Vụ tấn công Poloniex, Khai thác lỗ hổng Create2 và Bảo vệ tài sản kỹ thuật số
TÓM TẮT
- Vào ngày 10 tháng 11, Poloniex trở thành nạn nhân của vụ tấn công 126 triệu USD. Justin Sun trấn an người dùng về khả năng tài chính của sàn giao dịch có thể bù đắp các khoản tiền đã bị đánh cắp. Hoạt động nạp và rút tiền đã được mở lại vào ngày 15 tháng 11.
- Create2, một mã Ethereum hợp pháp, đã bị hacker khai thác lỗ hổng để vượt qua các cảnh báo bảo mật, khiến hàng triệu USD từ người dùng bị đánh cắp.
- Khi các mối đe dọa tương tự ngày càng nhiều trong thế giới tiền điện tử, người dùng cần thực hiện các biện pháp thiết thực để bảo vệ tài sản kỹ thuật số của mình.
Poloniex trở thành nạn nhân của vụ tấn công 126 triệu USD vào ngày 10 tháng 11
Thế giới tiền điện tử đã bị rung chuyển bởi một vi phạm nghiêm trọng trên sàn giao dịch Poloniex của Justin Sun, dẫn đến việc truy cập trái phép và 126 triệu USD đã bị rút từ ví nóng của sàn. Sự cố này làm dấy lên mối lo ngại về tính bảo mật chung của tài sản kỹ thuật số.
Điều gì đã xảy ra trong vụ tấn công Poloniex?
Cuộc tấn công bắt đầu lúc 17:30 (Giờ VN) trên nhiều blockchain, bao gồm Ethereum, TRON và BTC. Phương pháp của những kẻ tấn công cho thấy họ hiểu biết sâu sắc về hệ sinh thái blockchain, có thể khai thác các lỗ hổng trên mỗi nền tảng.
Các công ty bảo mật blockchain có uy tín, Cyvers và PeckShield, đưa ra cảnh báo đầu tiên về vụ việc trên X (trước đây là Twitter) vào khoảng 17:55 ngày 10 tháng 11 (Giờ VN). Khoảng nửa giờ sau khi các giao dịch trái phép bắt đầu, trước tình hình leo thang, Poloniex đã thông báo cho người dùng rằng ví đã bị “vô hiệu hoá để bảo trì". Động thái này nhằm giải thiểu thêm thiệt hại và giúp sàn giao dịch có thời gian để điều tra kỹ lưỡng về hoạt động vi phạm này.
Justin Sun, một nhà đầu tư của Poloniex, đã thừa nhận về tình trạng này trong một tweet, làm tăng mức độ nghiêm trọng của tình hình.
Hậu quả của vụ tấn công Poloniex
Sau cuộc tấn công, Poloniex vẫn giữ vững cam kết của mình đối với người dùng. Sàn giao dịch đã hành động quyết liệt bằng việc khởi xướng chương trình whitehat bounty, tương tác với cộng đồng tiền điện tử và hợp tác với các công ty kiểm toán bảo mật để đánh giá và tăng cường các biện pháp bảo mật. Trước thách thức này, Poloniex đã chủ động đưa ra một khoản whitehat bounty 5%, khuyến khích những kẻ tấn công hoàn trả lại tiền. Ngoài ra, on-chain intel market của Arkham đã treo thưởng 4000 USD cho thông tin truy dấu được hacker. Những nỗ lực chung này đã thể hiện sự kiên cường và cam kết của cộng đồng trong việc giảm thiểu tác động của vụ vi phạm.
Justin Sun cũng trấn an người dùng trên X, nhấn mạnh rằng tình hình tài chính của Poloniex có thể bù đắp cho số tiền bị mất, mang lại tâm thế ổn định trong khủng hoảng.
Hậu quả của vụ hack không chỉ nằm ở việc mất mát tài sản, mà còn tác động đến giá của token trên thị trường. Đáng chú ý, những kẻ tấn công Poloniex đã đầu tư chiến lược 20 triệu USD vào token TRON (TRX), khiến giá token tăng vọt đáng kể. Các hoạt động tài chính phức tạp này đã làm nổi bật mối tương quan của thế giới tiền điện tử.
Poloniex mở lại dịch vụ nạp và rút tiền vào ngày 15 tháng 11
Poloniex thông báo khôi phục dịch vụ nạp và rút tiền vào ngày 15 tháng 11 năm 2023. Nền tảng báo cáo rằng các nỗ lực khôi phục phần lớn đã hoàn thành và nền tảng đã hoạt động trơn tru trở lại. Để tăng cường bảo mật tài sản, Poloniex đã thuê một công ty kiểm toán bảo mật hàng đầu (không tiết lộ danh tính công ty), và quá trình đánh giá đang tiếp tục diễn ra, dự kiến mất vài ngày nữa.
Khai thác lỗ hổng Create2 trên Ethereum: Mã đằng sau các vụ trộm tiền điện tử
Ngoài các vụ tấn công thường liên quan đến sàn giao dịch, những người đam mê tiền điện tử gần đây phải đối mặt với một mối đe dọa mới. Một đoạn mã có tên Create2, ban đầu được thiết kế cho các mục đích hợp pháp trong mạng Ethereum, đã bị hacker lợi dụng để thực hiện một loạt cuộc tấn công tinh vi, làm lộ ra các lỗ hổng không chỉ ở các nền tảng riêng lẻ.
Giới thiệu về Create2 và mục đích hợp pháp của Create2 trong mạng Ethereum
Ban đầu, Create2 được thiết kế với một mục đích hợp pháp: dự đoán địa chỉ của một hợp đồng trước khi triển khai trên mạng Ethereum. Tính năng này phục vụ nhiều chức năng mang tính xây dựng khác nhau, hỗ trợ các nền tảng như Uniswap trong việc quản lý và triển khai hợp đồng hiệu quả. Tuy nhiên, khi rơi vào tay kẻ xấu, đoạn mã tưởng chừng như vô hại này lại trở thành vũ khí được những thủ phạm lựa chọn.
Hacker lợi dụng Create2 để vượt qua cảnh báo bảo mật
Các hacker rất thành thạo trong hệ sinh thái Ethereum đã khai thác lỗ hổng Create2 để có thể vượt qua các cảnh báo bảo mật. Những kẻ này đã tạo ra các địa chỉ ví tạm thời để nhận tiền sau khi người dùng nhấp vào một chữ ký dường như vô hại nhưng lại độc hại. Người dùng, thường được nhắc "phê duyệt" chữ ký trong quá trình tương tác với hợp đồng thông minh hoặc chuyển tiền, đã vô tình cấp quyền truy cập trái phép vào ví của họ. Việc khai thác lỗ hổng Create2 cho phép hacker triển khai các chữ ký độc hại mà không kích hoạt các cảnh báo bảo mật thường cảnh báo người dùng. Sau khi có quyền truy cập vào khóa riêng tư của ví của người dùng, thủ phạm có thể thực hiện các giao dịch mà không bị phát hiện. Phương pháp này đã cho phép họ hút một lượng tiền điện tử đáng kể trong một thời gian dài.
ScamSniffer và SlowMist đã tiến hành nghiên cứu chuyên sâu về mức độ nghiêm trọng của vụ trộm do khai thác lỗ hổng Create2. Họ phát hiện một con số đáng kinh ngạc: hơn 60 triệu USD đã bị đánh cắp chỉ trong 6 tháng qua. Đã có hơn 99,000 người trở thành nạn nhân, sa vào bẫy do những hacker khai thác lỗ hổng Create2 tạo ra, cho thấy phạm vi và mức độ nghiêm trọng của vấn đề.
Tác động đến cộng đồng tiền điện tử và ý nghĩa rộng hơn của việc khai thác lỗ hổng mã
Hậu quả của việc khai thác lỗ hổng Create2 không chỉ dừng lại ở từng nạn nhân và nền tảng riêng lẻ. Cộng đồng tiền điện tử rộng lớn hơn hiện đang nhận ra rằng ngay cả các mã được thiết lập tốt trong mạng blockchain cũng có thể được sử dụng lại cho mục đích xấu. Sự cố này là một lời cảnh tỉnh cho cả những nhà phát triển và người dùng, khiến mọi người phải đánh giá lại và củng cố các biện pháp bảo mật trong thế giới kỹ thuật số phát triển không ngừng.
Tiết lộ về hoạt động khai thác lỗ hổng của Create2 nhấn mạnh mức độ cần thiết trong việc thường xuyên cảnh giác và có các biện pháp bảo mật chủ động trong không gian tiền điện tử. Khi cộng đồng cùng chịu hậu quả của các cuộc tấn công dựa trên mã này, những tác động còn vượt xa cả tổn thất tài chính, thúc đẩy việc đánh giá lại cơ sở hạ tầng bảo mật nền tảng hỗ trợ các mạng blockchain.
Các biện pháp thiết thực để bảo vệ tài sản kỹ thuật số của bạn trước các mối đe dọa về tiền điện tử
Khi thế giới tiền điện tử trở nên phức tạp hơn, các sự cố gần đây như vụ hack Poloniex và việc khai thác mã Create2 nhấn mạnh nhu cầu thiết yếu của người dùng là phải áp dụng các biện pháp bảo mật mạnh mẽ. Việc bảo vệ tài sản kỹ thuật số của bạn trong môi trường dễ bị tấn công này đòi hỏi phương thức tiếp cận đa chiều, kết hợp giữa nhận thức, công nghệ và tham gia một cách chủ động.
1. Hiểu và giám sát phê duyệt chữ ký
Một bước cơ bản trong việc bảo vệ tài sản kỹ thuật số của bản thân là hiểu và giám sát chặt chẽ hoạt động phê duyệt chữ ký. Hãy thận trọng khi tương tác với hợp đồng thông minh hoặc thực hiện giao dịch, đặc biệt khi được nhắc "phê duyệt" chữ ký. Thường xuyên xem xét và xác minh chi tiết giao dịch để đảm bảo chúng phù hợp với ý định của bản thân. Việc nâng cao nhận thức có thể giúp tạo nên một tuyến phòng vệ ban đầu chống lại các hoạt động truy cập trái phép vài tài sản của bạn.
2. Sử dụng ví phần cứng để tăng cường bảo mật
Hãy cân nhắc đến việc nâng cấp cơ sở hạ tầng bảo mật của bản thân bằng cách chọn các ví phần cứng. Không giống như ví online hay các phải pháp phần mềm, ví phần cứng lưu trữ khoá riêng tư của bạn offline, mang lại thêm một lớp bảo vệ trước các rủi ro bị tấn công. Các thiết bị vật lý này ít bị ảnh hưởng bởi các mối đe dọa mạng từ xa, khiến chúng trở thành lựa chọn an toàn để lưu trữ số lượng lớn tiền điện tử.
3. Hướng dẫn người dùng về các vụ hack và lừa đảo tiềm ẩn
Nâng cấp kiến thức để nhận biết và ngăn chặn các vụ hack và lừa đảo tiềm ẩn. Hãy thận trọng với các email, tin nhắn hoặc hội thoại mạng xã hội yêu cầu các thông tin nhạy cảm hay khuyến khích hành động ngay lập tức. Những bên hợp phép sẽ không bao giờ hỏi về khoá riêng tư hoặc thông tin cá nhân của bạn. Bằng cách luôn cập nhật thông tin, bạn có thể tự tin khám phá không gian tiền điện tử và bảo vệ bản thân khỏi các âm mưu lừa đảo.
Nếu bạn là người mới tham gia thị trường, đừng quá lo lắng. Bitget cung cấp một loạt các bài viết hữu ích để bạn nhanh chóng làm quen với các yếu tố cần thiết và luôn cảnh giác trước các trò gian lận tiềm ẩn.
Hướng dẫn bảo mật nâng cao trên Bitget
Lừa đảo và gian lận tiền điện tử phổ biến
Lớp bảo vệ toàn diện của Bitget: Hướng dẫn xử lý lừa đảo
4. Thường xuyên cập nhật và bảo vệ các lỗ hổng phần mềm
Tích cực quản lý phần mềm đang sử dụng để duy trì bảo mật cho tài sản kỹ thuật số của bạn. Thường xuyên cập nhật ví, nền tảng giao dịch và các ứng dụng liên quan đến tiền điện tử để chắc chắn hưởng lợi từ các bản vá cập nhật mới nhất. Phần mềm lỗi thời có thể chứa các lỗ hổng mà hacker có thể khai thác, khiến cho việc chủ động cập nhật trở thành việc tối quan trọng trong quá trình duy trình mức độ bảo mật tối ưu.
5. Chỉ thực hiện giao dịch với các sàn giao dịch đáng tin cậy
Hãy thận trọng khi chọn sàn giao dịch tiền điện tử cho các giao dịch của bạn. Chọn các nền tảng ưu tiên tính bảo mật và minh bạch của người dùng. Ví dụ: Bitget vượt trội hơn các tiêu chuẩn ngành bằng cách cung cấp bằng chứng dự trữ mạnh mẽ với tỷ lệ 199%, có thể kiểm chứng thông qua bằng chứng Merkle Tree. Ngoài ra, nền tảng này còn cung cấp Quỹ Bảo Vệ trị giá 300 triệu USD, hoạt động như một lá chắn vững chắc trước những tổn thất tài sản tiềm ẩn cho người dùng. Chọn các sàn giao dịch có hồ sơ theo dõi đã được chứng minh, các biện pháp bảo mật minh bạch và các sáng kiến chủ động để bảo vệ tiền của bạn.
6. Các phương pháp chung tốt nhất cho người dùng trong thị trường tiền điện tử
Khi hệ sinh thái tiền điện tử phát triển, người dùng phải tuân thủ các phương pháp chung tốt nhất. Tạo mật khẩu mạnh, duy nhất cho tài khoản của bạn, bật xác thực hai yếu tố bất cứ khi nào có thể và cân nhắc sử dụng các thiết bị chuyên dụng cho các hoạt động tiền điện tử của mình. Thường xuyên xem xét báo cáo tài chính và hoạt động tài khoản của bạn để kịp thời xác định và giải quyết mọi giao dịch đáng ngờ. Theo dõi các website và kênh chính thức của các dự án và sàn giao dịch mà bạn sử dụng để biết những tin tức và cập nhật mới nhất của họ. Bằng cách kết hợp những thực tiễn này vào thói quen của mình, bạn góp phần vào khả năng phục hồi tổng thể của cộng đồng tiền điện tử trước các mối đe dọa dần xuất hiện.
Tuyên bố miễn trừ trách nhiệm: Các thông tin trong bài viết này chỉ nhằm mục đích tham khảo. Bài viết này không cấu thành sự đảm bảo cho bất kỳ sản phẩm và dịch vụ nào được thảo luận hoặc lời khuyên về đầu tư, tài chính hoặc giao dịch. Bạn cần tham khảo các chuyên gia trước khi đưa ra bất kỳ quyết định tài chính nào.