Tổng quan và phân tích các sự kiện an ninh DeFi năm 2022
Trong năm qua, ngành Web3 đã gặp phải nhiều sự kiện an ninh nghiêm trọng, dẫn đến việc mất mát số tiền lớn. Theo thống kê, vào năm 2022 đã xảy ra hơn 300 sự kiện an ninh blockchain, với số tiền liên quan lên tới 4,3 tỷ USD. Bài viết này sẽ phân tích chi tiết 8 trường hợp điển hình, hầu hết trong số đó gây thiệt hại trên 100 triệu USD, có giá trị tham khảo quan trọng.
Sự kiện Ronin Bridge
Vào tháng 3 năm 2022, chuỗi phụ Ronin Network của Axie Infinity đã bị xâm nhập, dẫn đến việc 17,36 triệu ETH và 25,5 triệu USD bị đánh cắp, tổng giá trị khoảng 625 triệu USD. Tin tặc đã sử dụng các phương pháp kỹ thuật xã hội để lấy thông tin của nhân viên, từ đó kiểm soát nhiều nút xác thực, cuối cùng hoàn thành cuộc tấn công. Sự kiện này đã phơi bày ra những vấn đề như nhận thức an ninh của nhân viên không đầy đủ và các lỗ hổng trong hệ thống an ninh nội bộ của công ty.
Sự kiện Wormhole
Cầu nối Wormhole đã cho phép kẻ tấn công giả mạo tin nhắn và đúc khoảng 120.000 ETH do lỗi trong mã xác minh chữ ký của hợp đồng phía Solana. Vấn đề này chủ yếu xuất phát từ việc sử dụng một số hàm đã bị loại bỏ, nhắc nhở các nhà phát triển nên cập nhật kịp thời để sử dụng phiên bản mới nhất, nhằm tránh các vấn đề tương tự.
Sự kiện Nomad Bridge
Cầu nối Nomad đã bị thiết lập sai cơ sở tín nhiệm trong quá trình khởi tạo, và không kịp thời vô hiệu hóa cơ sở cũ, dẫn đến việc kẻ tấn công có thể tạo ra bất kỳ thông điệp nào để đánh cắp tiền, gây thiệt hại lên tới 190 triệu đô la Mỹ. Sự kiện này đã biến thành một tình huống hỗn loạn khi nhiều bên cùng nhau giành giật tài chính, phơi bày những thách thức về an ninh mà các dự án mã nguồn mở phải đối mặt.
Sự kiện Beanstalk
Dự án stablecoin thuật toán Beanstalk đã bị tấn công vay chớp nhoáng, gây thiệt hại khoảng 1,82 triệu đô la. Kẻ tấn công đã khai thác lỗ hổng trong cơ chế quản trị của dự án, sử dụng vay chớp nhoáng để có được nhiều quyền biểu quyết, nhanh chóng thông qua và thực hiện các đề xuất độc hại. Sự kiện này đã tiết lộ những rủi ro tiềm ẩn trong quản trị phi tập trung.
Sự kiện Wintermute
Nhà tạo lập thị trường Wintermute đã bị xâm phạm tài sản vì sử dụng công cụ tạo địa chỉ Profanity có lỗ hổng, dẫn đến việc khóa riêng bị bẻ gãy và tài sản bị đánh cắp. Điều này nhắc nhở chúng ta cần thận trọng khi sử dụng các công cụ mã nguồn mở và thực hiện đánh giá an ninh đầy đủ.
Sự kiện Harmony Bridge
Cầu nối chéo Horizon của Harmony đã bị tấn công, thiệt hại vượt quá 100 triệu USD. Được cho là do rò rỉ khóa riêng, nghi ngờ có liên quan đến tổ chức hacker Bắc Triều Tiên. Điều này lại làm nổi bật những thách thức về an ninh mà cầu nối chéo phải đối mặt như là mục tiêu tấn công phổ biến.
Sự kiện Ankr
Dự án Ankr đã bị tấn công, dẫn đến việc nhiều aBNBc bị đúc trái phép. Sự kiện này đã phơi bày ra những vấn đề nghiêm trọng trong quản lý quyền hạn nội bộ của dự án, chẳng hạn như quản lý khóa riêng quan trọng không đúng cách, thiếu cơ chế ký nhiều.
Sự kiện Mango
Nền tảng giao dịch phi tập trung Mango đã bị tấn công thao túng thị trường, kẻ tấn công đã thao túng giá của các đồng tiền có vốn hóa nhỏ, kiếm lợi từ hợp đồng vĩnh viễn và cho vay một lượng lớn tiền. Sự kiện này đã tiết lộ các lỗ hổng tiềm ẩn trong thiết kế mô hình kinh doanh của các dự án Tài chính phi tập trung.
Những trường hợp này cung cấp những bài học kinh nghiệm quý giá cho thiết kế an toàn và sự tham gia của người dùng trong các dự án Tài chính phi tập trung. Các nhà phát triển dự án cần xem xét toàn diện các tình huống cực đoan khác nhau, tăng cường kiểm tra an toàn; người dùng cũng cần quan tâm đến lợi nhuận nhưng cũng phải đánh giá đầy đủ tính an toàn và rủi ro tiềm ẩn của dự án.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Tổng hợp sự kiện an ninh DeFi năm 2022: Phân tích 8 trường hợp thiệt hại lớn và những bài học rút ra
Tổng quan và phân tích các sự kiện an ninh DeFi năm 2022
Trong năm qua, ngành Web3 đã gặp phải nhiều sự kiện an ninh nghiêm trọng, dẫn đến việc mất mát số tiền lớn. Theo thống kê, vào năm 2022 đã xảy ra hơn 300 sự kiện an ninh blockchain, với số tiền liên quan lên tới 4,3 tỷ USD. Bài viết này sẽ phân tích chi tiết 8 trường hợp điển hình, hầu hết trong số đó gây thiệt hại trên 100 triệu USD, có giá trị tham khảo quan trọng.
Sự kiện Ronin Bridge
Vào tháng 3 năm 2022, chuỗi phụ Ronin Network của Axie Infinity đã bị xâm nhập, dẫn đến việc 17,36 triệu ETH và 25,5 triệu USD bị đánh cắp, tổng giá trị khoảng 625 triệu USD. Tin tặc đã sử dụng các phương pháp kỹ thuật xã hội để lấy thông tin của nhân viên, từ đó kiểm soát nhiều nút xác thực, cuối cùng hoàn thành cuộc tấn công. Sự kiện này đã phơi bày ra những vấn đề như nhận thức an ninh của nhân viên không đầy đủ và các lỗ hổng trong hệ thống an ninh nội bộ của công ty.
Sự kiện Wormhole
Cầu nối Wormhole đã cho phép kẻ tấn công giả mạo tin nhắn và đúc khoảng 120.000 ETH do lỗi trong mã xác minh chữ ký của hợp đồng phía Solana. Vấn đề này chủ yếu xuất phát từ việc sử dụng một số hàm đã bị loại bỏ, nhắc nhở các nhà phát triển nên cập nhật kịp thời để sử dụng phiên bản mới nhất, nhằm tránh các vấn đề tương tự.
Sự kiện Nomad Bridge
Cầu nối Nomad đã bị thiết lập sai cơ sở tín nhiệm trong quá trình khởi tạo, và không kịp thời vô hiệu hóa cơ sở cũ, dẫn đến việc kẻ tấn công có thể tạo ra bất kỳ thông điệp nào để đánh cắp tiền, gây thiệt hại lên tới 190 triệu đô la Mỹ. Sự kiện này đã biến thành một tình huống hỗn loạn khi nhiều bên cùng nhau giành giật tài chính, phơi bày những thách thức về an ninh mà các dự án mã nguồn mở phải đối mặt.
Sự kiện Beanstalk
Dự án stablecoin thuật toán Beanstalk đã bị tấn công vay chớp nhoáng, gây thiệt hại khoảng 1,82 triệu đô la. Kẻ tấn công đã khai thác lỗ hổng trong cơ chế quản trị của dự án, sử dụng vay chớp nhoáng để có được nhiều quyền biểu quyết, nhanh chóng thông qua và thực hiện các đề xuất độc hại. Sự kiện này đã tiết lộ những rủi ro tiềm ẩn trong quản trị phi tập trung.
Sự kiện Wintermute
Nhà tạo lập thị trường Wintermute đã bị xâm phạm tài sản vì sử dụng công cụ tạo địa chỉ Profanity có lỗ hổng, dẫn đến việc khóa riêng bị bẻ gãy và tài sản bị đánh cắp. Điều này nhắc nhở chúng ta cần thận trọng khi sử dụng các công cụ mã nguồn mở và thực hiện đánh giá an ninh đầy đủ.
Sự kiện Harmony Bridge
Cầu nối chéo Horizon của Harmony đã bị tấn công, thiệt hại vượt quá 100 triệu USD. Được cho là do rò rỉ khóa riêng, nghi ngờ có liên quan đến tổ chức hacker Bắc Triều Tiên. Điều này lại làm nổi bật những thách thức về an ninh mà cầu nối chéo phải đối mặt như là mục tiêu tấn công phổ biến.
Sự kiện Ankr
Dự án Ankr đã bị tấn công, dẫn đến việc nhiều aBNBc bị đúc trái phép. Sự kiện này đã phơi bày ra những vấn đề nghiêm trọng trong quản lý quyền hạn nội bộ của dự án, chẳng hạn như quản lý khóa riêng quan trọng không đúng cách, thiếu cơ chế ký nhiều.
Sự kiện Mango
Nền tảng giao dịch phi tập trung Mango đã bị tấn công thao túng thị trường, kẻ tấn công đã thao túng giá của các đồng tiền có vốn hóa nhỏ, kiếm lợi từ hợp đồng vĩnh viễn và cho vay một lượng lớn tiền. Sự kiện này đã tiết lộ các lỗ hổng tiềm ẩn trong thiết kế mô hình kinh doanh của các dự án Tài chính phi tập trung.
Những trường hợp này cung cấp những bài học kinh nghiệm quý giá cho thiết kế an toàn và sự tham gia của người dùng trong các dự án Tài chính phi tập trung. Các nhà phát triển dự án cần xem xét toàn diện các tình huống cực đoan khác nhau, tăng cường kiểm tra an toàn; người dùng cũng cần quan tâm đến lợi nhuận nhưng cũng phải đánh giá đầy đủ tính an toàn và rủi ro tiềm ẩn của dự án.