I. Tổng quan

Thiệt hại do các cuộc tấn công hack, tấn công lừa đảo và lừa đảo Rugpull trong nửa đầu năm 2024 là khoảng 1,492 tỷ USD, tăng 116,23% so với cùng kỳ năm ngoái so với nửa đầu năm 2023 (khoảng 690 triệu USD). Báo cáo này nhằm mục đích tổ chức và phân tích tình trạng bảo mật của ngành Web3 toàn cầu, các sự kiện phổ biến và các chính sách quản lý quan trọng trong ngành mã hóa trong nửa đầu năm 2024. Chúng tôi hy vọng rằng báo cáo này sẽ cung cấp cho độc giả những thông tin, ý tưởng hữu ích và góp phần vào sự phát triển an toàn và lành mạnh của Web3.

2. Phân tích xu hướng

Theo dữ liệu từ nền tảng nhận dạng rủi ro thông minh trên chuỗi ChainAegis của SharkTeam, tổng cộng 551 sự cố bảo mật đã xảy ra trong lĩnh vực Web3 trong nửa đầu năm 2024 (Hình 1), với tổn thất lũy kế hơn 1,492 tỷ đô la Mỹ (Hình 2) ). So với cùng kỳ năm ngoái, an ninh Số sự cố tăng 25,51% và số lượng tổn thất tăng 116,23%.

Hình 1 Tổng số sự cố bảo mật năm 2024 H 1

Hình 2 Tổng thiệt hại về sự cố an ninh năm 2024 H 1

Trong nửa đầu năm 2024, đã xảy ra tổng cộng 134 sự cố bảo mật thuộc loại tấn công của hacker, tăng 103,03% so với H 1 năm 2023 và thiệt hại lên tới 1,08 tỷ USD, chiếm 73% (Hình 3 so với). với H 1 vào năm 2023 (436 triệu ) tăng 147,71% so với cùng kỳ năm ngoái.

Tổng cộng có 243 trường hợp kéo thảm xảy ra trong nửa đầu năm, tăng 331,15% so với 61 trường hợp trong nửa đầu năm 2023 và số tiền thiệt hại tăng 258,82%, tổng trị giá 122 triệu USD, chiếm 8% tổng số toàn bộ số tiền thua lỗ H1.

Tổng cộng có 174 cuộc tấn công lừa đảo đã xảy ra trong nửa đầu năm, tăng 40,32% so với cùng kỳ năm trước, với thiệt hại lên tới 290 triệu USD, chiếm 19%.

Hình 3 Mức độ tổn thất theo loại tấn công vào năm 2024 H 1

Hình 4 Số lượng theo loại tấn công vào năm 2024 H 1

H 1 Xét theo các tháng (Hình 5 và Hình 6), tổn thất trong tháng 5 là nghiêm trọng nhất, khoảng 643 triệu đô la Mỹ, xảy ra 92 sự cố bảo mật, trong đó có 31 vụ tấn công của hacker, 34 vụ Rugpull và 27 vụ tấn công lừa đảo. .

Hình 5 Tổng quan về tổn thất do sự cố bảo mật Web3 năm 2024 H 1

Hình 6 Tổng quan về số lượng sự cố bảo mật Web3 vào năm 2024 H 1

2.1 Tin tặc tấn công

Tổng cộng có 134 vụ tấn công của hacker đã xảy ra trong nửa đầu năm nay, với tổng thiệt hại là 1,08 tỷ USD. (Xem Hình 7 để biết dữ liệu cụ thể)

Vào ngày 21 tháng 5 năm 2024, giao thức Gala Games trên Ethereum đã bị tấn công, dẫn đến thiệt hại 21,8 triệu USD. Sau cuộc tấn công, nhóm dự án đã hành động ngay lập tức và đưa địa chỉ của hacker vào danh sách đen và đóng băng quyền bán thêm token.

Vào ngày 31 tháng 5 năm 2024, một dòng Bitcoin chảy ra trái phép lớn đã xảy ra tại sàn giao dịch Bitcoin DMM, một công ty con của công ty chứng khoán Nhật Bản DMM.com. Số tiền chảy ra là khoảng 48 tỷ yên (khoảng 300 triệu USD). Vụ mất mát lớn thứ bảy trong lịch sử Vụ tấn công tiền điện tử cũng là vụ tấn công tốn kém nhất kể từ tháng 12 năm 2022.

Hình 7 Tổng quan về vụ hack theo tháng vào năm 2024 H 1

2.2 Rugpull & Lừa đảo

Như thể hiện trong hình bên dưới (Hình 8), tần suất xảy ra sự cố Rugpull & Scam trong tháng 3 cao tới 63, và tần suất xảy ra trong tháng 6 là thấp nhất, với tổng số 24 sự cố là cao nhất; Tháng 4, xấp xỉ 47,45 triệu USD, trong đó phía dự án ZKasino đã bỏ chạy. Sự cố là nguyên nhân chính gây ra tổn thất cao nhất trong tháng 4.

Hình 8 Tổng quan về Rugpull&Scam theo tháng trong năm 2024 H 1

2.3 Tấn công lừa đảo

Như minh họa trong hình bên dưới (Hình 9), các cuộc tấn công lừa đảo xảy ra với tần suất cao nhất trong tháng 1, với tổng số 39 trường hợp, dẫn đến thiệt hại khoảng 44,15 triệu USD; tháng 2 có tần suất thấp nhất, với tổng số 21 trường hợp, gây thiệt hại khoảng 44,15 triệu USD; 28,34 triệu USD. Mặc dù chỉ xảy ra 27 vụ lừa đảo trong tháng 5 nhưng số tiền thiệt hại gây ra lại cao nhất trong nửa đầu tháng dương lịch, lên tới 108 triệu USD. Trong số đó, vào ngày 3 tháng 5 năm 2024, một người dùng đã bị lừa đảo lấy 1155 WBTC, trị giá hơn 70 triệu đô la Mỹ, do các kỹ thuật lừa đảo gây ô nhiễm.

Hình 9 Tổng quan về Lừa đảo theo tháng vào năm 2024 H 1

3. Phân tích trường hợp điển hình

3.1 Phân tích sự kiện tấn công Sonne Finance

Vào ngày 15 tháng 5 năm 2024, Sonne Finance bị tấn công và dự án thiệt hại hơn 20 triệu đô la Mỹ.

Kẻ tấn công: 0xae4a7cde7c99fb98b0d5fa414aa40f0300531f43

Giao dịch tấn công:

0x9312ae377d7ebdf3c7c3a86f80514878deb5df51aad38b6191d55db53e42b7f0

Quá trình tấn công như sau:

1. Cho vay nhanh 35, 569, 150 VELO và chuyển các Token VELO này sang hợp đồng soVELO

Vì là chuyển khoản trực tiếp (quyên góp) nên Token soVELO không được đúc. Do đó, trong hợp đồng soVELO, tổng tiền mặt tăng thêm 35, 569, 150 VELO và tổng cung của soVELO không thay đổi.

2. Kẻ tấn công tạo hợp đồng mới 0xa16388a6210545b27f669d5189648c1722300b8b và tiến hành tấn công vào hợp đồng mục tiêu trong hợp đồng mới. Quá trình tấn công như sau:

(1) Chuyển 2 soVELO sang hợp đồng mới

(2) Kê khai soWETH và soVELO làm tài sản đảm bảo

(3) Vay soWETH 265, 842, 857, 910, 985, 546, 929 WETH

Từ quá trình thực thi hàm mượn trên, dựa vào giá trị trả về của hàm getAccountSnapshot, chúng ta thấy:

Đối với hợp đồng soWETH, số dư hợp đồng mới là 0, số tiền cho vay là 0 và tỷ giá hối đoái (Tỷ giá hối đoái) là 208, 504, 036, 856, 714, 856, 032, 085, 073

Đối với hợp đồng soVELO, số dư hợp đồng mới là 2, tức là 2 wei của soVELO được thế chấp, số tiền cho vay là 0 và tỷ giá hối đoái (Tỷ giá hối đoái) là 17, 735, 851, 964, 756, 377, 265, 143, 988, 000, 000, 000, 000, 000, 000

tỷ giá hối đoái được tính như sau:

Với 1 wei soVELO được thế chấp, bạn có thể vay không quá 17, 735, 851, 964, 756, 377, 265, 143, 988 VELO và vay 265, 842, 857, 910, 985, 546, 929 WETH, bạn cần thế chấp ít nhất 265, 842, 857, 910, 985, 546, 929 soWETH,

Giá soWETH: soWETHPrice = 2, 892, 868, 789, 980, 000, 000, 000,

Giá soVELO: soVELOGiá = 124,601,260,000,000,000

Số lượng WETH có thể được soVELO vay với khoản thế chấp là 1 wei như sau:

1 * tỷ giá hối đoái * soVELOPrice / soWETHPrice = 763, 916, 258, 364, 900, 996, 923

Khoảng 763 WETH. Chỉ 1 wei tài sản thế chấp soVELO là đủ để hỗ trợ khoản vay này.

Khoản vay 265, 842, 857, 910, 985, 546, 929 WETH (khoảng 265 WETH) được chuyển thành tài sản thế chấp soVELO. Số lượng soVELO tối thiểu cần thiết để thế chấp là:

265, 842, 857, 910, 985, 546, 929 * soWETHGiá / soVELOGiá / tỷ giá trao đổi = 0,348

Nghĩa là, 1 wei tài sản thế chấp soVELO là đủ.

Trên thực tế, 2 wei tài sản thế chấp soVELO chỉ được sử dụng để vay 1 wei

(4) Mua lại tài sản cơ sở là 35, 471, 603, 929, 512, 754, 530, 287, 976 VELO

tỷ giá hối đoái = 17, 735, 851, 964, 756, 377, 265, 143, 988, 000, 000, 000, 000, 000, 000

Số lượng tài sản đảm bảo soVELO cần thiết để mua lại 35, 471, 603, 929, 512, 754, 530, 287, 976 VELO là

35, 471, 603, 929, 512, 754, 530, 287, 976 * 1 e 18 / ExchangeRate = 1.99999436

Khi tính toán, do phép tính sử dụng phương pháp cắt bớt thay vì làm tròn nên số tiền thế chấp yêu cầu được tính toán thực tế là VVELO bằng 1 wei.

Tài sản thế chấp thực tế là 2 wei soVELO, trong đó 1 wei được sử dụng cho khoản vay trên là 265 WETH và 1 wei còn lại được sử dụng để mua lại 35 M VELO

(5) Chuyển 265 WETH đã vay và 35 M VELO được mua lại vào hợp đồng tấn công

3. Lặp lại 3 lần (tổng cộng 4 lần) để tạo hợp đồng mới và lặp lại đòn tấn công.

4. Cuối cùng, hoàn trả khoản vay nhanh.

5. Phân tích lỗ hổng

Hai lỗ hổng đã bị khai thác trong cuộc tấn công trên:

(1) Tấn công quyên góp: chuyển trực tiếp (tặng) VELO Token sang hợp đồng soVELO, thay đổi ExchangeRate, cho phép kẻ tấn công cho vay khoảng 265 WETH chỉ với 1 wei soVELO làm tài sản thế chấp

(2) Vấn đề về độ chính xác của tính toán: Do mất độ chính xác trong quá trình tính toán và Tỷ giá hối đoái đã sửa đổi, 35 M VELO có thể được đổi chỉ với 1 wei soVELO được thế chấp

6. Khuyến nghị về an toàn

Để đối phó với cuộc tấn công này, chúng ta nên tuân theo các biện pháp phòng ngừa sau trong quá trình phát triển:

(1) Trong quá trình thiết kế và phát triển dự án, phải duy trì tính toàn vẹn và chặt chẽ của logic, đặc biệt là các vấn đề về ký gửi, cầm cố, cập nhật các biến trạng thái và đánh đổi kết quả tính toán nhân chia trong quá trình thực hiện. Quá trình tính toán phải được xem xét càng nhiều tình huống càng tốt để logic hoàn chỉnh và không có sơ hở.

(2) Trước khi dự án đi vào hoạt động trực tuyến, việc kiểm tra hợp đồng thông minh cần được thực hiện bởi một công ty kiểm toán chuyên nghiệp bên thứ ba.

3.2 Phân tích các phương thức lừa đảo phổ biến và đề xuất bảo mật trong Web3

Lừa đảo Web3 là một phương thức tấn công phổ biến chống lại người dùng Web3. Nó sử dụng nhiều phương pháp khác nhau để đánh cắp ủy quyền và chữ ký của người dùng hoặc xúi giục người dùng thực hiện các thao tác sai nhằm mục đích đánh cắp tài sản được mã hóa trong ví của người dùng.

Trong những năm gần đây, các sự cố lừa đảo Web3 tiếp tục xảy ra và chuỗi công nghiệp đen Drainer as a Service (DaaS) đã phát triển, gây ra tình trạng bảo mật nghiêm trọng.

Trong bài viết này, SharkTeam sẽ tiến hành phân tích một cách có hệ thống các phương pháp lừa đảo Web3 phổ biến và đưa ra các biện pháp phòng ngừa bảo mật để bạn tham khảo, hy vọng có thể giúp người dùng xác định rõ hơn các hành vi lừa đảo lừa đảo và bảo vệ tính bảo mật cho tài sản mã hóa của chính họ.

• Cho phép lừa đảo chữ ký ngoài chuỗi

Giấy phép là một chức năng mở rộng để ủy quyền theo tiêu chuẩn ERC-20 Nói một cách đơn giản, bạn có thể ký để phê duyệt các địa chỉ khác để di chuyển Mã thông báo của mình. Nguyên tắc là bạn sử dụng chữ ký để cho biết rằng địa chỉ được ủy quyền có thể sử dụng mã thông báo của bạn thông qua chữ ký này và sau đó địa chỉ được ủy quyền lấy chữ ký của bạn để thực hiện tương tác cấp phép trên chuỗi và nhận được ủy quyền cuộc gọi và có thể chuyển tài sản cho bạn. Cho phép lừa đảo chữ ký ngoài chuỗi thường được chia thành ba bước:

(1) Kẻ tấn công giả mạo các liên kết lừa đảo hoặc các trang web lừa đảo để dụ người dùng đăng nhập qua ví (không có tương tác hợp đồng, không có trên chuỗi).

(2) Kẻ tấn công gọi hàm cấp phép để hoàn thành việc cấp phép.

(3) Kẻ tấn công gọi hàm transferFrom để chuyển tài sản của nạn nhân và hoàn thành cuộc tấn công.

Trước tiên, hãy để tôi giải thích sự khác biệt giữa chuyển và chuyển từ. Khi chúng tôi chuyển trực tiếp ERC 20, chúng tôi thường gọi hàm chuyển trong hợp đồng ERC 20 và transferFrom thường ủy quyền cho bên thứ ba chuyển ERC 20 trong ví của chúng tôi sang địa chỉ khác.

Chữ ký này là chữ ký ngoài chuỗi không có gas. Sau khi kẻ tấn công có được nó, anh ta sẽ thực hiện các tương tác cấp phép và chuyển từ trên chuỗi. Do đó, bản ghi ủy quyền không thể được nhìn thấy trong bản ghi địa chỉ của nạn nhân trên chuỗi, nhưng có thể. được nhìn thấy trong địa chỉ của kẻ tấn công. Nói chung, chữ ký này chỉ được sử dụng một lần và không tạo ra rủi ro lừa đảo lặp đi lặp lại hoặc liên tục.

• Cho phép 2 lần lừa đảo chữ ký ngoài chuỗi

Permit 2 là một hợp đồng thông minh được Uniswap ra mắt vào cuối năm 2022 nhằm tạo sự thuận tiện cho người dùng. Đây là hợp đồng phê duyệt mã thông báo cho phép chia sẻ và quản lý ủy quyền mã thông báo trong các DApp khác nhau trong tương lai, khi ngày càng có nhiều dự án hợp tác. Với việc tích hợp Permit 2, hợp đồng Permit 2 có thể đạt được trải nghiệm quản lý ủy quyền thống nhất hơn trong hệ sinh thái DApp và tiết kiệm chi phí giao dịch của người dùng.

Trước khi Permit 2 xuất hiện, việc trao đổi token trên Uniswap yêu cầu ủy quyền (Phê duyệt) và sau đó trao đổi (Swap), yêu cầu hai hoạt động và phí gas của hai giao dịch. Sau khi ra mắt Giấy phép 2, người dùng có thể ủy quyền tất cả hạn ngạch của họ cho hợp đồng Giấy phép 2 của Uniswap cùng một lúc và mỗi lần mua lại tiếp theo chỉ yêu cầu chữ ký ngoài chuỗi.

Mặc dù Permit 2 đã cải thiện trải nghiệm người dùng nhưng sau đó là các cuộc tấn công lừa đảo nhắm mục tiêu vào chữ ký Permit 2. Tương tự như Cho phép lừa đảo chữ ký ngoài chuỗi, Permit 2 cũng là lừa đảo chữ ký ngoài chuỗi. Cuộc tấn công này chủ yếu được chia thành bốn bước:

(1) Điều kiện tiên quyết là ví của người dùng đã sử dụng Uniswap trước khi bị lừa đảo và cấp phép giới hạn token cho hợp đồng Permit 2 của Uniswap (Permit 2 sẽ cho phép người dùng cấp phép toàn bộ số dư của token theo mặc định).

(2) Kẻ tấn công giả mạo các liên kết lừa đảo hoặc các trang lừa đảo để xúi giục người dùng ký. Kẻ tấn công lừa đảo lấy được thông tin chữ ký cần thiết, tương tự như Cho phép lừa đảo chữ ký ngoài chuỗi.

(3) Kẻ tấn công gọi chức năng cấp phép của hợp đồng Giấy phép 2 để hoàn thành việc ủy quyền.

(4) Kẻ tấn công gọi hàm transferFrom của hợp đồng Permit 2 để chuyển tài sản của nạn nhân ra ngoài và hoàn thành cuộc tấn công.

Thường có nhiều địa chỉ nơi kẻ tấn công nhận tài sản. Thông thường, một trong những người nhận có số tiền lớn nhất là kẻ thực hiện lừa đảo và những địa chỉ khác là địa chỉ đen cung cấp dịch vụ lừa đảo (phishing-as-a-service DaaS). địa chỉ nhà cung cấp, ví dụ) PinkDrainer, InfernoDrainer, AngelDrainer, v.v.).

• eth_sign câu cá bằng dấu hiệu mù trên chuỗi

eth_sign là một phương thức chữ ký mở có thể ký bất kỳ hàm băm nào. Kẻ tấn công chỉ cần xây dựng bất kỳ dữ liệu độc hại nào cần được ký (chẳng hạn như chuyển mã thông báo, gọi hợp đồng, mua lại ủy quyền, v.v.) và khiến người dùng đăng nhập thông qua eth_sign. Cuộc tấn công có thể được hoàn thành.

MetaMask sẽ có cảnh báo rủi ro khi ký eth_sign. Các ví Web3 như imToken và OneKey đã tắt chức năng này hoặc đưa ra cảnh báo rủi ro. Khuyến cáo tất cả các nhà sản xuất ví nên tắt phương thức này để tránh người dùng bị tấn công do thiếu nhận thức về bảo mật hoặc cần thiết. tích lũy kỹ thuật.

• Personal_sign/signTypedData Lừa đảo chữ ký trên chuỗi

Personal_sign và signTypedData là các phương thức chữ ký được sử dụng phổ biến. Thông thường, người dùng cần kiểm tra cẩn thận xem người khởi tạo, tên miền, nội dung chữ ký, v.v. có an toàn hay không.

Ngoài ra, nếu Personal_sign và signTypedData được sử dụng làm "chữ ký mù" trong tình huống trên, người dùng không thể nhìn thấy văn bản rõ ràng, điều này khiến các nhóm lừa đảo dễ dàng sử dụng và làm tăng nguy cơ lừa đảo.

• câu cá được phép

Bằng cách giả mạo một trang web độc hại hoặc treo ngựa trên trang web chính thức của dự án, kẻ tấn công khiến người dùng xác nhận các hoạt động như setApprovalForAll, Phê duyệt, Tăng phê duyệt, Tăng trợ cấp, v.v., lấy quyền vận hành tài sản của người dùng và thực hiện hành vi trộm cắp.

• Địa chỉ lừa đảo ô nhiễm

Lừa đảo ô nhiễm địa chỉ cũng là một trong những phương thức lừa đảo tràn lan gần đây. Kẻ tấn công giám sát các giao dịch trên chuỗi và sau đó giả mạo các địa chỉ độc hại dựa trên địa chỉ của đối thủ trong các giao dịch lịch sử của người dùng mục tiêu. Thông thường, 4 đến 6 chữ số đầu tiên và 4 đến 6 chữ số cuối cùng. các chữ số có liên quan đến đối thủ chính xác. Địa chỉ của cả hai bên giống nhau và sau đó các địa chỉ giả mạo độc hại này được sử dụng để chuyển số lượng nhỏ hoặc mã thông báo vô giá trị đến địa chỉ người dùng mục tiêu.

Nếu người dùng mục tiêu sao chép địa chỉ của đối thủ từ các lệnh giao dịch lịch sử để chuyển trong các giao dịch tiếp theo do thói quen cá nhân thì rất có thể tài sản sẽ bị chuyển nhầm sang địa chỉ độc hại do bất cẩn.

Vào ngày 3 tháng 5 năm 2024, 1155 WBTC, trị giá hơn 70 triệu đô la Mỹ, đã bị lừa đảo do phương thức lừa đảo bị nhiễm độc của địa chỉ này.

Địa chỉ đúng: 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91

Địa chỉ độc hại: 0xd9A1C3788D81257612E2581A6ea0aDa244853a91

Giao dịch bình thường:

https://etherscan.io/tx/0xb18ab131d251f7429c56a2ae2b1b75ce104fe9e83315a0c71ccf2b20267683ac

Địa chỉ ô nhiễm:

https://etherscan.io/tx/0x87c6e5d56fea35315ba283de8b6422ad390b6b9d8d399d9b93a9051a3e11bf73

Giao dịch sai hướng:

https://etherscan.io/tx/0x3374abc5a9c766ba709651399b6e6162de97ca986abc23f423a9d893c8f5f570

• Lừa đảo tinh vi hơn, sử dụng CREATE 2 để vượt qua việc phát hiện bảo mật

Hiện tại, nhiều ví và plugin bảo mật khác nhau đã dần triển khai các lời nhắc rủi ro trực quan đối với danh sách đen lừa đảo và các phương thức lừa đảo phổ biến, đồng thời cũng hiển thị thông tin chữ ký ngày càng đầy đủ hơn, cải thiện khả năng xác định các cuộc tấn công lừa đảo của người dùng thông thường. Tuy nhiên, các công nghệ tấn công và phòng thủ luôn cạnh tranh với nhau và phát triển không ngừng, đồng thời ngày càng nhiều phương thức lừa đảo ngầm liên tục xuất hiện nên chúng ta cần phải cảnh giác hơn. Sử dụng CREATE 2 để vượt qua việc phát hiện danh sách đen các ví và plug-in bảo mật là một phương pháp tương đối phổ biến gần đây.

Tạo 2 là một opcode được giới thiệu trong bản nâng cấp Ethereum 'Constantinople' cho phép người dùng tạo hợp đồng thông minh trên Ethereum. Mã opcode Tạo ban đầu tạo ra một địa chỉ mới dựa trên địa chỉ của người tạo và số nonce cho phép người dùng tính toán địa chỉ trước khi triển khai hợp đồng. Tạo 2 là một công cụ rất mạnh mẽ dành cho các nhà phát triển Ethereum, cho phép tương tác hợp đồng nâng cao và linh hoạt, tính toán trước địa chỉ hợp đồng dựa trên tham số, giao dịch ngoài chuỗi cũng như triển khai và điều chỉnh linh hoạt các ứng dụng phân tán cụ thể.

Tạo 2 mang lại lợi ích nhưng cũng có những rủi ro bảo mật mới. Tạo 2 có thể bị lạm dụng để tạo địa chỉ mới không có lịch sử giao dịch độc hại, bỏ qua việc phát hiện danh sách đen ví và cảnh báo bảo mật. Khi nạn nhân ký một giao dịch độc hại, kẻ tấn công có thể triển khai hợp đồng trên một địa chỉ được tính toán trước và chuyển tài sản của nạn nhân đến địa chỉ đó và đây là quá trình không thể đảo ngược.

Đặc điểm của cuộc tấn công này:

Cho phép tạo dự đoán địa chỉ hợp đồng, tạo điều kiện cho kẻ tấn công lừa người dùng cấp quyền trước khi triển khai hợp đồng.

Do hợp đồng chưa được triển khai tại thời điểm ủy quyền nên địa chỉ tấn công là địa chỉ mới và các công cụ phát hiện không thể đưa ra cảnh báo sớm dựa trên danh sách đen lịch sử, khiến nó dễ bị che giấu hơn.

Đây là một ví dụ về lừa đảo bằng cách sử dụng CREATE 2:

https://etherscan.io/tx/0x83f6bfde97f2fe60d2a4a1f55f9c4ea476c9d87fa0fcd0c1c3592ad6a539ed14

Trong giao dịch này, nạn nhân đã chuyển sfrxETH trong địa chỉ sang địa chỉ độc hại (0x 4 D 9 f 77), đây là địa chỉ hợp đồng mới không có bất kỳ hồ sơ giao dịch nào.

Nhưng khi mở giao dịch tạo hợp đồng này, bạn có thể thấy rằng hợp đồng đã hoàn thành một cuộc tấn công lừa đảo cùng lúc với thời điểm nó được tạo, chuyển tài sản từ địa chỉ của nạn nhân.

https://etherscan.io/tx/0x77c79f9c865c64f76dc7f9dff978a0b8081dce72cab7c256ac52a764376f8e52

Nhìn vào quá trình thực hiện giao dịch này, bạn có thể thấy rằng 0x4d9f7773deb9cc44b34066f5e36a5ec98ac92d40 đã được tạo sau khi gọi CREATE 2.

Ngoài ra, bằng cách phân tích các địa chỉ liên quan của PinkDrainer, có thể thấy rằng địa chỉ này đang tạo địa chỉ hợp đồng mới để lừa đảo thông qua CREATE 2 mỗi ngày.

https://etherscan.io/address/0x5d775caa7a0a56cd2d56a480b0f92e3900fe9722#internaltx

• Lừa đảo như một dịch vụ

Các cuộc tấn công lừa đảo ngày càng trở nên tràn lan và do lợi nhuận bất hợp pháp khổng lồ, một chuỗi công nghiệp đen dựa trên Drainer as a Service (DaaS) đã dần phát triển. Các chuỗi hoạt động tích cực hơn bao gồm:

Inferno/MS/Angel/Monkey/Venom/Pink/Pussy/Medusa, v.v., những kẻ tấn công lừa đảo mua các dịch vụ DaaS này, nhanh chóng và với ngưỡng thấp, xây dựng hàng nghìn trang web lừa đảo, tài khoản lừa đảo, v.v., giống như một tai họa đang lao vào đây ngành, Đe dọa tính bảo mật tài sản của người dùng.

Lấy Inferno Drainer làm ví dụ, một băng nhóm lừa đảo khét tiếng chuyên nhúng các tập lệnh độc hại trên các trang web khác nhau. Ví dụ: họ phát tán seaport.js, coinbase.js và wallet-connect.js để ngụy trang thành các chức năng giao thức Web3 phổ biến (Seaport, WalletConnect và Coinbase) nhằm khuyến khích người dùng tích hợp hoặc nhấp vào. tự động chuyển tài sản của người dùng đến địa chỉ của kẻ tấn công. Hơn 14.000 trang web chứa tập lệnh Seaport độc hại, hơn 5.500 trang web chứa tập lệnh WalletConnect độc hại, hơn 550 trang web chứa tập lệnh Coinbase độc hại và hơn 16.000 tên miền độc hại liên quan đến Inferno Drainer, tên thương hiệu của hơn 100 loại tiền điện tử. thương hiệu bị ảnh hưởng.

Trong khuôn khổ Lừa đảo dưới dạng dịch vụ, thông thường 20% tài sản bị đánh cắp sẽ tự động được chuyển đến địa chỉ của người tổ chức Inferno Drainer, 80% còn lại được thủ phạm lừa đảo giữ lại. Ngoài ra, Inferno Drainer thường xuyên cung cấp dịch vụ miễn phí để tạo và lưu trữ các trang web lừa đảo. Đôi khi, các dịch vụ lừa đảo cũng yêu cầu tính phí 30% số tiền bị lừa đảo. Những trang web lừa đảo này dành cho những người có thể thu hút nạn nhân truy cập nhưng không có khả năng tạo và thực hiện. được thiết kế bởi những kẻ tấn công lừa đảo có khả năng kỹ thuật để lưu trữ trang web hoặc đơn giản là không muốn tự mình thực hiện nhiệm vụ.

Vậy, trò lừa đảo DaaS này hoạt động như thế nào? Dưới đây là mô tả từng bước về kế hoạch lừa đảo tiền điện tử của Inferno Drainer:

1) Inferno Drainer quảng bá dịch vụ của họ thông qua kênh Telegram có tên Inferno Multichain Drainer và đôi khi những kẻ tấn công cũng truy cập dịch vụ thông qua trang web của Inferno Drainer.

2) Kẻ tấn công thiết lập và tạo trang web lừa đảo của riêng mình thông qua chức năng dịch vụ DaaS và lây lan nó qua X (Twitter), Discord và các phương tiện truyền thông xã hội khác.

3) Nạn nhân được khuyến khích quét mã QR hoặc các phương tiện khác có trên các trang web lừa đảo này để kết nối với ví của họ.

4) Drainer kiểm tra tài sản có giá trị nhất và dễ chuyển nhượng nhất của nạn nhân và bắt đầu các giao dịch độc hại.

5) Nạn nhân xác nhận giao dịch.

6) Tài sản được chuyển giao cho tội phạm. Trong số tài sản bị đánh cắp, 20% đã được chuyển cho các nhà phát triển Inferno Drainer và 80% cho những kẻ tấn công lừa đảo.

• Lời khuyên bảo mật

(1) Trước hết, người dùng không được nhấp vào các liên kết không xác định được ngụy trang dưới dạng tin tốt như phần thưởng, airdrop, v.v.;

(2) Sự cố tài khoản mạng xã hội chính thức bị đánh cắp ngày càng gia tăng và thông tin chính thức cũng có thể là thông tin lừa đảo và thông tin chính thức không có nghĩa là nó tuyệt đối an toàn;

(3) Khi sử dụng ví, DApp và các ứng dụng khác, bạn phải chú ý sàng lọc và đề phòng các trang web và ứng dụng giả mạo;

(4) Bất kỳ giao dịch hoặc tin nhắn chữ ký nào cần xác nhận đều cần phải thận trọng và cố gắng xác nhận chéo mục tiêu, nội dung và các thông tin khác. Từ chối ký một cách mù quáng, luôn cảnh giác, nghi ngờ mọi thứ và đảm bảo rằng mọi bước hoạt động đều rõ ràng và an toàn.

(5) Ngoài ra, người dùng cần hiểu rõ các phương thức tấn công lừa đảo phổ biến được đề cập trong bài viết này và học cách chủ động xác định các đặc điểm lừa đảo. Nắm vững các chữ ký chung, chức năng ủy quyền và rủi ro của chúng, chủ Tương tác (URL tương tác), Chủ sở hữu (địa chỉ người ủy quyền), Người chi tiêu (địa chỉ bên được ủy quyền), Giá trị (số được ủy quyền), Nonce (số ngẫu nhiên), Hạn chót (thời gian hết hạn), chuyển khoản/ transferFrom (chuyển) và các nội dung trường khác.

4. Phân tích Dự luật FIT 21

Vào ngày 23 tháng 5 năm 2024, Hạ viện Hoa Kỳ đã chính thức thông qua Đạo luật mã hóa FIT 21 (Đạo luật đổi mới tài chính và công nghệ cho thế kỷ 21) với 279 phiếu ủng hộ và 136 phiếu chống. Tổng thống Hoa Kỳ Joe Biden tuyên bố rằng ông sẽ không phủ quyết dự luật và kêu gọi Quốc hội hợp tác trên “khuôn khổ pháp lý toàn diện và cân bằng cho tài sản kỹ thuật số”.

FIT 21 nhằm mục đích cung cấp một phương pháp khởi động an toàn và hiệu quả các dự án blockchain tại Hoa Kỳ, làm rõ ranh giới trách nhiệm giữa Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) và Ủy ban Giao dịch Hàng hóa Tương lai Hàng hóa (CFTC), phân biệt liệu tài sản kỹ thuật số có phải là tài sản kỹ thuật số hay không. là chứng khoán hoặc hàng hóa và tăng cường giám sát các sàn giao dịch tiền điện tử để bảo vệ người tiêu dùng Hoa Kỳ tốt hơn.

4.1 Nội dung quan trọng của dự luật FIT 21 là gì?

• Định nghĩa tài sản kỹ thuật số

Văn bản gốc của dự luật: TỔNG QUÁT.—Thuật ngữ 'tài sản kỹ thuật số' có nghĩa là bất kỳ đại diện kỹ thuật số có giá trị có thể thay thế được nào có thể được sở hữu và chuyển giao độc quyền, từ người này sang người khác mà không cần sự phụ thuộc cần thiết vào một bên trung gian và được ghi lại trên một hệ thống công khai được bảo mật bằng mật mã. sổ cái phân tán.

Dự luật định nghĩa “tài sản kỹ thuật số” là một đại diện kỹ thuật số có thể trao đổi, có thể được chuyển từ người này sang người khác mà không cần dựa vào trung gian và được ghi lại trên sổ cái phân phối công khai được bảo vệ bằng mật mã. Định nghĩa này bao gồm một loạt các hình thức kỹ thuật số, từ tiền điện tử đến tài sản vật chất được mã hóa.

• Phân loại tài sản kỹ thuật số

Dự luật đề xuất một số yếu tố chính để phân biệt tài sản kỹ thuật số là chứng khoán hay hàng hóa:

(1) Hợp đồng đầu tư (The Howey Test)

Nếu việc mua một tài sản kỹ thuật số được coi là một khoản đầu tư và nhà đầu tư mong muốn kiếm được lợi nhuận thông qua nỗ lực của doanh nhân hoặc bên thứ ba thì tài sản đó thường được coi là chứng khoán. Điều này dựa trên tiêu chuẩn do Tòa án Tối cao Hoa Kỳ thiết lập trong vụ SEC kiện WJ Howey Co., thường được gọi là bài kiểm tra Howey.

(2) Sử dụng và tiêu dùng

Nếu một tài sản kỹ thuật số được sử dụng chủ yếu như một phương tiện để tiêu thụ hàng hóa hoặc dịch vụ chứ không phải là một khoản đầu tư với kỳ vọng tăng giá vốn, chẳng hạn như token có thể được sử dụng để mua các dịch vụ hoặc sản phẩm cụ thể, mặc dù trên thị trường thực, những tài sản này cũng có thể được mua và nắm giữ với mục đích đầu cơ, nhưng từ góc độ thiết kế và mục đích chính, nó có thể không được phân loại là chứng khoán mà là hàng hóa hoặc tài sản không đảm bảo khác.

(3) Mức độ phân quyền

Dự luật đặc biệt nhấn mạnh mức độ phân cấp của mạng blockchain. Nếu mạng đằng sau một tài sản kỹ thuật số có tính phân cấp cao, không có cơ quan tập trung nào kiểm soát mạng hoặc tài sản đó thì tài sản đó có nhiều khả năng được xem là hàng hóa hơn. Điều này rất quan trọng vì có những khác biệt chính giữa định nghĩa về “hàng hóa” và “an ninh”, những khác biệt này có ý nghĩa đối với cách chúng được quản lý.

Ủy ban Giao dịch Hàng hóa Tương lai Hoa Kỳ (CFTC) sẽ quản lý tài sản kỹ thuật số như một loại hàng hóa “nếu blockchain hoặc sổ cái kỹ thuật số mà nó chạy trên đó có chức năng và phi tập trung”.

Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) sẽ quản lý tài sản kỹ thuật số như một loại chứng khoán “nếu blockchain liên quan của chúng hoạt động nhưng không được phân quyền chặt chẽ”.

Dự luật định nghĩa phân quyền là “trong số các yêu cầu khác, không ai có quyền đơn phương kiểm soát blockchain hoặc việc sử dụng nó và không có nhà phát hành hoặc đơn vị liên kết nào kiểm soát 20% quyền sở hữu hoặc quyền biểu quyết trở lên của tài sản kỹ thuật số”.

Các tiêu chí cụ thể được xác định theo mức độ phân cấp như sau:

Kiểm soát và ảnh hưởng: Trong 12 tháng qua, không cá nhân hoặc tổ chức nào có quyền đơn phương kiểm soát hoặc thay đổi đáng kể chức năng hoặc hoạt động của hệ thống blockchain, trực tiếp hoặc thông qua hợp đồng, thỏa thuận hoặc các phương tiện khác.

Phân phối quyền sở hữu: Không có cá nhân hoặc tổ chức nào liên quan đến tổ chức phát hành tài sản kỹ thuật số sở hữu hơn 20% tổng lượng phát hành tài sản kỹ thuật số trong 12 tháng qua.

Quyền biểu quyết và quản trị: Không có cá nhân hoặc tổ chức nào liên quan đến nhà phát hành tài sản kỹ thuật số có thể đơn phương chỉ đạo hoặc gây ảnh hưởng đến hơn 20% quyền biểu quyết của tài sản kỹ thuật số hoặc hệ thống quản trị phi tập trung có liên quan trong 12 tháng qua.

Đóng góp và sửa đổi mã: Trong 3 tháng qua, các tổ chức phát hành tài sản kỹ thuật số hoặc nhân sự có liên quan đã không thực hiện các sửa đổi đơn phương, đáng kể đối với mã nguồn của hệ thống blockchain, trừ khi những sửa đổi này nhằm giải quyết các lỗ hổng bảo mật và duy trì thói quen, ngăn ngừa rủi ro an ninh mạng hoặc cải tiến kỹ thuật khác.

Tiếp thị và Quảng cáo: Trong 3 tháng qua, nhà phát hành tài sản kỹ thuật số và các chi nhánh của nó đã không tiếp thị tài sản kỹ thuật số ra công chúng như một khoản đầu tư.

Trong số các tiêu chuẩn định nghĩa này, tiêu chuẩn cứng nhắc hơn là phân bổ quyền sở hữu và quyền quản trị. Đường ranh giới 20% có ý nghĩa rất lớn trong việc xác định tài sản kỹ thuật số là chứng khoán hoặc hàng hóa, đồng thời, nó được hưởng lợi từ tính công khai, minh bạch, khả năng truy xuất nguồn gốc. và đặc điểm không bị giả mạo của blockchain, việc định lượng tiêu chuẩn định nghĩa này cũng sẽ trở nên rõ ràng và công bằng hơn.

(4) Chức năng và đặc tính kỹ thuật

Mối liên hệ giữa tài sản kỹ thuật số và công nghệ blockchain cơ bản cũng là một trong những lý do quan trọng để xác định hướng điều chỉnh. Mối liên hệ này thường bao gồm cách tạo, phát hành, giao dịch và quản lý tài sản kỹ thuật số:

Phát hành tài sản: Nhiều tài sản kỹ thuật số được phát hành thông qua cơ chế lập trình của blockchain, có nghĩa là việc tạo và phân phối chúng dựa trên các thuật toán và quy tắc đặt trước thay vì sự can thiệp của con người.

Xác minh giao dịch: Các giao dịch tài sản kỹ thuật số cần được xác minh và ghi lại thông qua cơ chế đồng thuận trong mạng blockchain để đảm bảo tính chính xác và không thể giả mạo của mỗi giao dịch.

Quản trị phi tập trung: Một số dự án tài sản kỹ thuật số đã triển khai quản trị phi tập trung và người dùng nắm giữ các mã thông báo cụ thể có thể tham gia vào quá trình ra quyết định của dự án, chẳng hạn như bỏ phiếu về hướng phát triển trong tương lai của dự án.

Những đặc điểm này tác động trực tiếp đến cách quản lý tài sản. Nếu tài sản kỹ thuật số chủ yếu mang lại lợi nhuận tài chính hoặc cho phép bỏ phiếu tham gia quản trị thông qua các quy trình tự động trên blockchain thì chúng có thể được coi là chứng khoán vì điều này cho thấy rằng các nhà đầu tư đang mong đợi nhận được lợi ích từ nỗ lực quản lý hoặc của công ty. Nếu một tài sản kỹ thuật số hoạt động chủ yếu như một phương tiện trao đổi hoặc được sử dụng trực tiếp để có được hàng hóa hoặc dịch vụ thì nó có thể có xu hướng được phân loại là hàng hóa hơn.

• Quảng cáo và bán tài sản kỹ thuật số

Cách tài sản kỹ thuật số được quảng bá và bán trên thị trường cũng rất quan trọng trong FIT 21 và nếu một tài sản kỹ thuật số được tiếp thị chủ yếu thông qua lợi tức đầu tư dự kiến thì nó có thể được coi là chứng khoán. Nội dung ở đây cực kỳ quan trọng, vì tầm quan trọng của nó là tiêu chuẩn hóa khung pháp lý đối với tài sản kỹ thuật số và nó sẽ ảnh hưởng đến những tài sản kỹ thuật số tiếp theo có thể đi qua ETF giao ngay.

(1) Trách nhiệm đăng ký và giám sát

Có hai định nghĩa về tài sản kỹ thuật số, đó là hàng hóa kỹ thuật số và chứng khoán. Dự luật quy định rằng theo các định nghĩa khác nhau, việc giám sát tài sản kỹ thuật số có trách nhiệm chung của hai cơ quan chính:

Ủy ban giao dịch hàng hóa tương lai (CFTC): Chịu trách nhiệm quản lý giao dịch hàng hóa kỹ thuật số và những người tham gia thị trường liên quan.

Ủy ban Chứng khoán và Giao dịch (SEC): Chịu trách nhiệm quản lý các tài sản kỹ thuật số và nền tảng giao dịch được coi là chứng khoán của chúng.

(2) Thời gian khóa đối với người dùng nội bộ token

Văn bản gốc của dự luật: “Một tài sản kỹ thuật số bị hạn chế thuộc sở hữu của người có liên quan hoặc người có liên quan chỉ có thể được chào bán hoặc bán sau 12 tháng kể từ sau— (A) ngày mà tài sản kỹ thuật số bị hạn chế đó được mua; hoặc ( B) ngày đáo hạn của tài sản kỹ thuật số." .

Điều khoản quy định rằng việc nắm giữ mã thông báo của người nội bộ cần phải bị khóa trong ít nhất 12 tháng kể từ ngày mua hoặc 12 tháng kể từ “ngày đáo hạn tài sản kỹ thuật số” được xác định, tùy theo thời điểm nào đến sau.

Khả năng trì hoãn việc bán hàng này giúp ngăn chặn người trong cuộc thu lợi từ thông tin không được tiết lộ hoặc ảnh hưởng không công bằng đến giá thị trường. Bằng cách gắn kết lợi ích của người trong cuộc với mục tiêu dài hạn của dự án, nó giúp tránh tình trạng đầu cơ và thao túng thị trường, đồng thời giúp tạo ra một môi trường thị trường ổn định và công bằng hơn.

(3) Hạn chế bán hàng của bên liên quan đến tài sản kỹ thuật số

Văn bản gốc của dự luật: “Tài sản kỹ thuật số có thể được bán bởi một người có liên quan với các điều kiện sau: (1) Tổng khối lượng tài sản kỹ thuật số mà người đó bán không vượt quá 1% khối lượng tồn đọng trong bất kỳ khoảng thời gian ba tháng nào; (2) người có liên quan phải báo cáo ngay cho Ủy ban Giao dịch Hàng hóa Tương lai Hàng hóa hoặc Ủy ban Chứng khoán và Giao dịch bất kỳ lệnh bán nào vượt quá 1% khối lượng còn tồn đọng.”

Tài sản kỹ thuật số có thể được bán bởi các bên liên quan trong các trường hợp sau:

• Trong khoảng thời gian 3 tháng bất kỳ, tổng số tài sản kỹ thuật số được bán không được vượt quá 1% số hàng tồn kho;

• Những người có liên quan phải báo cáo ngay cho Ủy ban Giao dịch Hàng hóa Tương lai Hàng hóa hoặc Ủy ban Chứng khoán và Giao dịch sau khi bán đơn đặt hàng vượt quá 1% hàng tồn kho.

Biện pháp này ngăn ngừa sự thao túng thị trường và đầu cơ quá mức bằng cách hạn chế số lượng bán ra của các bên liên quan trong thời gian ngắn, đảm bảo sự ổn định và lành mạnh của thị trường.

(4) Yêu cầu công bố thông tin dự án

Văn bản gốc của dự luật: “Các tổ chức phát hành tài sản kỹ thuật số phải tiết lộ thông tin được mô tả trong Mục 43 trên trang web công cộng trước khi bán tài sản kỹ thuật số theo Mục 4(a)(8).”

Thông tin cụ thể cần thiết để tiết lộ dự án không được nêu chi tiết trong đoạn trích được cung cấp nhưng thường bao gồm:

Bản chất của tài sản kỹ thuật số: tài sản kỹ thuật số đại diện cho điều gì (ví dụ: cổ phần trong công ty, quyền đối với thu nhập trong tương lai, v.v.);

Rủi ro liên quan: rủi ro tiềm ẩn liên quan đến việc đầu tư vào tài sản kỹ thuật số này. ;

Trạng thái phát triển: trạng thái hiện tại của dự án hoặc nền tảng liên quan đến tài sản kỹ thuật số, chẳng hạn như các mốc phát triển hoặc mức độ sẵn sàng của thị trường;

Thông tin tài chính: mọi chi tiết hoặc dự đoán tài chính liên quan đến tài sản kỹ thuật số;

Nhóm quản lý: Thông tin về những người đứng sau dự án hoặc công ty phát hành tài sản kỹ thuật số.

Dự luật yêu cầu các tổ chức phát hành tài sản kỹ thuật số cung cấp thông tin chi tiết về dự án, bao gồm bản chất của tài sản, rủi ro, trạng thái phát triển, v.v. để các nhà đầu tư có thể đưa ra quyết định đầu tư sáng suốt. Động thái này giúp tăng cường tính minh bạch của thị trường và bảo vệ lợi ích của nhà đầu tư.

(5) Nguyên tắc cách ly an toàn tiền của khách hàng

Văn bản gốc của dự luật: “Sàn giao dịch hàng hóa kỹ thuật số sẽ giữ tiền, tài sản và tài sản của khách hàng theo cách giảm thiểu rủi ro mất mát hoặc sự chậm trễ vô lý trong việc khách hàng truy cập vào tiền, tài sản và tài sản của họ.”

Quy định này yêu cầu các nhà cung cấp dịch vụ tài sản kỹ thuật số thực hiện các biện pháp để đảm bảo an toàn cho tiền của khách hàng và ngăn ngừa mất mát hoặc chậm trễ truy cập tiền của khách hàng do các vấn đề hoạt động của nhà cung cấp dịch vụ.

(6) Không được trộn lẫn tiền của khách hàng và quỹ hoạt động của công ty

Văn bản gốc của hóa đơn: “Tiền, tài sản và tài sản của khách hàng sẽ không được trộn lẫn với tiền của sàn giao dịch hàng hóa kỹ thuật số hoặc được sử dụng để đảm bảo hoặc đảm bảo các giao dịch hoặc số dư của bất kỳ khách hàng hoặc cá nhân nào khác.”

Điều này có nghĩa là các nhà cung cấp dịch vụ phải tách biệt và quản lý chặt chẽ tiền của khách hàng và quỹ hoạt động của công ty để đảm bảo tính độc lập của tiền của khách hàng, tránh sử dụng tiền của khách hàng cho các hoạt động trái phép, đồng thời tăng cường tính bảo mật và minh bạch của tiền.

Ví dụ, trong một số hoạt động, để thuận tiện cho việc thanh toán, được phép gửi tiền của khách hàng vào cùng một tài khoản với tiền của các tổ chức khác theo những điều kiện nhất định, nhưng phải đảm bảo quản lý riêng và ghi chép đúng cách các khoản tiền này để đảm bảo rằng mỗi khách hàng về tiền và bảo đảm tài sản.

4.2 Khuyến khích và hỗ trợ đổi mới

Trong dự luật FIT 21 cũng có nhiều nội dung khuyến khích, hỗ trợ đổi mới.

• Thành lập Ủy ban cố vấn chung CFTC-SEC

Ủy ban cố vấn chung về tài sản kỹ thuật số CFTC-SEC đã được thành lập để:

• Cung cấp lời khuyên cho Ủy ban về các quy tắc, quy định và chính sách liên quan đến tài sản kỹ thuật số;

• Thúc đẩy hơn nữa sự phối hợp quy định về chính sách tài sản kỹ thuật số giữa các ủy ban;

• Nghiên cứu và phổ biến các phương pháp mô tả, đo lường và định lượng tài sản số;

• Nghiên cứu tiềm năng của tài sản kỹ thuật số, hệ thống blockchain và công nghệ sổ cái phân tán để nâng cao hiệu quả hoạt động của cơ sở hạ tầng thị trường tài chính và bảo vệ tốt hơn những người tham gia thị trường tài chính;

• Thảo luận về việc thực hiện dự luật này của ủy ban và những sửa đổi của nó.

Mục tiêu của ủy ban này là thúc đẩy hợp tác và chia sẻ thông tin giữa hai cơ quan quản lý lớn trong việc quản lý tài sản kỹ thuật số.

• Củng cố và mở rộng Trung tâm Chiến lược Đổi mới và Fintech của SEC (FinHub)

Dự luật đề xuất củng cố và mở rộng Trung tâm Chiến lược Đổi mới và FinTech (FinHub) của SEC để:

• Hỗ trợ phát triển cách tiếp cận của Ủy ban đối với tiến bộ công nghệ;

• Kiểm tra sự đổi mới công nghệ tài chính của những người tham gia thị trường;

• Điều phối phản ứng của Ủy ban đối với các công nghệ mới nổi trong hệ thống tài chính, quy định và giám sát.

Trách nhiệm của nó là:

• Thúc đẩy đổi mới công nghệ có trách nhiệm và cạnh tranh công bằng trong Ủy ban, bao gồm cả công nghệ tài chính, công nghệ điều tiết và công nghệ giám sát;

• Cung cấp giáo dục và đào tạo nội bộ về fintech cho ủy ban;

• Cung cấp tư vấn cho Ủy ban về công nghệ tài chính phục vụ chức năng của Ủy ban;

• Phân tích tác động của tiến bộ công nghệ và các yêu cầu pháp lý đối với các công ty fintech;

• Cung cấp lời khuyên cho Ủy ban về việc xây dựng quy định hoặc hành động của các cơ quan hoặc nhân viên fintech khác;

• Cung cấp thông tin về Ủy ban cũng như các quy tắc và quy định của Ủy ban cho các doanh nghiệp trong lĩnh vực fintech mới nổi;

• Các công ty hoạt động trong lĩnh vực công nghệ mới nổi được khuyến khích tham gia với Ủy ban và nhận phản hồi từ Ủy ban về các vấn đề pháp lý tiềm ẩn.

Nhiệm vụ chính của FinHub là thúc đẩy phát triển chính sách liên quan đến fintech và cung cấp cho những người tham gia thị trường hướng dẫn và nguồn lực về các công nghệ mới nổi. Yêu cầu báo cáo hàng năm cho Quốc hội về các hoạt động của FinHub trong năm tài chính trước đó. Cũng được yêu cầu cung cấp các tài liệu và thông tin để đảm bảo FinHub có đủ quyền truy cập vào Ủy ban và bất kỳ tổ chức tự quản lý nào để thực hiện các chức năng của FinHub. Ủy ban sẽ thiết lập một hệ thống lưu trữ hồ sơ chi tiết (như được định nghĩa trong 5 U.S.C. 552a) để hỗ trợ FinHub trong việc liên lạc với các bên quan tâm.

• Phòng thí nghiệm CFTC (LabCFTC) được thành lập

Dự luật đề xuất thành lập LabCFTC nhằm mục đích:

• Thúc đẩy đổi mới công nghệ tài chính có trách nhiệm và cạnh tranh công bằng để mang lại lợi ích cho công chúng Mỹ;

• Hoạt động như một nền tảng thông tin để thông báo cho Ủy ban về những đổi mới công nghệ tài chính mới;

• Cung cấp sự vận động cho các nhà đổi mới công nghệ tài chính để thảo luận về những đổi mới của họ và khung pháp lý được thiết lập bởi Đạo luật này cũng như các quy định được ban hành theo Đạo luật này.

Trách nhiệm của nó là:

• Cung cấp lời khuyên cho Ủy ban về việc xây dựng quy tắc công nghệ tài chính hoặc các hành động của cơ quan hoặc nhân viên khác;

• Cung cấp giáo dục và đào tạo nội bộ cho các ủy ban về công nghệ tài chính;

• Cung cấp lời khuyên cho Ủy ban về công nghệ tài chính để tăng cường chức năng giám sát của Ủy ban;

• Trao đổi với các học giả, sinh viên và chuyên gia về các vấn đề, ý tưởng và kỹ thuật công nghệ tài chính liên quan đến hoạt động của Đạo luật;

• Cung cấp thông tin cho những người làm việc trong không gian công nghệ mới nổi về Ủy ban, các quy tắc và quy định của Ủy ban cũng như vai trò của các hiệp hội hợp đồng tương lai đã đăng ký;

• Nhân viên trong các lĩnh vực công nghệ mới nổi được khuyến khích tham gia với Ủy ban và nhận phản hồi từ Ủy ban về các vấn đề pháp lý tiềm ẩn.

Tương tự như FinHub, sứ mệnh của LabCFTC là thúc đẩy phát triển chính sách phù hợp và cung cấp hướng dẫn kỹ thuật cũng như truyền thông. LabCFTC cũng được yêu cầu cung cấp cho Quốc hội báo cáo hàng năm về các hoạt động của mình. Cũng cần đảm bảo rằng LabCFTC có toàn quyền truy cập vào các tài liệu và thông tin của Ủy ban và bất kỳ tổ chức tự quản lý hoặc hiệp hội tương lai đã đăng ký nào để thực hiện các chức năng của LabCFTC và thiết lập hệ thống lưu trữ hồ sơ chi tiết.

• Chú ý và tăng cường các nghiên cứu liên quan về tài chính phi tập trung, tài sản kỹ thuật số không thể thay thế, các công cụ phái sinh, v.v.

Ủy ban Giao dịch Hàng hóa Tương lai Hàng hóa (CFCA) và Ủy ban Chứng khoán và Giao dịch (SEC) nên cùng nhau tiến hành nghiên cứu về nội dung đổi mới như tài chính phi tập trung (DeFi), tài sản kỹ thuật số không thể thay thế (NFT) và các công cụ phái sinh, nghiên cứu xu hướng phát triển của chúng và đánh giá tác động của nó đối với thị trường tài chính truyền thống và các chiến lược điều tiết tiềm năng.

Trong phần nội dung này, thái độ tuân thủ tiền điện tử về cơ bản đã được thiết lập. Hướng đi rõ ràng hơn là nghiên cứu về DeFi và NFT, có nghĩa là DeFi và NFT cũng có thể mở ra các chiến lược quản lý dần dần rõ ràng trong tương lai.

4.3 Tầm quan trọng của dự luật FIT 21

Mặc dù ngành công nghiệp tiền điện tử đã tồn tại hơn một thập kỷ nhưng vẫn chưa có khung pháp lý toàn diện cho tài sản kỹ thuật số trên toàn cầu. Khung pháp lý hiện hành còn rời rạc, chưa đầy đủ và thiếu rõ ràng. Sự không chắc chắn về quy định này không chỉ cản trở sự phát triển của các doanh nghiệp đổi mới mà còn tạo cơ hội cho những kẻ xấu lợi dụng.

Vì vậy, việc áp dụng FIT 21 có ý nghĩa rất lớn.

Việc thông qua nó có vai trò tích cực quan trọng trong việc thiết lập một môi trường pháp lý hỗ trợ sự phát triển của công nghệ blockchain, đồng thời đưa ra các yêu cầu tương đối rõ ràng để bảo vệ thị trường mã hóa và bảo mật người tiêu dùng. Cụ thể, chúng bao gồm: được CFTC hoặc SEC quy định rõ ràng đối với các loại tài sản kỹ thuật số khác nhau; thiết lập các biện pháp bảo vệ người tiêu dùng, chẳng hạn như phân tách quỹ khách hàng, thời gian khóa đối với người nội bộ mã thông báo, giới hạn về yêu cầu tiết lộ và bán hàng hàng năm, v.v.

Là một phát minh mang tính lịch sử khác của nền văn minh nhân loại sau Internet, công nghệ chuỗi khối và tài sản kỹ thuật số có tiềm năng và triển vọng phát triển rất lớn. Tất cả chúng ta đều là những người tạo ra xu hướng trong kỷ nguyên mới bằng cách nắm bắt các quy định và phát triển đổi mới.

5. Tóm tắt

So với nửa đầu năm 2023, tổng thiệt hại do các cuộc tấn công của hacker, Rugpull của dự án, lừa đảo lừa đảo, v.v. trong nửa đầu năm 2024 đã tăng đáng kể, đạt 1,492 tỷ USD. Nhìn chung, tình hình bảo mật Web3 rất nghiêm trọng.

Tuy nhiên, tình hình thị trường nhìn chung là tích cực, nhận thức về bảo mật của các bên tham gia dự án và người dùng Web3 đang dần nâng cao và các chính sách tuân thủ liên quan đang được cải thiện dần dần.

Web3 là một lục địa mới, đầy trí tưởng tượng và cơ hội. Tôi tin rằng ở vùng đất này, bảo mật và tuân thủ sẽ đóng vai trò ngày càng quan trọng trong việc bảo vệ tính bảo mật cho tài sản được mã hóa của người dùng.