Rủi ro tập trung hóa vẫn ở mức cao, với thiệt hại do hack lên tới 1,3 tỷ đô la vào năm 2021

特邀专栏作者

2022-02-11 06:47

Bài viết này có khoảng 1755 từ, đọc toàn bộ bài viết mất khoảng 3 phút

Trong số 44 sự cố hack DeFi vào năm 2021, tổng thiệt hại tài sản lên tới 1,3 tỷ đô la Mỹ!

Chớp mắt, tôi đã gắn bó với CertiK năm thứ 5. Tuy nhiên, sau khi đọc hàng nghìn báo cáo kiểm toán, luôn có một vấn đề khiến dân kỹ thuật như tôi cảm thấy khó hiểu. Đôi khi, chúng ta có thể biết liệu mã của dự án có chất lượng cao hay không bằng cách xem báo cáo kiểm toán của nó. Sau đó, đánh giá xem tính bảo mật của mã dự án có đáp ứng tiêu chuẩn theo mức độ rủi ro và số trong báo cáo kiểm toán hay không.

Tuy nhiên, trong năm qua, mã số của nhiều dự án tương đối đầy đủ và an toàn, nhưng tiềm ẩn rủi ro tập trung rủi ro lớn.

Vì vậy, đối với một dự án có rủi ro này, nếu mã của nó hoạt động tốt ở các khía cạnh khác, làm thế nào chúng ta có thể đánh giá liệu chất lượng mã của nó có chất lượng cao hay không?

Những dự án như vậy chiếm một tỷ lệ lớn trong hồ sơ kiểm toán trước đây——Trong số 1.737 báo cáo kiểm toán năm 2021 theo CertiK, có tới 286 dự án có rủi ro tập trung, chiếm gần 17%.

Báo cáo bảo mật ngành DeFi năm 2021Báo cáo bảo mật ngành DeFi năm 2021], người ta chỉ ra rằng:Lý do phổ biến nhất dẫn đến việc bị hack vào năm 2021 là rủi ro tập trung. Kết quả là 44 sự cố hack DeFi, tổng thiệt hại tài sản lên tới 1,3 tỷ đô la Mỹ!

tiêu đề phụ

https://certik-2.hubspotpagebuilder.com/the-state-of-defi-security-2021-chinese

Rủi ro tập trung là gì?

Mọi người nên rõ ràng: tầm quan trọng của blockchain nằm ở sự phân cấp, ẩn danh và minh bạch.

Trong số đó, phi tập trung hóa là bản chất cốt lõi độc đáo nhất của DeFi, DAO và thậm chí toàn bộ thế giới mã hóa.

Từ định nghĩa - Kết quả tìm kiếm từ Bách khoa toàn thư Baidu như sau: Trong một hệ thống được phân phối với nhiều nút, mỗi nút có các đặc điểm của mức độ tự chủ cao. Các nút có thể được kết nối tự do với nhau để tạo thành các đơn vị kết nối mới. Bất kỳ nút nào cũng có thể trở thành trung tâm theo từng giai đoạn, nhưng nó không có chức năng điều khiển trung tâm bắt buộc. Hiện tượng hoặc cấu trúc hệ thống mở, phẳng và bình đẳng này được gọi là phân quyền.

Chỉ riêng rủi ro tập trung hóa ở cấp độ này đã đi chệch khỏi mục đích ban đầu của việc tạo ra trường mã hóa.

Trọng tâm của rủi ro tập trung là một điểm lỗi duy nhất trong giao thức DeFi — hợp đồng thông minh có quyền sở hữu tập trung rủi ro hơn hợp đồng có khóa thời gian hoặc quyền sở hữu khóa đa chữ ký.

Một khi rủi ro này bị khai thác bởi những kẻ tấn công độc hại, việc đúc tiền không giới hạn, Rug Pull và các kiểu tấn công khác sẽ xảy ra.

Nếu hợp đồng của bạn có lỗ hổng đúc tiền, miễn là kẻ tấn công có thể lấy được khóa riêng của hợp đồng, hắn có thể bán lại vô số mã thông báo và đưa chúng cho bất kỳ ai hắn muốn.

Rõ ràng phương thức tấn công này đơn giản chỉ là công cụ in tiền cho các chủ dự án, và tất nhiên một số dự án sẽ trở thành cỗ máy ATM cho các tin tặc khác.

Một phương pháp tấn công điển hình khác là Rug Pull mà CertiK vừa đưa ra để phân tíchBabyMusk tấn côngĐó là một trường hợp điển hình.

Trong phương pháp tấn công này, một số chủ sở hữu dự án bán tất cả các mã thông báo họ nắm giữ một cách ác ý để tiêu thụ tính thanh khoản của sàn giao dịch phi tập trung. Ngoài ra còn có một số chủ sở hữu dự án trực tiếp đánh cắp mã thông báo từ hợp đồng, chẳng hạn như các dự án hợp đồng bị khóa trước khi bán.

tiêu đề phụ

trường hợp điển hình

Giao thức DeFi bZx đã bị tấn công ác ý vào tháng 11 năm 2021 do quản lý khóa riêng kém, dẫn đến thiệt hại lên tới 55 triệu đô la Mỹ.

Khóa riêng của hợp đồng dự án không sử dụng đa chữ ký và kẻ tấn công dễ dàng giành được quyền kiểm soát khóa riêng thông qua email lừa đảo. Rủi ro tập trung này cho phép kẻ tấn công kiểm soát hoàn toàn tất cả các hợp đồng được quản lý bởi khóa riêng đó.

tiêu đề phụ

Làm thế nào để giảm thiểu rủi ro tập trung?

Làm thế nào có thể giảm thiểu rủi ro tập trung?

Kiểm toán hợp đồng thông minh là bước đầu tiên và cần thiết để xác định rủi ro tập trung.

Thông qua kiểm tra hợp đồng thông minh, rủi ro tập trung trong mã dự án có thể được xác định kịp thời, nhưng chỉ kiểm tra thôi là chưa đủ và việc sửa đổi mã sau đó cũng rất quan trọng.

Trong nhiều trường hợp, các vấn đề được phát hiện bởi các chuyên gia bảo mật và các đề xuất sửa đổi sẽ bị chủ dự án phớt lờ....

Những hành vi này chỉ đơn giản là kêu gọi tin tặc: Nào, tôi có tiền cho bạn!

CertiK phân loại các rủi ro được phát hiện trong quá trình kiểm toán thành năm cấp độ: trọng yếu, chính, trung bình, nhỏ và mang tính thông tin.

Chúng tôi đã đề cập ở trên rằng rủi ro tập trung thuộc mức rủi ro chính, có nghĩa là trong một số trường hợp nhất định, rủi ro này có thể dẫn đến mất vốn và/hoặc kiểm soát dự án. Nó có thể không ảnh hưởng lớn đến hoạt động của nền tảng, nhưng nó cũng là một trong những rủi ro có tính rủi ro cao cần phải giải quyết.

Là công ty hàng đầu về bảo mật chuỗi khối, CertiK cam kết cải thiện tính bảo mật và tính minh bạch của tiền điện tử và DeFi. Cho đến nay, CertiK đã được 2.500 khách hàng doanh nghiệp công nhận, bảo vệ hơn 311 tỷ USD tài sản kỹ thuật số khỏi bị mất mát.