Cảnh báo rủi ro: Đề phòng huy động vốn bất hợp pháp dưới danh nghĩa 'tiền điện tử' và 'blockchain'. — Năm cơ quan bao gồm Ủy ban Giám sát Ngân hàng và Bảo hiểm
Thông tin
Khám phá
Tìm kiếm
Đăng nhập
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
BTC
ETH
HTX
SOL
BNB
Xem thị trường
Phân tích chuyên sâu về sự cố tấn công "Wallet" của Bybit & Safe: Các công ty có thể xây dựng "pháo đài an ninh tiền điện tử" như thế nào
星球君的朋友们
Odaily资深作者
2025-02-28 08:43
Bài viết này có khoảng 1672 từ, đọc toàn bộ bài viết mất khoảng 3 phút
Việc xây dựng tính bảo mật của quản lý tài sản tổ chức đòi hỏi phải đầu tư liên tục.

Tác giả gốc: Kane Wang, CTO của Safeheron

Tổng quan về sự kiện Bybit

Vào lúc 22:13 ngày 21 tháng 2 năm 2025 (giờ Singapore), nhóm Bybit đã khởi tạo giao dịch chuyển tiền từ ví lạnh sang ví ấm bằng quy trình đa chữ ký của "Ví" an toàn. CEO Ben đã xác minh địa chỉ mục tiêu thông qua "Ví" an toàn, nhưng khi cuối cùng sử dụng Ledger để xác nhận, vì Ledger chỉ hiển thị các tham số tương tác hợp đồng và không hiển thị thông tin giao dịch đầy đủ nên kẻ tấn công đã tận dụng cơ hội và đánh cắp thành công gần 1,5 tỷ đô la Mỹ tài sản.

Vào ngày 26 tháng 2 năm 2025, Sygnia đã công bố kết quả điều tra, xác nhận rằng kho lưu trữ AWS S3 của Safe "Wallet" đã bị tấn công để triển khai mã JavaScript độc hại nhắm vào Bybit, mục đích chính là thay đổi hiệu quả nội dung giao dịch trong quá trình ký. Đồng thời, Safe "Wallet" tuyên bố rằng hợp đồng thông minh Safe không bị ảnh hưởng.

Sự cố này có nhiều điểm tương đồng với vụ tấn công gần đây khiến Radiant Capital thiệt hại 4,5 triệu đô la, đóng vai trò như lời cảnh tỉnh cho toàn bộ ngành bảo mật tài sản kỹ thuật số. Kane Wang, Giám đốc công nghệ của Safeheron (nhà cung cấp dịch vụ bảo mật tự lưu trữ tài sản kỹ thuật số MPC nguồn mở duy nhất tại Châu Á) cũng đã phân tích sâu về sự cố này:

Sai lầm cơ bản: “Những gì bạn thấy ≠ những gì bạn ký”

Sự cố Bybit đã tiết lộ một lỗi nghiêm trọng trong kiến trúc ví: có một khoảng cách lớn giữa ý định giao dịch được hiển thị và hoạt động thực tế được thực hiện. Vấn đề này phổ biến trong nhiều hệ thống ví:

A. Cơ sở hạ tầng bị xâm phạm

Nếu kẻ tấn công chiếm quyền điều khiển giao diện người dùng (như trường hợp của "Ví an toàn") hoặc phần phụ trợ của ví, người dùng có thể vô tình chấp thuận các hoạt động độc hại được ngụy trang thành các giao dịch hợp pháp. Mặc dù các giải pháp ví dựa trên hợp đồng thông minh (như Safe "Wallet") hoạt động tốt trong phân vùng khóa, nhưng chúng không giải quyết được hoàn toàn vấn đề xác minh tính toàn vẹn của giao dịch.

B. Các vấn đề về khả năng tương thích của hệ sinh thái

Sự cố Bybit đã phơi bày một lỗ hổng nghiêm trọng trong khả năng tương thích của hệ sinh thái: ngay cả khi sử dụng các thiết bị an toàn như Ledger, việc thiếu sự tích hợp liền mạch giữa các hệ thống khác nhau vẫn có thể dẫn đến nguy cơ bảo mật. Trong cuộc tấn công này:

  • Giao diện người dùng của Safe đã bị can thiệp: kẻ tấn công đã thao túng địa chỉ mục tiêu được hiển thị để làm cho nó trông hợp pháp.

  • Xác minh ngoại tuyến của Ledger không thành công: Là tuyến phòng thủ cuối cùng, Ledger đã không triển khai hiệu quả cơ chế xác minh "những gì bạn thấy là những gì bạn ký". Do khả năng tương thích kém với UI của Safe, Ledger chỉ hiển thị các tham số tương tác hợp đồng nhưng không hiển thị thông tin giao dịch theo cách thân thiện, dẫn đến các chi tiết giao dịch quan trọng không được xác minh.

Mục đích ban đầu khi sử dụng Ledger và Safe cùng nhau là để đảm bảo sử dụng tiền an toàn hơn và đạt được sự kết hợp "lạnh + ấm", nhưng chúng tôi thấy rằng việc thiếu thiết kế phòng thủ bảo mật tích hợp chuyên sâu đã làm lộ ra nhiều điểm mù bảo mật không mong muốn.

Sự cố này nhấn mạnh nhu cầu về các ví cấp độ tổ chức phải có các biện pháp bảo mật tiên tiến hơn để đảm bảo tính xác thực của các giao dịch và chống lại các cuộc tấn công tinh vi trong môi trường rủi ro cao. Việc áp dụng giải pháp bảo mật nhiều lớp là đặc biệt quan trọng để đối phó với các phương pháp tấn công ngày càng tinh vi.

Làm thế nào để doanh nghiệp có thể xây dựng một "pháo đài an ninh được mã hóa"

1. Ký nhiều thiết bị:

Khi ký một giao dịch, những người ký khác nhau nên sử dụng các thiết bị phần cứng khác nhau để tránh việc sử dụng cùng một thiết bị cho tất cả các hoạt động ký và giảm nguy cơ xảy ra lỗi ở một điểm duy nhất.

2. Tập trung vào rủi ro và bảo vệ hệ thống:

Các nhà cung cấp dịch vụ cơ sở hạ tầng bảo mật và các sàn giao dịch nên tiến hành tìm hiểu một cách có hệ thống về mức độ rủi ro và giảm thiểu các điểm rủi ro. Trong sự kết hợp Ledger+Safe, nếu giao diện người dùng chính thức của Safe bị xâm phạm trái phép hoặc mạng bị tấn công, mức độ rủi ro sẽ càng tăng cao. Khi lựa chọn giải pháp, các sàn giao dịch cần xác định liên kết nào có thể có vấn đề về bảo mật và tăng cường xây dựng các biện pháp phòng ngừa rủi ro chính. Ví dụ:

  • Các nhà cung cấp dịch vụ cơ sở hạ tầng bảo mật có thể tập trung rủi ro vào các ứng dụng và đảm bảo rằng chúng có khả năng "những gì bạn thấy là những gì bạn ký" và xác minh TEE (môi trường thực thi đáng tin cậy) độc lập. Ngay cả khi máy chủ bị tấn công, tài sản của khách hàng vẫn được an toàn. Nghĩa là, ngay cả khi nhân viên nội bộ của nhà cung cấp làm điều xấu hoặc bị hack, nhưng ứng dụng ví vẫn hoạt động bình thường, nhà cung cấp không thể đánh cắp khóa người dùng hoặc chuyển tài sản của khách hàng.

Ngoài ra, nhà cung cấp dịch vụ cũng nên triển khai các nguyên tắc DevSecOps để đảm bảo an ninh cho hệ thống thông qua môi trường xây dựng ứng dụng an toàn và quy trình phê duyệt, xác minh nghiêm ngặt. Giảm thiểu rủi ro và triển khai DevSecOps cũng là những gì Safeheron luôn tuân thủ.

  • Khi sử dụng giải pháp ví lạnh, ví lạnh, với tư cách là một đối tượng chịu rủi ro, có thể có các chức năng thân thiện "những gì bạn thấy là những gì bạn ký", chức năng danh sách trắng, cập nhật chương trình cơ sở của ví hiệu quả, v.v. để đảm bảo việc sử dụng ví an toàn.

3. Quản lý quỹ phi tập trung:

Số tiền lớn tập trung trong một ví duy nhất sẽ phải đối mặt với rủi ro cao hơn. Khi bảo mật bị xâm phạm, tất cả tiền có thể bị xóa sổ ngay lập tức. Do đó, chúng ta có thể thiết lập “ví nóng”, “ví ấm” và “ví lạnh” theo tần suất phân bổ vốn để thực hiện quản lý theo phân cấp. Khi sử dụng ví lạnh, bạn cũng có thể phân chia nhỏ hơn mục đích sử dụng tiền, tức là có thể phân tầng hợp lý trong quản lý quỹ để đạt được sự cô lập quỹ hiệu quả.

Nếu Bybit đặt 1,5 tỷ đô la ETH vào các ví có tần suất sử dụng khác nhau, ít nhất hacker sẽ không thể "thắng trong một lần" và mất nhiều tiền như vậy. Thậm chí nó có thể sống sót vì hacker có thể nhắm vào những con cá lớn khác.

Bảo mật ví của tổ chức: kiến trúc quyết định sự tồn tại

Việc xây dựng bảo mật cho quản lý tài sản của tổ chức đòi hỏi phải đầu tư liên tục. Chúng tôi dự đoán rằng xu hướng tương lai của quản lý tài sản kỹ thuật số sẽ là ví nóng sẽ áp dụng quản lý đa chữ ký MPC-TSS, ví ấm sẽ kết hợp các chiến lược kiểm soát rủi ro và đa chữ ký để đạt được các hoạt động tinh vi và ví lạnh sẽ áp dụng các giải pháp cấp tổ chức để đạt được WYSIWYG ngoại tuyến thực sự, liên tục xây dựng hệ thống bảo vệ nhiều lớp để bảo mật tài sản của người dùng và tổ chức.

Giới thiệu về Safeheron

Safeheron là nhà cung cấp giải pháp lưu ký bảo mật tài sản kỹ thuật số dựa trên MPC+TEE. Đây cũng là công ty đầu tiên trên thế giới và duy nhất tại Châu Á cung cấp mã nguồn mở thư viện giao thức chữ ký ngưỡng C++ MPC.

Sự an toàn
Chào mừng tham gia cộng đồng chính thức của Odaily
Nhóm đăng ký
https://t.me/Odaily_News
Nhóm trò chuyện
https://t.me/Odaily_CryptoPunk
Tài khoản chính thức
https://twitter.com/OdailyChina
Nhóm trò chuyện
https://t.me/Odaily_CryptoPunk
Bài viết đề xuất
Báo cáo vĩ mô thị trường tiền điện tử: Chính phủ Hoa Kỳ đóng cửa dẫn đến sự thu hẹp thanh khoản, thị trường tiền điện tử mở ra sự chuyển mình về mặt cấu trúc
Khi trận chung kết Liên Minh Huyền Thoại mùa 15 đang đến gần, người chơi đang đặt cược vào đội nào trên thị trường dự đoán?
Hướng dẫn đầy đủ về Điểm MSX Mùa 1: Cách đạt được "Alpha kép" thông qua Giao dịch chứng khoán Hoa Kỳ của RWA
Tóm tắt AI
Trở về đầu trang
Việc xây dựng tính bảo mật của quản lý tài sản tổ chức đòi hỏi phải đầu tư liên tục.
Thư viện tác giả
星球君的朋友们
$PING tăng gấp 8 lần chỉ trong một ngày. Liệu câu chuyện về x402 có lặp lại "cơn sốt chữ khắc"?
Psy Protocol chính thức ra mắt mạng thử nghiệm công khai, kết hợp quy mô và tốc độ cấp độ Internet với bảo mật cấp độ Bitcoin
Phân tích độc quyền | Giải mã chiến lược nền tảng đằng sau khoản lợi ích 100 triệu đô la của LBank
Bảng xếp hạng bài viết nóng
Daily
Weekly
Nếu tình trạng này tiếp diễn, sẽ không còn ai giao dịch tiền điện tử nữa.
Nếu tình trạng này tiếp diễn, sẽ không còn ai giao dịch tiền điện tử nữa.
Tại sao chúng ta vẫn cần Bitcoin sau 17 năm?
Sách trắng Bitcoin kỷ niệm 17 năm: Nửa biển, nửa lửa
Tháo rời toàn bộ: X402 muốn khắc phục "khoảng cách thanh toán" trên internet, nhưng lại rơi vào cái bẫy cũ.
Gate Research: BTC phục hồi và ổn định từ mức thấp, chủ đề về vốn hóa vừa và nhỏ trở nên sôi động, các lĩnh vực riêng tư và AI trở thành trọng tâm đầu tư.
Tải ứng dụng Odaily Nhật Báo Hành Tinh
Hãy để một số người hiểu Web3.0 trước
IOS
Android