Coin98 Insights logo
SETTINGS
Content language
flag Vietnamese
Vietnamese
flag Vietnamese
Vietnamese
Tiếng việt
flag English
English
English
Channel logo
Coin98 Insights
Save
Copy link

Thực hư việc OpenSea bị tấn công & Các tips bảo mật từ chuyên gia

Bài viết tóm tắt sự kiện OpenSea bị tấn công dẫn đến việc mất khá nhiều NFT, cũng như góc nhìn từ cá nhân và chuyên gia thông qua việc này.
Avatar
vycao
Published Feb 21 2022
Updated Apr 06 2023
17 min read
thumbnail

Tháng 2/2022 là một tháng rất “sôi nổi” nhưng về mặt tiêu cực nhiều hơn tích cực khi thị trường đã có rất nhiều sự kiện bị khai thác một số lỗ hổng và bảo mật với giá trị thiệt hại từ vài triệu cho đến trăm triệu đô. Điều này mô hình chung sẽ ảnh hưởng lớn đến tài sản người dùng vì không phải dự án nào cũng đủ khả năng để bồi thường cho người dùng như Wormhole.

Hơn thế nữa, điều này cũng sẽ phần nào chứng tỏ thị trường này vẫn còn tiềm ẩn quá nhiều rủi ro về công nghệ cho các nhà đầu tư và khiến họ lo ngại. 

OpenSea là một trong những một sàn giao dịch các non-fungible token (NFTs) lớn nhất thị trường hiện nay. Volume giao dịch của OpenSea tại thời điểm viết bài là khoảng 19.69 tỷ đô, tức là chiếm tỷ trọng 97.37% toàn bộ thị trường giao dịch NFT.  

Vừa qua, OpenSea đã bị tấn công (Exploited) và gây thiệt hại nghiêm trọng cho người dùng. Vậy thực hư sự việc diễn ra như thế nào? Liệu có nên nhìn nhận lần Exploited này cũng như bao lần Exploited khác? Anh em đọc bài viết sau để biết chi tiết cũng như trang bị cho mình được thêm một số tips để bảo vệ tài sản của mình trong thị trường Crypto đầy cơ hội nhưng cũng không kém phần rủi ro này nhé! 

OpenSea bị tấn công như thế nào?

Nhân dịp thị trường Downtrend rất tiêu cực và hội nghị ETH Denver 2022 diễn ra từ ngày 11 - 20/2/2022, lúc này rất nhiều leaders của các dự án lớn đã hội tụ để cùng bàn luận chia sẻ góc nhìn và cũng như một dịp để họ tụ họp ăn chơi. 

Lúc các nhà phát triển lơ là nhất cũng là lúc một hacker xuất hiện, anh ta đã lén “trộm đi” rất nhiều NFTs.    

Sự việc chính thức được phát hiện vào ngày 20/2/2022, khi Devin Finzer (CEO OpenSea) thông báo OpenSea chịu một cuộc tấn công từ tin tặc và đang tiến hành điều tra vụ việc. Từ góc nhìn của anh thì đây là cuộc tấn công bằng hình thức Phishing Attack. 

Cụ thể, Phising Attack là cách thức tấn công sử dụng kỹ thuật đánh cắp dữ liệu người dùng bằng hình thức giả danh là một thực thể đáng tin cậy, lừa nạn nhân mở email, tin nhắn tức thì hoặc tin nhắn văn bản. 

Mặc dù chưa có xác nhận chính thức, nhưng từ một số nguồn tin cho rằng rất có thể kẻ tấn công đã tận dụng sự kiện Migration của OpenSea sang một chuẩn smart contract mới là Wyvern (2,3) để đánh lừa người dùng. 

Có một bằng chứng đến từ tài khoản twitter @isotile chứng minh rằng hacker tấn công OpenSea đã uploads một smart contract mới từ 28 ngày trước khi vụ việc xảy ra với mục đích thâu tóm được nhiều chữ ký nhất có thể. 

Anh ta cho rằng Hacker đã gửi email thông báo việc migration với các trang web lừa đảo (phishing website - sẽ thiết kế giống giao diện như web chính thức của OpenSea và rất khó để phân biệt). Sau đó, yêu cầu người dùng ký một tin nhắn để đăng nhập/di chuyển sang hợp đồng thông minh Opensea mới. Nhưng thực chất dưới dòng code này lại là dòng lệnh phê duyệt cho việc bán private sale các NFT của người dùng cho kẻ tấn công với giá 0 ETH. 

Vào ngày diễn ra vụ tấn công (20/2/2022), hắn đã thực hiện hợp đồng với chức năng nhằm cướp lấy NFT của người dùng trước khi sự kiện Migration của OpenSea sang smart contract mới thực sự được diễn ra. Và anh ta làm được điều này là nhờ hắn đã lưu trữ các chữ ký thu thập từ những ngày trước đó trên server của hắn. 

Kết thúc cuộc tấn công, tổng thiệt hại của vụ việc có giá trị phỏng đoán rơi vào khoảng $3M. Tổng số nạn nhân ghi nhận được là 32 địa chỉ ví. Vụ việc đến ngày 21/2/2022 đang được điều tra thêm về các nguồn tin để sớm có thông báo chính thức đến cộng đồng. 

Nhưng về cơ bản, đây không phải là lỗi do hệ thống OpenSea mà Hacker đã dùng phương thức “Phishing Attack” để đánh lừa người dùng. Tuy nhiên, họ vẫn chịu trách nhiệm với người dùng và đã thiết lập kênh hỗ trợ các nạn nhân thông qua tài khoản Twitter @opensea_support. 

Cập nhật mới nhất từ CTO OpenSea

Giám đốc công nghệ - CTO của OpenSea là Nadav Hollander đã có một số cập nhật vào ngày 21/2/2022 và cũng đã xác nhận đây là cuộc tấn công theo hình thức phishing attack và không liên quan đến việc migration của OpenSea. 

Không có lệnh độc hại nào được thực thi đối với hợp đồng mới (Wyvern 2.3), điều này cho thấy rằng chúng đã được ký kết trước khi di chuyển và không có khả năng liên quan đến quy trình di chuyển (migration) của OpenSea.

Sau các cuộc thảo luận với người bị hại và các chuyên gia bảo mật, họ nhận thấy đây là một hoạt động lừa đảo đã được thực hiện trước khi ngừng sử dụng hợp đồng [Wyvern (2.2) - được sử dụng bởi OpenSea] do các đơn lệnh độc hại đã được thu thập này sắp bị vô hiệu hoá. 

OpenSea đã có kế hoạch và sự chuẩn bị cho những cuộc tấn công với hình thức tương tự nhưng trong bản cập nhật tương lai. 

Họ đã bỏ phiếu cho việc áp dụng cơ chế EIP-712 trên hợp đồng mới và tính năng của loại dữ liệu này sẽ khiến các vụ tấn công nhằm vào việc ký các hợp đồng sẽ khó hơn rất nhiều vì nó sẽ đi kèm với những tín hiệu cảnh báo những bất thường. Nhờ đó, các loại hình tấn công này sẽ khó có cơ hội tái diễn. 

Liệu OpenSea bị tấn công có liên quan gì đến việc LooksRare tăng giá ngay sau đó không? 

LooksRare là một nền tảng NFT marketplace vừa được ra mắt không lâu. Nhưng gần đây dự án này cho thấy mình là tay chơi mới khó nhằn khi tham gia tranh giành miếng bánh thị trường NFT béo bở mà OpenSea đang làm bá chủ. Họ đã có chiến lược hút máu hay còn gọi là Vampire Attack đối với đối thủ OpenSea. 

Kế hoạch “hút máu” sẽ như sau: 

  • Tìm leaders của thị trường NFT Marketplace (OpenSea).
  • Tận dụng tính mã nguồn mở của dữ liệu trên blockchain, thông qua đó LooksRare có thể biết số liệu giao dịch trên OpenSea ⇒ Lấy dữ liệu để rewards người dùng. 
  • Fork mô hình của OpenSea nhưng xây dựng dựa trên smart contract riêng và áp dụng cơ chế khuyến khích những người di chuyển sang nền tảng của họ. Cụ thể là phát airdrop token LOOKS cho người dùng OpenSea đã giao dịch 3ETH trong vòng 6 tháng, với điều kiện họ phải chuyển sang sử dụng nền tảng LooksRare và list NFT trên LooksRare marketplace.
  • Chưa hết, LooksRare sau khi phát airdrop LOOKS token sẽ cho phép stake LOOKS token với APY hấp dẫn và charge phí giao dịch NFT thấp hơn (2% so với 2.5% trên OpenSea). 

Kế hoạch đã khá thành công ở giai đoạn đầu khi số liệu cũng cho thấy OpenSea cũng đã bị LooksRare bắt kịp về volume giao dịch và đã có giai đoạn LooksRare vượt trội hơn hẳn từ ngày 10-20/1/2022 dù chỉ là một “lính mới”.

So sánh khối lượng giao dịch hằng ngày LooksRare và OpenSea giai đoạn 10-20/1/2022.

Không lâu sau khi OpenSea bị exploited thì giá token của LooksRare lại tăng chóng mặt. Liệu 2 sự kiện này có sự liên quan mật thiết nào vì thị trường giai đoạn này hết sức ảm đạm và có phần tiêu cực nhưng token của LookRares (LOOKS) lại đi “ngược bão”?

Đồ thị giá LooksRare token (LOOKS)

Theo Coinmarketcap, giá token LOOKS từ ngày 18 - 21/2/2022 chỉ dao động từ vùng $1.5 - $1.8.

Thế nhưng sau sự kiện OpenSea bị tấn công xảy ra vào ngày 20/2 thì giá token liền đạt $1.95, từ giá $1.5 - mức giá cao bất thường so với trung bình 4 ngày gần nhất.

Sau đó cũng có một lực xả khá mạnh xuống gần $1.5, mức tăng và giảm với biên độ lớn hơn 25%, nhanh, trong thời gian ngắn cho thấy áp lực chốt của các nhà đầu cơ token này. 

Vì sao vụ tấn công nhằm vào OpenSea lại có lợi cho LookRares? 

Lí do giải thích cho việc này là khi thông tin vụ OpenSea bị tấn công vừa ra thì ắt sẽ có một số tin đồn không chính xác rằng việc này là do phía OpenSea bị lỗi giao thức. Một số nhà đầu cơ nghĩ các nhà đầu tư lo sợ rằng OpenSea sẽ bị mất dòng vốn bởi vì nó sẽ được dịch chuyển sang LooksRare - đối thủ đang có xung đột với OpenSea để đón đầu. 

Họ tin rằng người dùng sẽ có xu hướng chuyển sang sử dụng nền tảng không bị gán mác với tiền sử “bị exploit” hơn và cũng là đối thủ cạnh tranh trực tiếp của OpenSea, tức LookRares. Đây được xem là lý do khả dĩ nhất để giải thích cho sự tăng giá token của LookRares. 

Góc nhìn về sự việc OpenSea bị tấn công và lỗ hổng bảo mật

Góc nhìn cá nhân

Lí do mình nghĩ sự kiện này xảy ra đến từ cả 3 phía là người dùng, hackers và cả phía dự án với 3 yếu tố chính như sau:

  • Đầu tiên, hacker lên kế hoạch kĩ và biết lựa thời điểm để hành động cũng chính là lúc diễn ra các sự kiện lớn: ETH Denver 2022 và sự kiện Migration của OpenSea. 
  • Kẻ hở của phía dự án khi không cung cấp các mã anti-phishing như anh em thường thấy trên Binance để giúp người dùng xác minh nguồn gốc, tính xác thực của mails được gửi đến từ nền tảng, giao thức cung cấp các dịch vụ đó. 
  • Một số người dùng vẫn còn yếu ở việc trang bị kiến thức cần thiết trước các cuộc tấn công có thể xảy đến.
 

⇒ Mỗi yếu tố trên đều quan trọng trong việc cấu thành nên sự việc lần này. Qua sự kiện trên, chúng ta cần cảnh giác hơn và hết sức cẩn trọng trong việc ký phê duyệt contracts, hay thậm chí là kỹ càng hơn trong việc truy cập vào các đường link lạ để bảo vệ tài sản cho mình. 

Góc nhìn chuyên gia - Dan Guido

Cho những anh em chưa biết về Dan Guido, ông là Founder và CEO của Trails of Bits - công ty hàng đầu về bảo mật phần mềm nổi tiếng thế giới được tin dùng bởi những gã khổng lồ công nghệ như Microsoft, Google, Zoom, v.v. 

Ông là người theo rất sát vụ OpenSea Exploited và liên tục chia sẻ góc nhìn của mình về vấn đề này trên Twitter Spaces cho cộng đồng. Ông cho rằng cuộc tấn công lần này không nhằm trực tiếp vào OpenSea mà thông qua các nền tảng ví như Metamask, nơi là trung gian để người dùng tương tác/phê duyệt/ký những hợp đồng. 

Lời khuyên cho các nền tảng ví 

Ông cho rằng các ví nên có biện pháp nhằm thông báo với người dùng rằng các hợp đồng hay giao dịch này có những điểm đáng nghi như thế nào. Hoặc chí ít, các nền tảng ví phải thiết kế giao diện người dùng UI một cách thân thiện và đầy đủ thông tin nhất có thể để thông báo cho người dùng biết họ đang tương tác với nền tảng nào, web nào, lệnh sẽ thực hiện là gì.

Nếu có thế đưa lời khuyên cho các bên làm ví, họ có thể bằng cách nào đó có cơ sở dữ liệu để xếp hạng các trang web nhằm đánh giá sự uy tín của trang web đó với người dùng để họ tin tưởng và phê duyệt các tương tác.

Lời khuyên cho người dùng

Dan Guido có chia sẻ một số tips có thể áp dụng để bảo vệ tài sản của anh em trước những cuộc tấn công như sau:

  • Nên tạo thói quen kiểm tra các giao dịch mình sắp thực hiện chứ không ký qua loa và đọc kỹ lại các thông tin sau khi thực hiện giao dịch trên các nền tảng explorer.
  • Không dùng tính năng phê duyệt một cách tự động (approved automatically) mà cần phải sử dụng tính năng phê duyệt thủ công (approved manually). 
  • Không nên click vào các links lạ từ các mails không xác thực được tính chính chủ và nguồn gốc. Yêu cầu có mã anti-phishing được cung cấp từ các giao thức (nếu có) thì mới bấm vào. 
  • Nên tách bạch các loại tài sản với giá trị khác biệt ở những nơi khác nhau.
    • Chẳng hạn như nếu đó là một ví chứa số tiền khá lớn thì cần cân nhắc mua 1 laptop chuyên cho việc bảo mật ví và không sử dụng thường xuyên (vì laptop là bên trung gian giữa chúng ta và ví mà nó lại rất dễ bị hack).
    • Hoặc nếu trang bị như thế là quá tốn kém thì có thể tạo 1 profile trên Chrome dành riêng cho việc truy cập vào ví. 
  • Kiến thức về việc không chia sẻ seed phrases hoặc gửi các giao dịch chưa được xác định vốn đã trở nên ngày càng phổ biến hơn trong không gian Crypto. Tuy nhiên, việc ký kết các thông điệp/contracts off-chain cũng yêu cầu sự cân nhắc tương tự như vậy từ người dùng để đảm bảo sự an toàn cho tài sản của họ.
 

Ngoài ra, ông cũng đã soạn một file tài liệu bao gồm những công cụ và kiến thức cần thiết ở tầm doanh nghiệp/các dự án và có cả phần dành cho các anh em nhà đầu tư nhỏ lẻ như chúng ta: File tổng hợp công cụ bảo mật tài sản của Dan Guido!

Lưu ý: Chọn phần Retail-grade cryptocurrency security nhé

Làm gì nếu bạn là nạn nhân trong vụ tấn công này?

Việc đầu tiên chắc chắn là phải liên hệ cho OpenSea để họ có thêm manh mối, cũng như tìm được thêm thông tin để xác định nguyên nhân và từ đó hỗ trợ những người bị hại tốt hơn. 

Thứ hai, tuy là vụ hack nhưng người dùng nếu biết kịp thời hoàn toàn có thể áp dụng cách “revoke” để gỡ các quyền phê duyệt các hợp đồng mang tính độc hại như trên. Đây là một tips rất hiệu quả và Coin98 Wallet cũng đã đưa vào ứng dụng tính năng này trên ví. 

Revoke trên Coin98 Super App

Anh em có thể sử dụng Revoke trên Coin98 Super App thông qua các bước đơn giản sau:

  • Bước 1: Mở Coin98 Super App, chọn More.
  • Bước 2: Chọn Wallet Approval.
  • Bước 3: Chọn mà anh em muốn Revoke.
  • Bước 4: Anh em Revoke bằng cách bấm vào dấu [x] ở ứng dụng mình muốn Revoke.
  • Bước 5: Bấm Done để hoàn tất quá trình.

Tham khảo chi tiết: Revoke là gì? Hướng dẫn Revoke trên Coin98 Super App để bảo mật tài sản 

Các công cụ revoke khác 

Ngoài việc revoke ngay trên ví một cách tiện lợi ở Coin98 Super App, thì còn có một số công cụ hữu ích cho anh em để kịp thời làm cứu cánh cho anh em, có thể kể đến như: 

Nguồn ảnh: Coin98 Insights 

Lưu ý: Anh em cần check kĩ hoặc có thể lưu bookmark các trang này vì nó cũng sẽ có thể bị làm giả cũng như hình thức phishing kia. 

Trang bị thêm kiến thức về các loại hình rủi ro hacks, exploits

Ngoài ra, việc tranh bị kiến thức để bảo vệ tài sản của chính mình bằng những bài viết chia sẻ trên web Coin98 sẽ giúp anh em phòng bị tốt hơn. Vì nếu không may trở thành những nạn nhân, anh em hoàn toàn có thể khiến cho tài sản tích lũy bấy lâu “không cánh mà bay”. 

Có một câu rất hay của vị tỷ phú từng giàu nhất thế giới - Warren Buffett, ông nói rằng để đầu tư thành công cần có 2 quy tắc.

  • Quy tắc thứ nhất:“Đừng để mất tiền”.
  • Quy tắc thứ 2:“Đọc lại quy tắc thứ nhất”.
 

Thế mới nói, anh em vẫn còn có thể kiếm ra tiền nếu còn giữ được tiền. Và để làm được điều này thì cần trau dồi thêm hiểu biết về rủi ro và cách phòng tránh chúng trong thị trường Crypto mà đội ngũ Coin98 đã rất tâm huyết để gửi đến anh em. 

Tìm hiểu thêm: Điểm danh 19 hình thức lừa đảo trong Crypto & cách phòng tránh

Tổng kết

Như vậy thì mình cũng đã tổng hợp tin tức về vụ việc OpenSea bị Exploited hôm 20/2/2022 với những thông tin sát sườn với sự kiện nhất để anh em nắm. Anh em có thể tìm đọc những bài viết liên quan đến các sự kiện Hacks, Exploit để nắm rõ từng chân tơ kẽ tóc các phương pháp mà các hacker sử dụng để lên phương án phòng hờ nhé! 

RELEVANT SERIES