Có vẻ như cộng đồng DeFi đã nhận được thông điệp.
Trong những năm gần đây, các dự án tài chính phi tập trung đã trở thành mục tiêu hàng đầu của tội phạm mạng và tin tặc. Và các chuyên gia bảo mật blockchain đã thúc giục cộng đồng cảnh giác hơn.
Quả thực, các vụ hack DeFi đã giảm một phần tư trong chín tháng đầu năm 2024 so với cả năm 2023, theo dữ liệu từ TRM Labs.
Các sàn giao dịch tập trung và người giám hộ là những nơi bị lừa đảo nhiều nhất.
Hack vận chuyển
Theo TRM Labs, vụ trộm 2,1 tỷ đô la tài sản kỹ thuật số trong ba quý đầu năm 2024 đã vượt quá 5% so với cả năm 2023.
Ari Redbord, giám đốc chính sách và các vấn đề chính phủ toàn cầu tại công ty tình báo blockchain TRM Labs, chia sẻ với DL News: "Về cơ bản, chúng tôi đã chứng kiến số vụ tấn công mạng tăng gấp đôi vào năm 2024, tính đến ngày 30 tháng 9, so với cùng kỳ năm 2023".
Redbord cho biết các vụ hack tiền điện tử đang diễn ra với tốc độ kỷ lục, gợi nhớ đến năm 2022, khi các nhà đầu tư mất 3,8 tỷ đô la.
Theo công ty bảo mật web3 Cyvers, các vụ tấn công liên quan đến các sàn giao dịch tập trung và đơn vị lưu ký đã tăng khoảng 1.000%, lên 401 triệu đô la so với năm ngoái.
Phần lớn các khoản lỗ này đến từ vụ tấn công vào Sàn giao dịch Bitcoin DMM, nơi nghi ngờ tin tặc Triều Tiên đã đánh cắp số tiền khổng lồ là 305 triệu đô la từ nền tảng này.
Sàn giao dịch tiền điện tử có trụ sở tại Thổ Nhĩ Kỳ đã mất 55 triệu đô la vào tháng 6 và các nền tảng bị ảnh hưởng khác bao gồm Lykke và Rain Exchange.
Rò rỉ khóa riêng tư
Những tổn thất của CEX có chung một chủ đề ― một cuộc tấn công vào cơ sở hạ tầng của nền tảng này cuối cùng đã làm lộ khóa riêng của ví tiền điện tử.
Khóa riêng là chuỗi văn bản chữ và số được sử dụng để ký các giao dịch tiền điện tử. Khi bị lộ, chúng có thể được sử dụng để đánh cắp tiền từ ví của nạn nhân.
Các nền tảng CEX tự quản lý khóa riêng hoặc giao trách nhiệm cho một giao thức của bên thứ ba.
Kiểm soát truy cập
Bất kể chiến lược quản lý khóa nào được sử dụng, kiểm soát truy cập vẫn là mối quan tâm chính và các chuyên gia bảo mật web3 trước đây đã cảnh báo về những lỗ hổng tồn tại trong các mô hình bảo mật mà các công ty tiền điện tử đang sử dụng.
Meir Dolev, giám đốc công nghệ của công ty bảo mật web3 Cyvers, chia sẻ với DL News: "Các cuộc tấn công đã phát triển chiến thuật để khai thác những điểm yếu này, lợi dụng lỗ hổng trong kiểm soát truy cập và sử dụng các kỹ thuật tiên tiến như lừa đảo và kỹ thuật xã hội để có được quyền truy cập trái phép".
Nhiều vụ hack CEX từ thời tiền mã hóa trước DeFi có dấu hiệu cho thấy có sự tham gia của người trong cuộc.
Các nhà quản lý khóa của bên thứ ba đã trở thành giải pháp cho tình trạng nhân viên gian lận rò rỉ khóa riêng tư cho tin tặc.
Tuy nhiên, Dolev cho biết các giao thức lưu trữ khóa riêng tư này cũng có thể dễ bị tấn công.
Những vụ hack nổi tiếng
Lỗ hổng bảo mật này đã là mối lo ngại từ năm ngoái vì nó là nguyên nhân gây ra một số vụ hack nghiêm trọng, bao gồm vụ đánh cắp 41 triệu đô la từ nền tảng sòng bạc tiền điện tử Stake.
Dolev cho biết: “Giải pháp cho bối cảnh mối đe dọa đang phát triển này nằm ở các biện pháp bảo mật nhiều lớp”.
“Các công ty không nên chỉ dựa vào các dịch vụ của bên thứ ba mà thay vào đó nên áp dụng phương pháp kết hợp các hoạt động quản lý khóa nội bộ với các giải pháp bên ngoài mạnh mẽ.”
Osato Avan-Nomayo là phóng viên DeFi của chúng tôi tại Nigeria. Anh ấy đưa tin về DeFi và công nghệ. Để chia sẻ mẹo hoặc thông tin về các câu chuyện, vui lòng liên hệ với anh ấy theo địa chỉ osato@dlnews.com.
