Các dự án DeFi (tài chính phi tập trung) trên các nền tảng blockchain giống như những mỏ vàng lộ thiên, là thiên đường cho giới hacker.
Thế giới blockchain mặc dù có nhiều ưu điểm nhưng vẫn rất nhiều cạm bẫy. Đặc biệt, các dự án DeFi (tài chính phi tập trung) trên các nền tảng blockchain giống như những mỏ vàng lộ thiên, là thiên đường cho giới hacker.
Mã nguồn của các dự án DeFi hầu hết đều công khai nên hacker có nhiều cơ hội để tìm hiểu và tìm kiếm các lỗ hổng, các lỗi về lập trình. Khi tìm thấy lỗi và khai thác, tin tặc có thể trực tiếp lấy các tài sản số về ví blockchain của mình, sau đó chuyển tài sản thông qua các máy trộn tránh bị truy vết. Với các dự án sau khi đã bị tấn công, khai thác lỗ hổng, ngoài thỏa thuận với thủ phạm, việc lấy lại tài sản bằng các phương pháp khác là rất khó và gần như là không thể.
Năm 2022, thị trường DeFi thiệt hại 3,32 tỉ đô la, với 376 vụ tấn công, tăng 73,3% so với năm 2021. Trong năm 2023, tính đến tháng 12 đã có 432 vụ, trung bình mỗi ngày có hơn 1 vụ hack, với tổng thiệt hại đã lên đến 1,7 tỉ USD.
Từ những vụ tấn công ở Việt Nam
Có thể kể một ví dụ gần về mặt thời gian lẫn địa lý: sàn giao dịch Kyber Swap của Kyber Network, một dự án DeFi hàng đầu của Việt Nam, bị tấn công hồi cuối tháng 11 với thiệt hại lên đến hơn 48 triệu đô la (hơn 1.000 tỉ VND), khiến cộng đồng blockchain, tiền mã hóa Việt Nam và cả thế giới được một phen nháo nhào. Toàn bộ số tiền này là tiền gửi của người dùng.
Sau khi khai thác lỗ hổng và chiếm đoạt số tiền lớn, thủ phạm đã tự xưng là giám đốc mới của Kyber Network, lên tiếng thách thức và đòi chuyển giao toàn bộ tài sản công ty cho hắn. Kyber Network đã lên tiếng sẽ sử dụng quỹ dự phòng của công ty để giảm thiểu tối đa thiệt hại của người dùng. Trao đổi với tác giả, Trần Huy Vũ, giám đốc Kyber Network, cho biết đã rất gần với việc tìm ra thủ phạm.
Kể tiếp chuyện ở Việt Nam. Tháng 2-2023, dự án LaunchZone cũng bị tấn công và gây ra thiệt hại 320.000 USD (tương đương 7,7 tỉ đồng). Đầu năm ngoái, “cầu nối” crypto Ronin bridge của công ty chủ quản dự án Axie Infinity đã bị tấn công và lấy đi 625 triệu USD (15.000 tỉ VND). Đây là một trong những vụ hack gây thiệt hại lớn nhất thế giới tính đến thời điểm hiện tại.
Bridge là những cây cầu nối để chuyển giao tài sản mã hóa giữa các mạng lưới blockchain với nhau. Nếu ví các mạng blockchain giống với các quốc gia, thì các bridge là cảng biển để luân chuyển hàng hóa giữa các nước. Bridge là nơi tập trung lưu trữ rất nhiều tài sản mã hóa, và vì vậy cũng thu hút nhiều tin tặc nhất.
Các dự án bridge bị tấn công thường do lỗi trong smart contract (hợp đồng thông minh) hoặc do lỗi trong quy trình quản lý, bảo mật nội bộ đến bị lộ private key (khóa bí mật) để quản lý tài sản mã hóa của dự án, như trường hợp của Ronin.
Kyber Swap là một sàn giao dịch tài sản mã hóa phi tập trung thuộc Kyber Network. Sàn giao dịch này lưu trữ và thực hiện việc hoán đổi các tài sản mã hóa trên các hợp đồng thông minh.
Các nhà cung cấp thanh khoản sẽ gửi các tài sản mã hóa vào đó và thu được lợi nhuận là phí giao dịch (pool fee, từ 0,1% đến 1%, khác với gas fee – phí trả cho mạng lưới), còn người dùng sẽ thực hiện việc hoán đổi các tài sản mã hóa khi có nhu cầu.
Trong vụ tấn công vừa qua, người thiệt hại là những nhà cung cấp thanh khoản. Lỗi trong hợp đồng thông minh của Kyber đã khiến cho thanh khoản bị lấy đi phần lớn. Đó là tài sản của những nhà cung cấp thanh khoản gửi vào.
Vụ khai thác lỗ hổng hợp đồng thông minh của Kyber Swap là một trong các vụ tấn công có mức độ phức tạp cao, khai thác vào lỗi làm tròn số dẫn đến mất độ chính xác trong việc tính toán của hợp đồng thông minh.
Có cải thiện, nhưng…
Kyber Swap cũng là một trong những dự án bị khai thác đầu tiên trong số các dự án Dex (Decentralized Exchange) với mô hình thanh khoản tập trung. Vụ việc này là hồi chuông cảnh tỉnh cho các dự án tương tự để nhìn lại và tăng cường bảo mật.
Các vụ tấn công vào bridge trong mấy năm gần đây đều gây thiệt hại đặc biệt lớn. Chỉ tính trong năm 2022, ngoài Ronin (655 triệu USD), còn có BSC Token Hub (570 triệu), Wormhole (326 triệu) và Nomad Bridge (190 triệu).
Sang năm nay, số vụ tấn công vào các bridge đã ít đi và thiệt hại cũng giảm đáng kể do cộng đồng và các đội ngũ vận hành, thực hiện dự án đã có rất nhiều bài học và kinh nghiệm trong vấn đề bảo mật sau một năm kinh hoàng.
Theo tính toán của trang Coinbase, tổng thiệt hại của các vụ hack liên quan bridge trong năm 2023 đã giảm tới 90% so với 2022, xuống còn dưới 140 triệu USD. David Han, chuyên gia phân tích thuộc Coinbase, cho rằng mặc dù rủi ro vẫn còn nhưng các vụ tấn công bridge có khả năng sẽ bắt đầu giảm vì các “cây cầu” crypto giờ đã được thiết kế an toàn hơn.
Ngoài tin tặc là những kẻ khai thác lỗ hổng và tấn công các dự án, thế giới crypto còn rất nhiều những kẻ lừa đảo. Một khi đã bị lừa lấy mất tài sản mã hóa, người dùng có rất ít cơ hội có thể lấy lại.
Theo thống kê mới nhất của CryptoCrunchApp, hiện tại trên thế giới có hơn 300 triệu người sở hữu crypto. Tại Việt Nam có 25,9 triệu người sở hữu crypto, với khối lượng giao dịch lên đến 20 tỉ USD/tháng, theo Wall Street Journal.
Thiệt hại trong các vụ tấn công hay lừa đảo chủ yếu là tài sản mã hóa, nhưng ở Việt Nam nó chưa được chính thức công nhận là tài sản. Cho đến hiện tại Nhà nước vẫn chưa ban hành luật liên quan đến tài sản mã hóa, blockchain nên người dân có thể đối mặt với nhiều rủi ro hơn nữa khi giao dịch tài sản mã hóa.■
Người dùng có thể mất tài sản theo những cách nào?
– Approve token (ủy quyền cho phép dự án được chi tiêu tài sản mã hóa của mình) vào những dự án lừa đảo, bị rút hết tiền mà không biết.
– Ví vừa tạo, vừa nhận tiền ngay lập tức bị chuyển đi luôn do bị đánh cắp mnemonic phrase (cụm từ ghi nhớ, một dạng mã bảo mật để khôi phục ví) từ trước đó.
– Để tiền trên ví tập trung, trên sàn…, sau đó sàn hoặc ví bị hack hoặc sập, không đăng nhập được nữa.
– Tự viết smart contract để tự dùng, chuyển tiền vào đấy, chưa kịp làm gì tiền không cánh mà bay, bị rút hết (do contract không kiểm tra quyền truy cập hoặc có lỗi).
– Lưu mnemonic phrase vào tin nhắn Messenger và email, sau đó email, tài khoản Facebook bị hack và lấy cắp.
– Viết bot, lưu private key (khóa cá nhân, mật khẩu đăng nhập ví) vào bot. Bot bị hack dẫn đến lộ private key.
– Để tiền trong ví cứng (thiết bị vật lý – chẳng hạn Trezor, Ledger Nano) nhưng lại lưu mnemonic phrase ra file văn bản và lưu vào email. Sau đó máy tính bị nhiễm mã độc hoặc email bị tin tặc truy cập và lấy cắp.
– Để tiền trong ví cứng, sau đó quên mật khẩu, cũng quên lưu mnemonic phrase ra ngoài, sau đó không truy cập được.
– Sử dụng Brainwallet (tự ghi nhớ chuỗi từ bảo mật) nhưng lại sử dụng cụm từ quá dễ đoán, có trong từ điển.
– Đưa private key vào mã nguồn, đưa lên Github nhưng quên không xóa đi cũng dẫn đến bị lộ private key và mất tài sản.
– Chuyển tiền vào một smart contract bị lỗi của một dự án kém chất lượng dẫn đến tiền bị đóng băng, không rút ra được
– Và còn rất nhiều cách mất tài sản mã hóa khác.
Theo nguồn sưu tầm.