Chỉ trong nửa đầu năm, hàng trăm vụ tấn công của hacker đã cướp đi hàng trăm triệu USD của các dự án blockchain, gây thiệt hại cho cả người sáng lập, nhà đầu tư và cộng đồng.
Các hacker thường xuyên nhắm đến mảng cross-chain của DeFi (tài chính phi tập trung), nơi cốt yếu chuyển giao giữa các blockchain nhưng cũng là một lỗ hổng lớn. Ảnh: T.L.
Các hacker thường xuyên nhắm đến mảng cross-chain của DeFi (tài chính phi tập trung), nơi cốt yếu chuyển giao giữa các blockchain nhưng cũng là một lỗ hổng lớn. Ảnh: T.L.
Hàng triệu USD bị thổi bay
Năm 2022 là năm kỷ lục về tổn thất tiền mã hóa, với 3 tỷ USD bị hacker đánh cắp. Điển hình là dự án như Ronin Network thiệt hại 622 triệu USD, BNB Chain Bridge – mất 586 triệu USD hay FTX mất 477 triệu USD.
Sang năm 2023, các vụ tấn công vẫn liên tục xảy ra. Đến hết tháng 6, đã ghi nhận 108 vụ tấn công bảo mật, gây thiệt hại hơn 471 triệu USD; tấn công mạo nhận gây thiệt hại 108 triệu USD và tấn công Rug pull (đánh cắp thanh khoản, bán tháo) với 110 trường hợp, gây thiệt hại 87 triệu USD (theo Beosin).
Một số vụ tấn công quy mô lớn như Euler Finance (197 triệu USD), Atomic Wallet (hơn 100 triệu USD), Platypus Finance (9,1 triệu USD), SushiSwap (3,3 triệu USD)…
Ông Troy Le, Trưởng bộ phận Phát triển Kinh doanh của Verichains, cho biết khi các dự án bị tin tặc tấn công, cộng đồng sẽ đổ lỗi cho đội ngũ sáng lập làm việc không chuyên nghiệp, thiếu trách nhiệm. Tuy nhiên, ở góc độ dự án, các nhà sáng lập cũng là người bị hại bởi thiết kế hệ thống blockchain phức tạp, trong khi hacker ngày càng nhiều thủ đoạn tinh vi.
Tuy nhiên, bên cạnh lỗ hổng công nghệ, ông Suraj S, luật sư tại Hãng luật King & Wood Mallesons, cho biết đã từng chứng kiến rất nhiều các vụ tấn công vì sự bất cẩn của cả người dùng, sàn giao dịch hay chính đội ngũ của startup.
“Tại một hội thảo ở Hồng Kong, một người tham dự đã nói về mật mã ví qua điện thoại với người thân. Tuy nhiên, người ngồi quanh đã nghe lén và nhanh tay truy cập vào ví, đánh cắp tiền. Một trường hợp khác, do Hong Kong cho phép nhà đầu tư cá nhân giao dịch crypto, người dân có thể liên kết ví với tài khoản ngân hàng. Nói cách khác là cấp quyền cho ngân hàng truy cập vào ví. Khi người dùng vô tình truy cập với link lừa đảo thì phát hiện tiền trong ví lẫn tài khoản ngân hàng đều ‘không cánh mà bay”’, ông Suraj nêu ví dụ.
Ngăn tiền chảy vào túi tin tặc
Các tổ chức rất vất vả để đấu với tin tặc hàng ngày, hàng giờ chực chờ tấn công hệ thống của họ.
Một dự án blockchain bị tấn công không chỉ thiệt hại nghiêm trọng về kinh tế, mà còn là thiệt hại về niềm tin từ cộng đồng dành cho dự án. Do đó, việc bảo mật và đối phó với hacker luôn là vấn đề làm đau đầu các nhà sáng lập.
Ông Troy Le cũng cho biết, việc hacker trả lại tiền cho dự án như trường hợp của Poly Network (611 triệu USD vào năm 2021) chỉ là trường hợp hi hữu. Đa phần, các dự án tấn công gần như không thể lấy lại tiền và gặp nhiều khó khăn khôi phục hoạt động sau khi gặp tin tặc.
Vị này khuyến nghị các startup nên hành động nhanh nhất có thể sau khi gặp hacker. Tránh để tình trạng kéo dài đến vài ngày, thậm chí một tuần mới xử lý vì thời gian kéo dài, khả năng lấy lại tiền càng thấp.
“Startup cần nhanh chóng làm việc với chuyên gia bảo mật để truy vết dòng tiền, thu thập chứng cứ và xác minh danh tính của tin tặc. Đồng thời tìm luật sư để lập hồ sơ khởi kiện lên cơ quan chức năng, yêu cầu đóng băng tài khoản ngân hàng của hacker và thực hiện các biện pháp pháp lý cần thiết”, ông Troy khuyến nghị.
Dưới kinh nghiệm khởi nghiệp trong lĩnh vực blockchain, Eskil, đồng Sáng lập GoPlus, cho biết ngay từ đầu thành lập dự án, startup nên nhờ đến sự hỗ trợ của các chuyên gia đầu ngành để xây dựng cấu trúc bảo mật thiết yếu. Sau đó, khi startup có nguồn lực dồi dào, sẽ tiếp tục phát triển các công nghệ bảo mật tối ưu. Điều này sẽ làm giảm áp lực lên đội ngũ phát triển.
“Giám đốc Công nghệ và đội ngũ phát triển đôi khi phải đánh đổi giữa những lựa chọn khó khăn, nhất là giai đoạn sơ khai, vốn ít, không thể luôn ưu tiên bảo mật lên hàng đầu được”, ông Eskil nói.
Theo nguồn sưu tầm.