Sự kiện tấn công cầu nối CrossCurve trị giá 3 triệu USD: Làm thế nào để vượt qua xác thực an ninh bằng thông tin giả

Chủ nhật, dự án DeFi CrossCurve (trước đây gọi là EYWA) gặp phải sự cố an ninh nghiêm trọng. Chính thức từ phía dự án phát hiện ra có lỗ hổng nghiêm trọng trong cơ chế chuyển đổi tài sản xuyên chuỗi, dẫn đến khoảng 3 triệu USD bị chiếm đoạt trái phép. Theo phân tích của BlockSec và nhiều công ty an ninh khác, vụ việc này một lần nữa phơi bày các rủi ro hệ thống trong an ninh cầu nối xuyên chuỗi hiện tại.

Đội ngũ CrossCurve sau đó đã khóa mười địa chỉ ví Ethereum, nơi nhận số tài sản bị đánh cắp. Trong tuyên bố, CEO của CrossCurve, Борис Повар, cho biết bằng chứng ban đầu chưa cho thấy các bên nhận tiền cố ý tham gia hoạt động độc hại, nhưng đội ngũ đặt ra hạn cuối 72 giờ. Nếu số tiền không được hoàn trả hoặc các bên nhận không liên hệ, CrossCurve sẽ nâng cấp các biện pháp đối phó — bao gồm báo cáo cho cơ quan pháp luật, phong tỏa tài sản trên sàn giao dịch, công khai thông tin ví và hợp tác với các công ty phân tích chuỗi để truy tìm dòng tiền.

Giải mã phương thức tấn công: Giả mạo tin nhắn xuyên chuỗi để lừa đảo xác thực

Chìa khóa kỹ thuật của vụ tấn công này nằm ở việc vượt qua cơ chế xác thực. Kẻ tấn công đã thành công gửi các tin nhắn giả mạo về liên lạc xuyên chuỗi tới hợp đồng thông minh của CrossCurve, các lệnh giả này đáng lý phải bị hệ thống nhận diện và từ chối, nhưng do logic xác thực không hoàn chỉnh, hợp đồng đã nhầm lẫn dữ liệu lừa đảo là hợp lệ và thực hiện rút tiền trái phép.

BlockSec trong báo cáo phân tích của mình chỉ ra rằng nguyên nhân gốc rễ nằm ở “thiếu sót nghiêm trọng trong cơ chế xác thực”. Các tin nhắn xuyên chuỗi cần phải qua xác thực danh tính mới được thực thi, nhưng trong kiến trúc của CrossCurve, các kiểm tra cần thiết này chưa được thực hiện đầy đủ, khiến hợp đồng khi nhận dữ liệu không xác minh tính xác thực của chúng một cách thỏa đáng.

Thiệt hại đa chuỗi và phân bổ dòng tiền

Về quy mô thiệt hại, các số liệu đánh giá của ngành có sự khác biệt nhất định. Đội ngũ Defimons (quản lý bởi nhóm Decurity) ước tính tổng thiệt hại khoảng 3 triệu USD, liên quan đến nhiều mạng lưới blockchain. Trong khi đó, BlockSec thống kê phân bổ chi tiết hơn: thiệt hại trên chuỗi Ethereum khoảng 1,3 triệu USD, trên Arbitrum khoảng 1,28 triệu USD, phần còn lại khoảng 180.000 USD phân bổ trên các blockchain mới nổi như Optimism, Base, Mantle, Kava, Frax, Celo và Blast.

Chưa có xác nhận chính thức về tổng thiệt hại từ phía CrossCurve cũng như phản hồi về các ước tính của các công ty an ninh. Sự không nhất quán này phản ánh rằng việc thống kê chính xác thiệt hại xuyên chuỗi trong hệ sinh thái này vẫn còn là một thách thức lớn.

Lỗ hổng căn bản: Điểm xác thực đơn nhất là điểm yếu chết người

Chuyên gia nghiên cứu và chiến lược của Unstoppable Wallet, Дан Дадыбаё, cung cấp phân tích kỹ thuật sâu hơn về vụ việc này. Ông chỉ ra rằng, Axelar – giao thức xuyên chuỗi mà CrossCurve sử dụng – bản thân không có vấn đề, mà lỗ hổng thực sự nằm ở hợp đồng ReceiverAxelar do CrossCurve tự phát triển. Hợp đồng này, với chức năng nhận tin nhắn tùy chỉnh, khi xử lý liên lạc xuyên chuỗi đã không thực hiện đủ cơ chế xác thực danh tính.

Дадыбаё nhấn mạnh rằng, thách thức chính trong an ninh cầu nối xuyên chuỗi không nằm ở tầng truyền tải tin nhắn, mà ở chỗ đảm bảo không có bất kỳ con đường thực thi nào có thể bỏ qua xác thực danh tính. Nếu tồn tại bất kỳ con đường thực thi thay thế nào có thể vượt qua lớp phòng thủ này, toàn bộ hệ thống tin cậy sẽ sụp đổ.

Ông lấy ví dụ về vụ tấn công cầu Nomad năm 2022: trong vụ này, kẻ tấn công cũng lợi dụng lỗ hổng xác thực, gây thiệt hại gần 1,9 tỷ USD. Điều này cho thấy các phương thức tấn công tương tự đã xuất hiện trong ngành, và nhiều dự án vẫn mắc lỗi khi thiết kế hợp đồng.

Vấn đề ngành và bài học phòng thủ trong an ninh xuyên chuỗi

Ngành công nghiệp đồng thuận rằng, vấn đề cốt lõi của các cầu nối xuyên chuỗi hiện nay là cấu trúc thanh khoản tập trung và cơ chế xác thực phân tán của các dự án. Chỉ cần dự án cầu nối giao quyền tin cậy chính cho một quy trình xác thực duy nhất, khi quy trình này có lỗ hổng, toàn bộ hệ thống sẽ trở nên vô nghĩa.

Đối với người dùng, khuyến nghị các biện pháp phòng ngừa sau:

• Thận trọng khi thực hiện các hoạt động cầu nối xuyên chuỗi, đặc biệt là các giải pháp mới ra mắt hoặc ít được biết đến
• Trước khi sử dụng, xem xét báo cáo kiểm toán an ninh của dự án, ưu tiên chọn các sản phẩm đã qua kiểm toán của các công ty uy tín
• Phân tán rủi ro, tránh chuyển một lượng lớn tài sản qua một cầu nối duy nhất trong một lần
• Theo dõi các nền tảng giám sát an ninh để nhận cảnh báo rủi ro theo thời gian thực

Vụ việc CrossCurve một lần nữa chứng minh rằng, ngay cả trong hệ sinh thái DeFi dường như đã trưởng thành, vẫn tồn tại các lỗ hổng an ninh có thể khai thác. Sự phát triển của công nghệ xuyên chuỗi thúc đẩy hợp tác đa chuỗi, đồng thời cũng tạo ra cơ hội mới cho các cuộc tấn công. Chỉ bằng cách áp dụng các tiêu chuẩn thiết kế nghiêm ngặt hơn, thực hiện kiểm toán an ninh kỹ lưỡng hơn và minh bạch hơn trong công bố rủi ro, chúng ta mới có thể từng bước giảm thiểu các mối đe dọa an ninh trong hệ sinh thái xuyên chuỗi.