Tháng trước, tin tặc đã đánh cắp số tiền khổng lồ 1,5 tỷ đô la từ sàn giao dịch tiền điện tử Bybit trong vụ việc mà thị trường gọi là "Vụ trộm kỹ thuật số lớn nhất từ trước đến nay". Không có gì ngạc nhiên khi quy mô lớn của vụ tấn công đã khiến nhiều người một lần nữa đặt câu hỏi về tính an toàn của tiền điện tử, với những lời chỉ trích chỉ trích các lỗ hổng bảo mật của ngành. Nhưng đây là sự thật: các ví đã hoàn thành nhiệm vụ của chúng. Vấn đề không phải là lỗi của công nghệ cơ bản - mà là lỗi của bảo mật 'con người'.
Chính xác thì chuyện gì đã xảy ra sai?
Vấn đề cốt lõi là vụ hack Bybit không phải là lỗi bảo mật blockchain - những kẻ tấn công không phá vỡ được một hệ thống không thể xâm nhập; chúng thao túng mọi người…
Nói một cách đơn giản, cuộc tấn công xảy ra khi công ty thực hiện chuyển Ethereum theo định kỳ từ ví 'lạnh' ngoại tuyến (một giải pháp lưu trữ ngoại tuyến có độ bảo mật cao được thiết kế để bảo vệ tài sản khỏi các mối đe dọa mạng bằng cách ngắt kết nối hoàn toàn khóa riêng tư khỏi internet) sang ví 'ấm' (ví bán trực tuyến được sử dụng cho thanh khoản hoạt động, cho phép truy cập tiền nhanh hơn trong khi vẫn duy trì một số biện pháp bảo mật) cho các hoạt động giao dịch hàng ngày.
Những tin tặc đã truy cập vào tài khoản phần mềm giúp Bybit kiểm soát các giao dịch này bằng cách xâm nhập vào máy của nhà phát triển. Chúng đã sửa đổi giao diện người dùng từ xa, tiêm mã độc vào để thao túng quy trình phê duyệt giao dịch của ví. Những nhân viên thường ký vào các giao dịch này đã thấy những gì trông giống như các giao dịch hợp pháp, nhưng đằng sau hậu trường, những kẻ tấn công đã viết lại các quy tắc, chuyển tiền thẳng vào các tài khoản do tin tặc kiểm soát.
Tệ hơn nữa, cuộc tấn công đã lợi dụng 'ký tên ẩn danh'. Khi phê duyệt các giao dịch, nhân viên thực sự đã ký vào thứ mà họ không thể nhìn thấy đầy đủ trên màn hình. Những kẻ tấn công đã thao túng quy trình này một cách hiệu quả đến mức nhân viên tin rằng họ đang phê duyệt các giao dịch thông thường.
Sự kết hợp giữa thao túng giao diện người dùng và ký tên ẩn danh đã tạo ra một sự lừa dối gần như hoàn hảo. Tuy nhiên, điều quan trọng là không phải công nghệ tiền điện tử đã thất bại. Đó là một trường hợp lỗi nghiêm trọng của con người.
Có thể thu hồi được tiền không?
Vụ tấn công này được cho là do nhóm tin tặc do nhà nước Triều Tiên tài trợ có tên Lazarus Group thực hiện, nhóm này có tiền sử nhắm vào các sàn giao dịch tiền điện tử để tài trợ cho nền kinh tế và các chương trình bị trừng phạt của Triều Tiên.
Chống lại nhóm này là khả năng truy xuất nguồn gốc của blockchain. Với mọi con mắt đổ dồn vào các khoản tiền bị đánh cắp và mọi giao dịch blockchain đều được công khai, việc có thể gửi tiền vào ngân hàng sẽ khó khăn như việc đánh cắp nó ngay từ đầu (mặc dù một số khoản tiền cũng đã được chuyển đổi thành các đồng tiền tập trung vào quyền riêng tư như Monero, khó theo dõi hơn nhiều).
Điều quan trọng là Bybit đã hành động nhanh chóng để trấn an khách hàng và nhanh chóng làm việc để đảm bảo nguồn tài trợ khẩn cấp nhằm khôi phục thanh khoản. Họ cũng đã triển khai chương trình tiền thưởng toàn diện cung cấp phần thưởng 5% cho các cá nhân hoặc công ty giúp xác định và đóng băng các khoản tiền bị đánh cắp này. Một bảng xếp hạng thời gian thực đã được thiết lập để theo dõi tiến trình, biến những thám tử tiền điện tử thành anh hùng!
Ngăn chặn các cuộc tấn công trong tương lai
Nếu có một bài học rút ra từ cuộc tấn công này thì đó là ngành công nghiệp cần có biện pháp bảo vệ mạnh mẽ hơn chống lại tội phạm mạng - bao gồm cả tội phạm mạng nhắm vào con người.
Các sàn giao dịch cần phải vượt ra ngoài bảo mật truyền thống - Mối nguy hiểm của việc "ký ẩn" đã được làm rõ và cần phải được loại bỏ để ủng hộ việc ký giao dịch rõ ràng để người dùng có thể thực sự thấy những gì họ đang chấp thuận.
Ngoài ra, xác thực đa yếu tố cho loại chữ ký này có thể được kích hoạt nếu các sàn giao dịch lựa chọn sử dụng ví điện toán đa bên đã bắt đầu được ưa chuộng trong nhiều nhóm hơn cụm từ hạt giống, khiến việc thỏa hiệp khóa trở nên khó khăn hơn nhiều. Ví MPC phân phối 'mảnh' khóa riêng giữa nhiều bên, giảm nguy cơ xảy ra lỗi tại một điểm duy nhất. Không giống như cụm từ hạt giống truyền thống, MPC loại bỏ nguy cơ một khóa duy nhất bị lộ dẫn đến thỏa hiệp tài khoản hoàn toàn.
Nhân viên cần được đào tạo tốt hơn - Các cuộc diễn tập tấn công mạng nên được tiến hành thường xuyên và đào tạo nhận thức về lừa đảo trực tuyến nên được tiến hành liên tục. Những kẻ tấn công đang trở nên thông minh hơn và các sàn giao dịch cần đảm bảo rằng nhóm của họ có thể nhận ra dấu hiệu cảnh báo trước khi quá muộn.
Giám sát thời gian thực cần phải trở thành tiêu chuẩn - các hệ thống bảo mật do AI điều khiển có thể đánh dấu các mẫu giao dịch bất thường ngay lập tức, kích hoạt quá trình xem xét ngay lập tức và giúp ngăn chặn các giao dịch rút tiền trái phép.
Bức tranh lớn hơn
Vụ tấn công này không phơi bày những sai sót trong chính blockchain - nhưng nó phơi bày những rủi ro do lỗi của con người và sự lừa dối. Tuy nhiên, sự khác biệt đó không tạo ra nhiều khác biệt đối với công chúng nói chung. Thiệt hại đã xảy ra và niềm tin vào bảo mật tiền điện tử lại tiếp tục bị ảnh hưởng.
Tin tặc sẽ tiếp tục tấn công…Câu hỏi thực sự là liệu ngành công nghiệp tiền điện tử có học được từ Bybit và hành động ngay để ngăn chặn cuộc tấn công tiếp theo hay không? Nếu không, chỉ còn là vấn đề thời gian trước khi một vụ vi phạm hàng tỷ đô la khác lại làm rung chuyển thị trường một lần nữa.
