Safe không muốn nhận trách nhiệm về vụ tai nạn an toàn lớn nhất trong lịch sử

avatar
Asher
1tháng trước
Bài viết có khoảng 3142từ,đọc toàn bộ bài viết mất khoảng 4 phút
Bybit chỉ ra rằng Safe có lỗ hổng, nhưng Safe khẳng định không có vấn đề gì. Ai nên chịu trách nhiệm bảo mật đằng sau nó?

Bản gốc | Odaily Planet Daily ( @OdailyChina )

Tác giả | Asher ( @Asher_0210 )

Safe không muốn nhận trách nhiệm về vụ tai nạn an toàn lớn nhất trong lịch sử

Đêm qua, đồng sáng lập kiêm giám đốc điều hành Bybit Ben Zhou đã công bố báo cáo pháp y tin tặc do Sygnia và Verichains cung cấp trên nền tảng X , tiết lộ rằng vụ trộm tiền là do lỗ hổng trong cơ sở hạ tầng Safe. Ngoài ra, mã độc đã được triển khai lúc 15:29:25 UTC ngày 19 tháng 2, nhắm mục tiêu cụ thể vào ví lạnh đa chữ ký Ethereum của Bybit. Bị ảnh hưởng bởi tin tức này, SAFE đã giảm hơn 10% trong một thời gian ngắn. Giá bắt đầu giảm từ 0,5 đô la Mỹ và giảm xuống dưới 0,44 đô la Mỹ trong thời gian ngắn.

Tiếp theo, Odaily Planet Daily sẽ giải quyết phản hồi của nhóm Safe và ý kiến của cộng đồng sau khi Bybit chỉ ra rằng Safe có lỗ hổng bảo mật.

Giới thiệu dự án an toàn

Tiền thân của Safe được gọi là Gnosis Safe. Dự án ban đầu chỉ là một công cụ đa chữ ký cho người dùng nhóm Gnosis để quản lý quỹ ICO, nhưng sau đó nhóm đã quyết định quảng bá công cụ nội bộ này như một dịch vụ công cộng.

Với sự phát triển của chính dự án và sự lặp lại của các câu chuyện trong ngành (đặc biệt là sự gia tăng của khái niệm trừu tượng hóa tài khoản), Safe không còn là một công cụ đa chữ ký đơn giản nữa mà đã chuyển đổi thành một cơ sở hạ tầng tài khoản hợp đồng thông minh mô-đun. Nó hy vọng sẽ dần thay thế các tài khoản EoA chính thống hiện tại thông qua các tài khoản hợp đồng thông minh mặc định, đặt nền tảng cho sự phổ biến hơn nữa của tiền điện tử.

Safe chỉ có một vòng tài trợ công trong lịch sử. Vào tháng 7 năm 2022, Safe đã công bố hoàn tất đợt tài trợ chiến lược trị giá 100 triệu đô la Mỹ, do 1kx dẫn đầu, với sự tham gia của Tiger Global, AT Capital, Blockchain Capital, Digital Currency Group, IOSG Ventures, Greenfield One, Rockaway Blockchain Fund, ParaFi, Lightspeed, Polymorphic Capital, Superscrypt và 50 đối tác chiến lược khác cùng các chuyên gia trong ngành (đội hình đáng tự hào của năm đó) .

Phản hồi chính thức của Safe đối với báo cáo pháp y tin tặc Bybit: Không có lỗ hổng nào trong hợp đồng và mã giao diện người dùng

Để phản hồi báo cáo giám định tin tặc của Bybit, nhóm Safe{Wallet} đã ngay lập tức tiến hành một cuộc điều tra chi tiết và phân tích cuộc tấn công có chủ đích do Nhóm Lazarus thực hiện vào Bybit (Nhóm Lazarus, còn được gọi là Guardians hoặc Peace or Whois Team, là một nhóm tin tặc bao gồm một số lượng người không xác định, được cho là do chính phủ Triều Tiên kiểm soát. Mặc dù mọi người biết rất ít về nhóm này, nhưng các nhà nghiên cứu đã quy kết nhiều cuộc tấn công mạng cho nhóm này kể từ năm 2010) .

Máy của nhà phát triển đã bị hack, dẫn đến việc tiền của Bybit bị đánh cắp, nhưng không có lỗ hổng nào trong hợp đồng và mã giao diện. Cuộc điều tra của nhóm đã xác nhận rằng cuộc tấn công không đạt được thông qua hợp đồng thông minh Safe hoặc lỗ hổng mã giao diện, mà bằng cách lây nhiễm vào máy của nhà phát triển Safe{Wallet}, từ đó khởi chạy một giao dịch độc hại được ngụy trang. Phân tích pháp y của các chuyên gia bảo mật bên ngoài không tìm thấy vấn đề bảo mật nào ở cấp độ hệ thống hoặc hợp đồng, cho thấy nguyên nhân gốc rễ của cuộc tấn công là lỗ hổng bảo mật trên máy của nhà phát triển .

Sau sự cố, Safe{Wallet} đã triển khai biện pháp ứng phó toàn diện, xây dựng lại toàn bộ cơ sở hạ tầng, cập nhật thông tin đăng nhập và loại bỏ hoàn toàn phương thức tấn công. Hiện tại, Safe{Wallet} đã tiếp tục hoạt động bình thường trên mạng chính Ethereum, sử dụng phương pháp triển khai theo từng giai đoạn để đảm bảo an ninh hệ thống. Đồng thời, nhóm Safe{Wallet} sẽ tiếp tục thúc đẩy khả năng xác minh giao dịch và cam kết cải thiện tính bảo mật và tính minh bạch của ngành Web3. Mặc dù giao diện Safe{Wallet} đang hoạt động bình thường và đã thực hiện các biện pháp bảo mật bổ sung, nhóm vẫn nhắc nhở người dùng phải hết sức cẩn thận và cảnh giác khi ký giao dịch.

Tuy nhiên, báo cáo sự cố do Safe công bố không được chấp nhận rộng rãi. Người ta tin rằng cách diễn đạt mơ hồ trong báo cáo làm lu mờ các vấn đề cốt lõi. Như nhà đồng sáng lập Binance CZ đã nói trên nền tảng X, Mặc dù nhìn chung không chỉ trích những người tham gia ngành khác, nhiều vấn đề trong báo cáo không được giải thích rõ ràng, để lại nhiều câu hỏi hơn là câu trả lời sau khi đọc.

Tại sao phần đầu xe Safe bị can thiệp vẫn cần phải tiết lộ chi tiết

Thương hiệu Safe hiện chỉ xứng đáng với phần hợp đồng thông minh . SlowMist Yuxian đăng trên nền tảng X, Safe cuối cùng đã bị hack. Đúng là phần hợp đồng thông minh vẫn ổn (có thể dễ dàng xác minh trên chuỗi), nhưng giao diện đã bị can thiệp và làm giả để đạt được hiệu ứng lừa đảo. Còn lý do tại sao lại bị can thiệp, hãy đợi thông tin chi tiết chính thức của Safe được tiết lộ.

Tôi sợ đánh động kẻ thù nên chỉ để mắt tới Bybit, con thỏ béo ú.

Safe là một loại cơ sở hạ tầng bảo mật. Nhiều người đã sử dụng phiên bản có vấn đề. Về lý thuyết, bất kỳ ai sử dụng ví đa chữ ký này đều có thể bị đánh cắp như Bybit, nhưng vì không phải Bybit nên không bị kích hoạt. Do đó, tất cả các dịch vụ tương tác với người dùng khác có giao diện người dùng, API, v.v. đều có thể gặp rủi ro. Đây cũng là một cuộc tấn công chuỗi cung ứng cổ điển. Có lẽ mô hình quản lý bảo mật cho các tài sản lớn/lớn cần được nâng cấp đáng kể.

Ngoài ra, các thành viên cộng đồng chỉ ra rằng chỉ còn hai tháng nữa là nguồn tài trợ sẽ được mở khóa và tác động tiêu cực hiện tại đã khiến áp lực thời gian mà Safe phải đối mặt trở nên nghiêm trọng hơn, và vẫn chưa chắc chắn liệu tổ chức này có thể vượt qua khó khăn này trong tương lai hay không.

bản tóm tắt

Trong sự cố này, lỗ hổng bảo mật của Safe đã phơi bày một số vấn đề quan trọng trong lĩnh vực bảo mật Web3, gióng lên hồi chuông cảnh báo cho toàn bộ ngành.

Đầu tiên, việc quản lý tính phức tạp của hợp đồng thông minh là rất quan trọng, đặc biệt là trong các ứng dụng có chức năng phức tạp như ví đa chữ ký. Mặc dù ví đa chữ ký được thiết kế để cải thiện bảo mật, các chức năng phức tạp như delegatecall có thể dễ dàng dẫn đến lỗ hổng bảo mật tiềm ẩn nếu không được quản lý đúng cách. Do đó, các hợp đồng thông minh phải được kiểm toán chặt chẽ và thử nghiệm đầy đủ để đảm bảo không bỏ sót bất kỳ lỗ hổng nào.

Thứ hai, không thể bỏ qua tầm quan trọng của việc xác minh giao diện đầu vào. Tin tặc đã phát động các cuộc tấn công bằng cách can thiệp vào giao diện người dùng, gây mất mát tài sản của người dùng, làm lộ ra điểm yếu của hệ thống chống can thiệp ở giao diện người dùng. Để ngăn chặn các cuộc tấn công như vậy, cơ chế xác minh giao diện người dùng phải được tăng cường để đảm bảo rằng mỗi liên kết có thể xác định hiệu quả các hình thức ngụy trang độc hại và ngăn người dùng bị đánh lừa khi ký giao dịch.

Cuối cùng, kiểm soát quyền toàn diện và quét rủi ro theo thời gian thực là chìa khóa để ngăn ngừa các sự cố tương tự xảy ra lần nữa. Việc thiếu quản lý quyền chi tiết và hệ thống giám sát thời gian thực khiến kẻ tấn công dễ dàng vượt qua hàng phòng thủ và thực hiện các hoạt động độc hại. Do đó, khi thiết kế và triển khai hợp đồng thông minh, cần phải đưa ra nhiều cơ chế xác nhận, cung cấp thêm biện pháp bảo vệ cho các hoạt động có rủi ro cao và tăng cường giám sát rủi ro theo thời gian thực để có thể xác định và xử lý kịp thời các mối đe dọa tiềm ẩn.

Bài viết gốc, tác giả:Asher。Tuyển dụng: Nhân viên kinh doanh phần mềm theo dự án report@odaily.email;Vi phạm quy định của pháp luật.

Odaily nhắc nhở, mời đông đảo độc giả xây dựng quan niệm đúng đắn về tiền tệ và khái niệm đầu tư, nhìn nhận hợp lý về blockchain, nâng cao nhận thức về rủi ro; Đối với manh mối phạm tội phát hiện, có thể tích cực tố cáo phản ánh với cơ quan hữu quan.

Sự an toàn
hợp đồng thông minh
Asher

Asher

Xem thêm
Đọc nhiều nhất
Lựa chọn của người biên tập
twitter.png
discord.png
telegram.png Group
telegram.png Channel
weibo.png
Github.png