Chỉ vài ngày trước, sàn giao dịch Velocore đã mất khoảng 10 triệu đô la do vi phạm an ninh trên chuỗi khối của nó, làm nổi bật mức độ nghiêm trọng của các cuộc khủng hoảng bảo mật đang đe dọa ngành công nghiệp tiền điện tử.

Tất nhiên, đây không phải là sự cố bảo mật đầu tiên chúng ta nghe nói về các sàn giao dịch tập trung và phi tập trung. Nhiều chiến thuật hack và không hack đã cướp đi hàng tỷ USD của ngành công nghiệp tiền điện tử, đặc biệt là thảm họa 1,4 tỷ USD vào năm ngoái. 

Những vi phạm an ninh này đã xảy ra và sẽ tiếp tục cho đến khi các sàn giao dịch tiền điện tử dành phần lớn nguồn lực của họ để che đậy các điểm mù và thực hiện các biện pháp phòng ngừa. 

Hiện tại, hầu hết các cuộc tấn công vào sàn giao dịch tiền điện tử đều xảy ra thông qua một trong những cánh cửa này, một số trên các sàn giao dịch tập trung và một số khác trên DEX: 

  • Hợp đồng thông minh

  • Lỗ hổng bị xâu chuỗi

  • Thao túng giá

Lỗi mã hóa và hợp đồng thông minh có sai sót

Mặc dù có tính chất đổi mới nhưng hợp đồng thông minh không phải là điều dễ hiểu. Một trong những trường hợp nổi tiếng nhất là kịch bản tấn công reentrancy, trong đó kẻ tấn công có thể gọi một hàm nhiều lần trước khi cuộc gọi đầu tiên kết thúc. 

Điều này cũng đúng với CEX trong nhiều tình huống, điều này chỉ cho thấy rằng vẫn còn chỗ để tăng cường bảo mật.

Nhìn chung, hầu hết các vấn đề đều xuất phát từ hai nguồn sau:

Lỗ mã hóa

Khi nói đến các vi phạm an ninh, mọi người thường mong đợi điều gì đó thú vị hơn nhiều so với trục trặc về mã hóa. Mã hóa, mặc dù khá cơ bản nhưng vẫn là nền tảng của bất kỳ dự án tiền điện tử nào. Những lỗi nhỏ trong mã có thể có tác động lớn đến kết quả cuối cùng. Một ví dụ điển hình là cuộc tấn công DAO năm 2016 đã khiến tin tặc thiệt hại 50 triệu USD chỉ vì một lỗ hổng bảo mật trong mã.

Thiếu kiểm toán thích hợp 

Rất nhiều dự án đi vào hoạt động mà không có sự kiểm tra kỹ lưỡng của bên ngoài, điều này khiến chúng dễ bị tổn thương hơn. Một cuộc tấn công vào Mạng Ronin vào năm 2022 gần như đã phá hủy Axie Infinity, đánh cắp 173.600 Ethereum và 25,5 triệu USDC—gần 700 triệu USD.

Lỗ hổng bị xâu chuỗi

Có những ưu và nhược điểm trong cách các sàn giao dịch và giao thức hoạt động cùng nhau. Càng thêm nhiều tính năng, chúng càng thể hiện các kết nối phức tạp hơn. Một vi phạm duy nhất trong một giao thức có thể gây ra vấn đề ở những giao thức khác, giống như tình huống táo thối.

Khủng hoảng khả năng tương tác & Tích hợp bị xâm phạm

Một lỗ hổng trong một giao thức có thể gây ra hiệu ứng domino trên các giao thức khác do chúng được kết nối với nhau như thế nào. Vụ vi phạm Cream Finance năm 2021 chỉ là một dự án DeFi nữa bị xâm phạm bởi những kẻ cơ hội. Bọn tội phạm đã đánh cắp tài sản trị giá hơn 130 triệu USD từ các mạng khác bằng cách lợi dụng lỗ hổng Bảo mật trong mạng Cream Finance.

Kịch bản tương tự có thể áp dụng khá nhiều cho CEX và sự thiếu thẩm định của họ khi hợp tác với dịch vụ thanh khoản của bên thứ ba hoặc ví và cổng thanh toán không an toàn. Tất nhiên, giám sát tập trung có thể giảm bớt thiệt hại trong nhiều trường hợp.

Khoản vay nhanh

Với các khoản vay nhanh, người vay không cần phải thế chấp tài sản miễn là họ trả hết tiền cùng một lúc. Một số kẻ xấu đã lợi dụng các khoản vay nhanh để tăng giá một cách giả tạo trên một sàn giao dịch và đánh cắp tiền từ các giao thức yếu hơn, dễ bị thao túng.

Mặc dù thiệt hại thường chỉ giới hạn ở các DEX, nhưng nó có thể dẫn đến các hành vi thao túng thị trường tương tự trên CEX, điều này sẽ khiến các cơ quan quản lý giám sát chặt chẽ và gây tổn hại lớn đến danh tiếng của họ.

Thao túng giá

Chơi không công bằng là thủ thuật cơ bản nhất trong sách đối với bất kỳ thị trường tài chính nào. Trao đổi tập trung và phi tập trung không khác nhau. Họ đau khổ về nhiều mặt, bao gồm: 

Người dẫn đầu

Những kẻ tin tặc có con mắt kiếm lợi nhuận có thể sử dụng bot để “chạy trước”—thực hiện các giao dịch của chúng với mức phí cao hơn—bằng cách phát hiện những giao dịch sinh lời đang nằm trong nhóm. Một ví dụ điển hình là Merlin DEX. Để giành quyền kiểm soát mã thông báo LP, tin tặc đã đột nhập vào sàn giao dịch và sử dụng một lỗ hổng trong hợp đồng thông minh. Bằng cách bơm token giả vào nhóm, họ đã rút hết token thật khỏi sàn giao dịch và khiến sàn giao dịch thua lỗ lớn.

Giả mạo và phân lớp

Những kẻ lừa đảo thao túng giá thị trường bằng cách tạo ra hình thức lừa đảo về cung và cầu. Họ thực hiện điều này bằng cách đặt các lệnh lớn mà không có ý định thực hiện, chỉ hủy chúng trước khi chúng được khớp. Một chiến thuật tương tự được gọi là phân lớp, trong đó các nhà giao dịch đặt nhiều lệnh ở các mức giá khác nhau để tạo ấn tượng sai lầm về độ sâu thị trường đáng kể.

Các giải pháp là gì?

Mặc dù các sàn giao dịch tiền điện tử liên tục nỗ lực tăng cường bảo mật cho người dùng nhưng đôi khi rất khó để theo kịp tin tặc. Tuy nhiên, họ có thể củng cố khuôn khổ của mình bằng một số biện pháp:

Kiểm tra thường xuyên & Khuyến khích tiền thưởng lỗi

Để tìm ra các lỗ hổng bảo mật trong các ứng dụng DeFi như hợp đồng thông minh trước khi chúng có thể được sử dụng cho mục đích xấu, việc kiểm tra mã kỹ lưỡng là điều cần thiết. Ngay cả những lập trình viên giàu kinh nghiệm nhất cũng có thể bỏ sót một số lỗi và khiếm khuyết về bảo mật; việc kiểm tra kỹ lưỡng của các công ty bảo mật bên thứ ba đáng tin cậy có thể hữu ích.

Các chương trình thưởng lỗi cũng khuyến khích các chuyên gia bảo mật và tin tặc mũ trắng tiết lộ các lỗ hổng, điều này rất quan trọng đối với ngành DeFi. Ngoài việc tăng cường bảo mật sau khi ra mắt, các bước này còn chuẩn bị nền tảng cho việc cập nhật và cải thiện thường xuyên các tiêu chuẩn bảo mật.

Tỷ lệ đặt hàng để giao dịch

Các nhà giao dịch dự kiến ​​​​sẽ duy trì tỷ lệ hợp lý giữa các lệnh được thực hiện trên các giao dịch thực tế và CEX có nhiệm vụ giám sát và thực thi tỷ lệ này. Sau đó, họ cần trừng phạt những người vượt quá tỷ lệ đặt hàng để giao dịch. Điều này sẽ ngăn mọi người đặt quá nhiều lệnh mà không có kế hoạch thực hiện chúng.

Các biện pháp lớp 2

Có thể giảm giá xăng và lưu lượng truy cập bằng cách sử dụng công nghệ Lớp 2. Tuy nhiên, DEX cần phải cẩn thận để các giải pháp này không làm cho các hoạt động trên chuỗi trở nên mất an toàn hoặc tạo cơ hội cho các lỗ hổng mới.

Bảo hiểm DeFi

Việc có bảo hiểm trong DeFi là rất quan trọng vì nó bảo vệ người dùng khỏi bị mất tiền do tin tặc, hành vi khai thác hoặc các vấn đề vận hành khác.

Người dùng có thể yên tâm và coi nền tảng DeFi là lựa chọn thay thế hấp dẫn cho các hệ thống ngân hàng thông thường vì chúng cung cấp khả năng bảo vệ chống lại nhiều mối đe dọa khác nhau.

Minh bạch & Báo cáo

Các nhà giao dịch có thể phân biệt rõ hơn giữa hành vi công bằng và không công bằng nếu họ có quyền truy cập vào dữ liệu thị trường toàn diện và hiểu biết sâu sắc. Giúp các nhà giao dịch có thể tiết lộ ẩn danh thao túng thị trường hoặc các hoạt động đáng ngờ.

Những tên tội phạm đằng sau các hoạt động này luôn đi trước các sàn giao dịch một bước khi nói đến đổi mới công nghệ. Để bảo vệ khách hàng của họ khỏi những kẻ xấu, các nền tảng này phải liên tục phát triển và thực hiện các biện pháp bảo mật mới.

Bài đăng Củng cố trao đổi tiền điện tử: Những thách thức và giải pháp chiến lược xuất hiện đầu tiên trên Metaverse Post.