#MEMEFI# Gần đây, lĩnh vực MEMEFI (ứng dụng tài chính hóa MEME Token) liên tiếp xuất hiện các vấn đề lỗ hổng bảo mật, gây ra sự lo ngại rộng rãi về bảo mật tài sản mã hóa trên thị trường. Theo báo cáo nghiên cứu được Cointelegraph công bố vào tháng 4 năm 2024, qua việc kiểm tra mẫu 1000 dự án Meme coin mới trên chuỗi Base, phát hiện 90,8% dự án ít nhất có một sai sót bảo mật, trong đó gần một phần năm liên quan đến lừa đảo có chủ đích, dữ liệu này đã tiết lộ rủi ro hệ thống trong lĩnh vực MEMEFI do phát triển không quy chuẩn và thiếu kiểm toán.
Các hình thức thể hiện và tác hại chính của lỗ hổng Thiếu biện pháp bảo mật cơ bản Phân tích cho thấy, 908 dự án không hoàn toàn đáp ứng ba điều kiện an toàn cơ bản "khóa thanh khoản, xác minh hợp đồng, không có lừa đảo kiểu bẫy mật" với tỷ lệ lên đến 90,8%. Trong đó, 230 dự án trực tiếp không khóa thanh khoản hoặc xác minh hợp đồng, khiến vốn của người dùng luôn đối mặt với rủi ro bị bên dự án rút tiền.
Các phương thức lừa đảo độc hại đang trở nên đa dạng. 16,9% các dự án bị nghi ngờ thực hiện gian lận thông qua thiết kế ác ý, bao gồm việc đặt mức thuế bán hàng lên tới 100% (48 dự án), ngăn cản người dùng bán token và các điều khoản "cướp giật" khác. Những lỗ hổng này không chỉ dẫn đến tổn thất tài sản trực tiếp của người dùng mà còn gây ra phản ứng dây chuyền bằng cách phá hủy giá trị token (như vụ trộm ví Phantom dẫn đến việc token WienerDoge bị bán ra với giá thấp).
Sao chép và lan truyền lỗi hợp đồng thông minh Nhiều dự án do sao chép và dán mã token hiện có đã dẫn đến việc các lỗ hổng gốc bị sao chép hàng loạt. Công ty an ninh Halborn chỉ ra rằng, các dự án nhỏ thiếu nguồn lực kiểm toán độc lập và chuyên gia an ninh đã trở thành phương tiện chính để lỗ hổng lây lan.
Nguyên nhân cơ bản của việc xuất hiện thường xuyên các lỗ hổng bảo mật 1. Rào cản phát triển thấp và khoảng trống quy định Các dự án MEMEFI chủ yếu do cộng đồng điều hành, thiếu đội ngũ phát triển chuyên nghiệp và nhận thức về tuân thủ, một số dự án thậm chí có thể ra mắt mà không cần kiểm tra mã. Đặc điểm "không cần giấy phép" của các nền tảng như Base chain càng giảm chi phí cho việc làm điều xấu.
2. Cơ chế kiểm toán không còn hiệu lực Công cụ kiểm toán tự động (như DEXTools Auditor) có rủi ro sai lệch và bỏ sót, khó nhận diện các trò lừa đảo phức tạp; đồng thời, hiện tượng các bên dự án lẩn tránh kiểm toán và làm giả chứng nhận an toàn rất phổ biến, làm trầm trọng thêm tình trạng thông tin không đối xứng.
3. Người dùng có nhận thức rủi ro yếu MEMEFI Token có độ biến động cao thu hút nhiều nhà đầu tư mạo hiểm, nhưng hầu hết người dùng bỏ qua việc xác thực hợp đồng, khóa thanh khoản và các chỉ số an toàn cơ bản khác, dễ bị quảng cáo giả.
Đề xuất ứng phó ngành và bảo vệ người dùng Trách nhiệm của bên nền tảng: Các chuỗi công khai như Base cần tăng cường kiểm tra đầu vào dự án, thúc đẩy kiểm toán an toàn bắt buộc; các nhà cung cấp dịch vụ ví mã hóa (như Phantom) nên tăng cường mã hóa lưu trữ khóa riêng và xây dựng hệ thống quản lý rủi ro, tránh việc trở thành bàn đạp cho các cuộc tấn công do thiết kế kém. Bảo vệ bản thân của người dùng Ưu tiên chọn các dự án được kiểm toán bởi bên thứ ba và khóa thanh khoản; Cảnh giác với các Token có thuế cao (trên 10%) và hợp đồng chưa được xác minh; Tránh sử dụng công cụ ví "lưu trữ khóa riêng trong bộ nhớ chưa mã hóa", hãy cập nhật các bản vá phần mềm kịp thời.
Các chuyên gia an ninh nhấn mạnh rằng vấn đề lỗ hổng trong lĩnh vực MEMEFI không phải là cá biệt, mà là biểu hiện của sự chậm trễ trong việc xây dựng an ninh trong ngành mã hóa đang phát triển nhanh chóng.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
#MEMEFI# Gần đây, lĩnh vực MEMEFI (ứng dụng tài chính hóa MEME Token) liên tiếp xuất hiện các vấn đề lỗ hổng bảo mật, gây ra sự lo ngại rộng rãi về bảo mật tài sản mã hóa trên thị trường. Theo báo cáo nghiên cứu được Cointelegraph công bố vào tháng 4 năm 2024, qua việc kiểm tra mẫu 1000 dự án Meme coin mới trên chuỗi Base, phát hiện 90,8% dự án ít nhất có một sai sót bảo mật, trong đó gần một phần năm liên quan đến lừa đảo có chủ đích, dữ liệu này đã tiết lộ rủi ro hệ thống trong lĩnh vực MEMEFI do phát triển không quy chuẩn và thiếu kiểm toán.
Các hình thức thể hiện và tác hại chính của lỗ hổng
Thiếu biện pháp bảo mật cơ bản
Phân tích cho thấy, 908 dự án không hoàn toàn đáp ứng ba điều kiện an toàn cơ bản "khóa thanh khoản, xác minh hợp đồng, không có lừa đảo kiểu bẫy mật" với tỷ lệ lên đến 90,8%. Trong đó, 230 dự án trực tiếp không khóa thanh khoản hoặc xác minh hợp đồng, khiến vốn của người dùng luôn đối mặt với rủi ro bị bên dự án rút tiền.
Các phương thức lừa đảo độc hại đang trở nên đa dạng.
16,9% các dự án bị nghi ngờ thực hiện gian lận thông qua thiết kế ác ý, bao gồm việc đặt mức thuế bán hàng lên tới 100% (48 dự án), ngăn cản người dùng bán token và các điều khoản "cướp giật" khác. Những lỗ hổng này không chỉ dẫn đến tổn thất tài sản trực tiếp của người dùng mà còn gây ra phản ứng dây chuyền bằng cách phá hủy giá trị token (như vụ trộm ví Phantom dẫn đến việc token WienerDoge bị bán ra với giá thấp).
Sao chép và lan truyền lỗi hợp đồng thông minh
Nhiều dự án do sao chép và dán mã token hiện có đã dẫn đến việc các lỗ hổng gốc bị sao chép hàng loạt. Công ty an ninh Halborn chỉ ra rằng, các dự án nhỏ thiếu nguồn lực kiểm toán độc lập và chuyên gia an ninh đã trở thành phương tiện chính để lỗ hổng lây lan.
Nguyên nhân cơ bản của việc xuất hiện thường xuyên các lỗ hổng bảo mật
1. Rào cản phát triển thấp và khoảng trống quy định
Các dự án MEMEFI chủ yếu do cộng đồng điều hành, thiếu đội ngũ phát triển chuyên nghiệp và nhận thức về tuân thủ, một số dự án thậm chí có thể ra mắt mà không cần kiểm tra mã. Đặc điểm "không cần giấy phép" của các nền tảng như Base chain càng giảm chi phí cho việc làm điều xấu.
2. Cơ chế kiểm toán không còn hiệu lực
Công cụ kiểm toán tự động (như DEXTools Auditor) có rủi ro sai lệch và bỏ sót, khó nhận diện các trò lừa đảo phức tạp; đồng thời, hiện tượng các bên dự án lẩn tránh kiểm toán và làm giả chứng nhận an toàn rất phổ biến, làm trầm trọng thêm tình trạng thông tin không đối xứng.
3. Người dùng có nhận thức rủi ro yếu
MEMEFI Token có độ biến động cao thu hút nhiều nhà đầu tư mạo hiểm, nhưng hầu hết người dùng bỏ qua việc xác thực hợp đồng, khóa thanh khoản và các chỉ số an toàn cơ bản khác, dễ bị quảng cáo giả.
Đề xuất ứng phó ngành và bảo vệ người dùng
Trách nhiệm của bên nền tảng: Các chuỗi công khai như Base cần tăng cường kiểm tra đầu vào dự án, thúc đẩy kiểm toán an toàn bắt buộc; các nhà cung cấp dịch vụ ví mã hóa (như Phantom) nên tăng cường mã hóa lưu trữ khóa riêng và xây dựng hệ thống quản lý rủi ro, tránh việc trở thành bàn đạp cho các cuộc tấn công do thiết kế kém.
Bảo vệ bản thân của người dùng
Ưu tiên chọn các dự án được kiểm toán bởi bên thứ ba và khóa thanh khoản;
Cảnh giác với các Token có thuế cao (trên 10%) và hợp đồng chưa được xác minh;
Tránh sử dụng công cụ ví "lưu trữ khóa riêng trong bộ nhớ chưa mã hóa", hãy cập nhật các bản vá phần mềm kịp thời.
Các chuyên gia an ninh nhấn mạnh rằng vấn đề lỗ hổng trong lĩnh vực MEMEFI không phải là cá biệt, mà là biểu hiện của sự chậm trễ trong việc xây dựng an ninh trong ngành mã hóa đang phát triển nhanh chóng.