Được viết bởi Certik
Giám đốc kinh doanh của CertiK, Jason Jiang, gần đây đã xuất hiện trên podcast "The Agenda" của Cointelegraph, nơi ông thảo luận sâu về vấn đề bảo mật của Web3.0 liên quan đến sự cố Bybit . Khi 1,4 tỷ đô la tài sản bốc hơi chỉ sau một đêm, không chỉ ngành công nghiệp bị sốc mà còn cả mọi người dùng quan tâm đến tính bảo mật của tài sản kỹ thuật số. Đây không chỉ là vụ trộm lớn nhất trong lịch sử crypto mà còn phơi bày những rủi ro tiềm ẩn trong sự phát triển nhanh chóng của ngành công nghiệp này.
Là đơn vị đi đầu trong lĩnh vực bảo mật blockchain, CertiK chưa bao giờ ngừng phân tích các mối đe dọa như vậy. Sau sự cố Bybit , CertiK đã nhanh chóng tiến hành phân tích kỹ thuật và chỉ ra sự tồn tại của vấn đề "chữ ký mù". Trong cuộc trò chuyện, Jason đã giải thích lý do của chữ ký ẩn và khuyến nghị người dùng kiểm tra địa chỉ giao dịch ít nhất ba lần.
Khi nút xác minh THORChain từ chối hoàn lại giao dịch, Jason đã nói thẳng thừng rằng "Chúng ta giống như ở miền Tây hoang dã", nhưng ông cũng nhấn mạnh rằng chỉ bằng cách áp dụng quy định thì ngành công nghiệp Web3.0 mới có thể tiến tới sự trưởng thành. Đối diện các cuộc tấn công hacker trị giá hàng tỷ đô la, khoản tiền thưởng 4.000 đô la cho lỗ hổng bảo mật dường như không đáng kể và ngành công nghiệp này cần phải khẩn trương đối mặt với tình trạng thiếu đầu tư vào an ninh. Suy cho cùng, thời kỳ hoàng kim của thế giới Web3.0 không nên là lễ hội của hacker.
Sau vụ trộm 1,4 tỷ đô la Bybit , các giám đốc điều hành của CertiK giải thích cách cải thiện tính bảo mật của tài sản crypto
Vào tháng 2 năm nay, vụ tấn công hacker vào Bybit đã gây chấn động trong ngành. Nhóm hacker Triều Tiên Lazarus Group được cho là đã đánh cắp 1,4 tỷ đô la token liên quan đến Ethereum từ sàn giao dịch tập trung , trở thành vụ trộm crypto lớn nhất trong lịch sử.
Lần của cuộc tấn công hacker đã đặt ra nhiều câu hỏi: Điều gì đã xảy ra? Tiền của bạn có an toàn không? Cần phải có biện pháp gì để ngăn ngừa những sự cố như vậy xảy ra lần nữa?
Dữ liệu công ty bảo mật blockchain CertiK, vụ trộm lớn này chiếm khoảng 92% tổng số tổn thất trong tháng 2. Hậu quả của sự cố này là tổng thiệt hại crypto trong tháng 2 đã tăng gần 1.500% so với tháng 1.
Trong tập thứ 57 của podcast The Agenda của Cointelegraph, người dẫn chương trình Jonathan DeYoung và Ray Salmond đã trò chuyện với Jason Jiang, Giám đốc kinh doanh tại CertiK, để giải thích về cách thức hacker Bybit xảy ra, hậu quả của lần khai thác và những gì người dùng và sàn giao dịch có thể làm để giữ an toàn crypto.
Sau Bybit , ví tiền crypto có còn an toàn không?
Tóm lại, Jason cho rằng nhóm Lazarus có thể thực hiện thành công hacker vụ hack quy mô lớn vào Bybit vì chúng đã chiếm được quyền kiểm soát các thiết bị của cả ba bên ký kết - ba bên ký kết quản lý SafeWallet đa chữ ký mà Bybit đang sử dụng. Sau đó, nhóm này lừa họ ký vào những thỏa thuận mà chúng cho rằng là hợp pháp và thù địch.
Điều này có nghĩa là SafeWallet không còn đáng tin cậy nữa phải không? Jason nói rằng mọi chuyện không đơn giản như vậy. “Khi máy tính của một nhà phát triển Safe bị hack, có thể có nhiều thông tin hơn bị rò rỉ từ máy tính đó. Nhưng tôi cho rằng khả năng điều đó xảy ra với một người dùng cá nhân là khá thấp.”
Ông cho biết có một số cách mà người dùng thông thường có thể cải thiện đáng kể tính bảo mật của crypto, bao gồm lưu trữ tài sản trong ví lạnh và cảnh giác với các cuộc tấn công Phishing tiềm ẩn trên mạng xã hội.
Khi được hỏi liệu ví phần cứng Ledger hoặc Trezor có thể bị khai thác theo cách tương tự không, Jason một lần nữa cho biết đây không phải là rủi ro đối với người dùng trung bình, chỉ cần thực hiện thẩm định và thận trọng với các giao dịch.
“Một trong những lý do khiến sự cố lần xảy ra là do người ký đã vô tình ký vào hướng dẫn giao dịch mà không nhìn thấy địa chỉ đầy đủ”, ông nói thêm. “Luôn đảm bảo rằng địa chỉ bạn gửi là địa chỉ mà bạn thực sự muốn gửi đến, đặc biệt là khi liên quan đến các giao dịch lớn, bạn nên xác nhận và kiểm tra lại nhiều lần.”
“Tôi cho rằng sau sự cố lần, ngành công nghiệp sẽ cố gắng tự điều chỉnh và cải thiện, đồng thời thúc đẩy tính minh bạch và dễ dàng nhận dạng quy trình chữ ký. Tất nhiên, còn nhiều bài học khác đáng để học hỏi, nhưng đây chắc chắn là một trong đó .”
Làm thế nào để ngăn chặn vụ hacker sàn giao dịch giá hàng tỷ đô la tiếp theo?
Jason chỉ ra rằng việc thiếu các biện pháp giám sát và an ninh toàn diện có thể là một trong những yếu tố dẫn đến sự tiếp diễn của vụ tấn hacker lần . Trước đó, một số nút xác minh của giao thức cầu nối xuyên chuỗi THORChain đã từ chối khôi phục hoặc ngăn chặn nhóm Lazarus sử dụng giao thức để chuyển đổi số tiền bị đánh cắp thành Bitcoin, điều này càng làm dấy lên các cuộc thảo luận trong ngành về ranh giới của phi tập trung.
“Chào mừng đến với miền Tây hoang dã,” Jason nói. “Đây chính là thực tế hiện tại của chúng ta.”
"Theo quan điểm của chúng tôi, nếu crypto muốn phát triển mạnh, chúng cần phải được quản lý", ông cho rằng. "Để được công chúng chấp nhận hơn, chúng ta cần chủ động tiếp cận các quy định và tìm phương pháp cải thiện tính an toàn của ngành."
Jason khen ngợi CEO Bybit Ben Zhou vì phản ứng của ông sau sự cố, nhưng ông cũng chỉ ra rằng chương trình tiền thưởng mà Bybit đưa ra trước vụ hacker chỉ cung cấp khoản tiền thưởng là 4.000 đô la. Ông cho biết mặc dù hầu hết người hành nghề an ninh mạng không chỉ hoạt động vì mục đích tiền bạc, nhưng việc tăng số tiền thưởng phát hiện lỗi vẫn sẽ giúp sàn giao dịch duy trì được mức độ bảo mật cao hơn.
Khi được hỏi làm thế nào sàn giao dịch và giao thức khích lệ và giữ chân những nhân tài hàng đầu để bảo vệ hệ thống của họ, Jason lưu ý rằng các kỹ sư bảo mật không phải lúc nào cũng nhận được sự công nhận xứng đáng.
Ông cho biết: “Nhiều người cho rằng rằng tài năng Bậc 1 sẽ được phát triển vì đó là nơi họ nhận được nhiều phần thưởng nhất”. “Nhưng vấn đề còn nằm ở chỗ chúng ta có dành đủ sự quan tâm cho các kỹ sư an ninh hay không. Họ có trách nhiệm rất lớn.”
"Chúng ta nên giảm bớt áp lực cho họ một cách hợp lý và công nhận và khích lệ họ nhiều hơn. Cho dù là phần thưởng bằng tiền hay sự công nhận danh dự, chúng ta nên trao cho họ những phần thưởng hợp lý trong khả năng của mình."
