Thế giới Web3 chính là một khu rừng đen tối, chúng ta vừa là thợ săn vừa là con mồi, mỗi bước đi đều phải cẩn thận, chỉ có như vậy mới có thể sống lâu hơn và đi xa hơn.
Tác giả:Yuexiaoyu
Ảnh bìa: Photo by Markus Spiske on Unsplash
Lời mở đầu:
Ngành công nghiệp Web3 phát triển quá nhanh, mỗi ngày đều có những điều mới xuất hiện. Do đó, rất nhiều suy nghĩ hàng ngày đáng được ghi lại.
Những suy nghĩ này sẽ được cập nhật thường xuyên trên tài khoản Twitter, và được tổng hợp định kỳ trên nền tảng WeChat.
Hãy theo dõi tài khoản Twitter của tôi: Yuexiaoyu (ID: @yuexiaoyu111).
1. Trước tiên, hãy giải thích bằng ngôn ngữ đơn giản về việc Bybit bị đánh cắp:
Bybit sử dụng ví Safe đa chữ ký, cài đặt chữ ký là 3/3, nghĩa là cần ba người ký mới có thể hoàn thành giao dịch, mỗi người ký sử dụng ví lạnh phần cứng.
Hợp đồng thông minh Safe đa chữ ký này đã được kiểm chứng qua nhiều năm, không có vấn đề gì, và khi kết hợp với ví lạnh, nghĩa là private key được cách ly vật lý và không kết nối mạng,
Ví đa chữ ký kết hợp với ví lạnh có thể nói là biện pháp an toàn nhất hiện nay.
Nhưng tại sao vẫn bị đánh cắp?
Hacker đã sử dụng kỹ thuật tấn công kỹ thuật xã hội.
Về mặt kỹ thuật, không thể tấn công trực tiếp, vì vậy họ đã tấn công trực tiếp vào "con người".
Trước tiên, hacker đã xâm nhập vào máy tính của ba người ký, sau đó khi họ thực hiện các hoạt động hàng ngày (như ký giao dịch chuyển tiền), hacker đã lén lút thay đổi nội dung ký.
Những người ký tưởng rằng họ đang ký trên trang web cho một giao dịch bình thường, nhưng thực tế hacker đã thay thế nội dung thành "ký ác ý", chẳng hạn như nâng cấp hợp đồng Safe thành một hợp đồng ác ý mà họ đã chuẩn bị sẵn.
Ba người ký không hay biết và đã ký, kết quả là hacker đã dùng hợp đồng ác ý này để rút toàn bộ tiền.
2. Tấn công kỹ thuật xã hội là gì?
Tấn công kỹ thuật xã hội là một loại tấn công có chi phí rất cao, phương pháp tấn công rất phức tạp, nhưng cũng rất hiệu quả.
Trong vụ tấn công này, sàn giao dịch đã sử dụng tất cả các biện pháp an toàn cao nhất, hợp đồng thông minh đa chữ ký, kết hợp với thiết bị ví lạnh, cùng với sự quản lý chặt chẽ của công ty, nhưng cuối cùng vẫn không thể ngăn chặn được loại tấn công kỹ thuật xã hội này.
Hacker đã trực tiếp nhắm vào những người ký của đa chữ ký, xâm nhập máy tính của họ là một lỗ hổng dễ tấn công hơn.
Làm thế nào để xâm nhập máy tính của nhân viên?
Các biện pháp cụ thể bao gồm gửi email lừa đảo, cài đặt phần mềm độc hại, hoặc lợi dụng các lỗ hổng về thói quen an ninh cá nhân của người ký (chẳng hạn như sử dụng mật khẩu yếu, không bật xác thực hai yếu tố).
Một khi máy tính bị hack, hacker có thể kiểm soát thiết bị của nhân viên, sửa đổi bất kỳ thông tin nào.
Tấn công kỹ thuật xã hội rất tinh vi, những người ký có thể nghĩ rằng họ đang hoàn thành công việc hàng ngày, và nhật ký hệ thống cũng ghi lại "nâng cấp hợp đồng" như một hoạt động hợp pháp, chứ không phải "chuyển tiền".
Đến khi tiền bị rút đi, Bybit mới nhận ra, nhưng đã quá muộn.
Tất nhiên, tấn công kỹ thuật xã hội không phải là không thể phòng ngừa, cần có một bộ biện pháp nghiêm ngặt, và phải được bảo vệ lâu dài.
Biện pháp tốt nhất là kiểm soát chặt chẽ các thiết bị và hành vi bất thường của nhân viên trong công ty, chẳng hạn như sử dụng thiết bị chuyên dụng, danh sách trắng thiết bị và giám sát, kiểm tra và cập nhật định kỳ, v.v.
3. Sau khi Bybit bị đánh cắp, chuyện gì sẽ xảy ra tiếp theo?
Thứ nhất, xem Bybit có khả năng chịu đựng được làn sóng rút tiền của khách hàng trong thời gian gần không, nếu không chịu được, sẽ là một FTX khác, thậm chí có thể kéo cả ngành công nghiệp vào một chu kỳ gấu mới;
Thứ hai, xem Bybit có khả năng bồi thường số tiền bị đánh cắp không, nếu không có khả năng bồi thường, sẽ phải tuyên bố phá sản, điều này cũng có thể kéo cả ngành công nghiệp vào chu kỳ gấu.
Vậy tình hình tài chính của Bybit hiện tại như thế nào?
Bybit là sàn giao dịch tiền điện tử lớn thứ hai toàn cầu, khối lượng giao dịch trung bình hàng ngày có thể đạt 36 tỷ USD, với hơn 60 triệu người dùng. Với quy mô lớn như vậy, chắc chắn khả năng kiếm tiền của họ không hề kém.
Ước tính chung trong ngành, những sàn giao dịch hàng đầu như Bybit chủ yếu kiếm tiền từ phí giao dịch, lãi suất giao dịch margin, chia sẻ lợi nhuận từ các sản phẩm tài chính, lợi nhuận ròng hàng năm có thể dao động từ 1,5 đến 5 tỷ USD.
Xét về quy mô tài sản, trước khi bị đánh cắp, tổng tài sản dự trữ của Bybit được cho là hơn 16 tỷ USD.
So sánh như vậy, lỗ hổng 1,5 tỷ USD chỉ chiếm chưa đến 10% tổng tài sản, không phải là vết thương tử thương.
Hơn nữa, CEO Bybit Ben Zhou đã công khai nói rằng tài sản của khách hàng được bảo lãnh 1:1, nghĩa là tiền của khách hàng được bảo vệ, lỗ hổng do vụ đánh cắp chủ yếu ăn vào lợi n
Trường hợp tệ nhất: Rút tiền khỏi sàn giao dịch ngoài kiểm soát, Bybit không thể chịu đựng và phá sản, lỗ 1,5 tỷ đô la gây ra cuộc khủng hoảng niềm tin, ngành công nghiệp cũng bị ảnh hưởng nặng nề, thị trường gấu đến sớm.
4. Bài học cho người dùng thông thường là gì?
Nhiều người nói: "Người dùng mới không nên tự quản lý private key, không an toàn, tốt hơn là để tiền ở sàn giao dịch an toàn hơn."
Những vụ hack sàn giao dịch liên tục chính là bằng chứng phản bác lại quan điểm trên.
Đừng tin vào sức mạnh kỹ thuật và tính an toàn của sàn giao dịch, thực ra sàn giao dịch có rủi ro tiềm ẩn rất lớn.
Tại sao lại nói rủi ro tiềm ẩn của sàn giao dịch lớn hơn?
Rủi ro lớn nhất của nền tảng tập trung là tất cả tài sản của người dùng được tập trung, trở thành mục tiêu tấn công tập trung.
Trên thế giới không có hệ thống tuyệt đối an toàn. Tất cả các hệ thống đều có thể bị tấn công, nhưng việc tấn công cũng có chi phí, do đó tùy thuộc vào lợi ích mục tiêu có lớn hay không.
Khi lợi ích tấn công đủ lớn, các phương thức và chi phí tấn công cũng sẽ được gia tăng.
Sàn giao dịch là mục tiêu lớn rõ ràng, địa chỉ ví của sàn giao dịch hầu hết đều công khai, dòng tiền cũng công khai, do đó chỉ cần đầu tư thêm nguồn lực để tấn công, cuối cùng sẽ có ngày bị xâm phạm.
Vì vậy, điều duy nhất chúng ta có thể tin tưởng là công nghệ, chứ không phải "con người" hay "nền tảng".
Do đó, tôi vẫn kêu gọi người dùng thông thường nên sử dụng ví phi tập trung, tự quản lý private key, hoặc hơn thế nữa, sử dụng ví không cần private key.
Thế giới Web3 là một khu rừng đen tối, chúng ta vừa là thợ săn vừa là con mồi, mỗi bước đi đều phải cẩn thận, chỉ có như vậy mới có thể sống lâu và đi xa hơn.
Tuyên bố miễn trừ trách nhiệm: Với tư cách là một nền tảng thông tin blockchain, các bài viết trên trang web này chỉ thể hiện quan điểm cá nhân của tác giả và khách mời, không liên quan đến lập trường của Web3Caff. Thông tin trong bài viết chỉ nhằm mục đích tham khảo, không cấu thành bất kỳ lời khuyên đầu tư hay đề nghị nào, và vui lòng tuân thủ các luật và quy định pháp lý của quốc gia hoặc khu vực của bạn.
Chào mừng tham gia cộng đồng chính thức của Web3Caff: Tài khoản X (Twitter) | Nhóm đọc giả WeChat | Tài khoản WeChat | Nhóm đăng ký Telegram | Nhóm thảo luận Telegram
