Các nhà phát triển cần ngăn chặn tin tặc tiền điện tử vào năm 2023

Đăng ngày 04/11/2022
Một báo cáo chỉ ra rằng hơn 2,5 tỷ đô la tiền điện tử đã bị mất bởi các vụ hack cầu xuyên chuỗi chỉ trong hai năm qua.
Vi phạm dữ liệu của bên thứ ba đã bùng nổ. Vấn đề ở đây là gì? Các công ty, bao gồm cả các sàn giao dịch tiền điện tử, không biết cách bảo vệ chống lại chúng. Khi các sàn giao dịch ký hợp đồng với các nhà cung cấp mới, hầu hết chỉ mong đợi rằng các nhà cung cấp của họ sử dụng cùng một mức độ giám sát như họ làm. Những người khác không xem xét điều đó chút nào. Trong thời đại ngày nay, việc kiểm tra các lỗ hổng trong chuỗi cung ứng không chỉ là một phương pháp hay – nó thực sự cần thiết.
Nhiều sàn giao dịch được hỗ trợ bởi các nhà tài chính quốc tế và những người mới sử dụng công nghệ tài chính. Nhiều người thậm chí còn mới hoàn toàn về công nghệ, thay vào đó được hỗ trợ bởi các nhà đầu tư mạo hiểm đang tìm cách chân ướt chân ráo bước vào một ngành công nghiệp đang phát triển mạnh mẽ. Về bản chất, đó không nhất thiết là một vấn đề. Tuy nhiên, các công ty chưa trưởng thành trong lĩnh vực fintech thường không nắm bắt đầy đủ mức độ rủi ro bảo mật vốn có liên quan đến việc trở thành người giám sát hàng trăm triệu đô la tài sản kỹ thuật số.
Chúng tôi đã thấy điều gì sẽ xảy ra khi đối mặt với tình trạng bảo mật không đầy đủ, vượt ra ngoài sự quản lý của nhà cung cấp và trải dài thành các cầu nối xuyên chuỗi. Chỉ trong tháng 10, Binance đã phải đối mặt với một vụ hack cầu trị giá 9 con số. Sau đó, còn có vụ hack cầu Wormhole, một vụ vi phạm chín con số khác. Vụ hack cầu Ronin dẫn đến mất mát tài sản hơn nửa tỷ đô la.
Trên thực tế, một báo cáo mới chỉ ra rằng trong khoảng thời gian hai năm, hơn 2,5 tỷ đô la tài sản đã bị đánh cắp do các vụ hack cầu xuyên chuỗi, giảm thiểu thiệt hại liên quan đến các vi phạm liên quan đến cho vay tài chính phi tập trung và các sàn giao dịch phi tập trung cộng lại.
Tuy nhiên, vi phạm của bên thứ ba không chỉ là một vấn đề đối với ngành công nghiệp tiền điện tử và chúng chắc chắn không chỉ giới hạn ở những người chơi nhỏ. Đầu năm nay, hệ thống trường học của Thành phố New York đã xảy ra một vụ vi phạm liên quan đến nhà cung cấp bên thứ ba khiến hơn 800.000 người bị ảnh hưởng. Vi phạm của bên thứ ba là biên giới mới cho các tác nhân xấu.
Điều này đặc biệt đúng khi các quốc gia ngày càng phụ thuộc nhiều hơn vào tin tặc như một vấn đề của chính sách đối ngoại. Đặc biệt, các nhóm bên ngoài Triều Tiên và Nga đang tìm kiếm những bình mật ong mà từ đó họ có thể bòn rút tài sản. Điều này khiến ngành công nghiệp tiền điện tử trở thành mục tiêu hàng đầu.
Cách duy nhất để ngăn chặn những vấn đề này trước khi họ hạ gục ngành công nghiệp là thiết kế lại cách nó nhận thức các sáng kiến ​​bảo mật của bên thứ ba. Các bên thứ ba cần kiểm tra toàn diện và kỹ lưỡng trước khi họ được phép truy cập vào bất kỳ loại dữ liệu tổ chức nào. Khi họ được phép truy cập, điều quan trọng là giới hạn phạm vi tiếp cận của họ chỉ với dữ liệu thực sự cần thiết và thu hồi các quyền đó khi không còn được yêu cầu nữa, vì điều đó sẽ có lợi cho những người liên quan đến vi phạm Ronin. Ngoài ra, điều quan trọng là phải xem xét các thông lệ về quyền riêng tư của từng nhà cung cấp.
Giống như với cầu nối, rủi ro của các nhà cung cấp bên thứ ba có liên quan đến hệ thống của tổ chức. Hầu hết các cầu nối chuỗi chéo đều bị phá vỡ sau khi lỗi được đưa vào mã hoặc khi khóa bị rò rỉ. Những cuộc tấn công cầu nối này có thể được giảm thiểu và trong nhiều trường hợp, được ngăn chặn. Cho dù vi phạm là do gửi tiền sai hay do sự cố của trình xác thực, thì lỗi của con người thường là một vấn đề. Sau khi các vụ hack trở thành tiêu đề, các cuộc điều tra cho thấy rằng những lỗi này trong mã có thể đã được sửa với tầm nhìn xa.
Cụ thể, những bước nào có thể có ảnh hưởng đến các vụ hack xuyên cầu, như Binance, mà chúng ta đã thấy gần đây? Mã cầu nối cần được thường xuyên kiểm tra và thử nghiệm trước và sau khi phát hành. Một trong những cách hiệu quả nhất để làm điều này là sử dụng tiền thưởng lỗi. Địa chỉ hợp đồng thông minh cần được giám sát liên tục, cũng như tiền gửi sai. Cần có một nhóm bảo mật tại chỗ, một nhóm sử dụng trí thông minh nhân tạo để đánh dấu các rủi ro tiềm ẩn, để giám sát các nỗ lực quản lý rủi ro này.
Với suy nghĩ nhiều hơn về bảo mật trên giao diện người dùng, sẽ có ít tiêu đề xấu hơn. Sẽ ít tốn kém hơn nhiều so với việc thuê các hacker mũ trắng để tìm ra các khai thác trước khi những kẻ xấu làm hơn là đợi những kẻ xấu tự tìm ra chúng.
Trong lịch sử, ngành công nghiệp này đã có một phần công bằng với các tiêu đề xấu. Nó thậm chí đã có một phần công bằng trong số các vụ hack chín con số. Năm nay, có vẻ như họ đã trở thành một phần gần như được chấp nhận trong ngành tài sản kỹ thuật số. Tuy nhiên, khi chính trị ngày càng trở nên đan xen với các quy định về tiền điện tử, chưa bao giờ có mối đe dọa lớn hơn. Khi tin tặc có sự hậu thuẫn của quốc gia-nhà nước tận dụng nhiều hơn các kết nối của bên thứ ba này, chúng sẽ bị giám sát chặt chẽ hơn. Không có nghi ngờ gì về điều đó. Nó chỉ là một câu hỏi về thời gian.
Câu hỏi đó có thể sẽ được trả lời ngay sau khi Quốc hội Hoa Kỳ hoàn thiện luật mới về vấn đề này. Có nghĩa là quy định sẽ là bước tiếp theo hợp lý – trừ khi ngành công nghiệp hành động quá vội vàng.
Tổng hợp: Coinf0
Tham gia cộng đồng CoinF0 trên Telegram để cập nhật tin tức thị trường Crypto nhanh nhất và tiếp cận thông tin những dự án tiềm năng
Tham Gia CoinF0 Ngay