Tài chính phi tập trung An toàn sự kiện hồi cứu: Phân tích sự cố lớn năm 2022

Năm 2022, ngành Web3 đã gặp phải nhiều sự kiện an ninh nghiêm trọng, tổng số tiền liên quan lên tới 4,3 tỷ USD. Bài viết này sẽ phân tích sâu tám trường hợp điển hình, hầu hết các trường hợp này đều liên quan đến thiệt hại trên 100 triệu USD.

Sự kiện Ronin Bridge

Vào tháng 3 năm 2022, chuỗi phụ của Axie Infinity là Ronin Network đã bị xâm nhập, mất 173.6 nghìn ETH và 25.5 triệu USD, tổng giá trị khoảng 625 triệu USD. Kẻ tấn công đã thâm nhập vào hệ thống của công ty Sky Mavis thông qua các phương pháp kỹ thuật xã hội, cuối cùng kiểm soát 5 trong số 9 nút xác thực, từ đó thực hiện cuộc tấn công. Sự kiện này đã phơi bày những vấn đề về nhận thức an ninh yếu kém của nhân viên công ty cũng như những lỗ hổng trong hệ thống an ninh nội bộ.

Sự kiện Wormhole

Cầu nối Wormhole đã bị tấn công do lỗi mã xác thực chữ ký trong hợp đồng cốt lõi của Solana, cho phép kẻ tấn công giả mạo thông điệp "người giám hộ" để đúc ETH đóng gói, dẫn đến thiệt hại khoảng 120.000 ETH. Vấn đề này xuất phát từ việc sử dụng các hàm đã bị loại bỏ, nhắc nhở các nhà phát triển nên cập nhật kịp thời bằng cách sử dụng phiên bản mới nhất để tránh các vấn đề tương tự.

Sự kiện Nomad Bridge

Cầu Nomad đã bị tấn công do vấn đề cài đặt ban đầu, kẻ tấn công có thể tạo ra bất kỳ tin nhắn nào để rút tiền khóa, gây ra thiệt hại khoảng 190 triệu USD. Sự kiện này đã biến thành một "cuộc chiến giành tiền", khoảng 41 địa chỉ đã thu lợi 152 triệu USD, trong đó có robot MEV, hacker và hacker mũ trắng. Điều này làm nổi bật những thách thức về an ninh mà các dự án mã nguồn mở phải đối mặt, một khi có lỗ hổng có thể dẫn đến sự thất bại của dự án.

Sự kiện Beanstalk

Dự án stablecoin thuật toán Beanstalk đã bị tấn công vay chớp nhoáng, thiệt hại khoảng 182 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng trong cơ chế đề xuất của dự án, thông qua vay chớp nhoáng để có được quyền biểu quyết lớn và thực hiện đề xuất ác ý ngay lập tức. Điều này phản ánh những rủi ro có thể có của cơ chế quản trị phi tập trung hoàn toàn, nhắc nhở các bên dự án cần xem xét cẩn thận cơ chế thẩm định đề xuất, phân phối trọng số biểu quyết và các biện pháp an ninh như khóa thời gian.

Sự kiện Wintermute

Nhà tạo lập thị trường Wintermute đã bị lỗ lớn do sử dụng công cụ tạo địa chỉ có lỗ hổng Profanity, dẫn đến việc khóa riêng của chủ hợp đồng bị xâm phạm. Điều này nhắc nhở các dự án cần thực hiện đánh giá an toàn đầy đủ khi sử dụng các công cụ mã nguồn mở.

Sự kiện Harmony Bridge

Cầu nối Horizon đã mất hơn 100 triệu USD, nghi ngờ do rò rỉ khóa riêng. Phân tích cho thấy sự kiện này có thể liên quan đến nhóm hacker Triều Tiên Lazarus Group, phương pháp tấn công của họ tương tự như sự kiện Ronin Bridge.

Sự kiện Ankr

Ankr gặp phải hành vi xấu nội bộ, dẫn đến việc một lượng lớn token bị khai thác và bán tháo, từ đó gây ra phản ứng dây chuyền ảnh hưởng đến các dự án liên quan khác. Điều này phơi bày ra những thiếu sót nghiêm trọng của dự án trong quản lý quyền hạn, chữ ký đa phần và hệ thống an ninh nội bộ.

Sự kiện Mango

Một nhà giao dịch đã lợi dụng lỗ hổng về tính thanh khoản của các đồng tiền nhỏ trên nền tảng Mango, kiếm lợi bằng cách thao túng giá coin và gây ra tổn thất lớn cho nền tảng. Sự kiện này nằm giữa lỗ hổng bảo mật và hành vi chênh lệch giá, phản ánh rằng các dự án cần xem xét các tình huống cực đoan khi thiết kế mô hình kinh doanh.

Những trường hợp này cảnh báo chúng ta rằng các dự án Web3 đang phải đối mặt với nhiều thách thức về an ninh. Các nhà phát triển dự án cần tăng cường bảo vệ an ninh từ nhiều khía cạnh như kiểm tra mã nguồn, quản lý quyền truy cập, và logic kinh doanh. Đồng thời, người dùng cũng nên giữ cảnh giác khi tham gia vào dự án, đánh giá toàn diện các rủi ro tiềm ẩn.