Đầu năm nay, một trong những sàn giao dịch tiền điện tử lớn nhất Hàn Quốc đã phát hiện hoạt động rút tiền bất thường từ một trong những ví nóng của mình. Khoảng 15 phút và hàng trăm giao dịch sau đó, khoảng 44,5 tỷ KRW (33 - 35 triệu đô la) đã bị rút sạch và nền tảng đã tạm dừng tất cả các lần rút tiền. Tài sản bị đánh cắp bao gồm các mã thông báo lớn như USDC, BONK, SOL, ORCA, RAY, PYTH, JUP và mặc dù sàn giao dịch đã có thể đóng băng hơn một nửa số tiền bị đánh cắp (trị giá 23 tỷ KRW tiền mã thông báo LAYER), phần còn lại đã không thể khôi phục được. Phân tích về mô hình và thời điểm rút tiền cho thấy cuộc tấn công không phải do lỗi hợp đồng thông minh hoặc lỗi cấp độ người dùng, mà là do xâm phạm luồng ký ví nóng.
Trong bài viết này, chúng tôi sẽ tìm hiểu các xu hướng tấn công sàn giao dịch hiện tại, xem xét sâu hơn về vụ trộm và minh họa cách Bộ phát hiện xâm phạm ví của Hexagate và GateSigner có thể phát hiện sớm vụ xâm phạm để hạn chế số tiền bị đánh cắp.
Các vụ vi phạm Sàn tập trung (CEX) và Custodian đang gia tăng
Sự cố mới nhất này trên một sàn giao dịch lớn phản ánh một xu hướng rõ ràng trong ngành: Các vụ vi phạm Sàn tập trung (CEX) và đơn vị Custodian đang gia tăng, do tính phức tạp ngày càng tăng của việc vận hành các hệ thống rút tiền Multi-Chain nhanh chóng trong môi trường đám mây phức tạp. Mặc dù các sàn giao dịch và đơn vị lưu ký hiện đang quản lý một số luồng on-chain phức tạp nhất của thị trường, nhiều nhà phát triển vẫn đánh giá thấp nhu cầu bảo mật on-chain mạnh mẽ, thường dựa vào những nỗ lực mà sau này tỏ ra không đủ hiệu quả.
Sau gần một thập kỷ theo dõi môi trường khách hàng và theo dõi các nhóm đe dọa như Lazarus , sự thay đổi đã rõ ràng: kẻ tấn công ngày càng nhắm mục tiêu vào các đơn vị lưu ký và sàn giao dịch tiền điện tử (CEX) vì mức độ rủi ro cao và quy mô hoạt động lớn và phức tạp. Các cuộc tấn công gần đây vào Bybit , BTCTurk, SwissBorg, Phemex, và giờ là sàn giao dịch Hàn Quốc này đều đi theo cùng một mô hình: thiệt hại hàng triệu đô la chỉ do một điểm tấn công duy nhất.
Mỗi trường hợp đều có nguyên nhân gốc rễ khác nhau — tấn công phi kỹ thuật dẫn đến xâm phạm tài khoản, lỗi an ninh mạng trong một nền tảng công nghệ, phần mềm độc hại, các mối đe dọa nội bộ, và nhiều hơn nữa. Đó là cách những kẻ tấn công tinh vi hoạt động: chúng chỉ cần một điểm yếu. Giả định thực tế không phải là "chúng ta được bảo vệ hoàn toàn", mà là "cuối cùng sẽ có thứ gì đó bị hỏng". Và khi điều đó xảy ra, mọi thứ phụ thuộc vào tốc độ phát hiện và phản ứng của bạn. Việc phát hiện và phản ứng mạnh mẽ theo thời gian thực sẽ không loại bỏ hoàn toàn rủi ro, nhưng nó sẽ ngăn chặn một vi phạm hoạt động trở thành một tổn thất thảm khốc.
Chuyện gì đã xảy ra thế?
Trước khi sự cố xảy ra, một trong hàng trăm ví Solana liên kết với sàn giao dịch liên quan đến sự cố này vẫn hoạt động bình thường trong nhiều tuần; số dư của nó tăng giảm thất thường, nhưng chưa bao giờ về 0. Tuy nhiên, trong vụ tấn công, nó đã bị rút hết chỉ trong vài phút — một hiện tượng cực kỳ hiếm gặp trong các hoạt động hợp pháp và rất dễ bị xâm phạm. Một số dấu hiệu chính nổi bật:
- Mô hình "rút về 0": Mọi ví liên quan đều hiển thị cùng một dấu hiệu: số dư giảm xuống 0 trong một khoảng thời gian rất Short . Hiện tượng này hoàn toàn không xảy ra trong các giao dịch thông thường.
- Lượng tiền giá trị cao chảy ra tăng đột biến: Trong bảy ngày trước đó, chỉ có một trường hợp chảy ra khoảng 100.000 đô la từ bất kỳ ví Solana nào của sàn giao dịch. Trong suốt cuộc tấn công, đã có khoảng 80 giao dịch như vậy xảy ra trong khoảng thời gian 15 phút.
- Thực hiện với tần suất cao trên nhiều tài sản: Kẻ tấn công đã di chuyển hàng chục mã thông báo qua hàng trăm giao dịch, một mô hình bùng nổ nổi bật so với hành vi cơ bản.
Đây chính xác là những loại tín hiệu màcác hệ thống phân tích hành vi tự động tiên tiến, chẳng hạn như Chainalysis Hexagate, được thiết kế để phát hiện theo thời gian thực. Cuối cùng, sàn giao dịch đã đưa ra quyết định đúng đắn bằng cách tạm dừng rút tiền, một hành động quyết đoán bảo vệ người dùng và nền tảng. Những sự cố như thế này cho thấy sức mạnh của các cơ chế phát hiện và phản hồi hoàn toàn tự động: với các quy trình xử lý theo thời gian thực phù hợp, các bất thường có thể được gắn cờ và giảm thiểu chỉ trong vài giao dịch ban đầu, trước khi xảy ra biến động đáng kể.
Hoạt động ban đầu sau vụ trộm
Ở giai đoạn này, kẻ khai thác có thể đang tập trung vào việc hoán đổi tài sản bị đánh cắp thông qua các nhà tạo lập thị trường tự động (AMM) để chuyển đổi chúng thành các token khó bị đóng băng hơn đối với bên phát hành. Đây là hành vi điển hình ở giai đoạn đầu sau một vụ xâm nhập ví nóng quy mô lớn. Trong biểu đồ Chainalysis Reactor bên dưới, chúng ta thấy rằng hầu hết các chuyển động cho đến nay là hợp nhất và luân chuyển loại tài sản thay vì phân tán.
Cách Chainalysis Hexagate phát hiện và ngăn chặn việc rút tiền trong ví
1. Bộ phát hiện xâm phạm ví
Một bộ giám sát thời gian thực tìm kiếm những dấu hiệu sớm nhất của ví nóng bị xâm phạm, được bổ sung thông tin tình báo từ Chainalysis, bao gồm:
- Phát hiện kiểu rút tiền: phát hiện ví đột nhiên giảm xuống mức 0.
- Phát hiện giao dịch đột xuất: đánh dấu các giao dịch rút tiền nhanh, giá trị cao trong thời gian Short .
- Phát hiện người nhận không xác định: cảnh báo khi tiền được chuyển đến các địa chỉ bên ngoài hệ sinh thái nội bộ đáng tin cậy.
- Phát hiện xâm phạm dựa trên ML: các mô hình được đào tạo dựa trên các sự kiện xâm phạm Sàn tập trung (CEX) trong lịch sử và hành vi hệ sinh thái rộng hơn.
Những tín hiệu này xuất hiện ngay trong vài giao dịch đầu tiên, và trong một số trường hợp, thậm chí trước đó, dựa trên sự thay đổi hành vi ban đầu. Với những bộ phát hiện sớm này, CEX cũng có thể thiết lập phản hồi tự động, vì vậy khi bạn tăng cường phòng thủ (tạm dừng rút tiền, chuyển sang Ví lạnh, cách ly luồng), việc này sẽ diễn ra nhanh hơn, nhất quán hơn và ít sai sót vận hành hơn.
2. GateSigner (bảo vệ trước khi ký)
GateSigner kết nối với quy trình ký kết của bạn và mô phỏng mọi giao dịch để phát hiện hoạt động rủi ro, cung cấp cho nhóm của bạn một bước kiểm tra quan trọng trước khi phê duyệt giao dịch:
- Đầu tiên, quá trình rút lui được mô phỏng.
- Kết quả sẽ được kiểm tra dựa trên màn hình giám sát của bạn.
- Nếu có vấn đề gì xảy ra, GateSigner sẽ chặn hoặc đẩy nhanh giao dịch trước khi nó được đưa vào chuỗi. Điều này ngăn chặn cơ sở hạ tầng của bạn vô tình ký chính những giao dịch mà kẻ tấn công đang cố gắng thực hiện.
Một số suy nghĩ cuối cùng
Việc xâm phạm ví nóng đang trở thành một trong những rủi ro tốn kém và thường xuyên nhất mà các đơn vị lưu ký và sàn giao dịch phải đối mặt hiện nay. Các tổ chức có vị thế tốt nhất là những tổ chức đầu tư vào việc phát hiện sớm và kiểm soát chặt chẽ các quy trình ký kết của mình. Bộ công cụ Phát hiện Xâm phạm Ví và GateSigner của Hexagate cung cấp cho các CEX khả năng phát hiện các bất thường ngay lập tức, Block các giao dịch rút tiền nguy hiểm trước khi chúng được thực hiện và tự động hóa phản ứng phù hợp vào đúng thời điểm. Đây là cách hiệu quả nhất để biến một vi phạm không thể tránh khỏi thành một sự kiện được kiểm soát và bảo vệ người dùng, hoạt động và toàn bộ doanh nghiệp.
Tìm hiểu thêm về cách Wallet Compromise Detection Kit và Gatesigner có thể giúp bạn tránh trở thành nạn nhân của vụ trộm lớn tiếp theo hoặc yêu cầu bản demo ngay hôm nay.
Trang web này chứa các liên kết đến các trang web của bên thứ ba không thuộc quyền kiểm soát của Chainalysis, Inc. hoặc các chi nhánh của công ty (gọi chung là "Chainalysis"). Việc truy cập vào những thông tin này không ngụ ý việc Chainalysis liên kết, xác nhận, chấp thuận hoặc khuyến nghị trang web hoặc nhà điều hành của trang web, và Chainalysis không chịu trách nhiệm về các sản phẩm, dịch vụ hoặc nội dung khác được lưu trữ trên đó.
Tài liệu này chỉ nhằm mục đích cung cấp thông tin và không nhằm mục đích cung cấp tư vấn pháp lý, thuế, tài chính hoặc đầu tư. Người nhận nên tham khảo ý kiến cố vấn của mình trước khi đưa ra những quyết định như vậy. Chainalysis không chịu trách nhiệm hoặc nghĩa vụ pháp lý đối với bất kỳ quyết định nào được đưa ra hoặc bất kỳ hành vi hoặc thiếu sót nào khác liên quan đến việc Người nhận sử dụng tài liệu này.
Chainalysis không đảm bảo hoặc bảo hành tính chính xác, đầy đủ, kịp thời, phù hợp hoặc hợp lệ của thông tin trong báo cáo này và sẽ không chịu trách nhiệm cho bất kỳ khiếu nại nào do lỗi, thiếu sót hoặc sai sót khác của bất kỳ phần nào trong tài liệu đó.
Bài đăng 35 triệu đô la tiền điện tử bị rút trong 15 phút: Các vụ tấn công sàn giao dịch đang diễn ra như thế nào và cách ngăn chặn chúng xuất hiện đầu tiên trên Chainalysis .
