Cảnh báo rủi ro: Đề phòng huy động vốn bất hợp pháp dưới danh nghĩa 'tiền điện tử' và 'blockchain'. — Năm cơ quan bao gồm Ủy ban Giám sát Ngân hàng và Bảo hiểm
Thông tin
Khám phá
Tìm kiếm
Đăng nhập
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
BTC
ETH
HTX
SOL
BNB
Xem thị trường
Viết thư cho tin tặc: Làm cách nào để khôi phục tài sản thông qua đàm phán tiền thưởng lỗi?
CertiK
特邀专栏作者
2023-05-13 02:00
Bài viết này có khoảng 3066 từ, đọc toàn bộ bài viết mất khoảng 5 phút
Trong 25 cuộc tấn công, số tiền bị đánh cắp lên tới khoảng 1,35 tỷ đô la, trong đó 992 triệu đô la đã được trả lại.Làm thế nào để các giao thức này cho phép tin tặc trả lại tài sản?

Từ tháng 10 năm 2020 đến tháng 3 năm 2023, đã có 25 sự cố trong không gian Web 3.0 khiến số tiền bị mất được khôi phục hoặc khôi phục một phần sau một cuộc tấn công.

Qua 25 sự cố này, số tiền bị đánh cắp có tổng trị giá khoảng 1,35 tỷ đô la, trong đó 992 triệu đô la đã được trả lại (73%).

Sự trở lại của các khoản tiền bị đánh cắp mà tất cả chúng ta đã nghe nói về năm nay:Euler Finance, Allbridge và Sentiment Protocol, cả ba dự án đều đàm phán thành công với những kẻ tấn công.

Nhưng trên thực tế, tình huống này nằm trong vùng xám liên tục - những kẻ tấn công không phải là hacker mũ trắng được xác định rõ ràng để tham gia vào các chương trình tiền thưởng lỗi, cũng không phải hacker mũ đen chỉ thuần túy ăn cắp tài sản, chúng ta có thể gọi chúng là "hacker mũ xám" để phân biệt và phân tích.

Việc khai thác các lỗ hổng độc hại đã gây khó khăn cho Web3.0 trong nhiều năm. Mục tiêu của các sự cố bảo mật độc hại này thường là các thỏa thuận, hợp đồng thông minh và các ứng dụng dựa trên phần mềm, chẳng hạn như ví tự lưu trữ và kết quả thường là tin tặc "thành công" . Bỏ trốn bằng tiền.

Tuy nhiên, ngày càng có nhiều giao thức có thể thương lượng thành công với những kẻ tấn công và thương lượng việc hoàn trả tiền.

CertiK đã biên dịch dữ liệu cho 25 giao thức đã bị khai thác và sau đó trả lại tiền từ tháng 10 năm 2020 đến giữa tháng 3 năm 2023:

☞ Khoảng 1,35 tỷ đô la tiền bị đánh cắp

☞ Tổng số tiền khoảng 992 triệu đô la (73%) đã được trả lại

☞ Khoảng 314,5 triệu đô la Mỹ (23,1%) đã bị những kẻ tấn công giữ lại

☞ Khoảng 3,9% số tiền còn lại đã bị mất hoặc bị đóng băng trong quá trình

Cho đến nay vào năm 2023, khoảng 188 triệu đô la (84,8%) trong số tám vụ khai thác chính dẫn đến khoảng 221,5 triệu đô la tài sản bị đánh cắp đã được hoàn trả.

Một số khoản tiền chưa hoàn trả đã bị giữ lại dưới dạng tiền thưởng mũ trắng để thu hút sự chú ý đến các lỗ hổng giao thức.

Các trường hợp khác về số tiền chưa được trả lại một phần bắt nguồn từ yêu cầu của kẻ tấn công.

Trong số 25 thỏa thuận đó, bốn thỏa thuận đã được hoàn trả đầy đủ.

Những kẻ tấn công tiếp cận vấn đề trả lại tiền bị đánh cắp theo cách khác. Một số người trong số họ đã trả lại tất cả số tiền bị đánh cắp, trong khi những người khác trả lại một số hoặc từ chối làm như vậy.

Do bản chất độc hại ban đầu của những khai thác này và thực tế là một số kẻ tấn công đã thay đổi ý định sau khi thương lượng với nạn nhân, chúng tôi phân loại những sự cố này là tình huống mũ xám.

Sau khi Cashio.App gặp sự cố khiến 50 triệu đô la bị kẻ tấn công đánh cắp, họ cuối cùng đã trả lại tiền cho các nhà đầu tư có ít hơn 100.000 đô la trong tài khoản, phần còn lại được cho là quyên góp cho tổ chức từ thiện.

Mango MarketTình huống trong vụ án đặc biệt hơn: kẻ tấn công Avraham Eisenberg đã đánh cắp tổng cộng 117 triệu đô la Mỹ từ thỏa thuận và cuối cùng đã trả lại khoảng 67 triệu đô la Mỹ, nhưng anh ta tuyên bố rằng hành động của mình là hợp pháp- "chỉ là một giao dịch có lợi nhuận cao". chiến lược". Bất chấp thỏa thuận với Mango Market, Avraham Eisenberg sau đó đã bị SEC kiện vì đã dàn dựng cuộc tấn công vào Mango Market.

Ngành công nghiệp tiền tệ Web 3.0 đã phải hứng chịu ngày càng nhiều các vụ khai thác và hack trong vài năm qua. Nhưng giao thức dường như đang cố gắng đàm phán sâu hơn với những kẻ tấn công với hy vọng thu hồi được một lượng lớn tiền bị đánh cắp.

Thông thường, các cuộc đàm phán này diễn ra ở những nơi công cộng (chẳng hạn như mạng xã hội hoặc tin nhắn trực tuyến giữa kẻ tấn công và nạn nhân) — để lại tin nhắn cho tin tặc ẩn danh trong giao dịch thường là cách duy nhất để liên lạc với chúng.

Xu hướng như vậy có thể chỉ ra sự thay đổi ngày càng tăng trong ngành công nghiệp Web 3.0, với các giao thức và nhà đầu tư trở nên ít rủi ro hơn và an toàn hơn, đặc biệt là khi các dự án tạo ra động cơ thị trường để thúc đẩy những kẻ tấn công vào các vụ việc.

Để tìm hiểu thêm về khả năng này, chúng tôi muốn xem xét các chiến lược thương lượng khác nhau mà các nạn nhân sử dụng bằng cách phân tích các cuộc thương lượng công khai này và kết quả cuối cùng của chúng.

tiêu đề phụ

Poly Network

Vào ngày 10 tháng 8 năm 2021, tin tặc đã sử dụngPoly NetworkMột lỗi trong mã đã đánh cắp tiền từ hơn chục loại tiền tệ Web 3.0 khác nhau, tổng thiệt hại hơn 610 triệu USD. Cùng ngày, Poly Network đã liên hệ trực tiếp với hacker thông qua thông tin trên chuỗi, yêu cầu họ liên lạc với anh ta.

Thỏa thuận cuối cùng đề xuất rằng một phần thưởng sẽ được trao cho tin tặc nếu số tiền được trả lại. Poly Network cũng công bố một bức thư ngỏ gửi tới các hacker trên Twitter, nói rằng "cơ quan thực thi pháp luật ở bất kỳ quốc gia nào sẽ coi đây là tội phạm kinh tế lớn và bạn sẽ phải chịu trách nhiệm." Vào cuối vụ việc, Poly Network thậm chí còn ca ngợi các tin tặc, nói rằng họ "hy vọng sẽ được nhớ đến như những tin tặc mũ trắng lớn nhất trong lịch sử."

Nhưng tin tặc đã trả lời rằng trước khi anh ta có thể trả lời Poly Network ngay từ đầu, giao thức này đã bị các nhà đầu tư và những người khác thúc giục và mắng mỏ khi họ không có ý định rửa tiền bị đánh cắp. Không chỉ vậy, trong quá trình này, tin tặc vẫn liên lạc với Poly Network thông qua các ghi chú giao dịch, nói rằng chúng dự định bắt đầu bằng cách trả lại các altcoin và hỏi xem liệu USDT bị đánh cắp có thể được mở khóa hay không. USDT, USDC.

Poly Network đã không trả lời câu hỏi, đây lẽ ra phải là một động thái đúng đắn, vì tin tặc bắt đầu trả lại tiền cho ba địa chỉ Poly Network vào ngày hôm sau.

Các tin tặc sau đó đã nhắn tin rằng chúng sẽ cung cấp các khóa cuối cùng cho ví đa chữ ký mà chúng đã sử dụng để trả lại tiền.

Các tin tặc cuối cùng đã trả lại tất cả tài sản bị đánh cắp đã được gửi đến tài khoản nhiều chữ ký.

Ngoại trừ số USDT trị giá 33 triệu đô la đã bị Tether đóng băng, hầu hết số tiền bị mất đã được trả lại cho Poly Network.

Đổi lại, Poly Network đã trả một khoản tiền thưởng tìm lỗi là 160 ETH (khoảng 486.000 USD) cho một tài khoản riêng do tin tặc tạo. Nhưng tin tặc đã trả lại tiền thưởng cho Poly Network và yêu cầu phân phối khoản phí đó cho những nhà đầu tư bị ảnh hưởng.

sao chép đường dẫn【https://heystacks.com/doc/977/polynetwork-and-hacker-communicatetiêu đề phụ

Allbridge

Vào ngày 1 tháng 4 năm 2023, Allbridge đã hứng chịu một cuộc tấn công nhắm vào nhóm BUSD/USDT của họ trên Chuỗi BNB. Dự án ban đầu cho biết cuộc tấn công chỉ ảnh hưởng đến các nhóm BNB Chain đó, nhưng lỗ hổng có thể mở rộng sang các nhóm khác. Để ngăn chặn điều này, Allbridge đã ngừng nền tảng cầu nối của họ và tạo một giao diện web để các nhà điều hành nhóm thanh khoản rút số dư.

Giống như Poly Network, Allbridge đã thông báo ngay sau vụ tấn công rằng họ sẽ trao tiền thưởng cho tin tặc, đồng thời nói thêm rằng nếu số tiền bị đánh cắp được trả lại, tin tặc sẽ không phải chịu bất kỳ hậu quả pháp lý nào. Vào ngày 3 tháng 4, nhóm đã thông báo rằng họ đã nhận được thông tin từ những kẻ tấn công và 1.500 BNB (~ 465.000 USD) đã được trả lại cho dự án. Khoảng 108.000 đô la tài sản vẫn nằm trong tay tin tặc.

tiêu đề phụ

Euler Finance 

Euler FinanceVụ hack là vụ khai thác lỗ hổng lớn nhất cho đến nay vào năm 2023.

Vào ngày 13 tháng 3 năm 2023, nhóm quỹ của Euler Finance đã bị tấn công bởi một khoản vay chớp nhoáng và tổng thiệt hại là khoảng 197 triệu đô la Mỹ.

Như trong trường hợp của Poly Network và Allbridge, Euler Finance đã treo thưởng 10% cho kẻ tấn công nếu kẻ tấn công trả lại số tài sản còn lại.

Tuy nhiên, dự án đã thực hiện một cách tiếp cận tích cực hơn đối với các chiến thuật đàm phán của mình, đưa ra thông báo về tiền thưởng kèm theo cảnh báo: Nếu kẻ tấn công không trả lại 90% số tiền còn lại, họ sẽ đưa ra phần thưởng trị giá 1 triệu đô la cho thông tin về kẻ tấn công. thông tin. Bất chấp cảnh báo này, tin tặc đã chuyển khoảng 1,78 triệu đô la tiền bị đánh cắp sang Tornado Cash.

Sau đó, tin tặc đã liên hệ với Euler Finance thông qua các tin nhắn trên chuỗi.

Vào ngày 21 tháng 3, Euler Finance đã thực hiện các hành động trong cảnh báo, tung ra khoản tiền thưởng trị giá 1 triệu đô la cho thông tin về kẻ tấn công sau khi kẻ tấn công ngừng phản hồi và bốn ngày sau, kẻ tấn công đã chọn trả lại tiền cho Euler và xin lỗi:

Vào ngày 3 tháng 4, Euler Finance đã thông báo trên tài khoản Twitter của mình rằng họ đã thu hồi được tất cả "các khoản tiền có thể thu hồi được" sau các cuộc đàm phán với tin tặc.

tiêu đề phụ

Sentiment Protocol

Vào ngày 4 tháng 4 năm 2023, Sentiment Protocol bị tấn công và mất gần 1 triệu USD.

Vào ngày 5 tháng 4, Sentiment Protocol đã công bố lỗ hổng trên tài khoản Twitter của mình và đình chỉ hợp đồng chính (chỉ cho phép rút tiền) để giảm thiểu tổn thất thêm tiền.

Giao thức tình cảm đề nghị thương lượng với những kẻ tấn công, hứa hẹn một khoản tiền thưởng trong khi đưa ra cảnh báo: Nếu những kẻ tấn công không trả lại tiền trước ngày 6 tháng 4, tiền thưởng "mũ trắng" đã hứa với chúng sẽ trở thành tiền thưởng để săn lùng chúng bằng vàng. Giống như Allbridge, giao thức cũng hứa rằng họ sẽ không thực hiện hành động pháp lý chống lại những kẻ tấn công nếu tiền được trả lại:

Ngày hôm sau, Giao thức tình cảm đã cung cấp cho kẻ tấn công khoản tiền thưởng 95.000 đô la nếu kẻ tấn công trả lại tiền trước 8:00 UTC vào ngày 6 tháng 4.

tiêu đề phụ

Làm thế nào để đàm phán với hacker mũ xám?

Như đã thấy trong bốn trường hợp trong bài viết này, tất cả các giao thức đều phát hành tiền thưởng để đổi lấy tài sản bị đánh cắp.

Cả Euler Finance và Sentiment Protocol đều cảnh báo những kẻ tấn công (với tiền thưởng cho thông tin về những kẻ tấn công). Allbridge và Sentiment Protocol cũng thông báo rằng họ sẽ không thực hiện hành động pháp lý chống lại tin tặc nếu tiền được trả lại, trong khi Poly Network nói rõ rằng họ sẽ liên hệ với cơ quan thực thi pháp luật.

Trong số bốn thỏa thuận, hai trong số các khoản tiền "có thể thu hồi" đã được trả lại đầy đủ và Allbridge vẫn đang đàm phán với tin tặc thứ hai. Giao thức tình cảm đã thu hồi thành công 90% số tiền sau hai ngày đàm phán.

Từ đó, chúng ta có thể thấy rằng tiền thưởng là một phương tiện đàm phán rất hiệu quả với những kẻ tấn công. Tuy nhiên, nó cũng tiềm ẩn những rủi ro nhất định. Ví dụ, sau khi nhận được tiền thưởng, kẻ tấn công không thực hiện lời hứa của mình mà tiếp tục rò rỉ dữ liệu hoặc tấn công lại. Ngoài ra, một số quốc gia và khu vực có thể thực hiện các biện pháp pháp lý chống lại việc thanh toán tiền thưởng.

Do đó, các tổ chức cần đánh giá rủi ro và tính hợp pháp, đồng thời phát triển các chiến lược hiệu quả để đảm bảo các khoản thanh toán tiền chuộc được thực hiện một cách an toàn và tài sản bị đánh cắp được thu hồi nhanh nhất có thể.

Sự an toàn
đầu tư
Web3.0
USDT
BNB
Chào mừng tham gia cộng đồng chính thức của Odaily
Nhóm đăng ký
https://t.me/Odaily_News
Nhóm trò chuyện
https://t.me/Odaily_CryptoPunk
Tài khoản chính thức
https://twitter.com/OdailyChina
Nhóm trò chuyện
https://t.me/Odaily_CryptoPunk
Bài viết đề xuất
Quan sát mẫu về tiền điện tử trong mùa báo cáo thu nhập: Ai sử dụng BTC để tăng giá trị? Ai dựa vào ETH để kiếm tiền mặt?
Vụ trộm BTC lớn nhất trong lịch sử đã bị phát hiện: 5 năm sau, số tiền liên quan đã lên tới 14,5 tỷ đô la
Đánh giá công cụ: Công cụ truy vấn dữ liệu của công ty dự trữ tiền điện tử nào là tốt nhất?
Tóm tắt AI
Trở về đầu trang
Trong 25 cuộc tấn công, số tiền bị đánh cắp lên tới khoảng 1,35 tỷ đô la, trong đó 992 triệu đô la đã được trả lại.Làm thế nào để các giao thức này cho phép tin tặc trả lại tài sản?
Thư viện tác giả
CertiK
Quy định về Stablecoin và Đạo luật GENIUS: Sự cần thiết của việc xác minh chính thức
Truyền thông Hàn Quốc tập trung vào việc tái thiết lòng tin của Web3, Giám đốc kinh doanh của CertiK ủng hộ mô hình bảo mật động mới
Nhà sáng lập CertiK Gu Ronghui đã tham dự Hội nghị thượng đỉnh Unchained để thảo luận về bảo mật và tuân thủ Web3
Bảng xếp hạng bài viết nóng
Daily
Weekly
Vụ trộm BTC lớn nhất trong lịch sử đã bị phát hiện: 5 năm sau, số tiền liên quan đã lên tới 14,5 tỷ đô la
Vụ trộm BTC lớn nhất trong lịch sử đã bị phát hiện: 5 năm sau, số tiền liên quan đã lên tới 14,5 tỷ đô la
Ethena ra mắt chương trình khuyến khích vay luân chuyển USDe và sUSDe; Falcon Finance bổ sung kênh tăng tốc 60x điểm (ngày 4 tháng 8)
Đánh giá công cụ: Công cụ truy vấn dữ liệu của công ty dự trữ tiền điện tử nào là tốt nhất?
Vụ trộm tượng Satoshi Nakamoto: Một trò hề với phần thưởng 0,1 BTC
Giá cổ phiếu Coinbase giảm mạnh, báo cáo tài chính của công ty tiết lộ bí mật gì?
Tải ứng dụng Odaily Nhật Báo Hành Tinh
Hãy để một số người hiểu Web3.0 trước
IOS
Android