Bảng tỷ giá 
Bạn đang ở:
107 
Các công ty bảo mật tiền điện tử, tài chính phi tập trung và các nền tảng chuỗi chéo đang nhấn mạnh tầm quan trọng của các cơ chế phòng thủ được cải thiện sau hàng loạt các vụ tấn công và khai thác nhắm vào hệ sinh thái.
2 USD02 USD2 USD là một năm béo bở đối với các tin tặc săn lùng các không gian tài chính phi tập trung và Web3 (DeFi) mới ra đời, với số tiền điện tử trị giá hơn 2 tỷ USD được tung ra trong một số vụ hack nổi tiếng cho đến nay. Các giao thức xuyên chuỗi đã bị ảnh hưởng đặc biệt nghiêm trọng, với vụ hack Ronin Bridge trị giá 650 triệu đô la của Axie Infinity, chiếm một phần đáng kể số tiền bị đánh cắp trong năm nay.
Vụ cướp bóc tiếp tục diễn ra vào nửa cuối năm 2022 khi nền tảng chuỗi chéo Nomad chứng kiến 190 triệu đô la bị rút khỏi ví. Hệ sinh thái Solana là mục tiêu tiếp theo, với việc tin tặc giành quyền truy cập vào khóa riêng của khoảng 8000 ví, dẫn đến việc Token Solana (SOL) và Thư viện chương trình Solana (SPL) trị giá 5 triệu USD bị đánh cắp.
deBridge Finance đã tìm cách vượt qua một cuộc tấn công lừa đảo có chủ đích vào thứ Hai, ngày 8 tháng 8, giải nén các phương pháp được sử dụng bởi những gì công ty nghi ngờ là một vectơ tấn công trên diện rộng được sử dụng bởi các tin tặc Lazarus Group của Triều Tiên. Chỉ vài ngày sau, Curve Finance bị một vụ khai thác cho thấy tin tặc chuyển hướng người dùng đến một trang web giả mạo dẫn đến việc đánh cắp số tiền USD Coin (USDC) trị giá 600.000 đô la.
Nhiều điểm thất bại
Nhóm nghiên cứu tại deBridge Finance đã đưa ra một số thông tin chi tiết thích hợp về mức độ phổ biến của các cuộc tấn công này theo thư từ Cointelegraph, do một số thành viên trong nhóm của họ trước đây đã làm việc cho một công ty chống vi rút nổi tiếng.
Người đồng sáng lập Alex Smirnov đã nhấn mạnh yếu tố thúc đẩy việc nhắm mục tiêu các giao thức chuỗi chéo, do họ đóng vai trò là người tổng hợp thanh khoản đáp ứng các yêu cầu chuyển giao giá trị xuyên chuỗi. Hầu hết các giao thức này tìm cách tổng hợp càng nhiều tính thanh khoản càng tốt thông qua khai thác thanh khoản và các biện pháp khuyến khích khác, điều này chắc chắn đã trở thành một nồi mật cho những kẻ bất chính:
Bằng cách khóa một lượng lớn thanh khoản và vô tình cung cấp một loạt các phương pháp tấn công có sẵn, các cầu nối đang tự biến mình thành mục tiêu của tin tặc.
Smirnov nói thêm rằng các giao thức bắc cầu là phần mềm trung gian dựa trên các mô hình bảo mật của tất cả các blockchains được hỗ trợ mà từ đó chúng tổng hợp lại, điều này làm tăng đáng kể bề mặt tấn công tiềm ẩn. Điều này làm cho nó có thể thực hiện một cuộc tấn công trong một chuỗi để thu hút thanh khoản từ những chuỗi khác.
Smirnov nói thêm rằng không gian Web3 và chuỗi chéo đang trong thời kỳ sơ khai, với một quá trình phát triển lặp đi lặp lại cho thấy các nhóm học hỏi từ miStakes của những người khác. Tương đồng với hai năm đầu tiên trong không gian DeFi, nơi mà việc khai thác tràn lan, người đồng sáng lập deBridge thừa nhận rằng đây là một quá trình mọc răng tự nhiên:
Không gian chuỗi chéo còn rất trẻ ngay cả trong bối cảnh của Web3, vì vậy chúng tôi đang thấy quá trình tương tự này diễn ra. Chuỗi chéo có tiềm năng to lớn và không thể tránh khỏi việc nhiều vốn chảy vào hơn, đồng thời tin tặc phân bổ nhiều thời gian và nguồn lực hơn để tìm kiếm các vectơ tấn công.
Sự cố chiếm quyền điều khiển DNS của Curve Finance cũng minh họa nhiều phương thức tấn công dành cho những kẻ bất chính. Giám đốc công nghệ của Bitfinex, Paolo Ardoino, nói với Cointelegraph rằng ngành công nghiệp này cần phải đề phòng tất cả các mối đe dọa bảo mật:
Cuộc tấn công này một lần nữa chứng tỏ rằng sự khéo léo của tin tặc là mối nguy hiểm gần như và luôn hiện hữu đối với ngành công nghiệp của chúng ta. Thực tế là một hacker có thể thay đổi mục nhập DNS cho giao thức, chuyển tiếp người dùng đến một bản sao giả mạo và phê duyệt một hợp đồng độc hại nói lên rất nhiều cho sự cảnh giác cần phải được thực hiện.
Thúc đẩy thủy triều
Khi việc khai thác trở nên đầy rẫy, các dự án chắc chắn sẽ phải xem xét các cách để giảm thiểu những rủi ro này. Câu trả lời là không rõ ràng, với hàng loạt các con đường mà những kẻ tấn công có sẵn theo ý của họ. Smirnov thích sử dụng "mô hình phô mai Thụy Sĩ" khi hình thành khái niệm về tính bảo mật của các giao thức bắc cầu, với cách duy nhất để thực hiện một cuộc tấn công là nếu một số lỗ hổng xếp hàng ngay lập tức.
Để làm cho mức độ rủi ro không đáng kể, kích thước của lỗ trên mỗi lớp phải được nhắm đến mức tối thiểu nhất có thể và số lượng lớp phải được tối đa hóa.
Một lần nữa, đây là một nhiệm vụ phức tạp, do các bộ phận chuyển động liên quan đến các nền tảng chuỗi chéo. Việc xây dựng các mô hình bảo mật đa cấp đáng tin cậy đòi hỏi phải hiểu được sự đa dạng của các rủi ro liên quan đến các giao thức xuyên chuỗi và rủi ro của các chuỗi được hỗ trợ.
Các mối đe dọa chính bao gồm các lỗ hổng với thuật toán đồng thuận và cơ sở mã của các chuỗi được hỗ trợ, các cuộc tấn công 51% và tổ chức lại blockchain. Rủi ro đối với các lớp xác thực có thể bao gồm sự thông đồng của các trình xác nhận và cơ sở hạ tầng bị xâm phạm.
Rủi ro phát triển phần mềm cũng là một vấn đề cần cân nhắc với các lỗ hổng hoặc lỗi trong hợp đồng thông minh và các lĩnh vực quan trọng chính của xác thực cầu nối Nodes. Cuối cùng, deBridge lưu ý các rủi ro quản lý giao thức chẳng hạn như khóa quyền của giao thức bị xâm phạm là một cân nhắc bảo mật khác.
Tất cả những rủi ro này nhanh chóng được cộng lại. Các dự án nên thực hiện một cách tiếp cận từ nhiều phía và ngoài việc test bảo mật và các chiến dịch tiền thưởng lỗi, hãy đặt nhiều biện pháp bảo mật và xác thực khác nhau vào chính thiết kế giao thức.
Kỹ thuật xã hội, thường được gọi là tấn công lừa đảo, là một điểm khác cần xem xét. Trong khi nhóm deBridge cố gắng ngăn chặn kiểu tấn công này, nó vẫn là một trong những mối đe dọa phổ biến nhất đối với hệ sinh thái rộng lớn hơn. Giáo dục và các chính sách an ninh nội bộ nghiêm ngặt là rất quan trọng để tránh trở thành con mồi cho những nỗ lực xảo quyệt này nhằm đánh cắp thông tin đăng nhập và chiếm quyền điều khiển hệ thống.
Theo CoinTelegraph
|
|
Tags: Xuyên chuỗi, Tin tặc, Tấn công, Bảo mật,
