Theo công ty phân tích blockchain Chainalysis, một hacker tiền điện tử đã rút 26 triệu đô la từ giao thức Truebit dựa trên Ethereum vào tháng Giêng có thể đã thực hành kỹ thuật này trên các mục tiêu nhỏ hơn trước đó.
Một hợp đồng bị bỏ ngỏ trong nhiều năm
Vụ tấn công Truebit là vụ lớn nhất trong bốn sự cố mà Chainalysis đã xác định trong một báo cáo mới về sáu tháng qua. Tổng cộng, các cuộc tấn công này — nhắm vào Truebit, Trusted Volumes, Aperture Finance và Ekubo — gây thiệt hại khoảng 37 triệu đô la, tất cả đều bắt nguồn từ các hợp đồng có mã nguồn chưa từng được xác minh công khai trên các trình khám phá blockchain.
Hợp đồng Truebit đã tồn tại trên Ethereum từ năm 2021. Nó được biên dịch bằng Solidity v0.5.3, một phiên bản được phát hành trước khi các biện pháp bảo vệ chống tràn số tự động trở thành tiêu chuẩn. Một kẻ tấn công đã tìm thấy một lỗ hổng tràn số nguyên bên trong cơ chế Bonding Curve của nó và sử dụng nó để Mint một lượng lớn token với chi phí tối thiểu trước khi chuyển đổi chúng thành ETH.
Vì sao mã nguồn đóng lại tạo ra rủi ro mở?
Các hợp đồng đã được xác minh sẽ được xem xét kỹ lưỡng. Những người săn săn lỗi nhận tiền thưởng sẽ đọc chúng. Các nhà nghiên cứu độc lập sẽ phát hiện ra các vấn đề trước khi kẻ tấn công làm điều đó. Các hợp đồng chưa được xác minh sẽ không nhận được bất kỳ sự kiểm tra nào như vậy, và nhiều chương trình săn lỗi nhận tiền thưởng trừ chúng khỏi phạm vi bao phủ — điều này có nghĩa là các lỗ hổng có thể không được khắc phục trong nhiều năm trong khi hàng triệu đô la được chuyển qua mã nguồn bị ảnh hưởng.
Theo Chainalysis, lỗ hổng đó chính là điều mà những kẻ tấn công đang khai thác. Mỗi một trong bốn hợp đồng bị xâm phạm đều thiếu mã nguồn công khai. Thay vào đó, những kẻ tấn công đã làm việc dựa trên mã bytecode đã được dịch ngược, chuyển đổi mã thô on-chain thành đầu ra dễ đọc bằng các công cụ như Dedaub, Heimdall và Panoramix.
Sau khi được dịch ngược mã, mã nguồn có thể được đưa vào các hệ thống trí tuệ nhân tạo có khả năng phát hiện các lỗi tái nhập, lỗi số học và điểm yếu kiểm soát truy cập ở mức độ mà không một người đánh giá nào có thể sánh kịp.
Con số 36,7 triệu đô la chỉ là một phần nhỏ trong tổng thiệt hại DeFi trong cùng kỳ — Chainalysis ước tính tổng số tiền bị đánh cắp trong sáu tháng qua lên tới hơn 1 tỷ đô la. Tuy nhiên, công ty này lập luận rằng vấn đề hợp đồng chưa được xác minh có thể ngày càng trầm trọng hơn khi các công cụ phân tích tự động trở nên rẻ hơn và dễ sử dụng hơn, cho phép kẻ tấn công quét một lượng lớn các hợp đồng không hoạt động và xếp hạng chúng theo mức độ dễ bị khai thác.
Các điểm yếu rất đa dạng, nhưng mô hình thì không.
Trong bốn sự cố, các lỗi cụ thể lại khác nhau. Các báo cáo cho thấy các điểm yếu bao gồm từ lỗi tràn số nguyên và lỗi kiểm soát truy cập đến lỗi xác thực đầu vào và các khiếm khuyết trong việc xác minh danh tính.
Điểm chung của họ là cùng một lỗ hổng bảo mật: không có mã nguồn công khai, không có đánh giá bên ngoài và không có hệ thống giám sát thời gian thực để phát hiện hoạt động bất thường trước khi tiền bị thất thoát.
Chainalysis khuyến nghị rằng các giao thức nên coi việc xác minh mã nguồn là yêu cầu cơ bản đối với bất kỳ hợp đồng nào nắm giữ tài sản của người dùng.
Công ty này cũng cho rằng các cuộc kiểm toán và chương trình săn lỗi nhận tiền thưởng nên mở rộng đến các hợp đồng triển khai nằm sau các cấu trúc trung gian — những thành phần thường không được xem xét ngay cả khi hợp đồng chính đã được xác minh.
Hình ảnh nổi bật từ CybersecAsia , biểu đồ từ TradingView.
