TTCT - Các dự án DeFi (tài chính phi tập trung) trên các nền tảng blockchain giống như những mỏ vàng lộ thiên, là thiên đường cho giới hacker. Ảnh: BINANCEThế giới blockchain mặc dù có nhiều ưu điểm nhưng vẫn rất nhiều cạm bẫy. Đặc biệt, các dự án DeFi (tài chính phi tập trung) trên các nền tảng blockchain giống như những mỏ vàng lộ thiên, là thiên đường cho giới hacker.Mã nguồn của các dự án DeFi hầu hết đều công khai nên hacker có nhiều cơ hội để tìm hiểu và tìm kiếm các lỗ hổng, các lỗi về lập trình. Khi tìm thấy lỗi và khai thác, tin tặc có thể trực tiếp lấy các tài sản số về ví blockchain của mình, sau đó chuyển tài sản thông qua các máy trộn tránh bị truy vết. Với các dự án sau khi đã bị tấn công, khai thác lỗ hổng, ngoài thỏa thuận với thủ phạm, việc lấy lại tài sản bằng các phương pháp khác là rất khó và gần như là không thể.Năm 2022, thị trường DeFi thiệt hại 3,32 tỉ đô la, với 376 vụ tấn công, tăng 73,3% so với năm 2021. Trong năm 2023, tính đến tháng 12 đã có 432 vụ, trung bình mỗi ngày có hơn 1 vụ hack, với tổng thiệt hại đã lên đến 1,7 tỉ USD.Từ những vụ tấn công ở Việt NamCó thể kể một ví dụ gần về mặt thời gian lẫn địa lý: sàn giao dịch Kyber Swap của Kyber Network, một dự án DeFi hàng đầu của Việt Nam, bị tấn công hồi cuối tháng 11 với thiệt hại lên đến hơn 48 triệu đô la (hơn 1.000 tỉ VND), khiến cộng đồng blockchain, tiền mã hóa Việt Nam và cả thế giới được một phen nháo nhào. Toàn bộ số tiền này là tiền gửi của người dùng.Sau khi khai thác lỗ hổng và chiếm đoạt số tiền lớn, thủ phạm đã tự xưng là giám đốc mới của Kyber Network, lên tiếng thách thức và đòi chuyển giao toàn bộ tài sản công ty cho hắn. Kyber Network đã lên tiếng sẽ sử dụng quỹ dự phòng của công ty để giảm thiểu tối đa thiệt hại của người dùng. Trao đổi với tác giả, Trần Huy Vũ, giám đốc Kyber Network, cho biết đã rất gần với việc tìm ra thủ phạm.Kể tiếp chuyện ở Việt Nam. Tháng 2-2023, dự án LaunchZone cũng bị tấn công và gây ra thiệt hại 320.000 USD (tương đương 7,7 tỉ đồng). Đầu năm ngoái, "cầu nối" crypto Ronin bridge của công ty chủ quản dự án Axie Infinity đã bị tấn công và lấy đi 625 triệu USD (15.000 tỉ VND). Đây là một trong những vụ hack gây thiệt hại lớn nhất thế giới tính đến thời điểm hiện tại.Bridge là những cây cầu nối để chuyển giao tài sản mã hóa giữa các mạng lưới blockchain với nhau. Nếu ví các mạng blockchain giống với các quốc gia, thì các bridge là cảng biển để luân chuyển hàng hóa giữa các nước. Bridge là nơi tập trung lưu trữ rất nhiều tài sản mã hóa, và vì vậy cũng thu hút nhiều tin tặc nhất.Các dự án bridge bị tấn công thường do lỗi trong smart contract (hợp đồng thông minh) hoặc do lỗi trong quy trình quản lý, bảo mật nội bộ đến bị lộ private key (khóa bí mật) để quản lý tài sản mã hóa của dự án, như trường hợp của Ronin.Kyber Swap là một sàn giao dịch tài sản mã hóa phi tập trung thuộc Kyber Network. Sàn giao dịch này lưu trữ và thực hiện việc hoán đổi các tài sản mã hóa trên các hợp đồng thông minh. Các nhà cung cấp thanh khoản sẽ gửi các tài sản mã hóa vào đó và thu được lợi nhuận là phí giao dịch (pool fee, từ 0,1% đến 1%, khác với gas fee - phí trả cho mạng lưới), còn người dùng sẽ thực hiện việc hoán đổi các tài sản mã hóa khi có nhu cầu. Trong vụ tấn công vừa qua, người thiệt hại là những nhà cung cấp thanh khoản. Lỗi trong hợp đồng thông minh của Kyber đã khiến cho thanh khoản bị lấy đi phần lớn. Đó là tài sản của những nhà cung cấp thanh khoản gửi vào.Vụ khai thác lỗ hổng hợp đồng thông minh của Kyber Swap là một trong các vụ tấn công có mức độ phức tạp cao, khai thác vào lỗi làm tròn số dẫn đến mất độ chính xác trong việc tính toán của hợp đồng thông minh.Có cải thiện, nhưng...Kyber Swap cũng là một trong những dự án bị khai thác đầu tiên trong số các dự án Dex (Decentralized Exchange) với mô hình thanh khoản tập trung. Vụ việc này là hồi chuông cảnh tỉnh cho các dự án tương tự để nhìn lại và tăng cường bảo mật.Các vụ tấn công vào bridge trong mấy năm gần đây đều gây thiệt hại đặc biệt lớn. Chỉ tính trong năm 2022, ngoài Ronin (655 triệu USD), còn có BSC Token Hub (570 triệu), Wormhole (326 triệu) và Nomad Bridge (190 triệu).Sang năm nay, số vụ tấn công vào các bridge đã ít đi và thiệt hại cũng giảm đáng kể do cộng đồng và các đội ngũ vận hành, thực hiện dự án đã có rất nhiều bài học và kinh nghiệm trong vấn đề bảo mật sau một năm kinh hoàng.Theo tính toán của trang Coinbase, tổng thiệt hại của các vụ hack liên quan bridge trong năm 2023 đã giảm tới 90% so với 2022, xuống còn dưới 140 triệu USD. David Han, chuyên gia phân tích thuộc Coinbase, cho rằng mặc dù rủi ro vẫn còn nhưng các vụ tấn công bridge có khả năng sẽ bắt đầu giảm vì các "cây cầu" crypto giờ đã được thiết kế an toàn hơn.Ngoài tin tặc là những kẻ khai thác lỗ hổng và tấn công các dự án, thế giới crypto còn rất nhiều những kẻ lừa đảo. Một khi đã bị lừa lấy mất tài sản mã hóa, người dùng có rất ít cơ hội có thể lấy lại.Theo thống kê mới nhất của CryptoCrunchApp, hiện tại trên thế giới có hơn 300 triệu người sở hữu crypto. Tại Việt Nam có 25,9 triệu người sở hữu crypto, với khối lượng giao dịch lên đến 20 tỉ USD/tháng, theo Wall Street Journal.Thiệt hại trong các vụ tấn công hay lừa đảo chủ yếu là tài sản mã hóa, nhưng ở Việt Nam nó chưa được chính thức công nhận là tài sản. Cho đến hiện tại Nhà nước vẫn chưa ban hành luật liên quan đến tài sản mã hóa, blockchain nên người dân có thể đối mặt với nhiều rủi ro hơn nữa khi giao dịch tài sản mã hóa.■ Người dùng có thể mất tài sản theo những cách nào?- Approve token (ủy quyền cho phép dự án được chi tiêu tài sản mã hóa của mình) vào những dự án lừa đảo, bị rút hết tiền mà không biết.- Ví vừa tạo, vừa nhận tiền ngay lập tức bị chuyển đi luôn do bị đánh cắp mnemonic phrase (cụm từ ghi nhớ, một dạng mã bảo mật để khôi phục ví) từ trước đó.- Để tiền trên ví tập trung, trên sàn..., sau đó sàn hoặc ví bị hack hoặc sập, không đăng nhập được nữa.- Tự viết smart contract để tự dùng, chuyển tiền vào đấy, chưa kịp làm gì tiền không cánh mà bay, bị rút hết (do contract không kiểm tra quyền truy cập hoặc có lỗi).- Lưu mnemonic phrase vào tin nhắn Messenger và email, sau đó email, tài khoản Facebook bị hack và lấy cắp.- Viết bot, lưu private key (khóa cá nhân, mật khẩu đăng nhập ví) vào bot. Bot bị hack dẫn đến lộ private key.- Để tiền trong ví cứng (thiết bị vật lý - chẳng hạn Trezor, Ledger Nano) nhưng lại lưu mnemonic phrase ra file văn bản và lưu vào email. Sau đó máy tính bị nhiễm mã độc hoặc email bị tin tặc truy cập và lấy cắp.- Để tiền trong ví cứng, sau đó quên mật khẩu, cũng quên lưu mnemonic phrase ra ngoài, sau đó không truy cập được.- Sử dụng Brainwallet (tự ghi nhớ chuỗi từ bảo mật) nhưng lại sử dụng cụm từ quá dễ đoán, có trong từ điển.- Đưa private key vào mã nguồn, đưa lên Github nhưng quên không xóa đi cũng dẫn đến bị lộ private key và mất tài sản.- Chuyển tiền vào một smart contract bị lỗi của một dự án kém chất lượng dẫn đến tiền bị đóng băng, không rút ra được- Và còn rất nhiều cách mất tài sản mã hóa khác. Tags: CryptoTiền mã hóaHackerTin tặcBlockchain
Bức xúc vì vào đường dẫn mới biết đóng cao tốc TP.HCM - Long Thành - Dầu Giây LÊ PHAN 27/04/2024 Do lượng xe đổ dồn về cao tốc TP.HCM - Long Thành - Dầu Giây quá đông nên cơ quan chức năng đóng mở linh hoạt để phân luồng, tuy nhiên do không thông báo trước khiến nhiều xe vào đường dẫn rồi "chôn bánh" tại chỗ.
Bộ Công an xây sân bay để phục vụ hoạt động của Trung đoàn không quân THÀNH CHUNG 27/04/2024 Bộ Công an cho biết hiện đang triển khai xây dựng dự án sân bay Gia Bình tại tỉnh Bắc Ninh để phục vụ hoạt động của đơn vị không quân Công an nhân dân.
Hãng treo thưởng dịp 30-4 nhưng điều kiện khắt khe, nhiều tài xế tắt app tránh nóng CÔNG TRUNG 27/04/2024 App xe công nghệ tung nhiều chính sách tăng tiền thưởng thu hút tài xế công nghệ tham gia chạy dịp lễ 30-4. Thời tiết nắng nóng, nhiều tài xế tắt app vì khó đạt mức thưởng, khách hàng tốn thêm chi phí nhưng vẫn chờ lâu.
Ca sĩ Hương Tràm bác tin đồn sang Mỹ sinh con, háo hức sắp hát ở Hà Nội TIẾU TÙNG 27/04/2024 Ca sĩ Hương Tràm phản hồi về những tin đồn đang lan truyền trên mạng: 'thông tin sai sự thật', 'hình ảnh bị bôi nhọ', 'ảnh hưởng không ít đến công việc'.