Gửi bài viết tới BigCoin

Vì sao mà các sàn giao dịch tiền mã hóa liên tục bị tấn công?

Đăng bởi: StevenPalley  - 16/07/2018 - 230 lượt xem
Chia sẻ
 

Tiền mã hóa đang là xu hướng thịnh hành ngày này. Hiện có hơn 1.600 tiền mã hóa khác nhau đang lưu hành với giá trị kết hợp đạt 350 tỷ đô la.Ba loại tiền mã hóa hàng đầu— Bitcoin, Ethereum và Ripple — trị giá hơn 210 tỷ đô la.

Tiền mã hóa rõ ràng được coi là đầu tư nóng của mọi người trên khắp thế giới. Một trong những điểm thu hút chính của tiền mã hóa là tính bảo mật của nó. Tuy nhiên, tính bảo mật của tiền mã hóa sẽ là vô ích nếu sàn giao dịch nơi mà chúng được lưu trữ không an toàn. Với trường hợp này, sẽ có ngày bạn thức dậy và chợt thấy rằng tất cả tiền mã hóa của bạn đã biến mất một cách đơn giản.

Mặc dù công nghệ Blockchain, nền tảng cho tiền mã hóa, cung cấp bảo mật mạnh mẽ, thì cả tiền mã hóa và sàn giao dịch lưu trữ tiền mã hóa của bạn đều có thể bị tấn công hoặc bị xâm phạm theo nhiều cách khác nhau.

Thông tin đăng nhập bị xâm phạm

Dù bảo mật có bảo vệ một hệ thống bao nhiêu đi chăng nữa, thì một số lượng nhất định của người dùng phải được ủy quyền để truy cập nó. Trong trường hợp của tiền mã hóa và sàn giao dịch tiền mã hóa, khách hàng, chủ sở hữu tiền mã hóa và quản trị viên sàn giao dịch tiêu biểu cho các mục tiêu tương đối dễ dàng với các kẻ tấn công. Phân tích của chúng tôi cho thấy nguyên nhân số một của cuộc tấn công sàn giao dịch mã hóa là thông tin đăng nhập bị xâm phạm.

Chỉ tính riêng năm 2017, thông tin đăng nhập bị xâm nhập đã dẫn đến nhiều vụ tấn công sàn giao dịch mã hóa. Vào tháng 6 năm 2017, thông tin cá nhân, bao gồm tên, địa chỉ email và số điện thoại di động của hơn 30.000 khách hàng đã bị xâm phạm khi tin tặc truy cập vào máy tính cá nhân của nhân viên sàn giao dịch mã hóa Bithumb.

Những kẻ tấn công đã có thể đánh cắp hàng chục ngàn đô la tiền mã hóa. Tin tặc cũng đã có thể xâm phạm các thông tin đăng nhập của một kỹ sư hệ thống để giành quyền truy cập vào NiceHash và lấy cắp khoảng 75 triệu đô la.

 

Các cuộc tấn công “social engineering”

Những kẻ tấn công biết rằng các liên kết yếu nhất trong bất kỳ hệ thống bảo mật máy tính nào là con người. Các cuộc tấn công social engineering có thể cung cấp cho kẻ tấn công thông tin chúng cần để truy cập giao dịch tiền mã hóa.

Một cuộc tấn công hướng tới phishing vào năm 2015 đã dẫn đến việc đánh cắp 5 triệu đô la từ Bitstamp, sau khi một quản trị viên của sàn giao dịch tiền mã hóa mở một tệp độc hại.

 

Lỗ hổng trong mã code tiền mã hóa

Không có mã code nào là bất tử. Mã code của một sàn giao dịch tiền mã hóa có thể ẩn chứa các lỗ hổng dễ bị khai thác để tấn công các giao dịch.

Trong năm 2016, kẻ trộm đã khai thác lỗ hổng trong mã code của một tổ chức tự trị phi tập trung, hay còn gọi là DAO, và đánh cắp tiền mã hóa. DAO đã được tạo ra như là một quỹ đầu tư phi tập trung.Tiền đề của DAO là việc quản lý các giao dịch thông qua mã code loại bỏ việc cần thiết phải tin tưởng con người để thực hiện các giao dịch và bản chất phân tán của hệ thống cũng sẽ ngăn cản bất kỳ cá nhân nào ăn cắp tiền. Những kẻ tấn công đã có thể khai thác một lỗ hổng trong cách mã code xử lý các giao dịch để loại bòn rút 50 triệu đô la Ethereum.

Các tài khoản thử nghiệm trong môi trường sản xuất

Các tài khoản thử nghiệm khá phổ biến trong bất kỳ môi trường phát triển nào. Nhà phát triển sử dụng các tài khoản có nhiều quyền và đặc quyền truy cập để kiểm tra mã code và xác minh rằng mọi thứ hoạt động theo đúng hướng. Nhưng tài khoản thử nghiệm có thể là một dấu Achilles cho một giao dịch tiền mã hóa. Chúng không được quản lý chặt chẽ cũng không được theo dõi và có thể cho phép kẻ tấn công truy cập vào mạng.

Sau khi các phương pháp hay nhất được thiết lập, tài khoản thử nghiệm chỉ nên tồn tại trong môi trường thử nghiệm hoặc dàn dựng. Các tài khoản như vậy sẽ không bao giờ nên được sử dụng trong môi trường sản xuất. Nếu vì lý do nào đó, tài khoản thử nghiệm phải được sử dụng trong môi trường sản xuất, tài khoản chỉ nên có mức độ đặc quyền và quyền truy cập tối thiểu cần thiết để kiểm tra chức năng và hiệu suất cơ bản. Kiểm tra định kỳ môi trường sản xuất phải xác định và loại bỏ bất kỳ tài khoản thử nghiệm giả mạo nào.

 

Thiếu sót trong tách biệt nhiệm vụ

Một phương pháp tối ưu khác là đảm bảo tách biệt các nhiệm vụ và triển khai thực hiện "quyền truy cập đặc quyền tối thiểu" cho các tài khoản. Sàn giao dịch tiền mã hóa nên bao gồm một quy trình giám sát chặt chẽ cho phép các nhà phát triển truy cập vào các hệ thống sản xuất chỉ khi cần thiết, chẳng hạn như trong trường hợp khẩn cấp.

 

Quản lý và “vệ sinh” tài khoản kém

Khi một sàn giao dịch tiền mã hóa không quản lý hiệu quả công tác “vệ sinh” tài khoản, thì bề mặt tấn công sẽ bị mở rộng một cách không cần thiết và và sàn giao dịch dễ dàng bị xâm phạm. Cùng với việc hạn chế quyền truy cập tài khoản thử nghiệm trong môi trường sản xuất và đảm bảo tách biệt các nhiệm vụ cho các vai trò khác nhau, điều quan trọng là sàn giao dịch tiền mã hóa phải  thực hiện các phương pháp quản lý tài khoản cơ bản tốt nhất.

 

Lỏng lẻo trong giao dịch

Nền tảng cho sự an toàn của tiền mã hóa -Công nghệ Blockchain - là các giao dịch không thể thay đổi được. Một trong những vụ tấn công sàn giao dịch tiền mã hóa lớn nhất trong lịch sử là kết quả của tính lỏng lẻo trong giao dịch khi kẻ tấn công phát hiện ra rằng họ có thể thay đổi ID giao dịch trước khi giao dịch bị đóng và chuyển tiền vào một tài khoản khác. Trong năm 2014, tin tặc đã sử dụng lỗ hổng này để chuyển gần 500 triệu đô la từ sàn giao dịch mã hóa Mt. Gox.

 

Thiếu bảo vệ ví nóng

Các máy chủ sàn giao dịch tiền mã hóa và mạng lưới lưu trữ duy trì các nhóm tiền mã hóa trực tiếp thì được gọi là ví nóng. Tiền mã hóa trong ví nóng phải được mã hóa và bảo mật, nhưng nếu ví  nóng không được bảo vệ đúng cách hoặc thiếu các kiểm soát bảo mật đầy đủ, tiền mã hóa trong đó sẽ dễ bị trộm cắp.

Ví nóng phải được bảo đảm bằng cách sử dụng các khóa riêng đa chữ ký, cung cấp bảo mật phân tán và đảm bảo rằng một khóa duy nhất không thể truy cập được. Vào tháng 1 năm 2018, tin tặc đã lấy cắp một số tiền kỷ lục lên tới 530 triệu đô la từ Coincheck do các khóa đa chữ ký không được sử dụng và tin tặc có được một khóa riêng cho phép họ mở khóa ví nóng.

Sự bùng nổ của tiền mã hóa và hàng tỷ đô la đổ đổ vào nó làm cho lĩnh vực này trở thành một mục tiêu rất hấp dẫn đối với tội phạm mạng. Công nghệ Blockchain có nhiều lợi ích - một trong số đó là bảo mật. Tuy nhiên, luôn luôn có một mối liên kết yếu ở đâu đó. Những ví dụ này cho thấy rằng rằng mặc dù tiền mã hóa  chính nó có thể được bảo mật, nhưng các sàn giao dịch tiền mã hóa xử lý giao dịch và lưu trữ tiền mã hóa vẫn có thể dễ bị tấn công và đánh cắp.

Nguồn: www.infosecurity-magazine.com

Bạn đang đọc bài: Vì sao mà các sàn giao dịch tiền mã hóa liên tục bị tấn công? tại Tin tức

Biên soạn & sản xuất nội dung: bigcoinvietnam.com

Tags
Chia sẻ  
  
  
  
100% Rating
Điểm: 5 / 5
1 Bình chọn

StevenPalley

Đội ngũ dịch bài từ các trang web uy tín ở nước ngoài. Với sự đánh giá cao của các chuyên gia

[Tin tức 25/05] Blockchain.Com và GokuMarket có trụ sở tại Hồng Kông niêm yết XRP


Blockchain.Com và GokuMarket có trụ sở tại Hồng Kông niêm yết XRP

Blockchain.com là một sàn giao dịch tiền điện tử giúp hàng triệu người trên toàn cầu, từ các cá nhân đơn lẻ đến các tổ chức lớn nhất có một cách dễ dàng và an toàn để truy cập vào tiền điện tử.

 

 

Vào ngày 21 tháng 5, Blockchain.com đã thông báo bổ sung XRP vào nền tảng giao dịch của mình. Tại thời điểm đưa tin, XRP được ghép nối với Euro (EUR) và Đô la Mỹ (USD).

Vào ngày 23 tháng 5, sàn giao dịch GokuMarket có trụ sở tại Hồng Kông cũng đã công bố bổ sung XRP với tám tiện ích mới. GokuMarket là một thị trường phi tập trung được thiết kế để đáp ứng tất cả các nhu cầu về tài sản kỹ thuật số. Mục tiêu của GokuMarket là trở thành một thị trường an toàn và bảo mật cho tất cả mọi người từ người mới đến chuyên nghiệp để sử dụng nền tảng này.

 

Blockchain sẽ đóng vai trò quan trọng trong phương tiện truyền thông xã hội được hỗ trợ VR

Nền tảng truyền thông thực tế ảo, Sensium, đã công bố tư cách thành viên của mình trong hội đồng kinh doanh Blockchain toàn cầu, hay GBBC - một hiệp hội công nghiệp phi lợi nhuận có trụ sở tại Thụy Sĩ cho blockchain.

Nền tảng Sensium sẽ tham gia thảo luận về dự đoán của mình về cách truyền thông xã hội ảo sẽ thay đổi cách mọi người tương tác trực tuyến như thế nào. Trong bối cảnh này, công nghệ blockchain có thể sẽ đóng một vai trò quan trọng trong việc tạo ra các tài sản kỹ thuật số và một nền kinh tế ảo trực tuyến. Hơn nữa, công nghệ blockchain có thể được sử dụng để bảo vệ quyền sở hữu và bản quyền cũng như tạo ra các mô hình quảng cáo mới trong thế giới ảo, giống như nó đã được thực hiện trong thế giới thực.

Là thành viên của GBBC, Sensium sẽ tham gia vào một loạt các hoạt động sắp tới nhằm mục đích thúc đẩy áp dụng công nghệ blockchain và giáo dục các nhà quản lý, nhà hoạch định chính sách và lãnh đạo doanh nghiệp về lợi ích của công nghệ.

 

Châu Phi đang trải qua thời kỳ phục hưng tiền điện tử

Việc chấp thuận tiền điện tử đang tạo ra những tiến bộ đáng kể ở Châu Phi trong quyền sở hữu tiền điện tử, khối lượng giao dịch. Theo thống kê, Uganda, Nigeria, Nam Phi, Ghana và Kenya thường xuyên nằm trong số 10 quốc gia hàng đầu trong việc tìm kiếm từ khóa “Bitcoin”.

Nam Phi nổi lên như trung tâm của tiền điện tử

Trong khi Nigeria từ lâu đã thống trị khối lượng giao dịch trên lục địa, báo cáo cho thấy Nam Phi có tỷ lệ sở hữu và sử dụng tiền điện tử cao nhất trong số các quốc gia sử dụng internet ở Châu Phi.

Trên toàn thế giới, Nam Phi hiện đang đứng thứ năm trong các quốc gia chấp nhận tiền điện tử.

 

 

Theo: BigcoinVietnam tổng hợp

Thảo luận thêm tại:

Email: Bigcoinvietnam@gmail.com

Hotline: (+84) 972 678 963

Facebook Fanpage: + https://www.facebook.com/Bigcoinvietnam/

Telegram: https://t.me/bigcoinvietnam

Twitter: https://twitter.com/bigcoinvietnam

Youtube channel: https://www.youtube.com/channel/UCSqu48gRo3ClM71WAUgFgxQ

Tags
Chia sẻ  
  
  
  
100% Rating
Điểm: 5 / 5
1 Bình chọn