Tác giả Hồ Phi Đồng |

Vào tối ngày 3 tháng 5, giờ Bắc Kinh, một con cá voi nào đó đã vô tình chuyển 1.155 BTC đến một địa chỉ ví lừa đảo, trị giá khoảng 71 triệu USD dựa trên giá tiền tệ hiện tại. Một lượng tài chính lớn như vậy đã bốc hơi gần như ngay lập tức, điều này đã dạy cho ngành này một bài học lớn.

Chuyện gì đã xảy ra thế

Trước tiên, hãy xem mọi thứ phát triển như thế nào (ngày 3 tháng 5, sau đây là giờ Bắc Kinh):

17:14:47, 0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5 địa chỉ ví (cá voi) chuyển 0,5 ETH đến địa chỉ 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91 và tạo địa chỉ;

17:17:59, 0xd9A1C3788D81257612E2581A6ea0aDa244853a91 địa chỉ ví (hacker) đã chuyển 0 ETH sang 0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5 địa chỉ ví

18: 31: 35, 0x1E227979F0B5BC691A70DEAED2E0F39A6F538FD5 (cá voi khổng lồ) Nhập hợp đồng WBTC thành 0xd9A1C378881257612E2581A6EA0ADA244853A91 WBTC;

Vào ngày 4 tháng 5 lúc 10:51:11, địa chỉ 0xd9A1C3788D81257612E2581A6ea0aDa244853a91 (hacker) đã chuyển toàn bộ WBTC sang địa chỉ mới: 0xfB5bcA56A3824E58A2c77217fb667AE67000b7A6

Bạn có thể không hiểu chuyện gì đang xảy ra ở đây, vì vậy hãy giải thích nó từ góc độ của một hacker:

Hacker tiếp tục theo dõi hoạt động của cá voi trên chuỗi; đến chạng vạng ngày 3/5, người ta phát hiện cá voi đã tạo một địa chỉ mới. Các hacker bắt đầu hành động;

Bằng cách dùng vũ lực và tạo ngẫu nhiên các khóa riêng và địa chỉ, chúng ta có thể có được một địa chỉ tương tự như địa chỉ mới được tạo của cá voi khổng lồ (độc giả vui lòng kiểm tra kỹ phần màu đỏ của hai địa chỉ ở bước 1 và 2 ở trên, chúng chính xác là địa chỉ giống nhau, nhưng khác ở những nơi khác). Và chuyển 0 ETH cho cá voi thông qua địa chỉ được tạo, với mục đích tạo lịch sử giao dịch trong ví của cá voi, chứa địa chỉ lừa đảo 0xd9A1C3788D81257612E2581A6ea0aDa244853a91;

Sau khi cá voi xác nhận rằng địa chỉ của nó đã nhận được 0,5 ETH, nó bắt đầu chuyển WBTC sang địa chỉ mới. Lúc này, đã xảy ra một lỗi nghiêm trọng. Con cá voi khổng lồ tìm thấy một địa chỉ trong lịch sử chuyển tiền có cùng số địa chỉ với địa chỉ mục tiêu của nó, sao chép và dán rồi nhập nhầm địa chỉ lừa đảo;

Hacker đã theo dõi địa chỉ lừa đảo của anh ta và rất ngạc nhiên khi tìm thấy một “khoản thu hoạch khổng lồ” - 1.155 BTC. Chắc tôi sẽ ra ngoài ăn mừng ngay, uống bia, ngủ một giấc rồi chuyển WBTC sang địa chỉ mới khác.

Giác ngộ

Bạn có nhận thấy vấn đề không? Hãy xem dòng thời gian sau khi cá voi tạo một địa chỉ mới, hacker đã chuẩn bị địa chỉ lừa đảo và hoàn tất quá trình chuyển sang cá voi trong khoảng 3 phút. Điều này minh họa một số điểm:

a. Tin tặc đã chuẩn bị từ lâu, chúng hiểu rõ toàn bộ quy trình, các tập lệnh đã sẵn sàng và toàn bộ quy trình được tự động hóa;

b. Tin tặc có sức mạnh tính toán lớn hơn. Địa chỉ được tạo ở đây bao gồm 5 byte cụ thể giống hệt nhau (hai byte đầu và ba byte cuối), gần như là 2^40 thao tác. GPU chắc chắn là cần thiết và với số lượng lớn;

c. Vì vậy, đây có lẽ không phải là hành vi cá nhân mà là hành vi có tổ chức.

Blockchain mang đến sự phân quyền, loại bỏ người trung gian, kiểm soát tài sản của chính bạn và các cá nhân có thể kiểm soát dữ liệu của chính họ. Tuy nhiên, điều này cũng đòi hỏi bạn phải kiểm soát được sự an toàn của chính mình. Yêu cầu về nhận thức và kiến ​​thức về an toàn cá nhân và an toàn rất cao.

Con cá voi khổng lồ này có ý thức bảo mật cao, điều này được thể hiện ở: 1) Anh ta thỉnh thoảng thay đổi địa chỉ 2) Kiểm tra và xác nhận trước khi chuyển số lượng lớn. Tuy nhiên, một bản sao và dán sẽ phá hủy mọi thứ.

Một số kiến ​​thức bảo mật về chuyển giao

Thông qua bài học trị giá hơn 70 triệu đô la Mỹ này, mọi chủ sở hữu tài sản kỹ thuật số nên cảnh giác rằng tin tặc và lừa đảo có ở khắp mọi nơi, và bạn là người đầu tiên và duy nhất chịu trách nhiệm về tài sản của mình. Một số ý thức chung về an toàn phải được nắm vững. Dưới đây là một số tùy chọn bảo mật ví cho tài sản lớn hơn để bạn tham khảo:

·Khóa riêng và cụm từ ghi nhớ phải được tạo ngoại tuyến và lưu ngoại tuyến.

—Hầu hết các ví hiện nay đều có khả năng ký ngoại tuyến;

—Bạn cũng có thể sử dụng ví phần cứng, nhưng khi sử dụng ví phần cứng, bạn cũng phải sao lưu khóa riêng.

·Khi bạn nghi ngờ rằng khóa riêng hoặc cụm từ ghi nhớ có thể bị lộ, hãy thay thế nó càng sớm càng tốt và chuyển tài sản

·Địa chỉ chuyển khoản phải được lưu vào sổ địa chỉ và ghi chú không được sao chép địa chỉ tạm thời.

·Để chuyển tiền, hãy chọn một địa chỉ từ sổ địa chỉ và đảm bảo thực hiện chuyển tiền thử nghiệm, sau đó xác nhận thành công với người nhận trước khi chuyển.

· Chuyển khoản lớn có thể được thực hiện thành nhiều đợt

·Không nhấp trực tiếp vào link chuyển khoản do bên kia gửi để chuyển tiền hoặc thực hiện giao dịch trực tuyến

—Lừa đảo thường được thực hiện bằng cách giả mạo các liên kết hoặc địa chỉ tương tự

·Nên quản lý số tiền lớn hơn thông qua đa chữ ký

—Điều này phù hợp cho việc quản lý tiền của một công ty hoặc tổ chức

—Tài sản cá nhân cũng có thể được xử lý theo cách này. Ví dụ: bạn có thể nắm giữ nhiều khóa riêng tư và trao quyền ký cho những người bạn không biết nhau để ngăn chặn việc mất khóa riêng tư và không thể khôi phục tài sản của bạn.

·Địa chỉ trang web CEX và DEX phải được lấy thông qua các kênh chính thức, địa chỉ gửi tiền phải được xác nhận nhiều lần và chuyển khoản thử nghiệm cũng là những bước cần thiết.