- Ba chuyên gia giải thích cách một hacker đã đánh cắp hơn 600 triệu đô la mã thông báo từ Mạng Ronin của Axie Infinity vào tháng trước.
- Họ cho rằng cuộc tấn công là do lỗi của con người và tấn công phi kỹ thuật chứ không phải do bất kỳ lỗi nào trong công nghệ blockchain.
- “Nếu người tiêu dùng không được bảo vệ khỏi những thứ như thế này, ngành công nghiệp sẽ thất bại.”
Theo các chuyên gia, vụ trộm tiền điện tử khổng lồ của Mạng Ronin không phải là yếu tố cản trở việc áp dụng tiền điện tử rộng rãi, theo các chuyên gia, những người đã mắc lỗi do thiếu an ninh mạng chứ không phải là lỗ hổng trong công nghệ blockchain.
Ronin là một giao thức blockchain được liên kết với Axie Infinity, một trò chơi chơi để kiếm tiền phổ biến với doanh số NFT 4 tỷ đô la, chứng kiến hơn 2,8 triệu người chơi đăng nhập mỗi ngày. Ronin cho biết trong một bài đăng trên blog hôm thứ Ba rằng kẻ tấn công đã đánh cắp khoảng 625 triệu đô la tiền điện tử, tương đương 173.600 ether và 25,5 triệu USDC.
Vụ trộm, không được phát hiện cho đến gần một tuần sau khi nó xảy ra, được cho là một trong những vụ trộm lớn nhất trong lịch sử tiền điện tử và làm nổi bật những rủi ro to lớn của lĩnh vực này.
Ari Redbord, người đứng đầu bộ phận pháp lý và chính phủ tại công ty nghiên cứu blockchain TRM, nói với Insider: “Một vụ hack thông thường có nghĩa là mất mật khẩu và tên người dùng, nhưng trong thời đại tiền điện tử, nó có nghĩa là mất tiền tiết kiệm cả đời. “Cướp ngân hàng với tốc độ của internet”.
Vụ trộm tiền điện tử đã khai thác sự giám sát chính
Sky Mavis, nhà phát triển đằng sau Axie Infinity, đã xây dựng một “side chain” – một chuỗi khối thứ cấp cho các giao dịch nhanh hơn, rẻ hơn – vì các giao dịch trên chuỗi khối ethereum rất đắt.
‘Side chain’ có chín cái gọi là nút xác thực, là các công cụ bằng chứng cổ phần xác nhận các giao dịch. Ít nhất năm là cần thiết để phê duyệt mỗi giao dịch. Sky Mavis giám sát năm, và Tổ chức tự trị phi tập trung Axie kiểm soát bốn. Sky Mavis cho biết họ đã ngừng thỏa thuận với DAO vào tháng 12 nhưng chưa bao giờ thu hồi các quyền mà họ cho phép.
Tin tặc đã chiếm bốn trong số các nút xác thực của Sky Mavis và một từ Axie DAO, cho phép truy cập vào tiền điện tử và cuối cùng là vụ trộm lớn xảy ra. Sky Mavis cho biết kể từ đó họ đã thay thế tất cả các trình xác thực của mình và đang làm việc để hoàn trả số tiền bị đánh cắp.
Max Galka, Giám đốc điều hành của công ty pháp y tiền điện tử Elementus, đã chỉ ra thỏa thuận DAO hết hiệu lực là một sự giám sát lớn, lưu ý rằng các lỗ hổng phát sinh khi tiền điện tử được lưu trữ trong các chuỗi bên chứ không phải các blockchain gốc.
“Họ không bao giờ loại bỏ những gì được coi là một biện pháp tạm thời. Đó là một lỗi hoàn toàn”, ông nói với Insider.
Tấn công phi kỹ thuật (Social Engineering)
Mạng Ronin cho biết tất cả bằng chứng cho thấy cuộc tấn công được thiết kế trên phương diện tấn công phi kỹ thuật, có nghĩa là các cá nhân bị nhắm mục tiêu qua email hoặc
lừa đảo và bị lừa để cung cấp cho một tin tặc quyền truy cập.
“Đó hoàn toàn là lỗi của con người”, Amber Ghaddar, người sáng lập công ty tài chính phi tập trung AllianceBlock, nói với Insider và nói thêm rằng tấn công phi kỹ thuật là một trong những nguyên nhân phổ biến nhất của tội phạm mạng.
Bà nói: “Nếu người tiêu dùng không được bảo vệ khỏi những thứ như thế này, ngành công nghiệp sẽ thất bại”.
Các tin tặc sẽ tiếp tục sử dụng kỹ thuật tấn công phi kỹ thuật cho đến khi nó ngừng hiệu quả, nhưng đây không phải là lý do để nghi ngờ tiền điện tử như một công nghệ, Redbord cho biết.
Cả ba chuyên gia đều đồng ý rằng lỗi không nằm ở blockchain, vì nó đã là một cơ chế cực kỳ an toàn cung cấp các giao dịch có thể theo dõi, tính minh bạch và phân quyền.
“Thực sự những gì chúng ta đang thấy là một vấn đề an ninh mạng, không phải là một vấn đề tiền điện tử” Redbord nói. “Chính phủ đang kêu gọi quy định về tiền điện tử, nhưng thực sự điều sẽ giúp ích là việc tăng cường các phòng ngừa mạng, thay vì tập trung vào tiền điện tử”.
Ông nói: Các giải pháp có thể bao gồm tài trợ cho các công cụ tình báo bổ sung cũng như các mạng lưới an ninh mạng phổ biến và mạnh mẽ hơn. Ghaddar nói thêm rằng tiếp cận giáo dục cho các công ty và cá nhân có thể hỗ trợ các hệ thống phòng thủ hiện có.
“Các cuộc tấn công như thế này đang được lo ngại, nhưng tôi tin vào lời hứa của tiền điện tử” Redbord nói. “Chúng ta cần tập trung vào việc xây dựng lớp tin cậy trong nền kinh tế tiền điện tử – cơ sở hạ tầng chống rửa tiền, kiểm soát tuân thủ, an ninh mạng – để mọi người sẽ tương tác với hệ thống tài chính trực tuyến mới này”.
Theo: businessinsider
Khuyến cáo: Thông tin trên bài viết này chỉ mang tính tham khảo, không có bất kỳ lời khuyên nào về mua bán, đầu tư. Bạn hãy tự nghiên cứu trước khi thực hiện bất kỳ hình thức đầu tư nào.
