banner
banner
Background VIC News
Thứ hai, 24/10/2022, 17:51 (GMT + 7)
Thứ hai, 24/10/2022, 17:51 (GMT + 7)

Các vụ hack cầu nối xuyên chuỗi đình đám nhất và mánh khóe của kẻ tấn công

Cross-chain bridge (Cầu nối xuyên chuỗi) là một công nghệ cho phép giao dịch giữa hai mạng blockchain riêng biệt, chẳng hạn như chuyển và hoán đổi tài sản, thực hiện các chức năng trong hợp đồng từ các blockchain khác, v.v. Nói cách khác, cầu nối cho phép người dùng chuyển nội dung từ mạng này sang mạng khác. Ví dụ: nếu bạn có Bitcoin và muốn tiêu nó như Ethereum, bạn có thể làm như vậy thông qua cầu nối.
Mục lục bài viết
  1. Top Bridge Hacks - 2022:
  2. Cầu nối bị tấn công như thế nào?
    1. Bằng chứng giao dịch giả mạo
    2. Lỗi xác minh tin nhắn
    3. Thiếu kiểm soát truy cập hợp đồng chéo trong các cầu nối blockchain
    4. Tiếp quản validator
    5. Rò rỉ khóa cá nhân của quản trị viên

 

Chắc chắn sẽ có nhiều cơ hội hơn cho người dùng sử dụng cầu nối khi số lượng các blockchains khác nhau ngày càng tăng. Tuy nhiên, nếu không quen với đặc điểm của từng loại cầu nối, bạn có thể gặp phải những rủi ro bất ngờ, vì vậy hãy thận trọng khi sử dụng chúng.

Với tất cả các vụ hack lớn xảy ra thường xuyên và trong một khoảng thời gian ngắn như vậy, rõ ràng là rất cần bảo mật. Tôi sẽ điểm qua các cuộc tấn công cầu nối phổ biến nhất.

Top Bridge Hacks - 2022:

  1. BSC Bridge: 568 triệu USD: 

Vào ngày 7/10/2022, một vụ hack đã ảnh hưởng đến cầu nối chuỗi chéo gốc có tên là “BSC Token Hub”. Lỗi nằm trong proof verifier (trình xác minh bằng chứng) của cầu nối. Tổng cộng 2 triệu BNB đã bị rút và Binance đã tạm dừng BSC Network để ngăn chặn thiệt hại thêm. Các khoản tiền bị rút từ BSC được ước tính từ 100 triệu USD - 110 triệu USD. 

  1. Cuộc tấn công vào Nomad: 200 triệu USD

Vào tháng 8, tin tặc đã khai thác Nomad để đánh cắp khoảng 200 triệu USD. Nguyên nhân chính của cuộc tấn công là do hợp đồng thông minh của Nomad không xác thực đúng đầu vào của giao dịch. 

  1. Harmony Bridge: 100 triệu USD

Vào tháng 6/2022, cầu Harmony Horizon đã bị khai thác thông qua việc đánh cắp hai khóa cá nhân. Cuộc tấn công đã dẫn đến việc đánh cắp khoảng 100 triệu USD nhiều loại tiền điện tử khác nhau, bao gồm Wrapped Ethereum (WETH), AAVE, SUSHI, DAI, Tether (USDT) và USD Coin (USDC). Sau đó, kẻ tấn công đã sử dụng Tornado Cash để tẩu tán các mã thông báo bị đánh cắp. 

  1. Ronin Bridge: 600 triệu USD

Vào tháng 3/2022, một vụ hack lớn đã được thực hiện tại Ronin Network, một sidechain dựa trên Ethereum cho trò chơi tiền điện tử nổi tiếng Axie Infinity. Những kẻ tấn công đã đánh cắp khoảng 173.600 ETH và 25,5 triệu USDC với tổng giá trị khoảng 624 triệu USD. Kẻ tấn công bị cáo buộc đã hack khóa cá nhân để ngụy tạo việc rút tiền giả từ hợp đồng cầu Ronin trong hai giao dịch. 

  1. Poly Network: 600 triệu USD

Vào ngày 10/8 /2021, Poly Network bị tấn công gây thiệt hại hơn 600 triệu USD. Vụ hack đã xảy ra trên nhiều blockchain bao gồm Ethereum, Binance Smart Chain và Polygon. Đây là vụ hack tiền điện tử lớn nhất từ ​​trước đến nay.

  1. Wormhole Bridge Hack: 320 triệu USD

Vào ngày 2/2/2022, Wormhole Bridge đã bị hack với số tiền 120.000 wETH trị giá 320 triệu USD. Tin tặc đã khai thác lỗ hổng trong hợp đồng thông minh và tạo ra các mã thông báo mới. Sau vụ hack, mạng The Wormhole đã bị gỡ xuống để vá lỗ hổng. 

Cầu nối bị tấn công như thế nào?

Bằng chứng giao dịch giả mạo

Thông thường, một cầu nối xuyên chuỗi sẽ theo dõi các giao dịch gửi tiền trên một blockchain từ đầu blockchain này sang blockchain kia. Nếu kẻ tấn công có thể tạo bằng chứng gửi tiền mà không cần gửi tiền thực hoặc gửi tiền bằng mã thông báo vô giá trị, thì chúng có thể rút giá trị từ cầu nối ở đầu kia.

Lỗi xác minh tin nhắn

Các cầu nối chuỗi chéo thực hiện xác nhận tiền gửi hoặc rút tiền trước khi thực sự thực hiện bất kỳ giao dịch chuyển tiền nào. Đã có nhiều trường hợp trong quá khứ, việc thiếu xác thực chữ ký thích hợp dẫn đến các vụ hack hàng triệu USD. Gần đây chuỗi BSC đã bị tấn công vì một lỗi tương tự và tổng cộng 576 triệu đã bị tin tặc rút.

Thiếu kiểm soát truy cập hợp đồng chéo trong các cầu nối blockchain

Điều quan trọng là phải có xác nhận kiểm soát truy cập trên các chức năng quan trọng thực hiện các hành động như chuyển đổi chủ sở hữu, chuyển tiền và mã thông báo, tạm dừng và hủy tạm dừng hợp đồng, v.v.

Tiếp quản validator

Một số cầu nối xuyên chuỗi có một tập hợp các validator để bỏ phiếu có chấp thuận một chuyển nhượng cụ thể hay không. Nếu kẻ tấn công kiểm soát hầu hết các validator này, chúng có thể phê duyệt chuyển tiền giả mạo và độc hại. Đây là những gì đã xảy ra với những validator trong vụ hack Ronin Network, nơi kẻ tấn công đã chiếm 5 trong số 9 validator của cầu nối.

Rò rỉ khóa cá nhân của quản trị viên

Nếu khóa quản trị của hợp đồng thông minh bị rò rỉ, tất cả tiền và hoạt động của hợp đồng thông minh sẽ gặp rủi ro lớn. Gần đây, cầu Harmony đã bị khai thác thông qua việc trộm cắp hai chìa khóa cá nhân. Cuộc tấn công đã dẫn đến một vụ đánh cắp khoảng 100 triệu USD tiền điện tử khác nhau.

Kết luận 

Một khi thứ gì đó nằm trên blockchain, nó sẽ tồn tại vĩnh viễn và bất kỳ ai cũng có thể truy cập được. Vì vậy, nếu có một lỗ hổng trong cầu nối, thì tài sản có thể bị rút cạn.

Vì thế khi sử dụng các cầu nối Blockchain hãy đảm bảo rằng bạn đã nghiên cứu kỹ về nguyên lý hoạt động của nó cũng như các hình thức tấn công có thể diễn ra để có các biện pháp phòng ngừa. Chúc các bạn luôn an toàn với các giao dịch của mình!

VIC Crypto tổng hợp

Bài viết liên quan:

enlightenedTương lai của DeFi là trên Tiktok

enlightenedCách bảo vệ tăng cường cho tài sản tiền điện tử khỏi các cuộc tấn công 

enlightenedLàm thế nào để kiếm thu nhập thụ động trong thị trường gấu tiền điện tử?



Mục Lục Bài Viết
  1. Top Bridge Hacks - 2022:
  2. Cầu nối bị tấn công như thế nào?
    1. Bằng chứng giao dịch giả mạo
    2. Lỗi xác minh tin nhắn
    3. Thiếu kiểm soát truy cập hợp đồng chéo trong các cầu nối blockchain
    4. Tiếp quản validator
    5. Rò rỉ khóa cá nhân của quản trị viên

Injective (INJ) triển khai Rollup inEVM sử dụng công nghệ của cả Celestia, Pyth và LayerZero,…

Injective hôm nay vừa giới thiệu Injective EVM (inEVM) trên mạng chính, bản Roll-up dành riêng cho Ethereum đầu tiên được thiết kế....
2 tuần trước Kiến thức nâng cao

Co-Founder của Manta cho rằng chỉ một số ít Ethereum Layer 2 có thể tồn tại trong 5 năm tới

Kenny Li, co-founder Manta Network lập luận rằng chỉ những blockchain "modular" mới có cơ hội tồn tại, nhưng các nhà phê bình....
3 tuần trước Kiến thức nâng cao

Tiêu chuẩn ERC-3643 xuất hiện và định hình tương lai của việc mã hóa tài sản như thế nào?

ERC-3643 là bộ hợp đồng thông minh mã nguồn mở cải tiến từ ERC-20 với tiềm năng nền tảng quan trọng cho xu....
3 tuần trước Kiến thức nâng cao

So sánh Bitcoin Spot ETF và Bitcoin Futures ETF

Bitcoin ETF, hay Quỹ giao dịch trao đổi Bitcoin, cho phép các nhà đầu tư tiếp cận với biến động giá của Bitcoin....
6 tháng trước Kiến thức nâng cao

ERC 4337 là gì? Trừu tượng hóa tài khoản trên Ethereum sẽ là cánh cổng đến với Web 3?

Ví Web 3 hiện tại chính là chìa khóa giúp người dùng tiếp cận với block-chain. Tuy nhiên, trải nghiệm người dùng đối....
7 tháng trước Kiến thức nâng cao