Các nội dung chính
-
Các dự án DeFi đang bị tấn công thông qua việc lợi dụng Web2.
-
Trong hai trường hợp gần đây, hệ thống quản lý tag và tên miền đã được sử dụng để xâm phạm bảo mật của các dự án DeFi.
-
Đội ngũ Web3 có thể bảo vệ hệ sinh thái rộng lớn bằng cách chú ý đến các yêu cầu bảo mật của Web2.
Trong vài tháng qua, chúng tôi nhận thấy một số dự án Web3 bị tin tặc nhắm vào bằng cách lợi dụng Web2 để ăn cắp hàng trăm nghìn đô la của người dùng. Đây chính là bài học cho các dự án khác. Nên dành một chút thời gian để suy ngẫm về các lỗ hổng này của Web2 để chúng ta có thể bảo vệ hệ sinh thái Web3.
Công nghệ blockchain đã “cách mạng hóa” ngành tài chính. Người dùng có thể trực tiếp quản lý tiền và các khoản đầu tư của mình nhờ quyền tự lưu ký, hợp đồng thông minh và các sản phẩm Web3. Nhưng trong bối cảnh đang đổi mới này cần phải có sự cân bằng giữa sự phi tập trung và tính bảo mật. Tính bảo mật đặc biệt quan trọng khi liên quan đến dòng tiền thường xuyên của người dùng. Với bản chất phi tập trung của Web3, trọng tâm thường là đảm bảo rằng các giao thức blockchain và hợp đồng thông minh, cốt lõi của các sản phẩm và nền tảng khác nhau, đủ mạnh, an toàn và không bị lợi dụng.
Tuy nhiên, nhiều dự án Web3 vẫn dựa trên nền tảng và công nghệ của Web2 để chạy các chức năng bổ sung trên các giao thức blockchain cốt lõi của dự án. Do đó, tin tặc đang bắt đầu sử dụng lỗ hổng Web2 làm vũ khí tấn công khi muốn đánh cắp tiền của dự án và người dùng. Ví dụ: Chúng lợi dụng mã hoặc hệ thống front-end thay vì tấn công vào chính các hợp đồng thông minh.
Những cách lợi dụng Web2 này là gì? Chúng hoạt động như thế nào? Ta có thể làm gì với chúng? Chúng tôi sẽ trả lời những câu hỏi đó trong bài viết này bằng cách xem xét hai dự án DeFi chính đã bị lợi dụng lỗ hổng Web2 trong vài tháng gần đây — KyberSwap và Curve Finance — rồi rút ra một số kết luận từ những ví dụ này để giúp giữ an toàn cho cộng đồng.
KyberSwap mất 265.000 USD bởi việc lợi dụng Trình quản lý tag của Google
Sàn giao dịch phi tập trung KyberSwap bị lợi dụng lỗ hổng front-end vào ngày 1 tháng 9 năm 2022. Vụ tấn công đã dẫn đến thất thoát 265.000 USD. Vậy chuyện gì đã xảy ra? Nói tóm lại, tin tặc đã chèn mã độc vào Trình quản lý tag của Google (GTM) của KyberSwap, cho phép chúng chuyển tiền của người dùng đến địa chỉ của chúng.
Trình quản lý tag của Google (GTM) — một lỗ hổng trên Web2
Đây là một cách lợi dụng Web2 vì GTM không liên quan gì đến các hợp đồng thông minh hoặc chức năng giao thức blockchain của KyberSwap. Đúng hơn, GTM là một hệ thống quản lý tag giúp thêm và cập nhật các tag tiếp thị kỹ thuật số cho những thứ như theo dõi chuyển đổi và phân tích trang web. Tin tặc có thể truy cập vào tài khoản GTM của KyberSwap thông qua tấn công giả mạo, giúp chúng sau đó có thể chèn mã độc vào. Điều này đã cho phép bọn tội phạm truy cập vào tiền của người dùng qua hệ thống front end theo thỏa thuận của KyberSwap và cuối cùng gây thiệt hại 265.000 USD.
Chuỗi lệnh tấn công đặc biệt nhắm tới ví cá voi. Kyber Network, trung tâm thanh khoản đằng sau KyberSwap, đã thành công vô hiệu hóa GTM và loại bỏ chuỗi lệnh xấu, từ đó ngăn chặn bất kỳ hoạt động tội phạm nào tiếp theo. Lưu ý thêm: KyberSwap thông báo rằng mọi tổn thất sẽ được bồi hoàn. Nhưng nếu chú ý nhiều hơn đến bảo mật Web2, vụ tấn công front-end này có thể đã được ngăn chặn hoàn toàn.
Curve Finance mất 570.000 USD bởi việc lợi dụng DNS
KyberSwap không phải là dự án DeFi duy nhất bị lợi dụng lỗ hổng front-end gần đây. Vào ngày 9 tháng 8 năm 2022, một nhóm kẻ tấn công đã lợi dụng lỗ hổng của sàn giao dịch phi tập trung Curve Finance và đánh cắp 570.000 đô la dưới dạng Ethereum (ETH) từ ví của người dùng. Lần này, chúng tấn công hệ thống front-end bằng cách nhiễm độc cache DNS — một lỗ hổng cho phép tin tặc chuyển hướng người dùng đang cố gắng truy cập miền của Curve Finance. Thay vào đó, người dùng được đưa đến một trang web sao chép giả mạo.
Nhiễm độc cache DNS — một lỗ hổng của Web2
DNS là viết tắt của hệ thống tên miền. Nó là một trong những công cụ cơ bản cho phép mọi người lướt Internet một cách dễ dàng. Bất cứ khi nào ai đó nhập tên miền, thiết bị của họ sẽ gửi một truy vấn đến máy chủ DNS yêu cầu địa chỉ IP được liên kết.
Thông thường, truy vấn này sẽ đi qua nhiều máy chủ DNS cho đến khi nó tìm thấy địa chỉ tương ứng. Hãy nghĩ về Internet như một hệ thống đường cao tốc khổng lồ, phức tạp, với mỗi con đường dẫn đến một trang web khác nhau. Trên những con đường này, các máy chủ DNS có chức năng như cảnh sát giao thông hướng dẫn ô tô đi đúng hướng.
Trong trường hợp của Curve Finance, tin tặc đã tạo một bản sao 1:1 của máy chủ DNS thực của Curve và chuyển hướng người dùng đến một trang web giả mạo giống hệt như trang chủ của dự án. Điều này cho phép bọn tội phạm cấy ghép một hợp đồng độc hại vào “trang chủ” của Curve. Khi người dùng chấp thuận việc sử dụng hợp đồng trên ví của họ, số tiền của họ đã bị rút hết, tổng cộng là 570.000 USD.
Làm thế nào các dự án có thể bảo vệ người dùng của họ? Bài học rút ra
Bài học lớn nhất cần rút ra ở đây là hợp đồng thông minh của bạn mạnh đến mức nào không quan trọng nếu một dự án không coi trọng bảo mật Web2. Các đội ngũ cần suy nghĩ về những khoảng cách có thể tồn tại giữa không gian Web2 và Web3 và chịu trách nhiệm nhiều hơn về bảo mật tổng thể của dự án.
Những gì chúng ta có thể học được từ việc lợi dụng GTM
Trong trường hợp của KyberSwap và việc lợi dụng GTM, các đội ngũ cần nhớ sử dụng xác thực hai yếu tố (2FA) để bảo vệ các công cụ phụ trợ ví dụ như tài khoản GTM của họ. Các dự án cũng chỉ nên cho phép càng ít người càng tốt truy cập vào các tài khoản có thể tùy ý triển khai mã trên trang web dự án. Bởi khả năng đó có thể đem lại mối nguy hiểm lớn nên cần phải có một hệ thống kiểm soát truy cập thích hợp. Ví dụ: Tại Binance, chúng tôi tách quyền truy cập thành ba vai trò khác nhau: nhà phát triển tag, người kiểm tra bảo mật và nhà xuất bản. Không ai trong số họ có thể đơn phương thêm mã trang web mới — cả ba phải cùng tham gia để hoàn tất quy trình.
Những gì chúng ta có thể học được từ việc lợi dụng DNS
Việc tránh một máy chủ DNS bị xâm phạm sẽ luôn đơn giản hơn việc dọn dẹp thiệt hại sau đó. Dưới đây là những điều người dùng thông thường có thể làm để bảo vệ tiền của họ:
-
Đừng nhấp vào các liên kết đáng ngờ.
-
Đình kỳ xóa cache DNS của bạn.
-
Thường xuyên quét các chương trình nguy hại trên thiết bị của bạn.
Tuy nhiên, những việc một người bình thường có thể làm để bảo vệ mình trong tình huống này cũng có hạn. Máy chủ DNS bị nhiễm độc thường sẽ chuyển hướng người dùng đến một trang chủ giống hệt và gần như không thể phân biệt được với trang mà họ định xem.
Trách nhiệm chính thuộc về các công ty tiền mã hóa. Các dự án phải đảm bảo sử dụng nhà cung cấp quản lý tên miền an toàn và uy tín. Trong trường hợp vụ tấn công Curve Finance, Giám đốc điều hành Binance CZ đã lưu ý trên Twitter rằng họ đã sử dụng “một DNS không an toàn. Không có dự án Web3 nào nên làm điều đó. Rất dễ bị tấn công phi kỹ thuật.”
Các đội ngũ không nên cố gắng cắt giảm chi phí với nhà cung cấp DNS cấp thấp. Một nhà cung cấp đáng tin cậy phải hỗ trợ các giao thức tùy chỉnh ngăn chặn tin tặc thay đổi cài đặt tên miền.
Web3 mang lại vô vàn cơ hội, nhưng chúng ta không nên bỏ qua các mối đe dọa bảo mật đã có từ thời kỳ trước của internet. Hãy cùng nhau cảnh giác và bảo vệ hệ sinh thái của chúng ta trên mọi phương diện.