Giải mã 48,2 tỷ Bitcoin bị đánh cắp từ sàn giao dịch DMM của Nhật Bản: Hacker Triều Tiên có liên quan đến vụ việc và có vấn đề với hoạt động nội bộ và nhà gia công Ginco

Dưới đây là bản dịch tiếng Việt của nội dung trên: Vào tháng 5 năm 2024, sàn giao dịch tiền điện tử DMM của Nhật Bản đã trải qua một sự kiện mất tài sản lớn, với lý do được chỉ ra là do một nhóm tin tặc liên quan đến Bắc Triều Tiên. Sự kiện này cho thấy những lỗ hổng tiềm ẩn trong hệ thống quản lý nội bộ và kiểm tra an toàn của các sàn giao dịch Nhật Bản, đồng thời gây ra sự quan tâm rộng rãi trong ngành về quản lý ví và an ninh giao dịch. (Sàn giao dịch được cấp phép của Nhật Bản DMM bị mất 4.503 Bit, thiệt hại 48,2 tỷ Yên) Mục lục: - Cảnh sát Nhật Bản điều tra: Lừa đảo tuyển dụng giả, tin tặc khéo léo xâm nhập hệ thống - Lỗ hổng hệ thống DMM ở đâu? - Vai trò của nhà thầu phụ Ginco: Hệ thống ngoài kia vẫn là mối đe dọa tiềm ẩn? - Chiến lược của tin tặc Bắc Triều Tiên + Điểm yếu tiềm ẩn của DMM đã bị phá vỡ! - Cảnh báo cho ngành công nghiệp tiền điện tử: Phòng thủ bên trong và bên ngoài đều không thể thiếu - bitFlyer CEO Kana Yusuke: Ngành Nhật Bản không thể không phòng bị - Các biện pháp an ninh cần được cải tiến và đầu tư liên tục Cảnh sát Nhật Bản gần đây đã tiết lộ rằng, tin tặc đã giả mạo hoạt động tuyển dụng để lừa gạt một nhân viên kỹ thuật của công ty phát triển công nghệ ngoài khoán của DMM Bit. Với cái cớ là kiểm tra kỹ thuật, họ đã thành công trong việc thuyết phục nhân viên này tải một phần mềm độc hại. Phần mềm này sau đó được sử dụng để xâm nhập hệ thống giao dịch của DMM, can thiệp vào các lệnh giao dịch hợp pháp, dẫn đến việc chuyển số lượng lớn tài sản mã hóa sang ví của kẻ tấn công. (FBI tiết lộ: Bắc Triều Tiên tích cực xâm nhập ngành tiền điện tử, nhắm mục tiêu vào nhân viên của các công ty trong cộng đồng tiền điện tử thông qua các cuộc tấn công kỹ thuật xã hội) Sự kiện này khiến mọi người chú ý đến việc quản lý ví lạnh và quy trình kiểm tra giao dịch của DMM. Theo các phân tích liên quan, với tư cách là người quản lý tài sản cuối cùng, DMM nắm giữ private key cần thiết để chuyển tài sản. Tuy nhiên, sự kiện cho thấy, kẻ tấn công có thể đã lợi dụng lỗ hổng trong quá trình giao tiếp giữa thiết bị quản lý và điểm cuối ví lạnh để can thiệp vào địa chỉ giao dịch. Điểm then chốt của cuộc tấn công thay đổi địa chỉ giao dịch là, địa chỉ do kẻ tấn công tạo ra có định dạng tương tự như địa chỉ hợp pháp, khiến nhân viên kiểm tra giao dịch không thể phát hiện ra bất thường. Sự kiện DMM cũng liên quan đến công ty ngoài khoán Ginco cung cấp hệ thống ví cho họ. Ginco chủ yếu chịu trách nhiệm cung cấp chức năng quản lý địa chỉ và tạo giao dịch, nhưng hệ thống nội bộ của họ có thể trở thành điểm xâm nhập cho kẻ tấn công. Một số phân tích cho rằng, tin tặc có thể đã thông qua thiết bị quản lý của Ginco để cài đặt dữ liệu giao dịch bị thay đổi, sau đó thông qua điểm cuối ví lạnh của DMM để thực hiện ký cuối cùng. Nếu DMM cẩn thận so sánh nội dung giao dịch trước và sau khi ký, họ có thể phát hiện ra bất thường, nhưng thực tế lại bỏ qua khâu này. Cuộc tấn công này được cho là do tin tặc Bắc Triều Tiên lên kế hoạch cẩn thận. Mặc dù các sàn giao dịch thường xuyên chuyển tài sản để đảm bảo an toàn, nhưng DMM đã bộc lộ lỗ hổng trong vận hành hệ thống trong quá trình chuyển tài sản, trở thành mục tiêu ưu tiên của kẻ tấn công. Các chuyên gia chỉ ra rằng, kẻ tấn công có thể đã chọn một thời điểm có tính dự đoán và khả năng thao tác cao, lợi dụng thói quen vận hành của DMM để tiến hành cuộc tấn công chính xác. Sự kiện này được cho là một hồi chuông cảnh báo nghiêm trọng đối với toàn ngành công nghiệp tiền điện tử. Ngay cả khi môi trường ví lạnh được coi là cách quản lý tài sản an toàn nhất, kẻ tấn công vẫn có thể thực hiện cuộc tấn công thông qua lỗ hổng trong hệ thống quản lý ngoài khoán hoặc lỗ hổng trong quy trình kiểm tra nội bộ. Do đó, ngành cần tăng cường kiểm tra an ninh ở mọi khâu từ tạo giao dịch đến ký cuối cùng, và kiên trì nguyên tắc "Đừng tin, hãy xác minh". Liên quan đến sự kiện này, các chuyên gia khuyến nghị sàn giao dịch nên tăng cường đào tạo và nâng cao ý thức an ninh cho nhân viên, đồng thời áp dụng các biện pháp xác thực nhiều lớp để kiểm tra từng bước giao dịch. Ngoài ra, tăng cường quản lý và giám sát các công ty hợp tác ngoài khoán cũng là biện pháp cần thiết. Đối với các sàn giao dịch khác đang sử dụng hệ thống Ginco, việc kiểm tra lỗ hổng kịp thời và áp dụng các biện pháp phòng thủ tạm thời là vô cùng quan trọng.

bitFlyer CEO Yuzo Kano: Japan's industry must be vigilant

bitFlyer CEO Yuzo Kano stated that bitFlyer is concerned about the lack of security awareness in Japan's cryptocurrency industry. The following are the key points that need attention:

1. Restrictions on transfer addresses: If the device allows transfers to non-designated addresses, it will pose a serious security problem. The system must pre-set the addresses that can be transferred to and strictly limit them through functions such as whitelists.
2. Operator verification process: Operators need to be trained to verify the transfer address character by character, and ensure that the device can fully display the address to prevent "address pollution" attacks.
3. System understanding and review: DMM Company needs to have an in-depth understanding of the Ginco system and conduct independent security reviews, rather than relying entirely on external tools.
4. Possibility of internal information leakage: If hackers have advance knowledge of large-scale fund transfer plans, it may involve internal information leakage or the involvement of internal personnel.
5. Private key management: Private keys should be generated and managed independently by the exchange, avoiding external parties' involvement, and ensuring the security of multi-signature.

He also emphasized the two key points in wallet design:

• Verification and restriction of transfer addresses: It needs to be restricted by the system and double-checked manually to prevent asset loss.
• Verification of the reasonableness of the transfer amount: The amount must be strictly reviewed, and even for the exchange's own hot wallet, excessive transfers should be avoided to avoid additional risks.

Security measures need to be continuously improved and invested in

Security has no "completed" state, and exchanges should prioritize strengthening processes, conducting continuous employee education, and system improvements. He stated that he expects the industry as a whole to enhance security awareness and formulate more specific regulations and systems.