5 Lỗ hổng Hợp đồng thông minh lớn nhất trong Lịch sử Tiền điện tử là gì?

Cuộc tấn công DAO vào năm 2016 đã dẫn đến thiệt hại $60 triệu

Vào tháng 6 năm 2016, thế giới tiền điện tử đã chứng kiến một trong những lỗ hổng bảo mật nghiêm trọng nhất khi The DAO, một tổ chức tự trị phi tập trung được xây dựng trên chuỗi khối Ethereum, đã trở thành nạn nhân của một cuộc tấn công tàn khốc. Kẻ tấn công đã khai thác một lỗ hổng nghiêm trọng trong mã hợp đồng thông minh của The DAO, cho phép họ rút tiền liên tục trước khi hệ thống có thể xác minh số dư.

Vào giữa trưa của cuộc tấn công, hacker đã đánh cắp hơn 3 triệu Ether, tương đương khoảng $60 triệu vào thời điểm đó—đại diện cho một phần ba trong tổng số tiền mà các thành viên DAO đã đóng góp. Quy mô của vụ trộm được minh họa trong so sánh dưới đây:

Sự cố bảo mật này đã kích hoạt một phản ứng chưa từng có từ cộng đồng Ethereum. Sau những cuộc tranh luận sôi nổi về sự bất biến của blockchain so với việc bảo vệ nhà đầu tư, các nhà phát triển đã thực hiện một đợt hard fork gây tranh cãi trong blockchain Ethereum. Giải pháp kỹ thuật này đã hiệu quả ghi lại lại lịch sử của blockchain, quay ngược giao dịch về một thời điểm trước khi cuộc tấn công xảy ra và tạo ra một hợp đồng thông minh mới cho phép các nhà đầu tư rút lại số tiền gốc của họ. Sự cố này đã thay đổi căn bản quỹ đạo của Ethereum và làm nổi bật những câu hỏi quan trọng về bảo mật hợp đồng thông minh và quản trị trong các hệ thống blockchain, thiết lập những tiền lệ mới cho việc xử lý các vụ khai thác lớn trong các công nghệ phi tập trung.

Lỗi ví Parity đã đóng băng $300 triệu USD giá trị Ethereum vào năm 2017

Vào tháng 7 năm 2017, thế giới tiền điện tử đã chứng kiến một sự cố tàn khốc khi một lỗi mã nghiêm trọng trong hệ thống ví đa chữ ký của Parity đã dẫn đến việc khoảng $300 triệu giá trị Ethereum bị khóa vĩnh viễn. Lỗ hổng này xuất hiện sau khi một bản sửa lỗi cho một lỗ hổng bảo mật trước đó đã khiến người dùng mất $32 triệu chỉ vài ngày trước. Vào ngày 20 tháng 7, Parity Technologies đã triển khai mã cập nhật để giải quyết lỗ hổng trước đó, nhưng triển khai mới này chứa một lỗi nghiêm trọng.

Mức độ nghiêm trọng của sự cố ví Parity trở nên rõ ràng khi xem xét tác động tài chính:

Một người dùng được xác định là “devops199” đã vô tình kích hoạt lỗ hổng bằng cách gọi một hàm “initWallet”, về cơ bản biến hợp đồng thư viện chia sẻ thành một ví thông thường và sau đó phá hủy nó. Vì nhiều ví khác phụ thuộc vào mã chia sẻ này, nên các quỹ của chúng đã trở nên không thể truy cập vĩnh viễn. Lỗi thảm khốc này đã làm nổi bật những điểm yếu bảo mật nghiêm trọng trong việc triển khai blockchain và đã thúc đẩy một cuộc tranh luận sôi nổi về các cơ chế phục hồi tiềm năng. Sự cố này được coi là một thời điểm bước ngoặt trong lịch sử bảo mật tiền điện tử, cho thấy cách mà những sai sót lập trình đơn giản có thể dẫn đến những hậu quả tài chính khổng lồ khi xử lý các công nghệ blockchain không thể thay đổi.

Cuộc tấn công cầu Ronin đã dẫn đến vụ trộm $625 triệu vào năm 2022

Vào năm 2022, thế giới tiền điện tử đã chứng kiến một trong những vụ khai thác DeFi lớn nhất trong lịch sử khi các hacker xâm nhập vào hệ thống bảo mật của cầu Ronin, dẫn đến một vụ đánh cắp lên tới $625 triệu. Cuộc tấn công xảy ra khi những kẻ xấu đã truy cập được vào các khóa riêng tư được sử dụng để xác thực các giao dịch trên Mạng Ronin, hỗ trợ cho trò chơi blockchain phổ biến Axie Infinity. Theo các cuộc điều tra, các hacker đã kiểm soát các nút xác thực do Sky Mavis và Axie DAO vận hành, cho phép họ tạo ra các giao dịch rút tiền giả.

FBI sau đó đã quy kết cuộc tấn công tinh vi này cho những hacker Bắc Triều Tiên, cụ thể là nhóm Lazarus, nhóm này đã hoạt động trong hơn một thập kỷ với sự hỗ trợ của chính phủ. Sau vụ trộm, Bộ Tài chính Mỹ đã hành động nhanh chóng bằng cách áp đặt lệnh trừng phạt đối với các ví cryptocurrency được sử dụng bởi những kẻ tấn công để nhận số tiền đã bị đánh cắp.

Sự cố này đã làm nổi bật sự dễ bị tổn thương đáng kể của các cầu nối chuỗi chéo, thường tập trung một khối lượng lớn tài sản vào các điểm lưu trữ đơn lẻ, tạo ra những mục tiêu hấp dẫn cho tội phạm mạng. Lỗ hổng này đã là một lời nhắc nhở quan trọng cho các dự án blockchain cần ưu tiên các biện pháp an ninh và tiến hành kiểm tra hợp đồng thông minh một cách kỹ lưỡng trước khi triển khai.

Các lỗ hổng hợp đồng thông minh đã gây ra thiệt hại hơn $1 tỷ kể từ năm 2020

Các lỗ hổng hợp đồng thông minh đã nổi lên như một mối quan tâm về an ninh quan trọng trong hệ sinh thái blockchain, với những hậu quả tài chính tàn khốc. Kể từ năm 2020, những cuộc tấn công này đã dẫn đến thiệt hại lên đến hơn $1 tỷ trên nhiều nền tảng và giao thức khác nhau. Các nhà nghiên cứu an ninh đã xác định một số vector tấn công nổi bật tiếp tục làm khổ các ứng dụng phi tập trung.

Cảnh quan của các lỗ hổng hợp đồng thông minh tiết lộ một mẫu đáng lo ngại của các lỗ hổng tái diễn:

Ngành công nghiệp an ninh đã đáp ứng bằng các chương trình thưởng lỗi lớn, với số tiền thưởng lên tới $65 triệu vào năm 2023 chỉ riêng cho các lỗ hổng blockchain và hợp đồng thông minh. Theo dữ liệu từ Immunefi, 77,5% tổng số phần thưởng được phân phối là dành riêng cho các báo cáo lỗi hợp đồng thông minh, nhấn mạnh sự công nhận của ngành về những rủi ro an ninh này.

Bản chất không thể thay đổi của các hợp đồng thông minh đã triển khai tạo ra một môi trường an ninh đặc biệt khó khăn, vì các lỗ hổng không thể được sửa chữa sau khi triển khai như phần mềm truyền thống, khiến các biện pháp an ninh phòng ngừa trở nên cần thiết cho tính toàn vẹn của hệ sinh thái.