Đánh giá về 20 vụ hack hàng đầu trong ngành công nghiệp mã hóa trong hai năm qua
Hoàn thiện: Cookies, Chain Catchers
Vào cuối tháng 3, Ronin Network, một mạng sidechain của chuỗi trò chơi nổi tiếng Axie Infinity, đã mất khoảng 620 triệu đô la tài sản trong một sự cố hack, trở thành vụ tấn công hack DeFi nghiêm trọng nhất cho đến nay, càng làm sâu sắc thêm mối lo ngại của công chúng về tính bảo mật của thế giới được mã hóa.
Trong hai năm qua, một lượng tiền khổng lồ đã tiếp tục chảy vào ngành công nghiệp mã hóa, nhưng tính bảo mật của nó vẫn rất mong manh, nhiều lỗ hổng mã từ các sàn giao dịch tập trung và các dự án DeFi đã bị tin tặc tấn công liên tục. của các sự cố an ninh khác nhau, v.v. mức độ đang tăng lên nhanh chóng.
Theo thống kê từ SlowMist, các sự cố bảo mật chuỗi khối vào năm 2021 đã dẫn đến khoản lỗ lũy kế hơn 9,8 tỷ đô la Mỹ, liên quan đến 231 sự cố bảo mật. vẫn bị thương nặng.
tiêu đề phụ
1. Mạng lưới Ronin, 624 triệu USD
Vào ngày 29 tháng 3 năm 2022, Ronin chính thức tuyên bố rằng cây cầu xuyên chuỗi của họ đã bị tấn công và 173.600 ETH và 25,5 triệu USDC đã bị đánh cắp, với giá trị tích lũy khoảng 620 triệu đô la Mỹ.
Quan chức này cho biết lý do dự án bị đánh cắp là do khóa riêng của năm người xác minh đã bị đánh cắp. Vào tháng 11 năm ngoái, Sky Mavis và Axie DAO đã thiết lập một nút RPC không tốn gas với mục đích ban đầu là giảm chi phí cho người dùng, điều này yêu cầu Axie DAO phải trở thành người xác thực Sky Mavis. Mặc dù nút RPC chỉ tồn tại trong một tháng, quyền truy cập danh sách trắng không bao giờ được cấp. Do đó, kẻ tấn công có cơ hội đánh cắp chữ ký Axie DAO, thu thập sự đồng thuận của 5 người xác minh và thay thế bằng khóa riêng tư để giả mạo một giao dịch rút tiền giả.
tiêu đề phụ
2. Mạng Poly, 611 triệu USD
Vào ngày 10 tháng 8 năm 2021, các hợp đồng thông minh được triển khai bởi giao thức khả năng tương tác chuỗi chéo Poly Network trên Ethereum, BSC và Polygon đã bị tấn công cùng lúc và tài sản trị giá hơn 610 triệu đô la Mỹ đã bị đánh cắp.
Theo phân tích của nhóm SlowMist, kẻ tấn công sử dụng một chức năng cụ thể để chuyển dữ liệu được xây dựng cẩn thận nhằm sửa đổi người giữ hợp đồng EthCrossChainData. Sau khi thay thế địa chỉ của vai trò người giữ, kẻ tấn công có thể xây dựng các giao dịch theo ý muốn và rút bất kỳ số tiền nào tiền từ hợp đồng.
tiêu đề phụ
3. Lỗ sâu, 326 triệu USD
Vào ngày 3 tháng 2 năm nay, giao thức xuyên chuỗi Wormhole đã bị tấn công và các quan chức xác nhận rằng 120.000 ETH (khoảng 326 triệu USD) đã bị mất trong cuộc tấn công.
Theo điều tra, lỗ hổng của sự cố này là có lỗi trong mã xác minh chữ ký của hợp đồng Wormhole cốt lõi phía Solana, cho phép kẻ tấn công giả mạo tin nhắn từ “người giám hộ” để đúc whETH. Kẻ tấn công đã chuyển 120.000 ETH thực sang Ethereum thông qua Wormhole thông qua số lượng tương đương ETH (Wormhole ETH) được đúc vô hạn trên Solana.
tiêu đề phụ
4. BitMart, 196 triệu USD
Vào ngày 5 tháng 12 năm 2021, khoảng 196 triệu đô la Mỹ đã bị đánh cắp từ ví nóng Ethereum và BSC của nền tảng giao dịch mã hóa BitMart, trong đó khoảng 100 triệu đô la Mỹ đã bị đánh cắp trên Ethereum và khoảng 96 triệu đô la Mỹ đã bị đánh cắp trên BSC.
Người ta hiểu rằng kẻ tấn công đã chuyển tiền BitMart từ ví nóng sang ví của chính anh ta và giao dịch phần lớn tiền thành ETH và BNB thông qua 1inch, sau đó trộn tiền thông qua TornadoCash và cuối cùng đã lấy đi được.
tiêu đề phụ
5. Vulcan Forged, 140 triệu USD
tiêu đề phụ
6. Cream Finance, 130 triệu USD
Vào ngày 27 tháng 10 năm 2021, nền tảng cho vay thế chấp Cream Finance đã bị một cuộc tấn công cho vay chớp nhoáng, dẫn đến khoản lỗ khoảng 130 triệu đô la Mỹ.
Có thể hiểu rằng cuộc tấn công này là sự kết hợp giữa tấn công kinh tế và tấn công máy tiên tri. Kẻ tấn công đã nhanh chóng cho vay DAI từ MakerDAO để tạo ra một số lượng lớn mã thông báo yUSD. Sau khi đạt mức cao, vị thế yUSD của kẻ tấn công tăng lên, tạo ra đủ giới hạn vay để bù đắp tính thanh khoản của thị trường Cream Ethereum v1.
tiêu đề phụ
7. Con lửng 120 triệu USD
Vào ngày 2 tháng 12 năm 2021, giao diện người dùng Badger đã bị tấn công và một yêu cầu ví độc hại đã được cấy ghép, với tổng thiệt hại khoảng 2100 BTC và 151 ETH, tương đương khoảng 120 triệu USD.
Vụ việc là một cuộc tấn công lừa đảo gây ra bởi một "đoạn mã độc hại" của Cloudflare, một nền tảng ứng dụng chạy trên mạng đám mây của Badger. Tin tặc sử dụng khóa API bị hỏng do các kỹ sư của Badger tạo ra mà họ không biết hoặc không được phép để thường xuyên tiêm mã độc và nhận được chú thích về quyền hạn không giới hạn đối với ví của người dùng.
tiêu đề phụ
8. Qubit Finance, 80 triệu USD
Vào ngày 28 tháng 1 năm 2022, Qubit, dự án cho vay của BSC, bị nghi ngờ đã bị tấn công. Tin tặc đã đúc một lượng lớn tài sản thế chấp xETH và đánh cắp khoảng 80 triệu đô la tài sản từ nhóm quỹ.
Nguyên nhân chính của cuộc tấn công này là do khi nạp tiền mã thông báo thông thường và mã thông báo gốc được triển khai riêng, khi chuyển mã thông báo trong danh sách trắng, họ đã không kiểm tra lại xem chúng có phải là địa chỉ 0 hay không, dẫn đến việc nạp tiền mà lẽ ra phải được thực hiện thông qua mã gốc. của chức năng có thể thông suốt thông qua logic nạp lại mã thông báo thông thường.
tiêu đề phụ
9. AscendEX, 77 triệu USD
Vào ngày 12 tháng 12 năm 2021, ví nóng Ethereum, BSC và Polygon của sàn giao dịch tiền điện tử AscendEX đã bị đánh cắp hoặc vượt quá 77 triệu đô la Mỹ tài sản.
tiêu đề phụ
10. EasyFi, 59 triệu USD
Vào ngày 20 tháng 4 năm 2021, Ankitt Gaur, người sáng lập thỏa thuận cho vay DeFi lớp 2 EasyFi, cho biết nhóm thanh khoản giao thức đã được chuyển 6 triệu đô la tiền ổn định và 2,98 triệu mã thông báo EASY, với tổng thiệt hại khoảng 59 triệu đô la.
Điều này được hiểu rằng dự án đã bị đánh cắp vì khóa cụm từ ghi nhớ MetaMask của quản trị viên đã bị tấn công từ xa và hợp đồng thông minh EasyFi không bị tấn công. EasyFi đã liên hệ với nhóm Binance và AscendEx, tin tặc đã không chuyển mã thông báo từ ví và chúng không thể được bán trong DEX do hạn chế thanh khoản.
tiêu đề phụ
11. Tài chính Uranium, 57 triệu USD
Vào ngày 28 tháng 4 năm 2021, Uranium Finance, giao thức AMM trên Chuỗi thông minh Binance, đã tweet rằng Uranium đã bị tấn công trong quá trình di chuyển và thiệt hại lên tới khoảng 57 triệu đô la Mỹ.
Được biết, sự cố này xảy ra trong hợp đồng cặp của dự án Uranium. Phần chức năng hoán đổi của logic hợp đồng đề cập đến logic của PancakeSwap, cho phép người dùng cho vay tiền thông qua các khoản vay chớp nhoáng. Tuy nhiên, khi chức năng kiểm tra số dư hợp đồng theo công thức tích hằng số thì phát sinh lỗi xử lý độ chính xác, dẫn đến số dư cuối kỳ tính trên hợp đồng lớn gấp 100 lần số dư thực tế của hợp đồng, trong trường hợp này, nếu kẻ tấn công sử dụng khoản vay chớp nhoáng để vay, chỉ cần trả lại 1% số tiền cho vay để vượt qua cuộc kiểm tra và đánh cắp 99% số dư còn lại, dẫn đến tổn thất dự án.
tiêu đề phụ
12. bZx, 55 triệu USD
Vào ngày 6 tháng 11 năm 2021, giao thức cho vay phi tập trung bZx trên chuỗi Polygon và BSC đã dẫn đến việc tài sản trị giá hơn 55 triệu đô la bị đánh cắp do rò rỉ khóa riêng tư.
tiêu đề phụ
13. Tiền mặt, 48 triệu USD
Vào ngày 23 tháng 3 năm 2022, Cashio, stablecoin thuật toán sinh thái Solana, đã tweet để cảnh báo người dùng không đúc bất kỳ mã thông báo nào và rút tiền khỏi nhóm càng sớm càng tốt. Có một lỗi đúc vô hạn trong giao thức, dẫn đến khoản lỗ khoảng 48 triệu đô la.
Cashio Dollar là một stablecoin thuật toán được hỗ trợ bởi mã thông báo USDT-USDC LP. Bằng cách bỏ qua một tài khoản chưa được xác minh, tin tặc đã phát hành trái phép 2 tỷ mã thông báo CASH và chuyển đổi mã thông báo CASH thành UST, USDC và USDT-USDC LP, tổng giá trị lợi nhuận là khoảng 48 triệu đô la Mỹ.
tiêu đề phụ
14. Bánh kếp Bunny, 46 triệu USD
Vào ngày 20 tháng 5 năm 2021, PancakeBunny, công cụ tổng hợp doanh thu trên Binance Smart Chain BSC, bị nghi ngờ là bị tấn công và mất khoảng 46 triệu USD.
Đây là một cuộc tấn công cho vay chớp nhoáng điển hình. Điểm mấu chốt là việc tính toán giá của WBNB-BUNNY LP có sai sót và số lượng BUNNY được đúc bởi hợp đồng BunnyMinterV2 phụ thuộc vào phương pháp tính giá LP có sai sót này, điều này cuối cùng khiến kẻ tấn công sử dụng khoản vay chớp nhoáng để thao túng WBNB -Nhóm BUNNY do đó đã tăng giá LP, khiến hợp đồng BunnyMinterV2 đúc một lượng lớn mã thông báo BUNNY cho kẻ tấn công.
tiêu đề phụ
15. Kucoin, 45 triệu USD
Vào ngày 20 tháng 9 năm 2020, ví nóng Kucoin đã bị tấn công, dẫn đến thiệt hại hơn 280 triệu đô la Mỹ.
tiêu đề phụ
16. Secretswap, hơn 40 triệu USD
Vào ngày 14 tháng 9 năm 2021, Secretswap, một dự án DEX dựa trên chuỗi công khai về quyền riêng tư Secret Network, đã bị tấn công và hơn 40 triệu đô la trong nhóm thanh khoản đã bị tin tặc rút đi. Sau sự cố, dự án đã đình chỉ việc sử dụng chéo cầu nối chuỗi giữa Secretswap và Secret Network, để ngăn tin tặc chuyển tài sản từ cầu nối chuỗi chéo sang mạng Ethereum.
Các cuộc điều tra sau khi khám nghiệm tử thi cho thấy vi phạm liên quan đến một hợp đồng LP duy nhất liên quan đến đặt cược phần thưởng SecretSwap, không có khoản tiền bị đánh cắp nào rời khỏi mạng, không có hợp đồng cầu nối/token nào bị tấn công và bản thân mạng cũng không bị tấn công.
tiêu đề phụ
17. Alpha Finance, 37 triệu USD
Vào ngày 13 tháng 2 năm 2021, Alpha Finance Lab đã tuyên bố trên Twitter chính thức của mình rằng tin tặc đã sử dụng lỗ hổng Alpha Homora V2 để cho vay ETH, DAI, USDC và các tài sản khác từ Ngân hàng Sắt (Cream V2), dẫn đến các khoản nợ giữa Alpha Homora v2 và Cream v2 mối quan hệ, với khoản lỗ khoảng 37 triệu đô la.
tiêu đề phụ
18. Vee Finance 37 triệu USD
Vào ngày 21 tháng 9 năm 2021, hợp đồng thông minh Vee Finance của nền tảng cho vay sinh thái Avalanche đã bị tấn công, dẫn đến thiệt hại khoảng 37 triệu đô la Mỹ.
Điều này được hiểu rằng lý do chính của lỗ hổng này là khi người dùng tạo các lệnh giao dịch có đòn bẩy, nhà tiên tri chỉ sử dụng giá của nhóm Pangolin làm nguồn cung cấp giá và giá của nhóm này dao động hơn 3%. Nhà tiên tri sẽ làm mới giá, khiến kẻ tấn công thao túng giá của Pangolin pool. Tuy nhiên, giá của cỗ máy tiên tri Vee Finance đã bị thao túng và giá của cỗ máy tiên tri mua lại không được xử lý dưới dạng số thập phân, dẫn đến việc kiểm tra trượt giá dự kiến trước khi hoán đổi không hoạt động.
tiêu đề phụ
19. Crypto.com 33 triệu USD
Vào ngày 18 tháng 1 năm 2022, một số tài khoản của sàn giao dịch tiền điện tử Crypto.com bị nghi ngờ bị tấn công, dẫn đến thiệt hại khoảng 33 triệu đô la Mỹ.
Điều này được hiểu rằng tin tặc đã bỏ qua xác minh 2FA hiện có và trở thành một danh sách trắng rút tiền.Tổng cộng 483 tài khoản đã bị bẻ khóa, 4836 ETH và 444 Bitcoin đã bị đánh cắp và ETH đã được gửi đến Tornado Cash để trộn tiền tệ.
tiêu đề phụ
20. Tài chính MonoX 31 triệu USD
Vào ngày 30 tháng 11 năm 2021, giao thức tạo thị trường tự động MonoX đã bị tấn công bởi một khoản vay chớp nhoáng và khoảng 31 triệu đô la tiền điện tử trên Ethereum và Polygon đã bị tin tặc đánh cắp.
Điều này được hiểu rằng kẻ tấn công đã sử dụng hợp đồng hoán đổi để vận hành, đẩy giá MONO lên mức cao ngất ngưởng và sau đó sử dụng MONO để mua tất cả các tài sản khác trong nhóm.
Sau đó, nhóm dự án tuyên bố rằng họ sẽ phát hành mã thông báo nợ dMONO cho tất cả tài sản bị đánh cắp và triển khai kho tiền dMONO, sẽ sử dụng doanh thu của chúng tôi để mua lại MONO và gửi MONO đến kho tiền này và bất kỳ chủ sở hữu dMONO nào cũng có thể phá hủy chúng bất kỳ lúc nào bằng cách dMONO đến và mua MONO để thoát khỏi kho tiền, nhưng nếu người dùng chọn rút dMONO trước khi nó đạt đến giá trị nợ, điều đó có nghĩa là khoản nợ còn lại sẽ được xóa.
Thống kê thêm cho thấy mặc dù thiệt hại tích lũy của các sự cố bảo mật này lên tới hàng tỷ đô la, nhưng hầu hết người dùng của các dự án bị đánh cắp đều được bồi thường đầy đủ cho những tổn thất của họ. các dự án Khoản bồi thường bằng tiền gốc do bên dự án thanh toán và hầu hết các dự án còn lại được dự án thanh toán dưới dạng mã thông báo của chính họ. Tuy nhiên, do giá mã thông báo giảm nên số tiền bồi thường thực tế thấp hơn tổn thất Chỉ Uranium Finance không thực hiện bất kỳ khoản bồi thường nào cho người dùng.
Qua đó có thể thấy các cuộc tấn công của hacker không khủng khiếp như tưởng tượng, điều quan trọng là nền tảng tài nguyên của bên dự án và tinh thần trách nhiệm với người dùng. trong các dự án có sức mạnh càng nhiều càng tốt.Với nền tảng này, các hoạt động đầu tư và khai thác có liên quan được thực hiện trong phạm vi chịu đựng của chính họ để đảm bảo an toàn cho tiền.
