- Chủ đề
5k Phổ biến
929 Phổ biến
7k Phổ biến
143k Phổ biến
1850k Phổ biến
63k Phổ biến
112k Phổ biến
451k Phổ biến
7207k Phổ biến
10722k Phổ biến
- Ghim
5k Phổ biến
929 Phổ biến
7k Phổ biến
143k Phổ biến
1850k Phổ biến
63k Phổ biến
112k Phổ biến
451k Phổ biến
7207k Phổ biến
10722k Phổ biến
Cầu nối Cross-chain an toàn thường xuyên xảy ra sự cố: 6 trường hợp nghiêm trọng đã được xem xét và rút ra bài học
cầu nối Cross-chain trong thế giới Blockchain: lĩnh vực rủi ro cao với nhiều sự cố an toàn xảy ra
Trong hệ sinh thái Blockchain, cầu nối Cross-chain đóng vai trò là cơ sở hạ tầng quan trọng kết nối các chuỗi công cộng khác nhau, đã thường xuyên trở thành mục tiêu tấn công của hacker trong những năm gần đây. Do cầu nối Cross-chain thường quản lý một lượng lớn tài chính, nên khi xảy ra lỗ hổng bảo mật, có thể gây ra thiệt hại lớn. Bài viết này sẽ xem xét lại một số sự cố bảo mật lớn gần đây của cầu nối Cross-chain, khám phá nguyên nhân và hậu quả, nhằm cung cấp những bài học cho ngành.
ChainSwap: Hai cuộc tấn công gây thiệt hại hơn 800 triệu USD
Vào tháng 7 năm 2021, ChainSwap đã liên tiếp gặp phải hai cuộc tấn công của hacker. Cuộc tấn công đầu tiên gây thiệt hại khoảng 800.000 USD, cuộc tấn công thứ hai thiệt hại thậm chí lên tới 8 triệu USD, ảnh hưởng đến hơn 20 dự án sử dụng ChainSwap để thực hiện chuỗi cross. Cuộc điều tra cho thấy nguyên nhân tấn công là do giao thức không xác thực chặt chẽ tính hợp lệ của chữ ký, dẫn đến việc kẻ tấn công có thể sử dụng chữ ký tự tạo của mình để thực hiện giao dịch.
Sau sự cố, ChainSwap và nhiều dự án bị ảnh hưởng đã chọn thực hiện chụp ảnh và phát hành lại token để bù đắp thiệt hại cho các nhà đầu tư và nhà cung cấp thanh khoản.
Poly Network: 6.1 triệu đô la Mỹ bị đánh cắp đã được hoàn lại toàn bộ
Vào tháng 8 năm 2021, giao thức chuỗi cross Poly Network đã bị tấn công bởi hacker, gây thiệt hại khoảng 610 triệu USD tài sản trên ba chuỗi là Ethereum, Binance Smart Chain và Polygon. Kẻ tấn công đã lợi dụng lỗ hổng quản lý quyền hợp đồng, thành công thay thế địa chỉ người xác nhận của chuỗi mục tiêu, từ đó có được quyền ký chuyển nhượng tài sản.
Mặc dù quy mô tấn công rất lớn, nhưng tin tặc cuối cùng đã chọn trả lại toàn bộ số tiền. Poly Network gọi họ là "tin tặc mũ trắng", thậm chí đề xuất mời họ làm cố vấn an ninh trưởng.
Multichain:600 triệu đô la Mỹ thiệt hại đã được bồi thường một phần
Vào tháng 1 năm 2022, Multichain phát hiện ra một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều loại token. Mặc dù chính thức đã phát đi cảnh báo kịp thời, vẫn có gần 6 triệu USD tài sản bị đánh cắp. Phân tích an ninh cho thấy, vấn đề nằm ở việc hợp đồng không xác thực đúng tính hợp pháp của token người dùng đầu vào.
Đội ngũ Multichain đã thành công trong việc thu hồi gần 50% số tiền bị đánh cắp và đề xuất kế hoạch bồi thường. Tuy nhiên, chỉ bồi thường cho những người dùng đã hủy ủy quyền hợp đồng trong thời gian quy định, chưa thể hoàn toàn bao phủ tất cả các nạn nhân.
Ronin Network: 6,2 triệu USD thiệt hại được bồi thường toàn bộ
Vào tháng 3 năm 2022, chuỗi phụ Ronin của trò chơi Axie Infinity đã bị tấn công lớn trị giá 620 triệu USD. Cuộc điều tra cho thấy, kẻ tấn công đã chiếm quyền kiểm soát của nhiều nút xác thực thông qua các phương thức kỹ thuật xã hội.
Mặc dù số tiền bị đánh cắp không thể thu hồi, nhưng nhà phát triển Axie Infinity, Sky Mavis, đã nhanh chóng hoàn thành việc huy động 150 triệu USD và cam kết bồi thường đầy đủ cho người dùng. Sự kiện này làm nổi bật tầm quan trọng của sức mạnh và uy tín của các bên dự án trong việc xử lý khủng hoảng.
Wormhole: 3.26 triệu USD thiệt hại được bù đắp ngay lập tức
Vào tháng 2 năm 2022, giao thức chuỗi cross Wormhole đã bị tấn công 326 triệu USD do lỗ hổng hợp đồng ở phía Solana. Kẻ tấn công đã lợi dụng lỗi xác thực chữ ký, đã đúc một lượng lớn token giả mạo trên Solana và rút tài sản tương ứng từ Ethereum.
Cần lưu ý rằng Jump Crypto, đứng sau Wormhole, đã nhanh chóng bơm vào một khoản tiền tương đương, giúp giao thức phục hồi hoạt động trong thời gian ngắn, giảm thiểu tối đa tổn thất cho người dùng.
Lời nhắc về an toàn
Nhìn lại những sự kiện này, chúng ta có thể rút ra những bài học sau:
Cầu nối Cross-chain là lĩnh vực có rủi ro cao, bất kỳ dự án nào cũng có thể phải đối mặt với mối đe dọa an ninh, người dùng cần giữ cảnh giác khi sử dụng.
Năng lực kỹ thuật, năng lực tài chính và uy tín của các bên dự án là rất quan trọng trong việc xử lý sự cố. Những đội ngũ có nền tảng vững chắc thường có khả năng ứng phó tốt hơn với khủng hoảng, cung cấp bồi thường hoặc thu hồi tài sản.
Cơ chế giám sát kịp thời và phản ứng nhanh có thể giảm thiểu thiệt hại một cách hiệu quả. Một số dự án đã thành công trong việc ngăn chặn các cuộc tấn công, tránh được những tổn thất nghiêm trọng.
Kiểm toán an ninh hợp đồng, ký đa chữ ký và các biện pháp an ninh khác vẫn là cần thiết, nhưng không thể hoàn toàn loại bỏ rủi ro. Tối ưu hóa an ninh liên tục và sửa lỗi cũng quan trọng không kém.
Người dùng nên chú ý đến hồ sơ an toàn của dự án và các biện pháp ứng phó, lựa chọn cầu nối Cross-chain có sức mạnh có thể an toàn hơn.
Nói chung, với sự gia tăng nhu cầu chuỗi cross, sự an toàn của cầu nối Cross-chain sẽ tiếp tục được chú ý. Các bên dự án cần liên tục nâng cao tiêu chuẩn an toàn, trong khi người dùng cũng nên giữ thái độ cẩn trọng khi sử dụng và đánh giá rủi ro một cách hợp lý.