Bài học từ cuộc tấn công vào người tí hon, DEX lớn nhất trên Algorand

Thơi gian đọc: 5 phút

Các vụ hack tiền điện tử tiếp tục diễn ra vào năm 2022 khi tin tặc tấn công các lỗ hổng trong các mạng khác nhau, làm tăng thêm hàng triệu tài sản bị đánh cắp. Cộng đồng Algorand đã bắt đầu một năm với một ghi chú chua chát sau một cuộc tấn công vào sàn giao dịch phi tập trung của họ dẫn đến việc mất tài sản trị giá khoảng 3 triệu đô la.

Theo báo cáo, trên 1 Tháng một, 2022, người dùng trái phép bị tấn công Người tí hon, một nền tảng tài chính phi tập trung được xây dựng trên Algorand. Sự kiện được thực hiện trong bốn cuộc tấn công riêng biệt, cho phép tin tặc đánh cắp khoảng $ 3 triệu từ các nhóm trong giao thức.

Một báo cáo của Tinyman cho thấy bốn tài khoản đã bị xâm phạm, điều này ảnh hưởng đến khoảng 250 người dùng có tài khoản trong goBTC và goETH. Bốn mươi ba nhóm bị ảnh hưởng bởi 360 hoạt động độc hại được thực hiện bởi 13 địa chỉ duy nhất.

Đáng chú ý, những kẻ tấn công đã kích hoạt địa chỉ ví của họ, cho phép họ gửi một quỹ hạt giống cho cuộc tấn công. Ngoài ra, những cá nhân này được cho là đã vi phạm các lỗ hổng chưa biết trước đây trên hợp đồng thông minh của Tinyman. Điều này cho phép họ nhận được hai trong số các mã thông báo giống nhau, sau đó họ tiến hành hoán đổi một số tài sản và mã thông báo nhóm đúc.

Các cuộc tấn công được báo cáo ủng hộ những người dùng trái phép vì goBTC tài sản có giá trị hơn ALGO mã thông báo họ đã đổi để nhận được nhiều tiền hơn. Ngoài ra, những kẻ tấn công cũng hoán đổi pool với stablecoin trước khi rút tài sản sang các ví khác và sàn giao dịch tập trung.

Là một giao thức không tin cậy và không cần sự cho phép, Tinyman đặc biệt sử dụng các hợp đồng bất biến, khiến sàn giao dịch không thể sửa chữa các lỗ hổng và ngăn chặn cuộc tấn công một cách nhanh chóng. Tuy nhiên, do đó, họ chỉ có thể khuyên người dùng không sử dụng nền tảng này khi họ đang khắc phục sự cố.

Khi nhóm Tinyman tiếp tục điều tra tỷ lệ mắc bệnh, một số lĩnh vực chính cần được giải quyết. Bao gồm các:

Tầm quan trọng của kiểm toán

Với số lượng ngày càng tăng các trường hợp gian lận và các cuộc tấn công liên quan đến tiền điện tử trong DeFi và thị trường tiền điện tử tổng thể, nhu cầu về hệ thống kiểm tra và trách nhiệm giải trình là không thể đủ. 

Năm ngoái vào tháng XNUMX, Thuộc về bầu dục, một công ty quản lý rủi ro tiền điện tử toàn cầu, đã tiến hành nghiên cứu cho thấy rằng 10.5 tỷ USD giá trị tài sản đã bị mất khỏi DeFi vào năm 2021 do các vụ hack và các cuộc tấn công khác vào mạng và giao thức. 

Hơn nữa, các vụ hack liên quan đến DeFi chiếm 76% của tất cả các vụ hack lớn vào năm 2021. Theo báo cáo, bản chất không đáng tin cậy của các ứng dụng phi tập trung (DApps) trong DeFi vừa là một may mắn vừa là một lời nguyền. Không đáng tin cậy sẽ loại bỏ mọi quyền kiểm soát của bên thứ ba đối với tiền của người dùng. Tuy nhiên, người dùng buộc phải tin tưởng rằng những người tạo ra các giao thức được đề cập đã không mắc bất kỳ lỗi nào trong mã hóa hoặc thiết kế có thể cho phép tấn công vào hệ thống.

Kiểm toán cho phép các thực thể đáng tin cậy kiểm tra lỗ hổng bảo mật bằng mã và thiết kế cấu trúc của dự án, tăng cường bảo mật tổng thể. Việc kiểm tra cần được thực hiện liên tục để theo kịp các kỹ thuật tinh vi và mới mà tin tặc sử dụng để tấn công hệ thống. Mặc dù Tinyman được cho là đã trải qua một cuộc kiểm tra, nhưng một cuộc kiểm tra kiểm toán gần đây có thể đã giúp sửa các lỗi hoặc lỗ hổng bảo mật và có thể ngăn chặn tổn thất.

Phải đọc: Big Four làm việc hướng tới kiểm toán chuỗi khối

Tốt nhất, kiểm tra hợp đồng thông minh nên được thực hiện trước khi hợp đồng được triển khai. Các cuộc kiểm toán này tìm cách kiểm tra các lỗi phổ biến như sự cố ngăn xếp, lỗi nhập lại và các biến chứng có thể xảy ra khác. Quá trình kiểm tra cũng kiểm tra các lỗi đã biết và lỗi bảo mật của nền tảng máy chủ lưu trữ đồng thời cho phép các nhà phát triển kiểm tra hợp đồng thông minh.

Ngoài ra, kiểm toán giúp các dự án liên tục cải thiện các hợp đồng thông minh của họ, đảm bảo chúng luôn được cập nhật. Ví dụ, sau cuộc tấn công, Tinyman buộc phải cập nhật các hợp đồng thông minh của họ để ngăn chặn các cuộc tấn công như vậy trong tương lai.

Bảo hiểm DeFi

Đáng chú ý, trước khi thực hiện bất kỳ thỏa thuận nào trong thị trường DeFi, người dùng cần hiểu đầy đủ các rủi ro liên quan đến thị trường. Ngoài rủi ro hợp đồng thông minh, người dùng cũng có thể đối mặt với rủi ro tiên tri và rủi ro quản trị. 

Điều đó nói rằng, việc tiến hành nghiên cứu thích hợp về các thị trường và dự án ở đó cho phép người dùng đưa ra quyết định sáng suốt. Một trong những quyết định như vậy là nhận được sự bảo vệ đối với các cuộc tấn công không lường trước được thông qua Bảo hiểm DeFi.

Bảo hiểm DeFi là quá trình tự bảo hiểm cho bản thân hoặc mua bảo hiểm trước những tổn thất mà các sự kiện trong ngành DeFi có thể phải gánh chịu. Số lượng tổn thất ngày càng tăng trong DeFi đã tạo ra nhu cầu đối với các sản phẩm bảo hiểm DeFi khi các dự án mới liên tục tăng lên hàng ngày. 

Thông thường, nhiều sàn giao dịch bị ảnh hưởng cuối cùng sẽ hoàn lại tiền cho nạn nhân của họ sau vụ tấn công. Tuy nhiên, một số dự án bị tấn công không thể hoàn tiền cho người dùng của họ.

Lưu ý, nhóm Tinyman đã ra mắt để đảm bảo với những người dùng bị ảnh hưởng rằng họ sẽ được hoàn trả cho những tổn thất của mình.

Sức mạnh trong cộng đồng

Đáng chú ý, sau khi cuộc tấn công đầu tiên được công khai, nhiều hacker đã nhân cơ hội sao chép bản hack. Họ đã sử dụng các lỗ hổng tương tự để thực hiện các cuộc tấn công nhỏ hơn (cuộc tấn công thứ hai đến thứ tư) trên sàn giao dịch. Tuy nhiên, Tinyman đã tiết kiệm được một phần lớn tài sản của họ với sự giúp đỡ của cộng đồng.

Trong các cuộc tấn công này và các cuộc tấn công tương tự, các cộng đồng đã giúp lan truyền tin tức nhanh hơn, cho phép người dùng thực hiện các hành động bảo mật cần thiết để giúp giữ an toàn cho tài sản của họ. Ngoài ra, ở một mức độ nào đó, các cộng đồng đã giúp xây dựng giao tiếp và cộng tác tốt hơn giữa các nhà phát triển và người dùng vì sự phát triển của toàn bộ hệ sinh thái.

Trong những ngày gần đây, các cộng đồng dựa trên tiền điện tử đã giúp nâng cao các cuộc cách mạng dẫn đến sự phát triển của các dự án trong ngành.

Kết thúc

Mặc dù blockchain đã đạt được những bước đột phá to lớn, đặc biệt là trong lĩnh vực tài chính, nhưng công nghệ này vẫn chưa hoàn hảo. Tuy nhiên, chủ sở hữu dự án, nhà phát triển và người dùng cũng có thể thực hiện các biện pháp thích hợp để đảm bảo an ninh hơn trong các ứng dụng dựa trên blockchain.

Bằng cách thực hiện các biện pháp trách nhiệm thông qua kiểm toán và các biện pháp liên quan khác, các dự án có thể loại bỏ bất kỳ lỗi hoặc lỗ hổng bảo mật nào có thể được sử dụng để chống lại ứng dụng. Ngoài ra, thực hiện các biện pháp phòng ngừa khác như bảo hiểm DeFi và giữ một cộng đồng chặt chẽ là điều quan trọng trong việc giảm thiểu các sự kiện như vậy. 

Liên hệ với QuillAudits

QuillAudits là một nền tảng kiểm tra hợp đồng thông minh an toàn được thiết kế bởi QuillHash
Công nghệ.
Đây là một nền tảng kiểm toán phân tích và xác minh chặt chẽ các hợp đồng thông minh để kiểm tra các lỗ hổng bảo mật thông qua việc xem xét thủ công hiệu quả với các công cụ phân tích tĩnh và động, máy phân tích khí cũng như máy đồng hóa. Hơn nữa, quá trình kiểm toán cũng bao gồm kiểm tra đơn vị rộng rãi cũng như phân tích cấu trúc.
Chúng tôi tiến hành cả kiểm tra hợp đồng thông minh và kiểm tra thâm nhập để tìm ra tiềm năng
các lỗ hổng bảo mật có thể gây hại cho tính toàn vẹn của nền tảng.

Nếu bạn cần bất kỳ hỗ trợ nào trong việc kiểm tra hợp đồng thông minh, vui lòng liên hệ với các chuyên gia của chúng tôi ở đây!

Để cập nhật công việc của chúng tôi, Hãy tham gia Cộng đồng của chúng tôi: -

Twitter | LinkedIn | Facebook | Telegram

Các bài viết Bài học từ cuộc tấn công vào người tí hon, DEX lớn nhất trên Algorand xuất hiện đầu tiên trên Blog.quillhash.

Nguồn: https://blog.quillhash.com/2022/01/lessons-from-the-attack-on-tinyman-largest-dex-on-algorand