权。Hợp đồng thông minh存在于区块链上，旨在服务Phi tập trung经济，那么法律能否对其施加约束呢？虽然已经有一些Tài sản tiền điện tử相关的法律和诉讼案例，但针对Hợp đồng thông minh的法律讨论仍不足。

Một vấn đề khác về 管辖权 là sự khác biệt về luật pháp của các quốc gia. Một hành vi hợp pháp ở Mỹ có thể là bất hợp pháp ở Anh. Để giải quyết những vấn đề này, hợp đồng thông minh cần được củng cố trong mặt an ninh. Các chuyên gia về Blockchain và các nhà lãnh đạo pháp lý cần hợp tác để đạt được Nhận thức chung thống nhất.

Hiện nay, vẫn còn hy vọng lớn để thấy sự cải thiện. Vào năm 2023, trong lĩnh vực Tài chính phi tập trung (DeFi), số lượng Hacker tấn công giảm hơn 50%。Nếu có thể thiết lập và thực thi các quy định tương ứng, số vụ tấn công Hacker trên toàn cầu sẽ tiếp tục giảm.

###Kết luận

Nhìn chung, tấn công đúc token vô tận là nhanh chóng và có chiến lược, một khi Hacker tiến hành tấn công, họ có thể đúc ra hàng triệu token trong vài phút. Tuy nhiên, bằng cách thực hiện các biện pháp bảo mật thích hợp, Bên dự án có thể hiệu quả ngăn chặn những cuộc tấn công này.

Trong tương lai, vẫn cần hoàn thiện khung pháp lý để bảo vệ lợi ích của Bên dự án và người dùng khỏi các cuộc tấn công vô hạn của việc đúc tiền. Hiện tại, các dự án DeFi cần duy trì ý thức an ninh cao và luôn cảnh giác với các mối đe dọa tiềm tàng.