Nếu năm 2018 là Năm của cuộc tấn công đối với các sàn giao dịch tiền điện tử tập trung, thì các cầu nối blockchain phi tập trung dường như sẽ giành được vinh dự đó trong năm nay.
Hơn 1,9 tỷ đô la đã bị đánh cắp trong các vụ tấn công chuỗi chéo trong nửa đầu năm 2022, theo một bài đăng trên blog mới của công ty phân tích tiền điện tử Chainalysis.
>>> Đọc thêm: Chainalysis: gần 2 tỷ đô la tiền mã hóa bị khai thác trong năm 2022<<<
Các cây cầu xuyên chuỗi đã bị phản đối trong những tuần gần đây vì điểm yếu dễ bị tấn công. Về mặt cốt lõi, các cầu nối cho phép người dùng trao đổi một mã thông báo này cho một mã thông báo khác, chẳng hạn như BNB (Mã thông báo của Binance) cho Ethereum; chúng là chìa khóa để mở rộng khả năng hoạt động trên các blockchain.
Kim Grauer, trưởng nhóm nghiên cứu tại Chainalysis, cho biết: “Có được khả năng tương tác đó là rất quan trọng.”
Nhưng để hoạt động, các cầu nối phải chứa một lượng lớn cả hai mã thông báo. Các nhóm thanh khoản như vậy khiến chúng trở thành đối tượng của tin tặc. Cầu nối “cho phép các blockchain trò chuyện,” Grauer nói. “Nhưng chúng tôi cũng đã tạo ra những bình mật ong béo bở này cho những kẻ độc hại.”
“Bất kể số tiền đó được lưu trữ như thế nào – bị khóa trong hợp đồng thông minh hoặc với người quản lý tập trung – điểm lưu trữ đó sẽ trở thành mục tiêu,” cô nói thêm.
Lỗ hổng cũng có thể là kết quả của việc DeFi phát triển quá nhiều, quá nhanh. Ông Amit Dar, giám đốc chiến lược cấp cao của công ty an ninh mạng Active Fence, cho biết các cầu nối xuyên chuỗi là “kiểu suy nghĩ sau”.
Grauer cho biết thêm:
“Thiết kế cầu hiệu quả vẫn là một thách thức kỹ thuật chưa được giải quyết, với nhiều mô hình mới đang được phát triển và thử nghiệm.
Tuy nhiên, các cây cầu đã trở thành yếu tố quan trọng của tài chính phi tập trung và miễn là chúng vẫn còn dễ bị tấn công, thì các vụ hack cũng sẽ diễn ra phổ biến.
Sam William, Giám đốc điều hành của Arweave cho biết:
“Lời hứa của DeFi là chúng tôi có thể có nguồn tài chính không cần tin cậy. Arweave, một công ty khởi nghiệp blockchain đằng sau mạng vĩnh viễn nhằm mục đích bảo tồn nội dung Internet. “Nhưng thay vào đó, mọi người đã tin tưởng vào hoạt động tiếp thị và sau đó tin tưởng vào mã mà không xác minh nó.”
Khi DeFi phát triển, “bài học đau đớn” này, như Grauer nói, đang khiến người dùng phải trả một số tiền lớn chưa từng có. Các vụ trộm cắp trong nửa đầu năm nay đã tăng 58% so với giai đoạn 2021 tương ứng. Báo cáo cho biết thêm: “Xu hướng này dường như không sớm đảo ngược bất cứ lúc nào”. Thật vậy, 190 triệu đô la đã bị tấn công từ cầu nối blockchain Nomad vào đầu tháng 8, sau ngày kết thúc báo cáo.
>> Đọc thêm: Cầu nối Nomad bị hack, thiệt hại lên đến 190 triệu đô la<<<
Theo bản cập nhật tội phạm tiền điện tử giữa năm của Chainalysis, hầu hết các vụ tấn công chuỗi chéo trong năm nay đều bắt nguồn từ việc khai thác mã. Các cầu nối, giống như tất cả các ứng dụng và cách sử dụng DeFi, là các dự án mã nguồn mở được xây dựng bởi các nhà phát triển và được sửa đổi bởi các lập trình viên. Toàn bộ mã của Bridges có sẵn trên GitHub, một dịch vụ lưu trữ mã mở, nơi bất kỳ ai cũng có thể kiểm tra các lỗ hổng bảo mật.
Những người bảo vệ mã nguồn mở coi đây là chìa khóa của cộng đồng và sự phân quyền. Nhưng đó là một con dao hai lưỡi. Cũng như các nhà phát triển, người dùng và cộng đồng chú ý đến mã, các tác nhân độc hại cũng vậy. Họ có thể dễ dàng nhìn thấy lỗi và sử dụng chúng để khai thác chính cây cầu. Một báo cáo trước đó của Chainalysis cho thấy việc khai thác mã chiếm gần 50% giá trị bị đánh cắp từ DeFi trong quý đầu tiên của năm. Chainalysis nói với Forbes rằng họ chưa có dữ liệu cho quý 2.
Khai thác mã cũng là nguyên nhân dẫn đến một số vụ hack cầu chuỗi khối lớn nhất trong năm, kéo theo Ronin, Wormhole, Harmony và bây giờ là Nomad. Tất cả các vụ hack này đều bị khai thác trong đó các lỗ hổng trong mã dẫn đến các nút xác nhận bị xâm nhập phê duyệt các vụ trộm.
Williams nói rằng tin tặc đang tìm ra các lỗi trong phần mềm có thể triển khai rộng rãi trên mọi nút. Các blockchain dựa trên một loạt các máy tính được gọi là các nút để xác minh và xác thực lịch sử của các giao dịch. Khi tin tặc tìm thấy lỗi hoặc lỗ hổng trong mã, họ có thể sử dụng lỗi đó để thay đổi các chức năng nhất định trên mọi nút.
Theo một chủ đề trên Twitter của samczsun, đối tác nghiên cứu và người đứng đầu bộ phận bảo mật của công ty nghiên cứu tiền điện tử Paradigm, vụ hack Nomad bắt nguồn từ một bản cập nhật bị lỗi. Cầu blockchain đã nắm giữ số tiền điện tử trị giá 197 triệu đô la trước khi xảy ra vụ hack.
Nâng cấp thường xuyên đặt mã để tự động phê duyệt mọi tin nhắn và do đó mọi giao dịch. Sau đó, tin tặc không cần phải thay đổi bất kỳ mã nào, họ chỉ cần tìm một giao dịch đã hoạt động, thay thế địa chỉ và phát lại thông tin để đánh cắp tiền.
“Những kẻ tấn công đã lạm dụng điều này để sao chép / dán các giao dịch và nhanh chóng rút cạn cây cầu một cách điên cuồng miễn phí cho tất cả”, anh ấy tweet .
Vậy DeFi sẽ đi đâu từ đây? Mimi Idada, đối tác sáng lập tại Open Web Collective, một quỹ đầu tư mạo hiểm và vườn ươm blockchain, gợi ý rằng các cầu nối blockchain sử dụng mã nguồn mở để mang lại lợi ích cho họ. “Vì vậy, đây là một câu chuyện hay, trong đó chúng ta có một số hacker mũ đen đang thực hiện một số hoạt động độc hại,” cô nói. “Nhưng khi chúng tôi hiểu về nó và khi chúng tôi biết điều gì đang xảy ra, chúng tôi thực sự có thể tranh thủ cộng đồng của chúng tôi, các nhà phát triển khác, để giúp kiếm một số tiền đó trước khi mọi thứ cạn kiệt.”
Thật vậy, trong trường hợp Nomad mũ trắng, hoặc những tin tặc có mục đích tốt, đã sử dụng phương pháp tương tự như những tên trộm để trả lại một số tiền cho cây cầu. Mặc dù Nomad hiện chỉ nắm giữ 90.000 đô la tiền điện tử, hơn 36 triệu đô la đã được gửi đến địa chỉ ví phục hồi của cầu nối blockchain, theo dữ liệu từ Etherscan.io. Nomad cũng cung cấp tiền thưởng 10% cho bất kỳ ai trả lại ít nhất 90% số tiền.
Bất kể những tin tặc nhân từ là gì, Grauer nói rằng các cuộc tấn công tiếp tục sẽ buộc DeFi “đạt được ngưỡng cao hơn về mặt bảo mật”.
Cô ấy nói:“Có Chúa mới biết có bao nhiêu lỗi trong đoạn mã mà toàn bộ dân số tiềm năng không phân tích được.
