Với sự phổ biến của các ứng dụng blockchain như tài chính phi tập trung và token không thể thay thế, tài sản của người dùng dần chuyển từ các kênh trung tâm truyền thống sang các nền tảng ví phi tập trung, cầu nối chuỗi chéo và sản phẩm cho vay. Tuy nhiên, các sự cố tài sản bị đánh cắp trên chuỗi thường xuyên xảy ra, khiến blockchain bị gọi vui là "máy rút tiền của hacker".
Một số sự cố an ninh này xuất phát từ lỗ hổng mã, nhưng cũng có không ít là do yếu tố con người gây ra. Ví dụ, gần đây một nhà tạo lập thị trường tiền điện tử đã mất 160 triệu USD do sai sót trong thao tác.
Thiệt hại tài sản khổng lồ xuất phát từ lỗi con người đơn giản
Sau sự cố, nhà tạo lập thị trường này cho biết các dịch vụ tài chính tập trung và giao dịch ngoài sàn của họ không bị ảnh hưởng, khả năng thanh toán vẫn gấp hai lần vốn cổ phần còn lại. Đối với những người dùng có thỏa thuận tạo lập thị trường với họ, bảo mật tài sản là đảm bảo. Trong 90 tài sản bị tin tặc xâm nhập, chỉ có hai tài sản có giá trị vượt quá 1 triệu USD, vì vậy không có khả năng gây ra sự bán tháo lớn.
Công ty an ninh phân tích phát hiện rằng địa chỉ hacker có liên quan đến Tornado Cash và một số giao dịch rút tiền tại các sàn giao dịch. Khoảng 73% số tiền bị đánh cắp là stablecoin, 8% là WBTC, 6% là ETH. Kẻ tấn công đã gửi 114 triệu USD vào một dự án để cung cấp thanh khoản.
Cuộc điều tra sau đó cho thấy nguyên nhân bị đánh cắp có thể là do sử dụng công cụ tạo địa chỉ có lỗ hổng. Nhà tạo lập thị trường này thừa nhận đã sử dụng loại công cụ này để tối ưu hóa phí giao dịch, chứ không phải để tạo địa chỉ đẹp. Mặc dù đã biết công cụ này có lỗ hổng từ tuần trước và bắt đầu ngừng sử dụng khóa cũ, nhưng do lỗi nội bộ đã gọi sai hàm, nên không kịp xóa quyền ký của địa chỉ bị ảnh hưởng.
Đối với tiền bị đánh cắp, nhà tạo lập thị trường cho biết sẵn sàng trả 10% tiền thưởng để thu hồi. Mặc dù sự cố này do lỗi của nhân viên nội bộ gây ra, nhưng công ty sẽ không sa thải nhân viên, thay đổi chiến lược hoặc tạm ngừng các hoạt động liên quan.
Tuy nhiên, dữ liệu trên chuỗi cho thấy nhà tạo lập thị trường này có khoản nợ tài chính phi tập trung đối với nhiều đối tác giao dịch vượt quá 200 triệu USD, trong đó khoản lớn nhất là khoản vay stablecoin 92 triệu USD sẽ đến hạn vào tháng 10. Nếu số tiền bị đánh cắp không được thu hồi kịp thời, công ty có thể đối mặt với khủng hoảng nợ.
Một lần nữa chịu tổn thất do lỗi của con người
Trên thực tế, đây không phải là lần đầu tiên nhà tạo lập thị trường này chịu lỗ do các yếu tố con người. Vào tháng 6 năm nay, khi được mời cung cấp thanh khoản cho một dự án Layer 2, họ đã mất 20 triệu token do lỗi thao tác.
Vào thời điểm đó, quỹ của dự án Layer 2 đã phân bổ 20 triệu token cho các nhà tạo lập thị trường để cung cấp thanh khoản. Các nhà tạo lập thị trường đã cung cấp một địa chỉ ký đa ký trên mạng chính Ethereum để nhận token. Tuy nhiên, do địa chỉ này chưa được triển khai trên mạng Layer 2, nên các nhà tạo lập thị trường không thể truy cập những token này.
Khi các nhà tạo lập thị trường cố gắng khôi phục hoạt động, kẻ tấn công đã nhanh chóng triển khai hợp đồng đa chữ ký lên mạng Layer 2 và kiểm soát 20 triệu token này. May mắn thay, hôm sau hacker đã trả lại 17 triệu token, số thiệt hại còn lại do các nhà tạo lập thị trường chịu.
Cách người dùng cá nhân tránh rủi ro bị đánh cắp tài sản
Vì các tổ chức thường xuyên gặp phải những tổn thất lớn do lỗi con người, người dùng cá nhân càng cần cẩn thận bảo vệ tài sản của mình. Dưới đây là một số gợi ý:
Chỉ sử dụng ví tiền điện tử gốc để tạo địa chỉ, tránh sử dụng công cụ bên thứ ba. Công cụ bên thứ ba có thể có rủi ro về bảo mật tài sản, dễ bị theo dõi hoặc tấn công.
Áp dụng chữ ký đa cho ví tài sản chính. Mặc dù không phù hợp cho giao dịch tần suất cao, nhưng đối với người dùng bình thường, điều này có thể giảm thiểu rủi ro do sai sót của con người.
Không sao chép và dán để lưu trữ khóa riêng. Nhiều thiết bị và ứng dụng có thể truy cập nội dung clipboard, tăng nguy cơ rò rỉ. Ngay cả khi tạm thời an toàn, cũng có thể bị tấn công khi tài sản tăng lên.
Khi thực hiện các thao tác on-chain, hãy kiểm tra kỹ hợp đồng và tài sản đã được ủy quyền. Xác minh tính xác thực của tên miền trang web và địa chỉ hợp đồng thông minh để ngăn chặn việc ủy quyền cho các hợp đồng độc hại.
Thiết lập hạn mức ủy quyền hợp lý và kịp thời thu hồi những ủy quyền không cần thiết. Tránh ủy quyền không hạn chế, thu hồi quyền truy cập ngay sau khi sử dụng, giảm thiểu rủi ro tiềm ẩn.
An toàn không phải là chuyện nhỏ, đặc biệt là trong trường hợp tài sản trên chuỗi khó có thể thu hồi và bảo vệ pháp lý bị hạn chế. Người dùng nên đặc biệt cẩn trọng khi thực hiện các giao dịch trên chuỗi, áp dụng nhiều biện pháp bảo vệ, để tối đa hóa bảo mật tài sản.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Tránh mất tiền trên chuỗi: Năm bước bảo vệ tài sản mã hóa của bạn
bảo mật tài sản:如何避免 on-chain资金被盗
Với sự phổ biến của các ứng dụng blockchain như tài chính phi tập trung và token không thể thay thế, tài sản của người dùng dần chuyển từ các kênh trung tâm truyền thống sang các nền tảng ví phi tập trung, cầu nối chuỗi chéo và sản phẩm cho vay. Tuy nhiên, các sự cố tài sản bị đánh cắp trên chuỗi thường xuyên xảy ra, khiến blockchain bị gọi vui là "máy rút tiền của hacker".
Một số sự cố an ninh này xuất phát từ lỗ hổng mã, nhưng cũng có không ít là do yếu tố con người gây ra. Ví dụ, gần đây một nhà tạo lập thị trường tiền điện tử đã mất 160 triệu USD do sai sót trong thao tác.
Thiệt hại tài sản khổng lồ xuất phát từ lỗi con người đơn giản
Sau sự cố, nhà tạo lập thị trường này cho biết các dịch vụ tài chính tập trung và giao dịch ngoài sàn của họ không bị ảnh hưởng, khả năng thanh toán vẫn gấp hai lần vốn cổ phần còn lại. Đối với những người dùng có thỏa thuận tạo lập thị trường với họ, bảo mật tài sản là đảm bảo. Trong 90 tài sản bị tin tặc xâm nhập, chỉ có hai tài sản có giá trị vượt quá 1 triệu USD, vì vậy không có khả năng gây ra sự bán tháo lớn.
Công ty an ninh phân tích phát hiện rằng địa chỉ hacker có liên quan đến Tornado Cash và một số giao dịch rút tiền tại các sàn giao dịch. Khoảng 73% số tiền bị đánh cắp là stablecoin, 8% là WBTC, 6% là ETH. Kẻ tấn công đã gửi 114 triệu USD vào một dự án để cung cấp thanh khoản.
Cuộc điều tra sau đó cho thấy nguyên nhân bị đánh cắp có thể là do sử dụng công cụ tạo địa chỉ có lỗ hổng. Nhà tạo lập thị trường này thừa nhận đã sử dụng loại công cụ này để tối ưu hóa phí giao dịch, chứ không phải để tạo địa chỉ đẹp. Mặc dù đã biết công cụ này có lỗ hổng từ tuần trước và bắt đầu ngừng sử dụng khóa cũ, nhưng do lỗi nội bộ đã gọi sai hàm, nên không kịp xóa quyền ký của địa chỉ bị ảnh hưởng.
Đối với tiền bị đánh cắp, nhà tạo lập thị trường cho biết sẵn sàng trả 10% tiền thưởng để thu hồi. Mặc dù sự cố này do lỗi của nhân viên nội bộ gây ra, nhưng công ty sẽ không sa thải nhân viên, thay đổi chiến lược hoặc tạm ngừng các hoạt động liên quan.
Tuy nhiên, dữ liệu trên chuỗi cho thấy nhà tạo lập thị trường này có khoản nợ tài chính phi tập trung đối với nhiều đối tác giao dịch vượt quá 200 triệu USD, trong đó khoản lớn nhất là khoản vay stablecoin 92 triệu USD sẽ đến hạn vào tháng 10. Nếu số tiền bị đánh cắp không được thu hồi kịp thời, công ty có thể đối mặt với khủng hoảng nợ.
Một lần nữa chịu tổn thất do lỗi của con người
Trên thực tế, đây không phải là lần đầu tiên nhà tạo lập thị trường này chịu lỗ do các yếu tố con người. Vào tháng 6 năm nay, khi được mời cung cấp thanh khoản cho một dự án Layer 2, họ đã mất 20 triệu token do lỗi thao tác.
Vào thời điểm đó, quỹ của dự án Layer 2 đã phân bổ 20 triệu token cho các nhà tạo lập thị trường để cung cấp thanh khoản. Các nhà tạo lập thị trường đã cung cấp một địa chỉ ký đa ký trên mạng chính Ethereum để nhận token. Tuy nhiên, do địa chỉ này chưa được triển khai trên mạng Layer 2, nên các nhà tạo lập thị trường không thể truy cập những token này.
Khi các nhà tạo lập thị trường cố gắng khôi phục hoạt động, kẻ tấn công đã nhanh chóng triển khai hợp đồng đa chữ ký lên mạng Layer 2 và kiểm soát 20 triệu token này. May mắn thay, hôm sau hacker đã trả lại 17 triệu token, số thiệt hại còn lại do các nhà tạo lập thị trường chịu.
Cách người dùng cá nhân tránh rủi ro bị đánh cắp tài sản
Vì các tổ chức thường xuyên gặp phải những tổn thất lớn do lỗi con người, người dùng cá nhân càng cần cẩn thận bảo vệ tài sản của mình. Dưới đây là một số gợi ý:
Chỉ sử dụng ví tiền điện tử gốc để tạo địa chỉ, tránh sử dụng công cụ bên thứ ba. Công cụ bên thứ ba có thể có rủi ro về bảo mật tài sản, dễ bị theo dõi hoặc tấn công.
Áp dụng chữ ký đa cho ví tài sản chính. Mặc dù không phù hợp cho giao dịch tần suất cao, nhưng đối với người dùng bình thường, điều này có thể giảm thiểu rủi ro do sai sót của con người.
Không sao chép và dán để lưu trữ khóa riêng. Nhiều thiết bị và ứng dụng có thể truy cập nội dung clipboard, tăng nguy cơ rò rỉ. Ngay cả khi tạm thời an toàn, cũng có thể bị tấn công khi tài sản tăng lên.
Khi thực hiện các thao tác on-chain, hãy kiểm tra kỹ hợp đồng và tài sản đã được ủy quyền. Xác minh tính xác thực của tên miền trang web và địa chỉ hợp đồng thông minh để ngăn chặn việc ủy quyền cho các hợp đồng độc hại.
Thiết lập hạn mức ủy quyền hợp lý và kịp thời thu hồi những ủy quyền không cần thiết. Tránh ủy quyền không hạn chế, thu hồi quyền truy cập ngay sau khi sử dụng, giảm thiểu rủi ro tiềm ẩn.
An toàn không phải là chuyện nhỏ, đặc biệt là trong trường hợp tài sản trên chuỗi khó có thể thu hồi và bảo vệ pháp lý bị hạn chế. Người dùng nên đặc biệt cẩn trọng khi thực hiện các giao dịch trên chuỗi, áp dụng nhiều biện pháp bảo vệ, để tối đa hóa bảo mật tài sản.