Dự án cầu nối Cross-chain bị tấn công, thiệt hại lên tới 80 triệu USD
Vào đầu năm 2024, một sự kiện an ninh nghiêm trọng đã gây chấn động giới tiền điện tử. Một nền tảng cầu nối Cross-chain đã bị tấn công bởi hacker, với khoản thiệt hại lên đến khoảng 80 triệu USD. Theo nền tảng giám sát rủi ro an ninh cho thấy, kẻ tấn công đã bắt đầu các cuộc tấn công thử nghiệm quy mô nhỏ từ một ngày trước đó, và đã sử dụng ETH bị đánh cắp để hỗ trợ phí giao dịch cho các cuộc tấn công quy mô lớn tiếp theo.
Dự án cầu nối Cross-chain này cho phép người dùng chuyển đổi tài sản mã hóa giữa các mạng blockchain khác nhau. Hiện tại, bên dự án đã tạm dừng hoạt động của hợp đồng cầu nối Cross-chain và đang cố gắng liên lạc với kẻ tấn công.
Phân tích sự kiện
Cuộc tấn công này chủ yếu thông qua việc gọi trực tiếp hàm withdraw của hợp đồng cầu nối Cross-chain để chuyển tài sản. Phân tích thêm cho thấy, hàm này sử dụng cơ chế xác minh chữ ký để đảm bảo tính hợp pháp của hoạt động rút tiền.
Trong giao dịch blockchain, xác minh chữ ký là một biện pháp an ninh phổ biến, được sử dụng để xác nhận danh tính và quyền hạn của người khởi xướng giao dịch. Hàm withdraw đảm bảo rằng chỉ những bên được ủy quyền mới có thể gọi thành công và chuyển nhượng tài sản thông qua việc xác minh chữ ký.
Hàm xác thực chữ ký sẽ trả về số lượng chữ ký của chủ sở hữu, điều này rất quan trọng để xác minh tính hợp pháp của giao dịch. Hệ thống sẽ so sánh số lượng chữ ký trả về với ngưỡng đã được thiết lập để quyết định xem có thực hiện giao dịch hay không.
Theo dữ liệu trên chuỗi, hợp đồng này có tổng cộng 10 địa chỉ quản trị viên, giá trị required là 7, có nghĩa là cần 70% quản trị viên ký tên để rút tài sản.
Tóm lại, sự kiện này rất có thể là do máy chủ lưu trữ khóa riêng của quản trị viên đã bị tấn công lừa đảo.
Quy trình tấn công
Dữ liệu trên chuỗi cho thấy, vào ngày 30 tháng 12 năm 2023, kẻ tấn công đã bắt đầu phát động cuộc tấn công quy mô nhỏ vào dự án này và phân phát một lượng ETH bị đánh cắp cho các địa chỉ tấn công khác như phí giao dịch.
Sau đó, vào tối ngày 31 tháng 12, nhiều địa chỉ tấn công đã lần lượt tiến hành tấn công quy mô lớn vào các tài sản như DAI, WBTC, ETH, USDC và USDT trong dự án.
Dòng tiền
Tính đến thời điểm báo cáo, số tiền bị đánh cắp đã được chuyển đến năm địa chỉ khác nhau. Kẻ tấn công đã chuyển khoảng 50 triệu đô la stablecoin (bao gồm 30 triệu Tether, 10 triệu DAI và 10 triệu USDC), 231 wBTC (trị giá khoảng 10 triệu đô la) và 9500 ETH (trị giá khoảng 21,5 triệu đô la) đến địa chỉ ví mới thông qua năm giao dịch độc lập.
Hướng dẫn an toàn
Sự kiện này một lần nữa làm nổi bật tầm quan trọng của tính an toàn trong hệ thống blockchain. Khi thiết kế và triển khai các dự án blockchain, chúng ta nên luôn đặt sự an toàn lên hàng đầu.
Đầu tiên, tính bảo mật của mã hợp đồng là rất quan trọng. Là cốt lõi của hệ thống blockchain, mã hợp đồng cần phải được viết và xem xét theo các thực tiễn tốt nhất và tiêu chuẩn an ninh, tránh các lỗ hổng bảo mật phổ biến.
Thứ hai, cơ chế xác thực và quản lý quyền hạn hiệu quả là không thể thiếu. Việc áp dụng hệ thống xác thực mạnh mẽ, chữ ký đa chữ ký và kiểm soát quyền hạn nghiêm ngặt có thể ngăn chặn hiệu quả việc truy cập trái phép và mất tài sản, đảm bảo chỉ những thực thể được ủy quyền mới có thể thực hiện các thao tác nhạy cảm.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Năm mới kinh hoàng: cầu nối Cross-chain bị Hacker tấn công, thiệt hại lên đến 80 triệu đô la.
Dự án cầu nối Cross-chain bị tấn công, thiệt hại lên tới 80 triệu USD
Vào đầu năm 2024, một sự kiện an ninh nghiêm trọng đã gây chấn động giới tiền điện tử. Một nền tảng cầu nối Cross-chain đã bị tấn công bởi hacker, với khoản thiệt hại lên đến khoảng 80 triệu USD. Theo nền tảng giám sát rủi ro an ninh cho thấy, kẻ tấn công đã bắt đầu các cuộc tấn công thử nghiệm quy mô nhỏ từ một ngày trước đó, và đã sử dụng ETH bị đánh cắp để hỗ trợ phí giao dịch cho các cuộc tấn công quy mô lớn tiếp theo.
Dự án cầu nối Cross-chain này cho phép người dùng chuyển đổi tài sản mã hóa giữa các mạng blockchain khác nhau. Hiện tại, bên dự án đã tạm dừng hoạt động của hợp đồng cầu nối Cross-chain và đang cố gắng liên lạc với kẻ tấn công.
Phân tích sự kiện
Cuộc tấn công này chủ yếu thông qua việc gọi trực tiếp hàm withdraw của hợp đồng cầu nối Cross-chain để chuyển tài sản. Phân tích thêm cho thấy, hàm này sử dụng cơ chế xác minh chữ ký để đảm bảo tính hợp pháp của hoạt động rút tiền.
Trong giao dịch blockchain, xác minh chữ ký là một biện pháp an ninh phổ biến, được sử dụng để xác nhận danh tính và quyền hạn của người khởi xướng giao dịch. Hàm withdraw đảm bảo rằng chỉ những bên được ủy quyền mới có thể gọi thành công và chuyển nhượng tài sản thông qua việc xác minh chữ ký.
Hàm xác thực chữ ký sẽ trả về số lượng chữ ký của chủ sở hữu, điều này rất quan trọng để xác minh tính hợp pháp của giao dịch. Hệ thống sẽ so sánh số lượng chữ ký trả về với ngưỡng đã được thiết lập để quyết định xem có thực hiện giao dịch hay không.
Theo dữ liệu trên chuỗi, hợp đồng này có tổng cộng 10 địa chỉ quản trị viên, giá trị required là 7, có nghĩa là cần 70% quản trị viên ký tên để rút tài sản.
Tóm lại, sự kiện này rất có thể là do máy chủ lưu trữ khóa riêng của quản trị viên đã bị tấn công lừa đảo.
Quy trình tấn công
Dữ liệu trên chuỗi cho thấy, vào ngày 30 tháng 12 năm 2023, kẻ tấn công đã bắt đầu phát động cuộc tấn công quy mô nhỏ vào dự án này và phân phát một lượng ETH bị đánh cắp cho các địa chỉ tấn công khác như phí giao dịch.
Sau đó, vào tối ngày 31 tháng 12, nhiều địa chỉ tấn công đã lần lượt tiến hành tấn công quy mô lớn vào các tài sản như DAI, WBTC, ETH, USDC và USDT trong dự án.
Dòng tiền
Tính đến thời điểm báo cáo, số tiền bị đánh cắp đã được chuyển đến năm địa chỉ khác nhau. Kẻ tấn công đã chuyển khoảng 50 triệu đô la stablecoin (bao gồm 30 triệu Tether, 10 triệu DAI và 10 triệu USDC), 231 wBTC (trị giá khoảng 10 triệu đô la) và 9500 ETH (trị giá khoảng 21,5 triệu đô la) đến địa chỉ ví mới thông qua năm giao dịch độc lập.
Hướng dẫn an toàn
Sự kiện này một lần nữa làm nổi bật tầm quan trọng của tính an toàn trong hệ thống blockchain. Khi thiết kế và triển khai các dự án blockchain, chúng ta nên luôn đặt sự an toàn lên hàng đầu.
Đầu tiên, tính bảo mật của mã hợp đồng là rất quan trọng. Là cốt lõi của hệ thống blockchain, mã hợp đồng cần phải được viết và xem xét theo các thực tiễn tốt nhất và tiêu chuẩn an ninh, tránh các lỗ hổng bảo mật phổ biến.
Thứ hai, cơ chế xác thực và quản lý quyền hạn hiệu quả là không thể thiếu. Việc áp dụng hệ thống xác thực mạnh mẽ, chữ ký đa chữ ký và kiểm soát quyền hạn nghiêm ngặt có thể ngăn chặn hiệu quả việc truy cập trái phép và mất tài sản, đảm bảo chỉ những thực thể được ủy quyền mới có thể thực hiện các thao tác nhạy cảm.