Cảnh báo rủi ro: Đề phòng huy động vốn bất hợp pháp dưới danh nghĩa 'tiền điện tử' và 'blockchain'. — Năm cơ quan bao gồm Ủy ban Giám sát Ngân hàng và Bảo hiểm
Thông tin
Khám phá
Tìm kiếm
Đăng nhập
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
BTC
ETH
HTX
SOL
BNB
Xem thị trường
Khai thác là gì? Cách khai thác lỗ hổng trong tiền điện tử
BTC_Chopsticks
特邀专栏作者
2023-08-13 02:35
Bài viết này có khoảng 3800 từ, đọc toàn bộ bài viết mất khoảng 6 phút
Khai thác là một hình thức lừa đảo tinh vi mà qua đó tin tặc có thể gây thiệt hại hàng tỷ đô la cho các dự án và người dùng.

Khai thác là một hình thức lừa đảo tinh vi mà qua đó tin tặc có thể gây thiệt hại hàng tỷ đô la cho các dự án và người dùng. Vậy khai thác là gì? Việc khai thác nguy hiểm như thế nào? Làm thế nào để nhận biết dấu hiệu lợi dụng và phòng tránh?

danh hiệu cấp một

Khai thác là gì?

Khai thác là một khái niệm được sử dụng để mô tả một cuộc tấn công an ninh mạng trong đó tin tặc khai thác các lỗ hổng bảo mật để xâm nhập và chiếm quyền kiểm soát bất kỳ hệ thống nào với mục tiêu đánh cắp dữ liệu và tài sản quan trọng.

Trong thị trường tiền điện tử, tin tặc có thể tấn công và khai thác nhiều mục tiêu như hợp đồng thông minh, ứng dụng phi tập trung (dApps), trang web dự án, giao thức cầu nối, ngôn ngữ lập trình dự án hoặc oracle, v.v. để đánh cắp tài sản và gây thiệt hại cho các cá nhân và tổ chức.

danh hiệu cấp một

Bất kỳ người dùng hoặc vật nào tương tác với bất kỳ thiết bị nối mạng nào đều dễ bị tấn công. Tin tặc tấn công theo nhiều cách khác nhau, chủ yếu nhắm vào các dự án hoặc người dùng.

tiêu đề phụ

Hình thức tấn công vật phẩm

Mô hình này bắt nguồn từ những sai lầm mà các nhà phát triển mắc phải khi viết và triển khai một sản phẩm hoặc ứng dụng. Mặc dù những lỗi này là vô ý nhưng chúng tạo ra lỗ hổng và tiềm ẩn rủi ro cho hệ thống.

Sau khi hacker phát hiện ra các lỗ hổng bảo mật này, chúng sẽ tìm cách khai thác và ghép chúng bằng các phần mềm hoặc công cụ hỗ trợ tấn công tương ứng.

Một số phương pháp khác được tin tặc sử dụng như Khai thác từ xa, Khai thác cục bộ, Số lần nhấp chuột không ngày, Tấn công xoay vòng, v.v. có thể nhắm mục tiêu trực tiếp vào dự án. Tuy nhiên, những hình thức này không phổ biến trong thị trường tiền điện tử.

tiêu đề phụ

Hình thức tấn công của người dùng

Tin tặc không chỉ nhắm mục tiêu vào các dự án mà còn cả người dùng. Thông thường, tin tặc sử dụng các phương pháp kỹ thuật xã hội (tấn công phi kỹ thuật hoặc thao túng tâm lý) để phát tán phần mềm độc hại (phần mềm độc hại) bằng cách đăng quảng cáo/liên kết spam mạo danh cơ quan, tổ chức....

Người dùng vô tình nhấp vào các liên kết này sẽ cho phép tin tặc lấy được thông tin và tấn công thiết bị hoặc tài sản của họ.

Ngoài ra, hacker có thể phát tán mã độc tới nhiều thiết bị trong cùng một mạng nhằm tìm kiếm các lỗ hổng như các cuộc tấn công của EternalBlue, Bluekeep. Hình thức này không yêu cầu sự tương tác của người dùng, chỉ cần có kết nối mạng trong cùng hệ thống, bạn có thể trở thành nạn nhân.

tiêu đề phụ

Tận dụng tầm ảnh hưởng của bạn trong thị trường tiền điện tử

  • Các cuộc tấn công khai thác là mối đe dọa đối với nhiều thiết bị công nghệ trên không gian mạng. Với bản chất của công nghệ blockchain và tiền điện tử, đây là thị trường có khả năng bị hack cao, gây ra nhiều hậu quả có thể xảy ra như:

  • Kết quả là nhiều nền tảng bị ảnh hưởng, vốn hóa thị trường và giá trị bị khóa (TVL) giảm mạnh.

  • Gây thiệt hại đến tài sản của người sử dụng và nhà đầu tư.

Kết quả là dự án bị tổn thất về sản phẩm, tài sản và danh tiếng trong mắt người dùng.

Chỉ riêng trong năm 2022, các cuộc tấn công độc hại đã tiêu tốn hàng trăm triệu đô la cho một loạt giao thức/dự án, chẳng hạn như Wormhole (321 triệu đô la), Polynetwork (611 triệu đô la) hay Ronin Bridge (625 triệu đô la).

Không chỉ thị trường tiền điện tử, các cuộc tấn công lợi dụng cũng có thể tác động đến người dùng trên không gian mạng. Wannacry là một ví dụ điển hình, không chỉ đe dọa an ninh mạng toàn cầu mà còn gây ra nhiều thiệt hại khác.

Wannacry là phần mềm sử dụng mã độc tự phát tán để đòi tiền chuộc và mã hóa ổ cứng trên máy tính sử dụng hệ điều hành Microsoft Windows và các thiết bị trên cùng một mạng cục bộ (mạng máy tính nội bộ).

Wannacry đã sử dụng lỗ hổng EternalBlue để lây nhiễm hơn 230.000 máy tính tại hơn 150 quốc gia. Sau đó, phần mềm yêu cầu khoản tiền chuộc bitcoin từ 300 đến 600 euro để khôi phục các tệp quan trọng trên máy tính.

  • Cuộc tấn công bị ảnh hưởng:

  • Một trong những nhà máy sản xuất ô tô hiệu quả nhất ở châu Âu - Nissan Motor UK Manufacturing, có trụ sở tại Tyne and Wear - đã phải ngừng sản xuất sau khi Wannacry lây nhiễm vào hệ thống của họ.

tiêu đề phụ

Các phương thức tấn công phổ biến

Hiện tại, nhiều hình thức khai thác khác nhau đã được phát triển trong các môi trường máy tính khác nhau và phụ thuộc vào mục tiêu của tin tặc.

  • Việc phân loại các hành vi khai thác cũng tương đối phức tạp vì nó dựa trên nhiều tiêu chí khác nhau. Ví dụ:

  • Tùy thuộc vào kết quả của việc khai thác, có các cuộc tấn công nâng cao đặc quyền (EoP), tấn công từ chối dịch vụ (DDoS) và tấn công giả mạo (tấn công giả mạo).

  • Các hình thức khác: khai thác zero-day, tấn công không nhấp chuột hoặc tấn công trục.

tiêu đề phụ

Khai thác từ xa

Khai thác từ xa có phạm vi hoạt động rộng hơn so với khai thác cục bộ và có thể nhắm mục tiêu vào các hệ thống thương mại, máy tính cá nhân, v.v. Điều nguy hiểm ở dạng này là chương trình/phần mềm được lập trình sẵn để tự động tấn công khi thiết bị bị xâm nhập.

tiêu đề phụ

Khai thác cục bộ

Nhược điểm của khai thác cục bộ là chúng có phạm vi tấn công hạn chế, thường là trên các thiết bị mạng máy tính nội bộ và ở quy mô hạn chế hơn so với khai thác từ xa. Ngoài ra, thao tác khai thác cục bộ chủ yếu là thủ công, khác với các phần mềm lập trình tự động khai thác từ xa.

tiêu đề phụ

Khai thác khách hàng

Khai thác phía máy khách là một cuộc tấn công yêu cầu sự tương tác của người dùng, có thể thông qua kỹ thuật xã hội. Đây là phương thức tấn công tác động vào tâm trí con người nhằm đánh lừa và đánh cắp những thông tin, dữ liệu quan trọng.

Kẻ tấn công có thể mạo danh nhân viên, cảnh sát, đại diện cơ quan có thẩm quyền,… để lừa người dùng cung cấp thông tin nhằm trục lợi.

  • Các hình thức kỹ thuật xã hội phổ biến:Lừa đảo:

  • Kẻ tấn công mạo danh một tổ chức có uy tín.Tấn công lừa đảo bằng giọng nói:

  • Cách tấn công bằng giọng giả.Tấn công qua SMS.

tiêu đề phụ

Khai thác zero-day

Khai thác zero-day là một cuộc tấn công vào máy tính mô tả lỗ hổng bảo mật nghiêm trọng trong một phần mềm, chẳng hạn như ứng dụng hoặc hệ điều hành, mà tin tặc có thể khai thác trước khi nhà phát triển nhận ra.

Thuật ngữ khai thác zero-day xuất phát từ thực tế là các lỗ hổng bảo mật được phát hiện khi tin tặc bị phát hiện đang khai thác lỗ hổng bảo mật và các dự án không có đủ thời gian để ngăn chặn quá trình tấn công.

Cách duy nhất để giải quyết các cuộc tấn công zero-day là các nhà cung cấp phần mềm cập nhật các bản vá càng sớm càng tốt để khắc phục các lỗ hổng và giảm thiểu tổn thất.

không nhấp chuột

Zero-click là loại lỗ hổng không yêu cầu sự tương tác của người dùng, nghĩa là hacker vẫn có thể xâm nhập và khai thác lỗ hổng mà không yêu cầu người dùng phải bấm chuột hoặc bàn phím.

*NSO Group là nhà sản xuất Pegasus, một vũ khí mạng tinh vi có khả năng trích xuất thông tin nhạy cảm được lưu trữ trên thiết bị như tin nhắn, vị trí, ảnh, v.v. Vũ khí này có khả năng gửi mã độc đến các thiết bị iPhone được nhắm mục tiêu và sử dụng hình thức tấn công không cần nhấp chuột.

tiêu đề phụ

Tấn công điểm tựa

Tấn công trục là phương pháp mà tin tặc sử dụng để mở rộng phạm vi tiếp cận, còn được gọi là tấn công nhiều giai đoạn.

Các cuộc tấn công xoay trục thường hoạt động bằng cách xâm phạm một phần cơ sở hạ tầng mạng, chẳng hạn như máy in hoặc bộ điều chỉnh nhiệt dễ bị tổn thương, đồng thời sử dụng máy quét để tìm các thiết bị được kết nối khác để tấn công.

tiêu đề phụ

Các loại tấn công khai thác tiền điện tử

  • Các cuộc tấn công khai thác đã trở nên phổ biến trong thị trường tiền điện tử và có hình thức:

  • Tấn công 51%: Một cuộc tấn công được thực hiện khi kẻ tấn công có hơn 50% sức mạnh tính toán hoặc làm gián đoạn mạng. Họ thậm chí có thể thu lợi từ việc chi tiêu gấp đôi.

  • Giao dịch giả: Các cá nhân/tổ chức đồng thời thực hiện các lệnh mua, bán nhằm thao túng thị trường, tạo ra thông tin, tín dụng giả nhằm đạt được mục đích thao túng thị trường.

Một cuộc tấn công lớn vào tiền điện tử

tiêu đề phụ

Cầu Ronin - 625 triệu USD

Cầu Ronin là cầu nối chuyển tài sản giữa mạng Ronin và các chuỗi khối khác. Dự án bị hack vào ngày 23 tháng 3 năm 2022, với tổng thiệt hại là 625 triệu USD.

Sau đó, tin tặc đã sử dụng lỗ hổng này để rút tiền từ mạng Ronin. Cuộc tấn công đã gây thiệt hại nghiêm trọng cho tài sản của nhiều người dùng.

tiêu đề phụ

Hố giun - 321 triệu USD

Kẻ tấn công đã phát hiện ra lỗ hổng trong hợp đồng thông minh Wormhole và đúc 120.000 WETH trên mạng Solana mà không cần cung cấp tài sản thế chấp. Điều này dẫn đến sự mất cân bằng tỷ giá giữa các cặp giao dịch, khiến tài sản do người dùng nắm giữ mất đi giá trị thực. Sau đó, tin tặc đã đổi các token này lấy ETH, từ đó kiếm được lợi nhuận.

tiêu đề phụ

Vi phạm Cashio - 52 triệu USD

Nguyên nhân là do hacker đã phát hiện ra lỗi trong mã của Cashio và khai thác chúng. Do lỗ hổng này, kẻ tấn công đã đúc 2 tỷ TIỀN MẶT mà không cần thế chấp, khiến CASH không thể duy trì mức giá 1 USD như các stablecoin khác.

danh hiệu cấp một

Khai thác cờ xác định

Trong thị trường tiền điện tử, người dùng có thể sớm được công nhận bằng cách theo dõi một số tổ chức tập trung vào bảo mật như PeckShield. Đây là nơi thường xuyên đăng các báo cáo nhanh về các dự án có khả năng bị tấn công cùng với thông tin về cuộc tấn công để người dùng có thể rút tiền kịp thời.

tiêu đề phụ

Làm thế nào để tránh bị lợi dụng

Trong thị trường tiền điện tử, không chỉ các dự án mà cả người dùng cũng có thể trở thành nạn nhân của các cuộc tấn công khai thác. Các chữ ký trên có thể được dựa vào trong khi thực hiện các bước để ngăn chặn các cuộc tấn công.

  • Đối với người dùng:giữ cho phần mềm được cập nhật

  • : Các chuyên gia bảo mật đồng ý rằng cách tốt nhất và dễ dàng nhất để bảo vệ bạn khỏi các hành vi khai thác là luôn sử dụng phiên bản phần mềm mới nhất. Kích hoạt tính năng tự động cập nhật phần mềm trên thiết bị (nếu có).tập tin sao lưu:

  • Sao chép và lưu trữ các tệp quan trọng ở nơi an toàn trong trường hợp chúng bị tấn công bởi ransomware hoặc phần mềm độc hại khác. Để sao lưu vào ổ đĩa ngoài, hãy ngắt kết nối ổ đĩa và cất nó khỏi máy tính hiện tại của bạn khi không sử dụng.Sử dụng phần mềm từ các nhà cung cấp đáng tin cậy:

  • Luôn sử dụng các tiện ích mở rộng và plug-in (phần mềm hỗ trợ tích hợp với các trang web) từ các nhà cung cấp đáng tin cậy. Các nhà cung cấp cũng báo cáo lỗi và nhanh chóng phát hành các bản vá nếu có cuộc tấn công zero-day.Cẩn thận với những liên kết “lạ”:

  • Kiểm tra tính bảo mật của các liên kết trước khi truy cập, tránh chuyển hướng đến các trang giả mạo, cài đặt mã chống lừa đảo (mã chống lừa đảo) và không cung cấp thông tin cá nhân.Áp dụng xác thực 2 yếu tố

  • ( 2 FA) (như Google Authenticator, Authy...) để nâng cao tính bảo mật tài khoản.

Kiểm soát hoạt động trên mạng: Thực hành thói quen sử dụng máy tính an toàn, hạn chế truy cập WiFi công cộng, kiểm soát quyền truy cập (quản lý các cá nhân và thiết bị muốn tương tác với hệ thống của người dùng để ngăn chặn hoạt động độc hại). Phần mềm quét, chống vi-rút và chống vi-rút bổ sung có thể được áp dụng.

  • Đối với dự án này:

  • Chương trình thưởng lỗi của tổ chức: Các chương trình này được thiết kế để thưởng cho các hacker mũ trắng vì nỗ lực tìm ra lỗ hổng bảo mật hoặc hợp đồng thông minh để các dự án có thể sửa chúng kịp thời. Một số dự án trong thị trường tiền điện tử, chẳng hạn như Uniswap, thường xuyên tổ chức các chương trình Bug Bounty để kiểm tra các lỗ hổng tiềm ẩn nhằm giảm thiểu rủi ro và ngăn ngừa tổn thất lớn hơn trong tương lai.

danh hiệu cấp một

Tóm tắt

Tóm tắt

Sự an toàn
ETH
hợp đồng thông minh
tiền tệ ổn định
tiền tệ
công nghệ
Chào mừng tham gia cộng đồng chính thức của Odaily
Nhóm đăng ký
https://t.me/Odaily_News
Nhóm trò chuyện
https://t.me/Odaily_CryptoPunk
Tài khoản chính thức
https://twitter.com/OdailyChina
Nhóm trò chuyện
https://t.me/Odaily_CryptoPunk
Bài viết đề xuất
Phân tích toàn cảnh định giá HYPE: Hyperliquid hỗ trợ giá trị thị trường lên tới hàng chục tỷ đô la như thế nào?
Wall Street Journal: Liệu stablecoin có phải là một sáng kiến hay là phiên bản hiện đại của “hệ thống ống nước” tài chính thế kỷ 19?
Đếm ngược Mainnet, nâng cấp BRC 2.0 thúc đẩy hệ sinh thái BTC, NFT tăng gấp 100 lần trong một tháng | Hệ sinh thái BTC
Tóm tắt AI
Trở về đầu trang
Khai thác là một hình thức lừa đảo tinh vi mà qua đó tin tặc có thể gây thiệt hại hàng tỷ đô la cho các dự án và người dùng.
Thư viện tác giả
BTC_Chopsticks
Chín chỉ số cốt lõi tiết lộ tín hiệu đỉnh điểm của thị trường tiền điện tử tăng giá
23 mẹo giao dịch, bộ sưu tập lịch sử 7 năm tăng và giảm
CoinDesk: SBF sắp ra tòa, chuyên gia pháp lý phân tích nội tình vụ án
Bảng xếp hạng bài viết nóng
Daily
Weekly
Chi 500 triệu đô la, YZi Labs, CEA và 140 tổ chức đặt cược vào BNB Treasury
Chi 500 triệu đô la, YZi Labs, CEA và 140 tổ chức đặt cược vào BNB Treasury
Nỗi ám ảnh mười năm của Ethereum: Lý tưởng, tình thế tiến thoái lưỡng nan và lối thoát khỏi thế giới máy tính
Khám phá hai nhân vật chính đứng sau sự tăng vọt hiện tại của ETH: Tom Lee và Joseph Rubin
BNB vượt mốc 860 đô la, lập kỷ lục mới. Ai là người chiến thắng lớn nhất?
Nền tảng ủng hộ mạnh mẽ, và Binance tiếp tục đầu tư! ZORA tăng vọt 800% trong bảy ngày, và dữ liệu trên chuỗi không thể che giấu sự suy giảm của hệ sinh thái
Tải ứng dụng Odaily Nhật Báo Hành Tinh
Hãy để một số người hiểu Web3.0 trước
IOS
Android