Gửi bài viết tới BigCoin

Vì sao mà các sàn giao dịch tiền mã hóa liên tục bị tấn công?

Đăng bởi: StevenPalley  - 16/07/2018 - 45 lượt xem
Chia sẻ
 

Tiền mã hóa đang là xu hướng thịnh hành ngày này. Hiện có hơn 1.600 tiền mã hóa khác nhau đang lưu hành với giá trị kết hợp đạt 350 tỷ đô la.Ba loại tiền mã hóa hàng đầu— Bitcoin, Ethereum và Ripple — trị giá hơn 210 tỷ đô la.

Tiền mã hóa rõ ràng được coi là đầu tư nóng của mọi người trên khắp thế giới. Một trong những điểm thu hút chính của tiền mã hóa là tính bảo mật của nó. Tuy nhiên, tính bảo mật của tiền mã hóa sẽ là vô ích nếu sàn giao dịch nơi mà chúng được lưu trữ không an toàn. Với trường hợp này, sẽ có ngày bạn thức dậy và chợt thấy rằng tất cả tiền mã hóa của bạn đã biến mất một cách đơn giản.

Mặc dù công nghệ Blockchain, nền tảng cho tiền mã hóa, cung cấp bảo mật mạnh mẽ, thì cả tiền mã hóa và sàn giao dịch lưu trữ tiền mã hóa của bạn đều có thể bị tấn công hoặc bị xâm phạm theo nhiều cách khác nhau.

Thông tin đăng nhập bị xâm phạm

Dù bảo mật có bảo vệ một hệ thống bao nhiêu đi chăng nữa, thì một số lượng nhất định của người dùng phải được ủy quyền để truy cập nó. Trong trường hợp của tiền mã hóa và sàn giao dịch tiền mã hóa, khách hàng, chủ sở hữu tiền mã hóa và quản trị viên sàn giao dịch tiêu biểu cho các mục tiêu tương đối dễ dàng với các kẻ tấn công. Phân tích của chúng tôi cho thấy nguyên nhân số một của cuộc tấn công sàn giao dịch mã hóa là thông tin đăng nhập bị xâm phạm.

Chỉ tính riêng năm 2017, thông tin đăng nhập bị xâm nhập đã dẫn đến nhiều vụ tấn công sàn giao dịch mã hóa. Vào tháng 6 năm 2017, thông tin cá nhân, bao gồm tên, địa chỉ email và số điện thoại di động của hơn 30.000 khách hàng đã bị xâm phạm khi tin tặc truy cập vào máy tính cá nhân của nhân viên sàn giao dịch mã hóa Bithumb.

Những kẻ tấn công đã có thể đánh cắp hàng chục ngàn đô la tiền mã hóa. Tin tặc cũng đã có thể xâm phạm các thông tin đăng nhập của một kỹ sư hệ thống để giành quyền truy cập vào NiceHash và lấy cắp khoảng 75 triệu đô la.

 

Các cuộc tấn công “social engineering”

Những kẻ tấn công biết rằng các liên kết yếu nhất trong bất kỳ hệ thống bảo mật máy tính nào là con người. Các cuộc tấn công social engineering có thể cung cấp cho kẻ tấn công thông tin chúng cần để truy cập giao dịch tiền mã hóa.

Một cuộc tấn công hướng tới phishing vào năm 2015 đã dẫn đến việc đánh cắp 5 triệu đô la từ Bitstamp, sau khi một quản trị viên của sàn giao dịch tiền mã hóa mở một tệp độc hại.

 

Lỗ hổng trong mã code tiền mã hóa

Không có mã code nào là bất tử. Mã code của một sàn giao dịch tiền mã hóa có thể ẩn chứa các lỗ hổng dễ bị khai thác để tấn công các giao dịch.

Trong năm 2016, kẻ trộm đã khai thác lỗ hổng trong mã code của một tổ chức tự trị phi tập trung, hay còn gọi là DAO, và đánh cắp tiền mã hóa. DAO đã được tạo ra như là một quỹ đầu tư phi tập trung.Tiền đề của DAO là việc quản lý các giao dịch thông qua mã code loại bỏ việc cần thiết phải tin tưởng con người để thực hiện các giao dịch và bản chất phân tán của hệ thống cũng sẽ ngăn cản bất kỳ cá nhân nào ăn cắp tiền. Những kẻ tấn công đã có thể khai thác một lỗ hổng trong cách mã code xử lý các giao dịch để loại bòn rút 50 triệu đô la Ethereum.

Các tài khoản thử nghiệm trong môi trường sản xuất

Các tài khoản thử nghiệm khá phổ biến trong bất kỳ môi trường phát triển nào. Nhà phát triển sử dụng các tài khoản có nhiều quyền và đặc quyền truy cập để kiểm tra mã code và xác minh rằng mọi thứ hoạt động theo đúng hướng. Nhưng tài khoản thử nghiệm có thể là một dấu Achilles cho một giao dịch tiền mã hóa. Chúng không được quản lý chặt chẽ cũng không được theo dõi và có thể cho phép kẻ tấn công truy cập vào mạng.

Sau khi các phương pháp hay nhất được thiết lập, tài khoản thử nghiệm chỉ nên tồn tại trong môi trường thử nghiệm hoặc dàn dựng. Các tài khoản như vậy sẽ không bao giờ nên được sử dụng trong môi trường sản xuất. Nếu vì lý do nào đó, tài khoản thử nghiệm phải được sử dụng trong môi trường sản xuất, tài khoản chỉ nên có mức độ đặc quyền và quyền truy cập tối thiểu cần thiết để kiểm tra chức năng và hiệu suất cơ bản. Kiểm tra định kỳ môi trường sản xuất phải xác định và loại bỏ bất kỳ tài khoản thử nghiệm giả mạo nào.

 

Thiếu sót trong tách biệt nhiệm vụ

Một phương pháp tối ưu khác là đảm bảo tách biệt các nhiệm vụ và triển khai thực hiện "quyền truy cập đặc quyền tối thiểu" cho các tài khoản. Sàn giao dịch tiền mã hóa nên bao gồm một quy trình giám sát chặt chẽ cho phép các nhà phát triển truy cập vào các hệ thống sản xuất chỉ khi cần thiết, chẳng hạn như trong trường hợp khẩn cấp.

 

Quản lý và “vệ sinh” tài khoản kém

Khi một sàn giao dịch tiền mã hóa không quản lý hiệu quả công tác “vệ sinh” tài khoản, thì bề mặt tấn công sẽ bị mở rộng một cách không cần thiết và và sàn giao dịch dễ dàng bị xâm phạm. Cùng với việc hạn chế quyền truy cập tài khoản thử nghiệm trong môi trường sản xuất và đảm bảo tách biệt các nhiệm vụ cho các vai trò khác nhau, điều quan trọng là sàn giao dịch tiền mã hóa phải  thực hiện các phương pháp quản lý tài khoản cơ bản tốt nhất.

 

Lỏng lẻo trong giao dịch

Nền tảng cho sự an toàn của tiền mã hóa -Công nghệ Blockchain - là các giao dịch không thể thay đổi được. Một trong những vụ tấn công sàn giao dịch tiền mã hóa lớn nhất trong lịch sử là kết quả của tính lỏng lẻo trong giao dịch khi kẻ tấn công phát hiện ra rằng họ có thể thay đổi ID giao dịch trước khi giao dịch bị đóng và chuyển tiền vào một tài khoản khác. Trong năm 2014, tin tặc đã sử dụng lỗ hổng này để chuyển gần 500 triệu đô la từ sàn giao dịch mã hóa Mt. Gox.

 

Thiếu bảo vệ ví nóng

Các máy chủ sàn giao dịch tiền mã hóa và mạng lưới lưu trữ duy trì các nhóm tiền mã hóa trực tiếp thì được gọi là ví nóng. Tiền mã hóa trong ví nóng phải được mã hóa và bảo mật, nhưng nếu ví  nóng không được bảo vệ đúng cách hoặc thiếu các kiểm soát bảo mật đầy đủ, tiền mã hóa trong đó sẽ dễ bị trộm cắp.

Ví nóng phải được bảo đảm bằng cách sử dụng các khóa riêng đa chữ ký, cung cấp bảo mật phân tán và đảm bảo rằng một khóa duy nhất không thể truy cập được. Vào tháng 1 năm 2018, tin tặc đã lấy cắp một số tiền kỷ lục lên tới 530 triệu đô la từ Coincheck do các khóa đa chữ ký không được sử dụng và tin tặc có được một khóa riêng cho phép họ mở khóa ví nóng.

Sự bùng nổ của tiền mã hóa và hàng tỷ đô la đổ đổ vào nó làm cho lĩnh vực này trở thành một mục tiêu rất hấp dẫn đối với tội phạm mạng. Công nghệ Blockchain có nhiều lợi ích - một trong số đó là bảo mật. Tuy nhiên, luôn luôn có một mối liên kết yếu ở đâu đó. Những ví dụ này cho thấy rằng rằng mặc dù tiền mã hóa  chính nó có thể được bảo mật, nhưng các sàn giao dịch tiền mã hóa xử lý giao dịch và lưu trữ tiền mã hóa vẫn có thể dễ bị tấn công và đánh cắp.

Nguồn: www.infosecurity-magazine.com

Bạn đang đọc bài: Vì sao mà các sàn giao dịch tiền mã hóa liên tục bị tấn công? tại Tin tức

Biên soạn & sản xuất nội dung: bigcoinvietnam.com

Tags
Chia sẻ  
  
  
  
100% Rating
Điểm: 5 / 5
1 Bình chọn

StevenPalley

Đội ngũ dịch bài từ các trang web uy tín ở nước ngoài. Với sự đánh giá cao của các chuyên gia

Nâng cấp Hardfork của Ethereum sẽ bị trì hoãn đến đầu năm 2019


Các nhà phát triển chủ chốt của Ethereum (ETH) đều đã đồng ý về việc trì hoãn kế hoạch Hardfork của nền tảng Smart contract dựa trên công nghệ Blockchain này cho đến tháng 1 năm 2019.


 

Có thể bạn quan tâm: 

Một bài báo trước đó đề cập vào giữa tháng 9, đợt Hardfork sắp đến của Ethereum được biết đến với tên gọi Constantinople dự kiến sẽ được thực hiện vào tháng 11 năm 2019.

Quá trình chuyển giao Hardfork đã thất bại trên Testnet

Nâng cấp Hardfork của Ethereum sẽ bị trì hoãn đến đầu năm 2019

Sau quá trình thử nghiệm Hardfork trên mạng lưới của Ethereum vào ngày 13/10 nhằm mục đích kiểm tra các hợp đồng thông mình và các bản nâng cấp có xảy ra bất kì lỗi nào trước khi được tung ra trên Mainnet. Các nhà phát triển nền tảng đã đồng ý không thực hiện nâng cấp cho đến đầu năm sau.

Cuộc họp giữa các Core Team được lưu lại và đăng tải trên Youtube. Các nhà phát triển đã có những thảo luận cơi mở về những thách thức hiện tại mà nền tảng này đang phải đối mặt - trong số đó một vấn đề chủ chốt được bàn luận là việc nâng cấp Constantinople.

Quyết định trì hoãn được đưa ra khi có một số vấn đề gặp phải khi thực hiện kiểm tra codebase của nó trên Ropsten. Theo nhóm phát triển Ethereum, Hardfork gặp vấn đề với số khối 4.299.999 - ngay trước Block dự kiến để kích hoạt 4.230.000.

Sau khi dừng lại ở Block 4.299.999 trong khoảng 2H, các Miner tham gia vào mạng lưới testnet đã không thể kích hoạt quá trình chuyển đổi. Alfri Schoeden, một nhà phát triển khách hàng của Ethereum tiết lộ quá trình kích hoạt bị thất bại do “vấn đề đồng thuận” và dẫn đến kết quả được ông mô tả là “Three-way-fork” giữa 2 Client của Ethereum: Parity và Geth.

Không đủ thời gian để nâng cấp

Nâng cấp Hardfork của Ethereum sẽ bị trì hoãn đến đầu năm 2019

Schoeden, người đã chuẩn bị chương trình nghị sự cho buổi họp báo trực tuyến đã chỉ ra rằng:

“Hashpower vừa được thêm vào đã khiến giảm đi Blocktime và làm cho Hardfork diễn ra sớm hơn dự kiến vào hôm Thứ 7”

Theo Schoeden, thời gian của các sự kiện này xảy ra quá gần nhau có thể khiến cho quá trình Hardfork bị thất bại trên hệ thống Testnet. Ông giải thích rằng dự kiến thực hiện Hardfork sẽ chỉ diễn ra 6 ngày sau khi khởi động phiên bản mới nhất của Geth Client và chỉ 1 ngày sau Parity Client.

Do đó, ông cho rằng người dùng sẽ không có đủ thời gian để cài đặt các nâng cấp cần thiết.

Hơn nữa, Schoeden đã chỉ ra rằng không phải một thợ mỏ đã khai thác trên chuổi Constantinople đẫn đến quá trình chậm trễ 2h đồng hồ trước khi khối 4.230.000 có thể xử lý được.

Các vấn đề khác được trình bày tại cuộc họp bao gồm cộng đồng Ethereum không có một công cụ đáng tin cậy nào để có thể thực hiện giám sát hiệu quả các đợt Hardfork thực hiện trên các bản Tesnet.

Khách hàng của Ethereum Parity có một trang web để theo dõi số liệu thống kê, tuy nhiên Schoeden cho biết trang web này cũng không có tiết lộ chi tiết về các chuỗi khác nhau.

Trong khi đó, nhà phát triển Ethereum, Hudson Jameson khá ấn tượng với một ý tưởng đề xuất bỏi một nhà phát triển khác - đó là việc thường xuyên tạo ra khai thác các Testnet tạm thời để kiểm tra sự chuyển tiếp vào Constantinople. Jameson nghỉ rằng điều này sẽ cho phép phát hiện các vấn đề trên một Testnet tạm thời.

Bạn đang xem: Nâng cấp Hardfork của Ethereum sẽ bị trì hoãn đến đầu năm 2019 Tại: Tin tức

Tổng hợp: Bigcoinvietnam.com

Nguồn: Trading Insight

Tags
Chia sẻ  
  
  
  
100% Rating
Điểm: 5 / 5
1 Bình chọn

huong

Là thành viên của team Bigcoinvietnam, giúp cung cấp những thông tin mới nhất cho bạn đọc .

Bigcoin Việt Nam - Phân tích đầu tư Bitcoin, Ethereum, đầu tư ICO theo 39 tiêu chí phân tích công nghệ