Blockchain bảo mật tài sản引发 theo dõi，频繁被盗事件暴露多重风险

Với sự phát triển của các sản phẩm trên chuỗi như tài chính phi tập trung và token không thể thay thế, tài sản của người dùng dần chuyển từ các kênh tập trung truyền thống sang ví phi tập trung, cầu nối đa chuỗi và nền tảng cho vay. Tuy nhiên, các sự kiện thường xuyên xảy ra trên chuỗi liên quan đến việc bị đánh cắp tài sản của dự án và người dùng đã gây ra sự chú ý rộng rãi, thậm chí có người đã gọi blockchain là "máy rút tiền" của tin tặc.

Nguyên nhân của các sự kiện an ninh này rất đa dạng, bao gồm cả lỗ hổng ở cấp mã và những sai sót do yếu tố con người gây ra. Một trường hợp điển hình là sự kiện bị đánh cắp 160 triệu đô la của nhà tạo lập thị trường tiền điện tử Wintermute vào ngày 20 tháng 9.

Sai sót do con người dẫn đến thiệt hại tài sản khổng lồ

Người sáng lập Wintermute cho biết, sau sự cố, các dịch vụ tài chính phi tập trung và giao dịch OTC của công ty không bị ảnh hưởng, và khả năng thanh toán vẫn gấp đôi vốn còn lại. Ông đã trấn an người dùng rằng, nếu có thỏa thuận làm thị trường với Wintermute, thì tài sản là an toàn. Trong số 90 tài sản bị tin tặc xâm nhập, chỉ có hai tài sản có giá trị danh nghĩa vượt quá 1 triệu USD, do đó khả năng xảy ra bán tháo quy mô lớn là rất thấp.

Công ty an ninh Blockchain Salus Security đã nhanh chóng xác định được địa chỉ hacker, phát hiện nguồn vốn của họ bao gồm một số công cụ trộn tiền ẩn danh và các ví độc lập rút tiền số lượng lớn từ một số nền tảng giao dịch. Địa chỉ này cũng có liên quan đến địa chỉ người dùng nghi ngờ của Wintermute và có các hoạt động rút tiền liên quan đến hợp đồng chính thức của một sàn giao dịch nổi tiếng.

Theo phân tích dữ liệu trên chuỗi, khoảng 73% trong số 160 triệu USD bị đánh cắp của Wintermute là stablecoin, 8% là WBTC, 6% là ETH. Kẻ tấn công đã gửi 114 triệu USD vào một sàn giao dịch phi tập trung để cung cấp thanh khoản, trở thành LP lớn thứ ba của nền tảng này.

Công ty bảo mật Slow Mist phân tích cho rằng nguyên nhân bị đánh cắp có thể là do Wintermute đã sử dụng công cụ tạo ví số đẹp có lỗ hổng. Người sáng lập Wintermute sau đó xác nhận rằng công ty thực sự đã sử dụng công cụ này để tạo địa chỉ ví vào tháng 6, với mục đích tối ưu hóa phí giao dịch chứ không phải để tạo số đẹp. Mặc dù đã biết về lỗ hổng của công cụ này vào tuần trước và bắt đầu từ bỏ khóa cũ, nhưng do sai sót của con người trong nội bộ đã gọi nhầm hàm, dẫn đến việc không thể kịp thời xóa quyền ký của địa chỉ bị ảnh hưởng.

Đối với việc truy hồi các khoản tiền bị đánh cắp, Wintermute cho biết sẵn sàng cung cấp 10% phần thưởng cho hacker, tương đương khoảng 16 triệu USD. Công ty nhấn mạnh rằng sự kiện này sẽ không ảnh hưởng đến hoạt động bình thường của họ, sẽ không sa thải nhân viên, thay đổi chiến lược, huy động thêm vốn hoặc ngừng các hoạt động DeFi.

Tuy nhiên, dữ liệu trên chuỗi cho thấy Wintermute hiện đang có khoản nợ DeFi vượt quá 200 triệu đô la Mỹ đối với nhiều đối tác giao dịch, trong đó khoản lớn nhất là khoản vay 92 triệu đô la Mỹ USDT sẽ đáo hạn vào tháng 10. Nếu số tiền bị đánh cắp không thể được thu hồi kịp thời, Wintermute có thể đối mặt với rủi ro khủng hoảng nợ.

Wintermute từng chịu tổn thất do lỗi con người

Cần lưu ý rằng đây không phải là lần đầu tiên Wintermute chịu tổn thất do các yếu tố con người. Vào tháng 6 năm nay, công ty đã bị đánh cắp 20 triệu token do sai địa chỉ trong khi cung cấp dịch vụ thanh khoản cho một dự án Layer 2.

Lúc đó, Wintermute được mời cung cấp tính thanh khoản cho dự án, quỹ đã phân bổ cho họ một khoản trợ cấp tạm thời 20 triệu mã thông báo. Tuy nhiên, địa chỉ nhận mà Wintermute cung cấp là địa chỉ đa ký trên mạng chính Ethereum, chứ không phải địa chỉ trên mạng Layer 2. Điều này dẫn đến việc Wintermute không thể truy cập vào các mã thông báo này, và kẻ tấn công đã nhanh chóng triển khai hợp đồng đa ký trên Layer 2 và kiểm soát các mã thông báo này.

May mắn thay, hacker cuối cùng đã trả lại 17 triệu mã thông báo, Wintermute hứa hẹn sẽ hoàn lại 2 triệu mã còn lại. Sự kiện này một lần nữa làm nổi bật hậu quả nghiêm trọng có thể xảy ra do sai sót trong thao tác của con người.

Người dùng cá nhân làm thế nào để tránh rủi ro bị đánh cắp tài sản

Xem xét việc các tổ chức thường xuyên chịu tổn thất lớn do sai sót của con người, người dùng cá nhân càng cần thận trọng bảo vệ tài sản của mình. Dưới đây là một vài gợi ý:

1. Tránh sử dụng công cụ bên thứ ba để tạo ví: Công cụ bên thứ ba có nguy cơ theo dõi hồ sơ người dùng và thực hiện hành vi xấu với chi phí thấp, nên kiên quyết sử dụng ví gốc chính thức.

2. Cân nhắc triển khai chữ ký đa dạng cho ví chính: mặc dù không phù hợp cho giao dịch tần suất cao, nhưng đối với người dùng thông thường, chữ ký đa dạng có thể hiệu quả trong việc tránh rủi ro do sai sót của con người.

3. Không sao chép và dán để lưu trữ khóa riêng: Nhiều ứng dụng bên thứ ba trên các thiết bị có quyền đọc bảng tạm, việc sao chép và dán khóa riêng tiềm ẩn rủi ro lớn.

4. Kiểm tra hợp đồng ủy quyền một cách cẩn thận khi thực hiện thao tác trên chuỗi: Cảnh giác với các trang web giả mạo hoặc trang frontend bị hack, nhất định phải xác thực tính xác thực của tên miền trang web và địa chỉ hợp đồng thông minh.

5. Hạn chế hạn mức ủy quyền và kịp thời thu hồi ủy quyền không cần thiết: Tránh ủy quyền không giới hạn, chỉ ủy quyền số lượng cần thiết, sau khi sử dụng xong kịp thời thu hồi ủy quyền.

An toàn không phải là chuyện nhỏ, đặc biệt trong lĩnh vực Blockchain, tài sản bị đánh cắp khó có thể lấy lại và thường không được bảo vệ bởi pháp luật. Do đó, người dùng khi thực hiện các thao tác trên chuỗi nên đặc biệt cẩn trọng, thực hiện mọi biện pháp có thể để bảo vệ bảo mật tài sản của mình.