Các đại diện của tiền điện tử Bitcoin, Ethereum và Dash chìm trong nước trong hình minh họa này được chụp vào ngày 23 tháng 5 năm 2022. REUTERS / Dado Ruvic / Hình minh họa

Ngày 9 tháng 8 (Reuters) – Một ngày khác, một vụ hack khác và một cây cầu blockchain khác bị cháy.

Khi những tên trộm đánh cắp ước tính 190 triệu đô la từ công ty tiền điện tử Nomad của Mỹ vào tuần trước, đây là vụ hack thứ bảy trong năm 2022 nhằm vào một bánh răng ngày càng quan trọng trong cỗ máy tiền điện tử: Blockchain “bridge” – chuỗi mã giúp di chuyển tiền điện tử giữa các ứng dụng khác nhau. Đọc thêm

Cho đến nay trong năm nay, tin tặc đã đánh cắp gần 1,2 tỷ đô la tiền điện tử từ các cây cầu, dữ liệu từ công ty phân tích blockchain Elliptic có trụ sở tại London cho thấy, nhiều hơn gấp đôi tổng số của năm ngoái.

Rongwe Ho, giáo sư khoa học máy tính tại Đại học Columbia ở New York và đồng sáng lập công ty an ninh mạng CertiK, cho biết: “Đây là một cuộc chiến mà cả công ty an ninh mạng và dự án chiến thắng đều không thể là người chiến thắng.

“Chúng tôi phải bảo vệ rất nhiều dự án. Đối với họ (tin tặc) khi họ xem xét một dự án và không có lỗi, họ có thể đơn giản chuyển sang dự án tiếp theo, cho đến khi họ tìm thấy một điểm yếu.”

Hiện tại, hầu hết các mã thông báo kỹ thuật số chạy trên blockchain duy nhất của riêng chúng, về cơ bản là một sổ cái kỹ thuật số công khai ghi lại các giao dịch tiền điện tử. Điều này có nguy cơ khiến các dự án sử dụng những đồng tiền này trở nên bị cô lập, giảm khả năng sử dụng rộng rãi.

Các cầu nối chuỗi khối nhằm mục đích phá bỏ những bức tường này. Những người ủng hộ nói rằng họ sẽ đóng một vai trò quan trọng trong ‘Web3’ – tầm nhìn rất phổ biến về một tương lai kỹ thuật số, nơi tiền điện tử tham gia vào cuộc sống trực tuyến và thương mại.

Nhưng cầu có thể là liên kết yếu nhất.

Vụ hack Nomad là vụ trộm tiền điện tử lớn thứ tám được ghi nhận. Các vụ trộm cầu khác trong năm nay bao gồm vụ trộm 615 triệu đô la ở Ronin, được sử dụng trong một trò chơi trực tuyến phổ biến và 320 triệu đô la ở Wormhole, được sử dụng trong cái gọi là các ứng dụng tài chính phi tập trung. Đọc thêm

Steve Pacey, đồng sáng lập kiêm Giám đốc điều hành của công ty phát hiện phần mềm độc hại PolySwarm cho biết: “Các cầu nối chuỗi khối là mảnh đất màu mỡ nhất cho các lỗ hổng mới.

gót chân Achilles

Nomad và các công ty khác làm phần mềm cầu nối blockchain đã thu hút được sự ủng hộ.

Chỉ 5 ngày trước khi nó bị tấn công, Nomad có trụ sở tại San Francisco cho biết họ đã huy động được 22,4 triệu đô la từ các nhà đầu tư bao gồm cả sàn giao dịch lớn Coinbase Global. (COIN.O). Giám đốc điều hành và đồng sáng lập của Nomad, Pranai Mohan đã mô tả mô hình bảo mật của nó là “tiêu chuẩn vàng”.

Nomad đã không trả lời yêu cầu bình luận.

Cô ấy nói rằng cô ấy đang làm việc với các cơ quan thực thi pháp luật và một công ty phân tích blockchain để theo dõi các khoản tiền bị đánh cắp. Cuối tuần trước, nó đã công bố phần thưởng lên tới 10% cho việc trả lại số tiền bị hack từ cây cầu. Vào thứ Bảy, họ cho biết họ đã thu hồi được hơn 32 triệu đô la tiền bị tấn công cho đến nay.

“Điều quan trọng nhất trong tiền điện tử là cộng đồng và mục tiêu số một của chúng tôi là lấy lại tiền của những người dùng được kết nối với nhau,” Mohan nói. “Chúng tôi sẽ coi bất kỳ bên nào trả lại 90% hoặc nhiều hơn số tiền đã sử dụng là mũ trắng. Chúng tôi sẽ không truy tố mũ trắng”, ông nói, đề cập đến cái gọi là tin tặc có đạo đức.

Một số chuyên gia bảo mật mạng và blockchain nói với Reuters rằng sự phức tạp của các cây cầu có nghĩa là chúng có thể là gót chân Achilles của các dự án và ứng dụng sử dụng chúng.

Ganesh Swami, Giám đốc điều hành của công ty dữ liệu blockchain Covalent ở Vancouver, công ty có một số tiền điện tử được lưu trữ trên cầu của Nomad khi nó bị tấn công, cho biết.

Ví dụ: một số cầu nối tạo ra các bản sao của tiền điện tử làm cho chúng tương thích với các chuỗi khối khác nhau, trong khi vẫn giữ các đồng tiền ban đầu ở mức dự trữ. Những người khác dựa vào các hợp đồng thông minh, các cam kết phức tạp để tự động thực hiện các giao dịch.

Đoạn mã liên quan có thể có tất cả các lỗi này hoặc các lỗ hổng khác, có thể để ngỏ cánh cửa cho tin tặc.

Phần thưởng lỗi

Vậy cách tốt nhất để giải quyết vấn đề là gì?

Một số chuyên gia cho biết kiểm tra hợp đồng thông minh có thể giúp bảo vệ chống lại hành vi trộm cắp trên mạng, cũng như các chương trình “tiền thưởng lỗi” khuyến khích các đánh giá mã nguồn mở về mã hợp đồng thông minh.

Những người khác kêu gọi ít tập trung hơn vào việc kiểm soát cầu nối của các công ty riêng lẻ, điều mà họ nói có thể nâng cao tính linh hoạt và tính minh bạch của mã.

Victor Young, người sáng lập và kiến ​​trúc sư trưởng của công ty blockchain Hoa Kỳ Analog cho biết: “Các cây cầu trên toàn chuỗi là mục tiêu hấp dẫn đối với tin tặc vì chúng thường tận dụng cơ sở hạ tầng tập trung, hầu hết đều khóa tài sản”.

Báo cáo bổ sung của Tom Wilson ở London và Medha Singh ở Bengaluru; Biên tập bởi Praveen Shar

Tiêu chí của chúng tôi: Các Nguyên tắc Tin cậy của Thomson Reuters.

Các ý kiến ​​bày tỏ là của tác giả. Chúng không phản ánh quan điểm của Reuters News, được cam kết theo Nguyên tắc Tin cậy về sự công bằng, độc lập và tự do không thiên vị.