Lưu ý của biên tập viên: Bài viết này đến từPeckShield（ID：PeckShield）, được in lại bởi Odaily với sự cho phép.

, được in lại bởi Odaily với sự cho phép.

Theo dữ liệu từ nền tảng nhận thức tình huống PeckShield, trong tháng vừa qua, đã có 38 sự cố bảo mật nổi bật trong toàn bộ hệ sinh thái blockchain. Có 21 trường hợp liên quan đến DeFi, 6 trường hợp liên quan đến bảo mật sàn giao dịch, 1 trường hợp liên quan đến tống tiền và 10 trường hợp lừa đảo.

tiêu đề phụ

Ai chịu trách nhiệm trước nhà đầu tư về việc "mỏ đất" DeFi của CEX public chain chạy mất?

Kể từ khi DeFi khơi dậy tâm lý FOMO vào năm 2020, những lợi thế của CEX (sàn giao dịch tập trung) từng đứng đầu chuỗi thức ăn đã dần suy yếu, đặc biệt là sau khi chuyển từ thị trường gia tăng sang thị trường chứng khoán, CEX bắt đầu tìm kiếm cái mới đột phá. Là nền tảng cho sự phát triển của ngành công nghiệp blockchain, chuỗi công khai là một điểm đột phá quan trọng đối với sàn giao dịch, không chỉ có thể kết nối các bố cục sinh thái khác nhau của sàn giao dịch mà còn là điểm gặp gỡ để kết nối với DeFi.

Trong nửa cuối năm 2020, các sàn giao dịch tập trung lớn như Binance, Huobi và OKEx đã đẩy nhanh việc triển khai các chuỗi công khai của riêng họ để hỗ trợ các dự án DeFi nhằm chiếm thị phần thị trường DeFi.

Bắt đầu từ năm 2021, các dự án DeFi trên chuỗi công khai CEX có vẻ như đã ngừng hoạt động. Theo thống kê của PeckShield, đã có ít nhất 4 trường hợp các dự án chạy trốn "khai thác đất" DeFi trên chuỗi công khai CEX vào tháng Hai.

Vào ngày 1 tháng 2, các phương tiện truyền thông đưa tin rằng các dự án “khai thác trái đất” DeFi Popcornswap và Multi Financial trên Chuỗi thông minh Binance đã bỏ chạy, lần lượt mất khoảng 48.000 BNB và 5.000 BNB. Trước đó, các dự án DeFi như Zap Finance, Tin Finance và SharkYield trên Binance Smart Chain lần lượt bùng nổ và tháo chạy.

Vào ngày 8 tháng 2, 5,8 triệu HUST bị nghi ngờ đã bị đánh cắp từ dự án cho vay Filda trên chuỗi công khai HECO của Huobi.

Vào ngày 28 tháng 2, các phương tiện truyền thông đưa tin rằng dự án tokenlink trên chuỗi công khai Huobi HECO bị nghi ngờ chạy trốn và mất vài triệu USDT.

Về vấn đề này, người có liên quan phụ trách CEX đã từng tuyên bố rằng chuỗi công khai do CEX xây dựng cũng giống như chuỗi công khai như Ethereum và không nên chịu trách nhiệm về các dự án có thể gặp sự cố khi xây dựng trên đó.

Các chuyên gia bảo mật của PeckShield cho biết: "Từ góc độ định vị chuỗi công khai do CEX đưa ra, họ cam kết tạo ra một chuỗi công khai, tức là một chuỗi không được phép (Permissionless Blockchain). Lý tưởng nhất là bất kỳ ai cũng có thể tham gia vào dữ liệu blockchain bảo trì.và đọc, dễ triển khai các ứng dụng, hoàn toàn phi tập trung và không bị kiểm soát bởi bất kỳ tổ chức nào.Nhưng điều đáng chú ý là chuỗi công khai do CEX khởi chạy vẫn đang trong giai đoạn phát triển ban đầu và đang trong quá trình xây dựng một hệ sinh thái, có có thể cần một quá trình chuyển đổi 'Tập trung hóa yếu'. Từ góc độ của các nhà đầu tư, vì chuỗi công khai của CEX được CEX triển khai, mặc dù CEX có thể từ chối trách nhiệm pháp lý đối với các dự án trực tuyến, nhưng người dùng có thể coi thương hiệu của họ như một sự chứng thực tín dụng, cải thiện và hoàn thiện Quản trị hệ thống là một vấn đề nhức nhối đối với các CEX.”

tiêu đề phụ

Lừa đảo lan sang lĩnh vực DeFi Các kẽ hở về khả năng kết hợp của DeFi tiếp tục nổi bật

Ngoài các sự cố bảo mật của các dự án DeFi đang diễn ra trên chuỗi công khai CEX, theo thống kê của PeckShield, có tổng cộng 21 sự cố bảo mật DeFi đã xảy ra vào tháng 2. Các sự cố gian lận đã lan sang lĩnh vực DeFi và các lỗ hổng về khả năng kết hợp của DeFi tiếp tục lan rộng được làm nổi bật.

Vào ngày 5 tháng 2, kho tiền Yearn v1 yDAI đã bị tấn công, kho tiền bị mất 11 triệu USD và những kẻ tấn công đã đánh cắp 2,8 triệu USD.

Vào ngày 5 tháng 2, dự án bảo hiểm DeFi ArmorFi đã trả khoản tiền thưởng trị giá 1,5 triệu đô la cho các hacker mũ trắng. Tin tặc được cho là đã phát hiện ra một "lỗ hổng nghiêm trọng" trong giao thức có thể khiến tất cả các quỹ bảo lãnh phát hành của công ty bị cạn kiệt.

Vào ngày 8 tháng 2, giao thức giao dịch phi tập trung Curve tuyên bố rằng họ đã phát hiện ra vấn đề với nhóm quỹ yv2 mới của giao thức tổng hợp Yearn. Để bảo vệ các nhà cung cấp thanh khoản, nhóm quỹ đã bị đóng.

Vào ngày 9 tháng 2, Twitter chính thức của dYdX, một sàn giao dịch phái sinh phi tập trung, tuyên bố rằng họ chưa phát hành tiền xu, cũng như chưa tiến hành bán trước hoặc airdrop. Người dùng cần cảnh giác với các trò lừa đảo liên quan.

Vào ngày 9 tháng 2, BT.Finance, một công cụ tổng hợp doanh thu DeFi thông minh, đã bị hack và mất khoảng 1,5 triệu USD.

Vào ngày 13 tháng 2, các giao thức DeFi Cream.Finance và Alpha Finance đã bị tấn công bởi Flash Loan và mất 37,5 triệu USD.

Vào ngày 15 tháng 2, Primitive Finance, một giao thức tùy chọn trên chuỗi Ethereum, đã tweet rằng Primitive Finance không có mã thông báo giao thức nào và người dùng nên cảnh giác với những trò gian lận liên quan.

Vào ngày 20 tháng 2, DEX Dexter dựa trên Tezos đã phát hiện ra một lỗ hổng trong hợp đồng, cho phép rút tiền mà không được phép và nhóm phát triển Nomadic Labs đã viết lại hợp đồng.

Vào ngày 21 tháng 2, DAO Maker đã tweet để nhắc nhở người dùng cảnh giác với những trò gian lận mạo danh DAO Maker.

Vào ngày 22 tháng 2, một lỗ hổng nghiêm trọng đã được phát hiện trong hợp đồng thông minh của Primitive Finance, một giao thức tùy chọn trên chuỗi Ethereum. Vì hợp đồng không thể được nâng cấp hoặc tạm dừng, quan chức này đã hack bằng hợp đồng thông minh của riêng mình để bảo vệ tiền của người dùng.

Vào ngày 22 tháng 2, giao thức cho vay phi tập trung ForTube đã tiết lộ một lỗ hổng bảo mật hai tuần trước và không có người dùng nào bị tổn thất do vi phạm.

Vào ngày 24 tháng 2, Matter Labs, nhóm phát triển giải pháp mở rộng lớp thứ hai của Ethereum, đã tweet để đặt câu hỏi về tính bảo mật của tiền của người dùng trên sàn giao dịch phi tập trung ZKSwap.

Vào ngày 25 tháng 2, các báo cáo đã xuất hiện rằng có thể có một lỗ hổng bảo mật trong cơ chế phê duyệt được các nhà tạo lập thị trường tự động sử dụng trước khi giao dịch hoặc hoán đổi mã thông báo, một tính năng mà báo cáo cho biết cho phép các bên thứ ba thay mặt người dùng gửi mã thông báo từ tài khoản của họ. Đồng thời, báo cáo cho thấy những kẻ lừa đảo đang sử dụng phương pháp này để lừa đảo LINK thông qua email lừa đảo.

Vào ngày 26 tháng 2, DeFiBox đã theo dõi và phát hiện ra rằng có rủi ro trước khi khai thác trong MFD, nền tảng đầu tư quỹ của Heco, được ra mắt trên chuỗi sinh thái Huobi.Vào ngày 27 tháng 2, nhóm DAI của công cụ tổng hợp thu nhập DeFi Yeld.Finance đã bị tấn công bởi một khoản vay chớp nhoáng và mất 160.000 DAI.Ngày 28 tháng 2,

Công cụ tổng hợp DeFi Furucombo bị tấn công

, với khoản lỗ hơn 14 triệu đô la. Vì Cream Finance đã không thu hồi tất cả các ủy quyền đối với các hợp đồng bên ngoài từ ví một cách kịp thời nên nó đã bị ảnh hưởng bởi lỗ hổng này, dẫn đến thiệt hại khoảng 1,1 triệu đô la.

PeckShield nhận thấy rằng các cuộc tấn công vào các dự án DeFi Furucombo và Primitive Finance xảy ra vào tháng 2 đều liên quan đến mô hình ủy quyền không giới hạn DeFi. quyền giám sát khóa riêng của người dùng. PeckShield nhắc nhở người dùng không ủy quyền quá mức.

Đối với các nhà phát triển giao thức, trên cơ sở cố gắng đổi mới, họ cần nâng cao nhận thức về bảo mật, xác định các vấn đề có thể xảy ra trong tổ hợp, xem xét đầy đủ các khiếm khuyết logic nghiệp vụ tồn tại trong tổ hợp hệ thống khi thực hiện kiểm tra bảo mật, sau đó đặt phòng thủ an ninh lên hàng đầu. Thứ hai, do các dự án DeFi được kết nối chặt chẽ với các tài sản nên chúng rất dễ trở thành mục tiêu tấn công tiềm ẩn, điều này đòi hỏi các nhà phát triển giao thức DeFi phải nâng cao mức độ phòng thủ an ninh, bao gồm kiểm tra bảo mật trước khi dự án trực tuyến, cảnh báo dữ liệu bất thường trong quá trình vận hành dự án, và cảnh báo kịp thời khi khủng hoảng xảy ra, ứng phó khẩn cấp và hơn thế nữa.

tiêu đề phụ

Theo thống kê của PeckShield, có tổng cộng 6 sự cố bảo mật sàn giao dịch điển hình đã xảy ra trong tháng 2, bao gồm việc sàn giao dịch tiền điện tử Exmo của Anh bị tấn công DDoS và máy chủ bị treo.

Sự cố bảo mật có tác động lớn hơn là sàn giao dịch Cryptopia lại bị hack vào ngày 1 tháng 2 và khoảng 62.000 đô la New Zealand (hợp đồng 45.000 đô la Mỹ) tiền điện tử đã bị đánh cắp. Cuộc điều tra tiết lộ rằng các tin tặc đã truy cập vào một chiếc ví không hoạt động kể từ khi nó bị đánh cắp vào năm 2019 và được kiểm soát bởi nhà thanh lý Cryptopia Grant Thornton.

tiêu đề phụ

Lừa đảo & Tống tiền

Theo thống kê của CoinHolmes, một hệ thống nhận thức tình huống chống gian lận thuộc PeckShield, có tổng cộng 10 sự cố bảo mật liên quan đến gian lận và 1 sự cố tống tiền đã xảy ra vào tháng Hai.

Vào ngày 4 tháng 2, một trò lừa đảo tặng Bitcoin đã xuất hiện trên nền tảng xã hội Discord để thu thập dữ liệu người dùng được mã hóa.

Vào ngày 5 tháng 2, một người đàn ông Úc bị buộc tội lừa đảo một quỹ phòng hộ tiền điện tử trị giá 90 triệu đô la đã nhận tội.

Các công tố viên Đức đã thu giữ số bitcoin trị giá hơn 50 triệu euro (60 triệu USD) từ một kẻ lừa đảo vào ngày 5 tháng 2, nhưng gặp phải một vấn đề đáng xấu hổ là không thể bẻ khóa để mở khóa tài sản.

Vào ngày 6 tháng 2, Bộ Tư pháp Hoa Kỳ (DOJ) thông báo rằng công dân Serbia Antonije Stojilkovic đã bị dẫn độ sang Hoa Kỳ để đối mặt với cáo buộc âm mưu thực hiện hành vi lừa đảo và rửa tiền với cáo buộc lừa đảo các nhà đầu tư tiền điện tử hơn 70 triệu USD. Stojilkovic và các cộng sự của ông ta bị cáo buộc đã thành lập hơn 20 nền tảng giao dịch giả mạo ở Serbia và các nơi khác.

Vào ngày 8 tháng 2, Stephen Dediore của một công ty viễn thông có trụ sở tại Florida đã bị buộc tội gian lận hoán đổi SIM để đánh cắp tiền điện tử. Nếu bị kết tội, Dediore phải đối mặt với án tù 5 năm và khoản tiền phạt lên tới 250.000 USD.

Vào ngày 10 tháng 2, tài khoản Twitter của Bộ trưởng Năng lượng Bỉ Tinne Van der Straeten đã bị tấn công. Tài khoản Twitter của nó đã được đổi tên thành "Ethereum Foundation" và đăng một trò lừa đảo tặng Ethereum để thu hút những người theo dõi nó đến một trang web lừa đảo.

Vào ngày 11 tháng 2, các cơ quan thực thi pháp luật của EU đã bắt giữ các tin tặc đã đánh cắp số tiền điện tử trị giá 100 triệu đô la thông qua hoán đổi SIM. Lazarus Group Vào ngày 11 tháng 2, các công tố viên Nhật Bản đã buộc tội một nhóm với cáo buộc xử lý số tiền ảo trị giá 180 triệu USD bị đánh cắp từ sàn giao dịch Coincheck.

Chính phủ Hoa Kỳ truy tố nhóm hack Bắc Triều Tiên vào ngày 17 tháng 2

Ba thành viên của nhóm bị nghi ngờ đánh cắp hơn 1,3 tỷ đô la tiền và tiền ảo.