Cảnh báo rủi ro: Đề phòng huy động vốn bất hợp pháp dưới danh nghĩa 'tiền điện tử' và 'blockchain'. — Năm cơ quan bao gồm Ủy ban Giám sát Ngân hàng và Bảo hiểm
Thông tin
Khám phá
Tìm kiếm
Đăng nhập
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
BTC
ETH
HTX
SOL
BNB
Xem thị trường
BCTN CertiK: Những sự kiện lớn nối tiếp nhau, 23 năm nữa sẽ đi về đâu?
CertiK
特邀专栏作者
2023-01-06 05:00
Bài viết này có khoảng 9496 từ, đọc toàn bộ bài viết mất khoảng 14 phút
Vào năm 2022, tin tặc đã đánh cắp tài sản trị giá khoảng 3,77 tỷ USD từ giao thức Web3.0, tăng 189% so với mức thiệt hại 1,3 tỷ USD của năm ngoái. làm gì vào năm 2023?

KvFPleg9re8TcvET6QpwDzd8jYdh50wFDdYjsunG.jpeg

Năm 2022 sẽ là một năm khó khăn đối với toàn bộ ngành tài sản kỹ thuật số. Trong bối cảnh chung của thị trường suy thoái, 65% giá trị thị trường của tài sản kỹ thuật số đã biến mất và số vụ tấn công hack chưa từng có, sự cố gian lận và sự sụp đổ của tổ chức đã khiến các nhà đầu tư thua lỗ nặng nề thậm chí còn tồi tệ hơn.

Từ vụ đánh cắp cầu Ronin trị giá 624 triệu đô la vào tháng 3 năm nay cho đến sự sụp đổ gần như chỉ sau một đêm của FTX vào tháng 11, quy mô thiệt hại trong năm 2022 đã đạt mức lớn nhất trong lịch sử. Thiệt hại tài sản trong năm nay là khoảng 3,77 tỷ đô la, vượt xa con số 1,3 tỷ đô la được ghi nhận vào năm 2021.

Báo cáo này sẽ đi sâu vào các yếu tố khác nhau góp phần vào sự sụp đổ của các sàn giao dịch tập trung như Celsius, BlockFi và FTX. Web3.0 và các ứng dụng tài chính phi tập trung dựa trên các chuỗi khối nguồn mở sẽ đóng một vai trò quan trọng, nhưng chỉ riêng điều này thôi cũng đã được kỳ vọng sẽ tiến tới việc áp dụng rộng rãi Web3.0. Không thực tế lắm chưa. Mặc dù tổn thất trong thế giới phi tập trung là tương đối nhỏ so với quy mô phá sản trong không gian tập trung trong năm nay, nhưng chúng cũng có tổng trị giá hàng tỷ đô la. Toàn bộ ngành công nghiệp Web3.0 cần nhìn nhận sâu sắc về năm vừa qua và cố gắng tìm kiếm một giải pháp tốt hơn trong giai đoạn khó khăn này.

Trong khi các giao thức không an toàn tiếp tục gây thiệt hại, điều đó không phủ nhận giá trị đích thực của Web 3.0. Ngày nay, giá trị của tất cả các loại tài sản nói chung đang giảm và sự nhiệt tình của mọi người đang dần lắng xuống. Điều này cho phép chúng tôi lùi lại một bước, nhìn vào hiện trạng và xây dựng ngành trên một nền tảng vững chắc hơn.

tiêu đề cấp đầu tiên

Tóm tắt an ninh ngành năm 2022

① Vào năm 2022, tin tặc đã đánh cắp tài sản trị giá khoảng 3,77 tỷ USD từ các giao thức Web3.0.

② Con số này thể hiện mức tăng 189% so với khoản lỗ 1,3 tỷ USD vào năm 2021.

③ Vào năm 2022, sẽ có 316 vụ lừa đảo thoát, với tổng số tiền bị đánh cắp khoảng 210 triệu đô la Mỹ, và 102 vụ cho vay chớp nhoáng và các sự kiện thao túng máy tiên tri, dẫn đến thiệt hại tổng cộng khoảng 360 triệu đô la Mỹ.

④ Chỉ có 9 lỗ hổng cầu xuyên chuỗi đã chiếm hơn 1/3 tổng giá trị bị mất và tin tặc đã đánh cắp tổng cộng khoảng 1,35 tỷ USD từ các cuộc tấn công cầu xuyên chuỗi.

⑤ Bất chấp một năm thị trường giá xuống, số lượng dự án được kiểm toán bởi CertiK vẫn tiếp tục tăng. Đến nay, CertiK đã hoàn thành tổng cộng 5046 cuộc kiểm tra các dự án Web3.0. Điều này thể hiện mức tăng 73% trong tổng số cuộc kiểm toán so với cuối năm ngoái.

tiêu đề cấp đầu tiên

Các nền tảng tập trung có thể trở nên khó hòa giải mâu thuẫn

Kể từ đầu năm nay, sự sụp đổ của nhiều công ty tài sản kỹ thuật số nổi tiếng đã phủ bóng đen lên toàn bộ ngành. Mặc dù tất cả các doanh nghiệp này đều hoạt động trong lĩnh vực mua, bán, cho vay và giao dịch tài sản kỹ thuật số, nhưng trước khi gắn nhãn chúng giống nhau, chúng ta nên xem xét liệu các doanh nghiệp không còn tồn tại này có thực sự được phân loại là công ty tài sản kỹ thuật số hay không.

Chắc chắn, sự thất bại của các doanh nghiệp này liên quan nhiều đến mô hình hoạt động kinh doanh của họ hơn là tài sản mà họ quản lý. Lỗ hổng chết người của các doanh nghiệp tài sản kỹ thuật số tập trung (còn được gọi là CeFi, có nghĩa là "tài chính tập trung", trái ngược với "tài chính phi tập trung" DeFi) tiềm ẩn trong tên của họ: họ hoạt động trên một nền tảng tập trung với một điểm kiểm soát duy nhất. , đã gây ra một điểm thất bại duy nhất mà chúng tôi đã chứng kiến ​​trong năm nay.

Những gì sau đây là một chút mỉa mai bi thảm. Trong giải Super Bowl vào tháng 2 năm nay (Super Bowl, trận tranh chức vô địch hàng năm của Liên đoàn bóng đá quốc gia), FTX đã quảng bá khái niệm tài sản kỹ thuật số tới hàng triệu người xem, tuyên bố rằng tài sản kỹ thuật số là "điều quan trọng tiếp theo" và ngụ ý rằng họ sẽ không tham gia Những người trong đó giống như những kẻ ngốc trong quảng cáo bỏ lỡ tất cả.

Tuy nhiên, FTX đã bí mật gửi tiền gửi của người dùng đến bộ phận được gọi là "không nội bộ" nhưng thực chất là bộ phận giao dịch nội bộ của công ty - Alameda, nơi đã nhanh chóng mất hàng tỷ đô la tiền đầu tư, đây cũng là một vi phạm nghiêm trọng các điều khoản dịch vụ của sàn giao dịch.

Tin tức gây sốc về bảng cân đối kế toán kém thanh khoản của FTX đã nhanh chóng lan truyền và một đợt tháo chạy ngân hàng điển hình đã xảy ra sau đó. Nếu một sàn giao dịch giữ tiền gửi 1:1 và không giả định lại hoặc cho vay khi chưa được phép, thì nó có thể tồn tại qua thử nghiệm này. Nhưng đó không phải là trường hợp của FTX.

Cựu Giám đốc điều hành của FTX, Sam Bankman-Fried, đã dàn dựng một loạt các thương vụ mua lại, tài trợ và cứu trợ xa hoa, khiến cho sự sụp đổ của FTX càng trở nên khó tin hơn. Ví dụ, Voyager Digital, một công ty CeFi khác hiện đã không còn tồn tại, đã thông báo rằng FTX đã mua lại thành công tài sản của mình sau khi nộp đơn xin phá sản. Tuy nhiên, sau sự cố chớp nhoáng của FTX, nó lại phải nộp đơn xin phá sản. của năm 2022.

Sự sụp đổ của các công ty như FTX và Three Arrows Capital thực sự đã ảnh hưởng đến nhiều tổ chức đầu tư lớn, nhưng chính một số lượng lớn các nhà đầu tư bán lẻ thông thường mới là những người bị tổn thương nhiều nhất. Tiếp thị quá mức, chứng thực và sùng bái cá nhân đã khiến họ đặt niềm tin vào những nền tảng sai lầm và phải trả giá đắt cho điều đó.

Lý do khiến tỷ lệ nhà đầu tư nhỏ lẻ bị thương cao là do trên nền tảng Du hành, 97% người dùng có tài sản dưới 10.000 đô la. Nhiều người trong số những người dùng này đã lầm tưởng rằng nền tảng CeFi an toàn hơn giờ đã bị mất tài sản. Họ tin rằng việc ký gửi tài sản trên nền tảng CeFi sẽ an toàn hơn và mang lại lợi nhuận cao hơn, đồng thời tránh được các rào cản gia nhập cao và các rủi ro khác nhau do hợp đồng thông minh trên nền tảng phi tập trung mang lại.

Để biết thêm chi tiết về FTX, vui lòng tham khảo "Sự cố FTX, Tóm tắt về hack: Báo cáo bảo mật ngành Web3.0 cho Quý 4 năm 2022" để biết chi tiết.

Mặc dù những bài học này rất đau đớn cho con người, nhưng chúng thực sự là những bài học cần thiết. Nguyên tắc cốt lõi của tài sản kỹ thuật số là Tự giám sát và Chủ quyền (Self-Custody and Self-Sovereignty), vì vậy việc trao quyền kiểm soát tài sản của người dùng cho một nền tảng tập trung là vi phạm các nguyên tắc trên.

tiêu đề cấp đầu tiên

Sự kiện sụp đổ Terra

Một trong những sự kiện lớn nhất trong năm làSự sụp đổ của Terra, mức vốn hóa thị trường 45 tỷ đô la của nó đã bốc hơi chỉ trong vài ngày.

Không giống như các loại tiền ổn định như Tether, USDC và BUSD, các loại tiền ổn định theo thuật toán không dựa vào tỷ lệ cố định 1:1 với đồng đô la Mỹ để duy trì sự ổn định mà thay vào đó duy trì tỷ giá cố định tiền tệ thông qua cơ chế nội bộ của chúng. Cụ thể, tiền tệ ổn định thuật toán duy trì giá trị cơ bản của nó thông qua các chức năng đúc và đốt được thiết lập bởi hợp đồng thông minh.

Lấy ví dụ về stablecoin UST của Terra. UST được chốt vào một tài sản kỹ thuật số độc lập khác, Luna. Những người nắm giữ UST có thể đổi tài sản của họ lấy LUNA tương đương bất cứ lúc nào. Vào đầu tháng 5, LUNA được giao dịch ở mức 85 đô la, tại thời điểm đó, một stablecoin UST có thể được giao dịch với giá 0,0118 LUNA.

Nếu giá giao dịch của UST giảm xuống dưới ngưỡng 1 đô la đã đặt, các nhà tạo lập thị trường sẽ ngay lập tức chuyển đổi một lượng lớn UST thành LUNA để thu hẹp khoảng cách về giá trị giữa hai loại. Nguyên tắc là tăng nhu cầu về LUNA trong khi giảm nguồn cung UST, nghĩa là duy trì sự ổn định của neo tiền tệ bằng cách tăng giá của tài sản dự trữ stablecoin.

Vào ngày 7 tháng 5, phân tích trên chuỗi cho thấy UST đã được bán với số lượng lớn và 85 triệu UST được đổi lấy 84,5 triệu USDC, điều này trực tiếp dẫn đến việc lần đầu tiên tách UST khỏi đồng đô la Mỹ. Bị ảnh hưởng bởi điều này, giá của UST đã giảm xuống mức thấp nhất là $0,985 vào ngày 8 tháng 5.

Để tái chốt UST với đô la Mỹ, Luna Foundation Guard (LFG) đã triển khai Bitcoin trị giá 750 triệu đô la để hỗ trợ các nhà tạo lập thị trường duy trì sự ổn định về giá của UST. LFG đã mua lại một lượng bitcoin trị giá 750 triệu đô la khác sau khi điều kiện thị trường trở lại bình thường.

Tuy nhiên, thật bất ngờ, giá của UST đã giảm xuống mức thấp nhất là 0,65 đô la vào ngày 9 tháng Năm. Việc tách lại UST sau đó đã gây ra một cú sốc về giá của LUNA, giảm mạnh xuống còn 35 đô la, giảm hơn 44%, do đó làm tách rời vốn hóa thị trường giữa LUNA và UST, gây nguy hiểm cho chức năng của nó như một tài sản dự trữ ổn định. Bởi vì hệ sinh thái LUNA tại thời điểm này không có đủ giá trị để thế chấp tất cả UST đang lưu hành.

Kể từ thời điểm này, sự cân bằng mong manh giữa LUNA và UST bắt đầu sáng tỏ. Tuy nhiên, bất hạnh không bao giờ đến một mình, vì Giám đốc điều hành Do Kwon, người sáng lập Terra, Terraform Labs, được tiết lộ là một trong những người đồng sáng lập ẩn danh đằng sau một stablecoin thuật toán thất bại trước đó, Basis Cash. Theo các cáo buộc, Do Kwon đã biển thủ một số bitcoin trị giá 67 triệu đô la mà không sử dụng nó để duy trì tỷ giá cố định của đồng tiền này sau khi giá trị của nó bị phân tách và hàng tỷ đô la thua lỗ. Các công tố viên Hàn Quốc đã ban hành lệnh bắt giữ Do Kwon, nhưng anh ta vẫn còn ngoài vòng pháp luật.

tiêu đề cấp đầu tiên

Khủng hoảng tiếp tục lan rộng

Celsius, một nền tảng tập trung cho phép người dùng gửi tài sản để kiếm lợi nhuận, từng nắm giữ hơn 500 triệu đô la trong hệ sinh thái Terra. Trước khi sụp đổ, Celsius tuyên bố đã rút toàn bộ tài sản. Nhưng một tháng sau, công ty thông báo ngừng ký gửi và nộp đơn xin phá sản.

Người dùng Celsius sẽ không bao giờ biết nguồn thu nhập mà họ đang kiếm được, cũng như họ sẽ không nhận thức được những rủi ro mà họ đang gặp phải.

Celsius cũng đã sử dụng nền tảng phi tập trung để trả nhiều khoản nợ trong nỗ lực cứu vãn lượng thanh khoản ít ỏi mà nó còn lại, điều này cũng chứng minh sức mạnh của DeFi từ khía cạnh: tất cả các hoạt động trên chuỗi đều được hiển thị công khai, điều này giống như Celsius đối với Điều này trái ngược hoàn toàn với các khoản nợ tiềm ẩn khác nhau của cả người cho vay và chủ nợ.

Để tăng thêm sự xúc phạm cho thương tích, Celsius sau đó đã tiết lộ công khai tên, số dư và lịch sử giao dịch của hàng nghìn người dùng trong hồ sơ tòa án để chứng minh lợi thế về quyền riêng tư của các nền tảng tài chính phi tập trung giả ẩn danh. Đây là hành vi vô cùng vô trách nhiệm và nguy hiểm.

Thành công liên tục của các nền tảng DeFi như Aave đã cung cấp hỗ trợ vật chất tích cực cho các mô hình kinh doanh phi tập trung. Người dùng có thể xác minh khả năng trả nợ của Aave trong thời gian thực và hiểu nơi người gửi tiền kiếm được thu nhập của họ. Và quy trình thanh lý của nền tảng đơn giản là không cho phép rủi ro cuối cùng dẫn đến sự sụp đổ của Celsius.

So với các nền tảng tài chính tập trung, DeFi rõ ràng có nhiều lợi thế hơn. Tuy nhiên, các hợp đồng thông minh cung cấp năng lượng cho Web 3.0 không phải là bất khả xâm phạm ở một mức độ nào đó: Các giao thức DeFi cũng có hàng loạt rủi ro của riêng chúng. Những vi phạm này đã bị khai thác để đánh cắp hơn 3 tỷ đô la tiền trong năm 2022.

tiêu đề cấp đầu tiên

Giải pháp Web 3.0

Có lẽ đây chính là nội dung của thế giới Web 3.0: các ứng dụng phi tập trung được xây dựng trên các chuỗi khối nguồn mở cung cấp một giải pháp thay thế mạnh mẽ cho thế giới không rõ ràng của các tổ chức tập trung, cũng như các giải pháp thực sự cho cách hoạt động tài chính khét tiếng là thiếu sót.

Người dùng đã sử dụng Aave có thể biết rằng nền tảng này không thể vi phạm các điều khoản dịch vụ của nó, bởi vì các điều khoản này được ghi vào hợp đồng thông minh chi phối hoạt động của nó, giống như mã được ghi vào DNA; Người dùng cũng không cần phải lo lắng về khả năng quyền kiểm soát tài sản của họ được chuyển sang nền tảng, bởi vì tất cả các giao dịch được thực hiện công khai và minh bạch trên chuỗi khối; mặc dù các sản phẩm Yield có năng suất cao khác nhau có thể khiến người dùng gặp rủi ro đáng kể, nhưng nó cũng phụ thuộc vào đặc điểm và chiến lược của các sản phẩm Yield. Trong mọi trường hợp, người dùng có thể xem vị trí tài sản của họ và cách thu được lợi tức bất kỳ lúc nào, đồng thời mọi thứ sẽ công khai và minh bạch.

Mặc dù những điều trên mang lại nhiều gánh nặng thẩm định hơn cho người dùng, nhưng mô hình Web 3.0 vẫn có những lợi thế không thể so sánh được so với các nền tảng tập trung.

Tuy nhiên, Web 3.0 vẫn còn một chặng đường dài trước khi nó có thể phát huy hết tiềm năng của mình và được coi là sự thay thế thực sự cho CeFi.

Điều đáng suy nghĩ là: tại sao hàng triệu người dùng sẵn sàng “giao phó” hàng tỷ đô la cho các tổ chức tập trung này?

Có lẽ bởi vì các tổ chức tập trung cung cấp một dịch vụ giúp đơn giản hóa quy trình và loại bỏ rủi ro tự giam giữ. Ngoài ra, họ cũng cung cấp tính thanh khoản cao hơn và các sản phẩm tài chính phong phú hơn, đồng thời cung cấp các nền tảng hỗ trợ và dịch vụ để giúp người dùng giải quyết các vấn đề kịp thời. Cuối cùng, đừng quên rằng tin tặc đã khai thác lỗ hổng của các giao thức phi tập trung để kiếm được hàng tỷ đô la chỉ riêng trong năm 2022, đó là lý do tại sao nhiều người chọn tin tưởng vào các nền tảng tập trung hơn.

Để tiến xa, Web 3.0 cần cải thiện ở hai lĩnh vực chính: khả năng sử dụng và bảo mật.

Khả năng sử dụng: Để hiểu cách sử dụng nền tảng DeFi, đôi khi phải mất hàng giờ nghiên cứu và điều này chỉ xảy ra trước khi vốn được đầu tư. Thậm chí có thể mất nhiều ngày để nghiên cứu kỹ lưỡng nhiều nền tảng.

tiêu đề cấp đầu tiên

Sự kiện tấn công cầu xuyên chuỗi

Vào năm 2022, các cuộc tấn công vào cầu liên chuỗi đã gây ra tổng thiệt hại 1,3 tỷ USD, chiếm 36% tổng thiệt hại trong 12 tháng qua. Chỉ ba trong số những sự cố này đã chiếm 87% tổng số tổn thất tài sản của cầu nối chuỗi chéo, điều này cũng làm nổi bật những rủi ro lớn mà các cuộc tấn công cầu nối chuỗi chéo gây ra.

Hầu hết các ứng dụng chuỗi chéo đều có cấu trúc kỹ thuật cực kỳ phức tạp và cũng chứa nhiều vectơ tấn công khác nhau. Sự phức tạp của nó cho phép nó cung cấp nhiều khả năng hơn, nhưng phải trả giá bằng việc phơi bày một bề mặt tấn công lớn hơn.

  • 💣Ronin lỗ 625 triệu USD

Sự kiện cầu RoninCó thể nói đây là sự kiện/lỗ hổng tấn công lớn nhất trong lịch sử của lĩnh vực DeFi. Vào ngày 23 tháng 3, một sidechain được xây dựng cho trò chơi Web 3.0 Axie Infinity đã bị hack, làm mất hơn 173.600 ETH và 25,5 triệu USDC (tổng trị giá 625 triệu USD).

Theo báo cáo của Nomad, tin tặc đã lấy được khóa riêng của năm nút xác thực bảo vệ mạng và có bằng chứng cho thấy những kẻ tấn công là nhóm hack Lazarus Group của Bắc Triều Tiên. Nhóm đã sử dụng các cuộc tấn công lừa đảo tiên tiến để lấy khóa riêng tư và sau khi rút hết tài sản, những kẻ tấn công đã rửa số tiền bị đánh cắp thông qua Tornado Cash và các sàn giao dịch tập trung, bao gồm FTX và Huobi.

  • 💣Hố sâu bị mất 326 triệu đô la

Vào ngày 2 tháng 2, Cầu Wormhole đã bị hack và tài sản trị giá 326 triệu đô la đã bị mất. Những kẻ tấn công bỏ qua kiểm tra xác thực bằng cách đưa vào các tài khoản sysvar giả mạo, cho phép chúng xuất các thông báo độc hại được Bridge chấp nhận. Kẻ tấn công đã đúc thành công 120.000 WETH bằng cách gọi hàm Complete_wrapped với thông tin độc hại. Hai phút sau khi khai thác, kẻ tấn công đã kết nối 10.000 ETH với chuỗi khối Ethereum. Khoảng 20 phút sau, 80.000 giao dịch ETH khác đã được thực hiện trên chuỗi khối Ethereum. Kể từ cuối năm 2022, số tiền bị đánh cắp này vẫn nằm trong ví của kẻ tấn công.

  • 💣Nomad lỗ 190 triệu USD

Ngày 01 tháng 8,Nomad Bridgeđã bị khai thác, với thiệt hại trị giá khoảng 190 triệu USD. Kẻ tấn công đã khai thác một lỗ hổng trong quá trình khởi tạo - đó là tham số hợp đồng commitRoot được khởi tạo bằng 0 khi triển khai hợp đồng. Lỗ hổng này có thể cho phép kẻ tấn công bỏ qua xác thực thông báo, do đó làm cạn kiệt mã thông báo được giữ trong hợp đồng cầu nối. Miễn là kẻ tấn công gửi ETH (chẳng hạn như 0,1 hoặc thậm chí 0,0001 ETH) trên một chuỗi, anh ta có thể nhận được bất kỳ số lượng ETH nào trên chuỗi kia.

tiêu đề cấp đầu tiên

Lỗ hổng thô tục và rò rỉ khóa cá nhân

Các cuộc tấn công do khóa riêng tư bị rò rỉ gây ra có thể là một trong những sự kiện gây thiệt hại lớn nhất vào năm 2022: Số tiền bị đánh cắp thông qua khóa riêng tư bị rò rỉ đã vượt quá 1 tỷ USD vào năm 2022, chiếm gần 1/3 tổng thiệt hại hàng năm. Con số này thể hiện sự gia tăng so với năm 2021, khi các vụ vi phạm khóa riêng tư gây thiệt hại 892 triệu USD. Sự cố Ronin là một ví dụ điển hình của việc khai thác mã độc do rò rỉ khóa riêng.

Khi một tác nhân độc hại lấy được khóa riêng của ví, họ có toàn quyền kiểm soát tất cả tài sản trong ví. Các khóa riêng tư bị xâm phạm có thể là kết quả của việc chính các khóa đó không được quản lý an toàn. Tuy nhiên, sự cố bảo mật lớn nhất trong năm ngoái là do một lỗ hổng cụ thể trong các địa chỉ Vanity do công cụ Thô tục tạo ra.

Tục tĩu là gì?

Hầu hết các địa chỉ Ethereum sẽ bắt đầu bằng 0x và trông giống như một chuỗi ký tự thập lục phân ngẫu nhiên. Điều này có lợi ích là cung cấp một mức độ riêng tư, nhưng nó không làm hài lòng những người dùng muốn có một địa chỉ duy nhất. Địa chỉ Vanity giống như biển số xe hoặc tài khoản QQ, có thể giúp người dùng tạo khóa cho địa chỉ chứa các từ hoặc chuỗi được chỉ định.

bên cạnh đó,ProfanityNó cũng có thể được sử dụng để tạo địa chỉ ví nhằm tối ưu hóa phí xử lý Đây cũng là ý định ban đầu của nhóm Wintermute để tạo địa chỉ 0 x 00000000 AE 347...b 92280 f 9 e 75 nhưng cuối cùng nó lại dẫn đến ví bị hack. Chuỗi dài gồm các số 0 ở đầu đơn giản hóa địa chỉ, giảm nhu cầu điện toán của mạng Ethereum và do đó giảm phí giao dịch ở một mức độ nhất định.

Vào tháng 1 năm 2022, người dùng k 06 a đã đề xuất một sự cố về phương pháp tạo khóa riêng tư trên GitHub của Profanity (đã bị các nhà phát triển bỏ rơi hơn ba năm): Sự cố: Profanity sử dụng số gốc 32 bit ngẫu nhiên để tạo 256 bit khóa riêng và gọi sự chú ý đến cách tạo khóa riêng. Tuy nhiên, ý kiến ​​này dường như không được giải quyết.

Cưỡng bức mật khẩu hoặc khóa cá nhân tương tự như việc sử dụng phần cứng để tiếp tục thử mọi kết hợp có thể. Nếu bạn có 1000 chìa khóa và một ổ khóa, bạn chỉ cần thử từng chìa khóa cho đến khi tìm được chìa khóa phù hợp.

Chỉ trong hai ngày, lỗ hổng đã bị tin tặc khai thác ở chế độ xem đầy đủ: Tài khoản ví 0 x 6...b 93 đã làm trống nhiều ví Vanity, bao gồm 500 ETH từ 0 x 0 Babe...B 05, 100 ETH tại 0 x 888888888 ...597, 104,4 ETH ở 0 x 000000...422 và nhiều tài sản khác trong các ví khác với tổng giá trị là 3,3 triệu USD.

"Về mặt lý thuyết, một bộ 1000 GPU có thể dùng vũ lực khóa riêng cho mỗi địa chỉ Vanity 7 từ được tạo bằng cách sử dụng Thô tục trong 50 ngày. Sử dụng Macbook M1 với 16 GB RAM, chúng tôi đã tính toán trước một Tập dữ liệu - Tập dữ liệu này chỉ cần được tính toán một lần để sử dụng các địa chỉ khác nhau. Quá trình thực tế (không tính tiền tính toán), cho một địa chỉ có bảy số 0 đứng đầu, mất khoảng 40 phút. Chúng tôi đã thực hiện và bẻ khóa khóa riêng cho 0x0000000...99 b trong vòng chưa đầy 48 giờ. "

—— Amber Group

Trong thế giới phát triển công nghệ Web 3.0 thay đổi nhanh chóng, chỉ mất hai ngày để sử dụng lỗ hổng này để đột nhập vào ví giao dịch Wintermute DeFi, thiệt hại 162 triệu đô la Mỹ cũng là thiệt hại tài chính lớn thứ hai do rò rỉ khóa cá nhân trong năm nay , chỉ đứng sau Yu Ronin.

Hiện tại vấn đề vẫn chưa được giải quyết: tất cả các ví được xây dựng trên Profanity đều có nguy cơ. Tất cả người dùng tạo ví bằng cách sử dụng Thô tục nên chuyển tài sản sang ví có thể tạo khóa ngoại tuyến càng sớm càng tốt.

"Bảo mật quản lý khóa riêng là một yêu cầu cơ bản trong không gian Web 3.0. Vì lỗ hổng Thô tục và nhiều vi phạm khóa riêng khác đã cho thấy, bất kỳ điểm yếu nào trong việc tạo hoặc quản lý khóa đều có thể gây ra thảm họa cho người dùng Web 3.0 và các hậu quả về tình dục."

tiêu đề cấp đầu tiên

Nhóm hack Nhóm Lazarus

Lazarus Group là một trong những tác nhân đe dọa dai dẳng và hiệu quả nhất trong không gian tài sản kỹ thuật số. Ngoài vụ vi phạm cầu Ronin, thu về hơn 500 triệu đô la, nhóm tin tặc do nhà nước Bắc Triều Tiên hậu thuẫn cũng đã thực hiện một số cuộc tấn công có lãi vào năm 2022. Đáng chú ý nhất là Operation In(ter)ception, lỗ hổng Gate.io và cuộc tấn công Harmony Horizon Bridge. Operation In(ter)ception là một kế hoạch quảng cáo gian lận việc làm do Lazarus Group điều hành, trong đó Lazarus đăng các cơ hội việc làm trên các trang web như LinkedIn, yêu cầu ứng viên tải xuống tệp PDF triển khai tệp thực thi, phần mềm độc hại sau đó thực hiện các hoạt động của Lazarus Nhân viên an ninh có thể nhắm mục tiêu các lỗ hổng trong hệ thống nạn nhân để đánh cắp thông tin nhạy cảm từ nhân viên trong ngành.

Các hoạt động của Tập đoàn Lazarus không giới hạn ở các tài sản kỹ thuật số: họ đứng sau vụ hack Sony Pictures vào năm 2014 và các cuộc tấn công DDoS trước đó ở Hàn Quốc và Hoa Kỳ. Nhưng kể từ khi chuyển sự chú ý sang Web 3.0, ảnh hưởng xấu của nhóm đã tăng lên. Vụ tấn công ransomware WannaCry năm 2017 do nhóm này thực hiện là vụ tấn công lớn nhất thuộc loại này, ảnh hưởng đến hơn 300.000 máy tính ở 150 quốc gia và yêu cầu thanh toán tiền chuộc bằng bitcoin. Các cuộc tấn công lừa đảo nhằm vào người dùng cá nhân và việc khai thác các sàn giao dịch của Hàn Quốc đã tạo ra hàng triệu đô la cho Tập đoàn Lazarus.

tiêu đề cấp đầu tiên

tiêu đề phụ

mạng che mặt dây chuyền công nghiệp

KYC,Biết khách hàng của bạn, còn được gọi là kiểm tra lý lịch dự án. Các nhà phát triển dự án có thể chọn trải qua quá trình xác minh KYC để cho cộng đồng thấy rằng họ sẵn sàng tiết lộ danh tính của mình và liên kết danh tính cũng như danh tiếng của họ với các dịch vụ mà họ cung cấp để tăng độ tin cậy của dự án.

Tuy nhiên, ngành công nghiệp diễn viên KYC nâng cao tính hợp pháp của việc xác minh danh tính. CertiK gần đây đã công bố một báo cáo vềdiễn viên KYCCác cuộc phỏng vấn và phóng sự điều tra về giao dịch chợ đen. Trên thị trường chợ đen, dịch vụ nhờ một diễn viên KYC chuyên nghiệp thực hiện xác minh thay cho bạn có thể được mua với giá dưới 50 RMB. Vì vậy, KYC không tính đến rủi ro thay thế diễn viên tiềm ẩn này là vô nghĩa.

Chứng chỉDịch vụ điều tra lý lịch dự án KYCĐó là một quá trình điều tra chuyên sâu.Các chuyên gia do CertiK thuê sử dụng nền tảng điều tra chuyên nghiệp của họ để cung cấp khả năng xác minh danh tính ở mức cao nhất, vì vậy không cần phải lo lắng về gian lận KYC và rủi ro sẽ quay trở lại từ việc cộng đồng nắm giữ hàng triệu hoặc hàng chục nhà phát triển Dự án với hàng tỷ đô la tiền của người dùng.

Một giao thức phi tập trung thực sự là một giao thức trong đó các nhà phát triển của nó đã từ bỏ rõ ràng mọi quyền sở hữu nền tảng. Do đó, điều hợp lý là các dự án có quyền kiểm soát tập trung đối với tiền của người dùng được cộng đồng yêu cầu phải trải qua KYC để tăng tính minh bạch và tin cậy.

"Năm nay, chúng tôi đã thêm các dịch vụ điều tra lý lịch dự án KYC tùy chỉnh vào các dịch vụ bảo mật đầu cuối của CertiK. Vì những người sáng lập ẩn danh có thể có tiền án và các vấn đề khác, các nhóm cũng có thể sử dụng các chứng chỉ KYC có chất lượng không đồng đều hoặc thậm chí là giả mạo, nhiều Người dùng thiếu sự tin tưởng vào các nhóm Web 3.0 sẽ tạo ra các vấn đề thực sự. Chúng tôi sẽ sử dụng kiến ​​thức và chuyên môn về lĩnh vực cụ thể của mình để tiến hành đánh giá nhóm dự án, giúp các thành viên trong nhóm kiểm tra danh tính chính xác và chuyên sâu. Tất nhiên, chúng tôi chia sẻ đánh giá rủi ro này với cộng đồng. Kết quả là hoàn toàn đảm bảo để bảo vệ sự riêng tư của đội."

tiêu đề cấp đầu tiên

Tấn công lừa đảo

Tấn công lừa đảovẫn là một mối đe dọa thường xuyên trong lĩnh vực Web 3.0 và các mánh khóe của những kẻ lừa đảo ngày càng trở nên tốt hơn theo từng bước. Tài sản trị giá hàng triệu đô la đã bị đánh cắp thông qua lừa đảo. Không chỉ cộng đồng mà người dùng cá nhân cũng là mục tiêu của phần mềm độc hại và các tác nhân độc hại. Các phương thức lừa đảo mới xuất hiện vô tận và các hành vi lừa đảo của chúng đều lợi dụng tính không thể đảo ngược của chuỗi khối và sự thiếu kinh nghiệm của người dùng.

tiêu đề cấp đầu tiên

pháp luật và các quy định

tiêu đề cấp đầu tiên

Đánh giá thường niên năm 2022

Vào năm 2022, giá trị thị trường của các loại tiền kỹ thuật số đã mất hàng nghìn tỷ đô la, hàng chục tỷ đô la đã bị chặn trong quá trình phá sản của các tổ chức tập trung và các giao thức phi tập trung đã mất hơn 3 tỷ đô la, vì vậy bức tranh màu hồng của năm 2022 đã kết thúc. khó hình dung.

Do tình hình biến động mạnh, nhiều người chơi Web 3.0 hàng đầu đã biến mất vào lịch sử, bao gồm cả các dự án hoặc nền tảng mà chúng tôi từng nghĩ là bất khả xâm phạm. Nhưng hầu hết các ứng dụng và nền tảng Web 3.0 còn sót lại vẫn đang từ từ tiến bước qua cơn khủng hoảng, cho đến nay có vẻ như mọi việc vẫn diễn ra bình thường.

12 tháng qua là một bài kiểm tra căng thẳng lớn đối với ngành và không phải ai cũng vượt qua được. Nhưng "what doesn't kill you makes you strong", những người sống sót sẽ học được bài học của quá khứ và đấu tranh cho một viễn cảnh hứa hẹn hơn.

Nguồn mở, các hệ thống phi tập trung mang lại lợi ích thực sự cho người dùng và có thể biến internet trở thành một nơi tự do và công bằng hơn, một tầm nhìn cần ghi nhớ khi chúng ta xây dựng tương lai kỹ thuật số. Nhưng sự công bằng và tự do chẳng nghĩa lý gì khi tài sản của bạn có thể bị lấy cắp ngay lập tức. Đó là lý do tại sao an toàn là một yếu tố quan trọng. Các giải pháp bảo mật đầu cuối của CertiK cung cấp cho người dùng và nhà phát triển các công cụ họ cần để điều hướng một cách an toàn trong thế giới Web 3.0 mới nổi.

Bảo mật là một lựa chọn và chắc chắn là một lựa chọn cần được thực hiện để mang lại những lợi ích của Web 3.0 cho nhiều đối tượng nhất có thể.

tiêu đề cấp đầu tiên

Phiên bản PDF của báo cáo đã được bao gồm và một liên kết đã được tạo, vui lòng tải xuống và xem.

Phiên bản PDF của báo cáo đã được bao gồm và một liên kết đã được tạo, vui lòng tải xuống và xem.

Thông báo nền tài khoản công khai WeChat chính thức của CertiK [2022] hoặc [Năm] để nhận liên kết tải xuống PDF👌

Copy link vào trình duyệt để tải ngay:

http://certik-2.hubspotpagebuilder.com/2022 

Sự an toàn
Chào mừng tham gia cộng đồng chính thức của Odaily
Nhóm đăng ký
https://t.me/Odaily_News
Nhóm trò chuyện
https://t.me/Odaily_CryptoPunk
Tài khoản chính thức
https://twitter.com/OdailyChina
Nhóm trò chuyện
https://t.me/Odaily_CryptoPunk
Bài viết đề xuất
Quả bom thuế quan của Trump đã phát nổ và thị trường tiền điện tử chuyển sang "chế độ phòng thủ". Thị trường sẽ đi về đâu vào tháng 8?
Các cuộc đàm phán về quy định, mua lại giấy phép, thành lập liên minh: Nhìn lại những động thái gần đây của lãnh đạo RWA Ondo
Các dự án tương tác nổi bật trong tuần này: Nhiệm vụ Galxe mới 0G; Giao dịch tiền thử nghiệm Superp; danh sách chờ vòng tròn
Tóm tắt AI
Trở về đầu trang
Vào năm 2022, tin tặc đã đánh cắp tài sản trị giá khoảng 3,77 tỷ USD từ giao thức Web3.0, tăng 189% so với mức thiệt hại 1,3 tỷ USD của năm ngoái. làm gì vào năm 2023?
Thư viện tác giả
CertiK
Quy định về Stablecoin và Đạo luật GENIUS: Sự cần thiết của việc xác minh chính thức
Truyền thông Hàn Quốc tập trung vào việc tái thiết lòng tin của Web3, Giám đốc kinh doanh của CertiK ủng hộ mô hình bảo mật động mới
Nhà sáng lập CertiK Gu Ronghui đã tham dự Hội nghị thượng đỉnh Unchained để thảo luận về bảo mật và tuân thủ Web3
Bảng xếp hạng bài viết nóng
Daily
Weekly
Khám phá hai nhân vật chính đứng sau sự tăng vọt hiện tại của ETH: Tom Lee và Joseph Rubin
Khám phá hai nhân vật chính đứng sau sự tăng vọt hiện tại của ETH: Tom Lee và Joseph Rubin
Đếm ngược Mainnet, nâng cấp BRC 2.0 thúc đẩy hệ sinh thái BTC, NFT tăng gấp 100 lần trong một tháng | Hệ sinh thái BTC
Chi 500 triệu đô la, YZi Labs, CEA và 140 tổ chức đặt cược vào BNB Treasury
Mô hình kinh tế token của Linea đã được công bố. Định giá hợp lý cho điểm LXP là bao nhiêu?
Nỗi ám ảnh mười năm của Ethereum: Lý tưởng, tình thế tiến thoái lưỡng nan và lối thoát khỏi thế giới máy tính
Tải ứng dụng Odaily Nhật Báo Hành Tinh
Hãy để một số người hiểu Web3.0 trước
IOS
Android