Các vụ hack Crypto trong 2022 cho chúng ta bài học gì?
Trong những ngày vừa qua, người dùng trên mạng lưới Solana đang thực sự phải lo lắng với vụ hack khiến gần 8,000 ví Solana bị rút tiền ra khỏi ví Phantom và Slope, thiệt hại lên đến hàng triệu đô tiền mã hóa của người dùng.
Đây cũng là hồi chuông cảnh tỉnh cho những nhà đầu tư rút ra bài học cho mình về những vấn đề nổi cộm trong thị trường crypto. Khi mà, số tiền các hacker mũ đen đã tẩu tán từ đầu năm đến nay đã lên tới hơn 2 tỷ USD.
Hack (Exploit) là gì?
Hack (hay Exploit) là thuật ngữ dùng để chỉ hành động kẻ xấu lợi dụng lỗ hổng, lỗi trong smart contract nhằm khai thác và trục lợi cho bản thân, những cuộc tấn công này sẽ khá khó phát hiện cho đến khi hậu quả xảy ra. Các dự án khi ra mắt sản phẩm mới thường tổ chức testnet hay những sự kiện săn bọ nhằm khắc phục tối đa tính bảo mật trước khi chính thức vận hành.
Tính đến ngày thực hiện bài viết này, trong năm 2022 đã có đến hơn 2 tỷ USD thiệt hại đến từ những vụ hack.
Cách bảo vệ tài sản tốt nhất chính là hiểu được cách hacker chiếm tài sản. Mời bạn xem video "Dự án bị hack tràn lan do đâu? Bỏ túi nhiều tips bảo vệ ví triệu đô" để cùng hiểu các hình thức tấn công phổ biến cũng như một số tips bảo vệ tài sản nhé!
Các vụ hack Crypto trong nửa đầu năm 2022
Wormhole – 326 triệu USD
Trở lại với dịp tết âm lịch 2022, Wormhole thuộc mạng lưới Solana đã được chọn để mở đầu cho những vụ hack thiệt hại trên 100 triệu đô trong năm nay.
Với 120 nghìn wETH được ôm trọn thông qua lỗ hổng trong cơ chế hoạt động của Wormhole, hacker đã thu về con số hơn 300 triệu USD và bỏ ngoài tai lời đề nghị 10 triệu USD đến từ đội ngũ dự án.
Tìm hiểu thêm: Wornhole bị hack
Cashio DAO – 48 triệu USD
Ngày 23 tháng 3, đồng stablecoin CASH mất tỷ giá ổn định và gây thiệt hại lớn về tài sản cho nhiều người. Hacker đã tận dụng kẽ hở trong các dòng code của sản phẩm và thu về bất chính khoảng 27 triệu USD. Tuy nhiên việc mất 99% giá trị của CASH đã khiến dự án thiệt hại hơn 48 triệu USD.
Tìm hiểu thêm: Cashio DAO bị hack
Ronin – 615 triệu USD
Tháng 3 năm 2022, có lẽ là thời điểm cực kỳ đen tối của Sky Mavis khi Ronin Network đã trải qua vụ hack vô cùng nghiêm trọng liên quan đến lỗ hổng bảo mật, liên quan đến việc Ronin validator và Axie DAO bị xâm phạm. Qua đó, 173.6 ETH và hơn 25.5 triệu USDC đã bị rút khỏi Ronin Bridge chỉ với hai lần giao dịch.
The Ronin bridge has been exploited for 173,600 Ethereum and 25.5M USDC.
— Ronin (@Ronin_Network) March 29, 2022
The Ronin bridge and Katana Dex have been halted.
Thông qua việc lấy được 5 trong 9 chữ ký validator để xác nhận giao dịch, hacker đã đút túi trót lọt 615 triệu USD. Qua đó, Ronin cùng PolyNetwork chiếm vị trí top 2 về thiệt hại trên bridge.
Tìm hiểu thêm: Mạng Ronin bị hack
Horizon Bridge – 100 triệu USD
Hacker đã đánh cắp rất nhiều tài sản trên cầu nối này, con số thiệt hại ước tính lên tới gần 100 triệu đô. Dẫn đến việc Horizon Bridge phải tạm dừng để khắc phục thiệt hại và đồng ONE của Harmony giảm một nửa giá trị so với thời điểm trước khi bị hack.
Có thể thấy rằng, các vụ hack trên bridge đều gây nên tổn thất cực kỳ lớn với đội ngũ phát triển dự án và cả cộng đồng.
Phantom, Slode
Nếu private key là chiếc chìa khóa cực kỳ quan trọng hỗ trợ bảo mật ví của người dùng một cách an toàn nhất. Thì mới đây hàng nghìn người dùng Solana đã mất 5.2 triệu USD các loại tài sản khác nhau trên mạng lưới này.
1/ Phantom has reason to believe that the reported exploits are due to complications related to importing accounts to and from @slope_finance.
— Phantom (@phantom) August 3, 2022
We are still actively working to identify whether there may have been other vulnerabilities that contributed to this incident. https://t.co/W5B19gbMJX
Chủ nhân của các ví Phantom bị rút hết SOL và các token khác trong cuộc tấn công này cũng có dấu hiệu tương tác với Slope trước đó. Hiện vụ việc vẫn đang được Slope điều tra và sẽ đưa ra thông báo chính thức trong thời gian tới.
Điểm chung của các vụ hack Crypto trong 2022
Phần lớn nằm ở các blockchain top đầu
Theo REKT Database của DEFIYIELD, từ đầu năm đến nay có 80% các vụ tấn công thiệt hại triệu đô đến từ những blockchain có TVL đạt top đầu như Ethereum, BSC, Solana… Giai đoạn giữa năm 2021 có thể coi là thực sự bùng nổ với BSC và Solana khi TVL của hai hệ sinh thái này luôn nằm trong top 6 và không hề bị lay chuyển cho đến thời điểm hiện tại.
Tuy nhiên, đó cũng là con dao hai lưỡi khi hacker sẽ nhắm đến những nguồn có dòng chảy dồi dào nhất. Khi các dự án được xây dựng trên các hệ sinh thái top đầu là rất nhiều nhưng phần lớn là đi theo trend hay fork ra từ các dự án lớn để chạy cho kịp tiến độ.
Dẫn đến hệ lụy là code ẩu, biện pháp phòng tránh hack chưa được đảm bảo… biến dự án trở thành miếng mồi béo bở cho các hacker mũ đen trong thị trường crypto.
Các cầu nối đang là tâm điểm của hacker
Sau vụ tấn công vào Nomad Bridge, thì chỉ với 8 tháng đầu năm 2022 đã có đến 13 vụ tấn công vào các cầu nối trong thị trường với đặc điểm chung là giá trị tài sản thất thoát đều lên tới triệu USD.
Con số thiệt hại ước tính khoảng 2 tỷ USD chiếm 69% tổng lượng tài sản bị đánh cắp trong năm 2022. Các cầu nối đang trở thành tâm điểm trong những năm gần đây, tổng lượng tài sản bị thất thoát chỉ đứng sau CEX.
Đây là hồi chuông đáng báo động dành cho các cầu nối hiện nay, liệu tính bảo mật trong sản phẩm cross-chain đang bị xem nhẹ?
Khi các vụ hack liên tục nhắm đến các cross-chain bridge dần dần khiến dự đoán đầu năm nay của Vitalik rằng, tương lai của crypto là multi-chain đang ngày được kiểm chứng.
My argument for why the future will be *multi-chain*, but it will not be *cross-chain*: there are fundamental limits to the security of bridges that hop across multiple "zones of sovereignty". From https://t.co/3g1GUvuA3A: pic.twitter.com/tEYz8vb59b
— vitalik.eth (@VitalikButerin) January 7, 2022
Flash Loans là công cụ phổ biến của hacker
Flash Loans đem lại lợi nhuận cao cho các nhà đầu tư, nhưng đây cũng là con dao hai lưỡi mà dự án phải chịu. Trung bình 10 vụ hack sẽ có khoảng 4 flash loans attack, tổn thất từ các vụ tấn công này từ vài trăm nghìn cho đến hàng triệu đô. Tuy nhiên đây cũng là đòn đánh vào các dự án không thật sự nghiêm túc về mặt bảo mật trong việc phát triển lâu dài.
Học được gì từ các vụ hack Crypto 2022?
Thay đổi thói quen chọn lọc thông tin
Có một số bạn vẫn giữ thói quen là chỉ lướt qua phần audit, backer và các thông tin bên lề để đầu tư nhanh chóng mà quên mất rằng các dự án được đã được kiểm định cũng đã thiệt hại rất nhiều triệu đô trong những năm trở lại đây.
Do đó, kiểm tra việc dự án đã được audit hay chưa là điều kiện cần, nhưng chưa đủ để đánh giá rằng đây là sản phẩm an toàn để có thể đầu tư.
Trau dồi khái niệm về thị trường
Trong quãng thời gian tác giả trải nghiệm vị trí chăm sóc khách hàng ở thị trường crypto, nhận thấy có rất nhiều bạn thiếu kiến thức cơ bản về các khái niệm, dẫn đến việc nhầm lẫn trong đầu tư và chọn lựa dự án chưa chính xác.
Thị trường tiềm năng nào cũng sẽ đem đến những rủi ro nhất định, crypto cũng không ngoại lệ. Do đó, việc nắm chắc kiến thức để nhận biết để xác định được dự án có độ bảo mật đáng tin cậy hay không là rất quan trọng.
Ngày nay, khi các thông tin về kiểm định, cơ chế hoạt động của dự án đã được công khai rõ ràng trên những github, gitbook hay medium thì việc sở hữu nền tảng cơ bản không chỉ phòng tránh được rủi ro thất thoát tài sản mà còn tiết kiệm được thời gian và nắm bắt được cơ hội đầu tư tốt hơn.
Tránh All-in
Dù pool farm A có APY cao hay kèo này có lợi nhuận tốt thì các nhà đầu tư cũng nên làm quen với việc phân phối vốn của mình thật sự cân bằng để đề phòng những trường hợp xấu nhất xảy ra. Chỉ nên tham gia với lượng tài sản nhất định mà mình luôn sẵn sàng để mất.
Việc phân bổ vốn hợp lý không chỉ phòng tránh rủi ro, mà còn để các nhà đầu tư nắm bắt được các cơ hội khác trên thị trường.
Bỏ ngoài tai những thứ lạ lẫm và chưa được kiểm chứng
Như mình đã nói ở trên, việc kiểm định dự án là điều kiện cần để xuống tiền cho bất cứ trường hợp nào. Việc các dự án chào mời khi thông tin chưa được xác thực và kiểm chứng sẽ khiến xác suất mất tiền của bạn tăng lên rất cao.
Một số dự án ảo còn làm giả những chứng từ kiểm định hay đối tác, nhà đầu tư hòng chiếm đoạt tiền của người dùng. Do đó, cần phải kiểm tra kỹ các thông tin này ở những nguồn tin chính thống hoặc kiểm tra lại qua các kênh thông tin của dự án được đề cập đến.
Lựa chọn sản phẩm ví phù hợp
Để có thể tương tác với các dự án, trước tiên ta cần một sản phẩm ví phù hợp. Trên thị trường hiện nay, đã có rất nhiều sản phẩm đặc trưng riêng cho từng blockchain với các công dụng khác nhau.
Qua đó, ta nên lựa chọn sản phẩm ví phù hợp với mục đích sử dụng như giữ tài sản, test sản phẩm, săn airdrop… với yếu tố bảo mật luôn được đặt lên hàng đầu. Việc phân chia tài sản ra nhiều loại ví bao gồm lưu trữ coin, giao dịch… sẽ giúp các nhà đầu tư hạn chế rủi ro mất trắng tài sản trước những vụ tấn công trong thị trường đầy rẫy hacker như crypto.
Ví điện tử đóng vai trò như một chốt chặn, cũng là nơi các nhà đầu tư chọn mặt gửi vàng trong suốt quá trình trải nghiệm thị trường crypto. Các sản phẩm ví đã khẳng định được chỗ đứng của mình trên thị trường như Coin98 Super App, MetaMask, Coinbase…đang là những lựa chọn hàng đầu cho các nhà đầu tư.
Các bạn cũng lưu ý rằng, việc tự mình bảo mật passphrase và private key cũng rất quan trọng, ví dụ như:
- Không bao giờ lưu trữ mật khẩu trong cùng một vị trí.
- Sử dụng xác thực 2 yếu tố cho tất cả những sản phẩm quan trọng.
- Không click vào những đường dẫn lạ.
- Không sử dụng các token free và tương tác với các sản phẩm không rõ nguồn gốc, kiểm chứng.
Kinh nghiệm từ các vụ hack trong quá khứ
Việc theo dõi diễn biến xảy ra trên thị trường cũng là cách phòng tránh hiệu quả. Ngoài những đặc điểm chung mà chúng ta có thể đúc kết được từ những vụ exploit, các thông tin chi tiết về vụ việc cũng sẽ giúp bạn có thêm kiến thức và hiểu rõ vấn đề hơn. Qua đó, khi chọn lọc dự án có đặc điểm tương tự, ta có thể cân nhắc đầu tư và phân bổ vốn sao cho thật hiệu quả.
Đồng thời, khi theo dõi thông tin về các vụ exploit, bạn sẽ thấy được cách phản ứng của đội ngũ dev và những bên liên quan. Để khi xuống tiền trong các dự án xuất hiện những cái tên liên quan, ta sẽ cần nhớ đến ngay cách xử lý của họ khi sản phẩm xảy ra biến cố. Từ đó, có thể đưa ra quyết định đầu tư đúng đắn hơn.
Bởi chúng ta không nên chỉ nhìn vào bề nổi, mà cần đào sâu vào bên trong nguyên nhân của những vụ việc đã xảy ra. Đã có những góc tối trong thị trường, khi các vụ exploit chỉ được dựng lên chỉ để che đi hình ảnh nhem nhuốc, quay lưng của dự án đối với các nhà đầu tư.
Cẩn thận với cả các sàn CEX
Không gian DeFi hiện đang trong tầm ngắm của hacker nhưng cách đây vài năm các sàn sàn CEX cũng là miếng mồi ngon của những tin tặc mũ đen. Hiện nay, chúng ta hiếm thấy được những vụ hack thành công trên sàn CEX bởi các công ty cũng đã nâng cao mức độ bảo mật của mình lên nhiều so với trước đây.
Ngoài ra, hacker luôn tìm đến những gì mới lạ - nơi sẽ dễ dàng có những lỗ hổng để chúng trực chờ tấn công. Tuy nhiên, cẩn tắc vô áy náy, việc bảo mật và bảo vệ tài sản của bản thân rất quan trọng dù là bất cứ đâu.
Tìm hiểu thêm: 4 Tips bảo vệ tài sản Crypto an toàn nhất
Tổng kết
Thị trường crypto luôn rộng mở những cơ hội cho người mới tìm đến, nhưng cũng đầy rẫy khó khăn và rủi ro trên con đường tìm kiếm “quả ngọt” cho chính mình. Việc hiểu rõ các nguy cơ và phòng tránh từ những bài học rút ra được luôn là cách giúp bản thân không bị thiệt hại về nguồn vốn. Từ đó, tạo ra cơ sở để kiếm thêm thu nhập trong thị trường này.
Các bạn nghĩ sao về những vụ hack từ đầu năm đến nay? Nếu có bất cứ bài học hay kinh nghiệm gì, hãy cùng chia sẻ với đội ngũ Coin98 bằng cách comment ngay dưới bài viết này nhé.