- Giao thức NFT OMNI đã bị vi phạm và 1.300 ETH trong quỹ thử nghiệm nội bộ đã bị đánh cắp.
- Kẻ tấn công đã sử dụng một cuộc tấn công lần đầu tiên là một phương pháp được sử dụng để tận dụng các lỗ hổng trong hợp đồng thông minh.
- Không gian NFT vẫn là mục tiêu phổ biến của những kẻ xấu tìm kiếm cơ hội xâm nhập hệ thống và ăn cắp tiền ở bất cứ đâu chúng có thể.
Từ khóa: OMNI, NFT, Reentrancy, hack, giao thức, quỹ thử nghiệm.
Vào ngày 10 tháng 7 năm 2022, giao thức OMNI của NFT đã bị vi phạm, mất 1.300 ETH trong quỹ thử nghiệm. Theo thị trường tiền tệ NFT, không có quỹ nào của người dùng bị ảnh hưởng. Nhóm OMNI giải thích thêm rằng Giao thức vẫn đang trong giai đoạn thử nghiệm trong khi nó đã bị tạm ngưng. Nó nói thêm rằng nó hiện đang điều tra nguyên nhân của vụ tấn công. Tuy nhiên, công ty bảo mật blockchain, PeckShield sau đó cho biết đây dường như là một cuộc tấn công liên quan đến sự gần gũi. Nhóm OMNI vẫn chưa đánh giá đầy đủ và khám nghiệm sau vụ tấn công.
Một số cuộc tấn công đã xảy ra trong không gian DeFi và NFT, với những kẻ xấu đánh cắp hàng trăm triệu đô la.
OMNI là một thị trường tiền tệ NFT cung cấp các dịch vụ cho vay và cho vay. Người dùng có thể kiếm lãi bằng cách cho mượn NFT và các mã thông báo ERC-20 khác. Các tài sản này cũng có thể được sử dụng để thế chấp cho các khoản vay.
Một số cuộc tấn công đã xảy ra trong không gian DeFi và NFT, với những kẻ xấu đánh cắp hàng trăm triệu đô la.
OMNI là một thị trường tiền tệ NFT cung cấp các dịch vụ cho vay và cho vay. Người dùng có thể kiếm lãi bằng cách cho mượn NFT và các mã thông báo ERC-20 khác. Các tài sản này cũng có thể được sử dụng để thế chấp khoản vay.
NFT và Tấn công mạng
Mặc dù doanh số bán hàng chậm lại, thị trường NFT vẫn là một trong những phân khúc hoạt động tích cực nhất trong ngành công nghiệp tiền điện tử. Do đó, nó được xếp hạng là mục tiêu hàng đầu của tin tặc, những kẻ tìm kiếm cơ hội xâm nhập hệ thống và ăn cắp tiền bất cứ khi nào có thể.
Những sự cố như vậy đã xảy ra nhiều lần trong năm nay. XCarnival, một nhóm cho vay NFT, đã mất khoảng 4 triệu đô la do một cuộc tấn công, mặc dù hacker đã nhận được phần thưởng 1.500 ETH. Nhiều nỗ lực lừa đảo cũng đã được thực hiện chống lại Câu lạc bộ Du thuyền Bored Ape, nhắm mục tiêu Discord và các nền tảng truyền thông xã hội khác.
Vụ việc đáng chú ý nhất trong lĩnh vực này là vụ hack cầu Ronin, dẫn đến hành vi trộm cắp hơn 600 triệu USD. Các nhà phân tích tin rằng tin tặc Triều Tiên đứng sau vụ việc. Tuy nhiên, do sự sụt giảm thị trường gần đây, giá trị tiền mã hóa bị đánh cắp của Triều Tiên đã giảm đáng kể.
Cuộc tấn công Reentrancy là gì?
Reentrancy là một thuật ngữ đã được sử dụng trong máy tính trong nhiều năm để mô tả quá trình mà một quá trình có thể bị gián đoạn khi đang thực hiện, một sự xuất hiện khác của cùng một chức năng có thể bắt đầu và cả hai quá trình có thể kết thúc để hoàn thành. Hàng ngày, chúng tôi sử dụng các hàm reentrant để tính toán một cách an toàn. Một ví dụ điển hình là khả năng bắt đầu một bản nháp email trên máy chủ, thoát khỏi nó để gửi một email khác, sau đó quay lại bản nháp để hoàn tất và gửi nó.
Hãy xem xét một hệ thống ngân hàng trực tuyến được thiết kế kém để phát hành chuyển khoản ngân hàng, trong đó số dư tài khoản chỉ được kiểm tra trong giai đoạn khởi tạo. Người dùng có thể bắt đầu một số lần chuyển mà không cần gửi bất kỳ lần nào. Hệ thống ngân hàng sẽ xác nhận rằng tài khoản của người dùng có đủ tiền cho mỗi lần chuyển khoản. Nếu không có xác minh bổ sung nào được thực hiện tại thời điểm gửi thực tế, người dùng có thể gửi tất cả các giao dịch và vượt quá số dư của họ.
Những ví dụ về một số Cuộc tấn công Reentrancy khét tiếng
DAO Hack
Ví dụ nổi tiếng nhất về một cuộc tấn công reentrancy xảy ra vào năm 2016 khi DAO của Ethereum (tổ chức tự trị phi tập trung) bị hack với giá 60 triệu đô la trong Ether. Đối với những người không quen thuộc, DAO của Ethereum là một dự án được thiết kế để hoạt động như một công ty đầu tư mạo hiểm hướng đến nhà đầu tư, trong đó các thành viên mạng lưới có thể bỏ phiếu về các sáng kiến để đầu tư vào.
DAO đã huy động được 150 triệu đô la đáng kinh ngạc trong một trong những dự án huy động vốn từ cộng đồng thành công nhất trong lịch sử. Tuy nhiên, các nhà khoa học máy tính và những người khác trong cộng đồng lo ngại rằng hợp đồng thông minh giữ tiền dễ bị tấn công lần đầu do lỗi gọi đệ quy trong mã.
Vụ hack DAO kể từ đó đã trở thành một bước ngoặt trong lịch sử blockchain, đặc biệt là vì nó đã kích hoạt một đợt hard fork Ethereum để lấy lại tiền, khai sinh ra Ethereum Classic trong quá trình này. Đây cũng là một trải nghiệm học hỏi thực sự về bảo mật blockchain, với các lỗ hổng bảo mật gần đây là quy trình kiểm tra tiêu chuẩn cho bất kỳ cuộc kiểm tra hợp đồng thông minh chuyên nghiệp nào.
Giao thức Lendf.me
Một hacker đã sử dụng một cuộc tấn công gần đây vào ngày 18 tháng 4 năm 2020, để đánh cắp 25 triệu đô la từ Lendf.me Protocol, một giao thức tài chính dựa trên tiền điện tử được thiết kế để hỗ trợ hoạt động cho vay trên nền tảng Ethereum. Kẻ tấn công đã khai thác một lỗ hổng trong nền tảng Lendf.me cho phép mã thông báo ERC777 - một tiêu chuẩn mã thông báo Ethereum cho các tương tác phức tạp hơn khi giao dịch mã thông báo - được sử dụng làm tài sản thế chấp. Các nhà phát triển không nhận thấy rằng mã thông báo ERC777 bao gồm chức năng gọi lại để cảnh báo người dùng khi tiền được gửi hoặc nhận. Tin tặc có thể khai thác tiêu chuẩn mã thông báo an toàn này bằng các cuộc tấn công gần đây tinh vi bằng cách đặt người nhận là một hợp đồng thông minh, rút 99,5% tiền của nền tảng Lendf.me.
Những cách để có thể để ngăn chặn các cuộc tấn công gần đây
Trước tiên, bạn cần kiểm tra hợp đồng thông minh của bên thứ ba được thực hiện trên dự án của bạn. Bước này là một trong những bước hiệu quả nhất. Ngoài ra, các nhà phát triển đang tìm cách bảo vệ chống lại các cuộc tấn công lần đầu nên chú ý đến cấu trúc mã của họ, đặc biệt là xung quanh bất kỳ hợp đồng thông minh nào có chứa các hàm gọi lại. Thông thường, nếu một cuộc kiểm tra hợp đồng thông minh xác định một dự án dễ bị tấn công lần đầu, họ sẽ khuyên mã được cấu trúc lại để cập nhật số dư trước khi tiền được gửi đi. Nếu không, họ có thể đề xuất sử dụng một chức năng khác để chuyển tiền.
Các nhà phát triển trong không gian NFT và ngành công nghiệp blockchain phải nâng cao trò chơi của họ về mặt bảo mật và không bao giờ có cơ hội về cấu trúc mã của họ, điều này có thể đẩy toàn bộ dự án xuống cống. OMNI đã may mắn lần này. Lần này, hacker chỉ đánh cắp quỹ thử nghiệm nội bộ chứ không phải tài sản có giá trị.
Tác giả: M. Olatunji Nhà nghiên cứu trực thuộc Gate.io
Tuyên bố từ chối trách nhiệm:
* Bài viết này chỉ trình bày quan điểm của những người quan sát và không cấu thành bất kỳ đề xuất đầu tư nào.
* Gate.io bảo lưu mọi quyền đối với bài viết này. Việc đăng lại bài viết sẽ được cho phép với điều kiện tham chiếu Gate.io. Trong tất cả các trường hợp khác, hành động pháp lý sẽ được thực hiện do vi phạm bản quyền.