Gửi bài viết tới BigCoin

Vì sao mà các sàn giao dịch tiền mã hóa liên tục bị tấn công?

Đăng bởi: StevenPalley  - 16/07/2018 - 56 lượt xem
Chia sẻ
 

Tiền mã hóa đang là xu hướng thịnh hành ngày này. Hiện có hơn 1.600 tiền mã hóa khác nhau đang lưu hành với giá trị kết hợp đạt 350 tỷ đô la.Ba loại tiền mã hóa hàng đầu— Bitcoin, Ethereum và Ripple — trị giá hơn 210 tỷ đô la.

Tiền mã hóa rõ ràng được coi là đầu tư nóng của mọi người trên khắp thế giới. Một trong những điểm thu hút chính của tiền mã hóa là tính bảo mật của nó. Tuy nhiên, tính bảo mật của tiền mã hóa sẽ là vô ích nếu sàn giao dịch nơi mà chúng được lưu trữ không an toàn. Với trường hợp này, sẽ có ngày bạn thức dậy và chợt thấy rằng tất cả tiền mã hóa của bạn đã biến mất một cách đơn giản.

Mặc dù công nghệ Blockchain, nền tảng cho tiền mã hóa, cung cấp bảo mật mạnh mẽ, thì cả tiền mã hóa và sàn giao dịch lưu trữ tiền mã hóa của bạn đều có thể bị tấn công hoặc bị xâm phạm theo nhiều cách khác nhau.

Thông tin đăng nhập bị xâm phạm

Dù bảo mật có bảo vệ một hệ thống bao nhiêu đi chăng nữa, thì một số lượng nhất định của người dùng phải được ủy quyền để truy cập nó. Trong trường hợp của tiền mã hóa và sàn giao dịch tiền mã hóa, khách hàng, chủ sở hữu tiền mã hóa và quản trị viên sàn giao dịch tiêu biểu cho các mục tiêu tương đối dễ dàng với các kẻ tấn công. Phân tích của chúng tôi cho thấy nguyên nhân số một của cuộc tấn công sàn giao dịch mã hóa là thông tin đăng nhập bị xâm phạm.

Chỉ tính riêng năm 2017, thông tin đăng nhập bị xâm nhập đã dẫn đến nhiều vụ tấn công sàn giao dịch mã hóa. Vào tháng 6 năm 2017, thông tin cá nhân, bao gồm tên, địa chỉ email và số điện thoại di động của hơn 30.000 khách hàng đã bị xâm phạm khi tin tặc truy cập vào máy tính cá nhân của nhân viên sàn giao dịch mã hóa Bithumb.

Những kẻ tấn công đã có thể đánh cắp hàng chục ngàn đô la tiền mã hóa. Tin tặc cũng đã có thể xâm phạm các thông tin đăng nhập của một kỹ sư hệ thống để giành quyền truy cập vào NiceHash và lấy cắp khoảng 75 triệu đô la.

 

Các cuộc tấn công “social engineering”

Những kẻ tấn công biết rằng các liên kết yếu nhất trong bất kỳ hệ thống bảo mật máy tính nào là con người. Các cuộc tấn công social engineering có thể cung cấp cho kẻ tấn công thông tin chúng cần để truy cập giao dịch tiền mã hóa.

Một cuộc tấn công hướng tới phishing vào năm 2015 đã dẫn đến việc đánh cắp 5 triệu đô la từ Bitstamp, sau khi một quản trị viên của sàn giao dịch tiền mã hóa mở một tệp độc hại.

 

Lỗ hổng trong mã code tiền mã hóa

Không có mã code nào là bất tử. Mã code của một sàn giao dịch tiền mã hóa có thể ẩn chứa các lỗ hổng dễ bị khai thác để tấn công các giao dịch.

Trong năm 2016, kẻ trộm đã khai thác lỗ hổng trong mã code của một tổ chức tự trị phi tập trung, hay còn gọi là DAO, và đánh cắp tiền mã hóa. DAO đã được tạo ra như là một quỹ đầu tư phi tập trung.Tiền đề của DAO là việc quản lý các giao dịch thông qua mã code loại bỏ việc cần thiết phải tin tưởng con người để thực hiện các giao dịch và bản chất phân tán của hệ thống cũng sẽ ngăn cản bất kỳ cá nhân nào ăn cắp tiền. Những kẻ tấn công đã có thể khai thác một lỗ hổng trong cách mã code xử lý các giao dịch để loại bòn rút 50 triệu đô la Ethereum.

Các tài khoản thử nghiệm trong môi trường sản xuất

Các tài khoản thử nghiệm khá phổ biến trong bất kỳ môi trường phát triển nào. Nhà phát triển sử dụng các tài khoản có nhiều quyền và đặc quyền truy cập để kiểm tra mã code và xác minh rằng mọi thứ hoạt động theo đúng hướng. Nhưng tài khoản thử nghiệm có thể là một dấu Achilles cho một giao dịch tiền mã hóa. Chúng không được quản lý chặt chẽ cũng không được theo dõi và có thể cho phép kẻ tấn công truy cập vào mạng.

Sau khi các phương pháp hay nhất được thiết lập, tài khoản thử nghiệm chỉ nên tồn tại trong môi trường thử nghiệm hoặc dàn dựng. Các tài khoản như vậy sẽ không bao giờ nên được sử dụng trong môi trường sản xuất. Nếu vì lý do nào đó, tài khoản thử nghiệm phải được sử dụng trong môi trường sản xuất, tài khoản chỉ nên có mức độ đặc quyền và quyền truy cập tối thiểu cần thiết để kiểm tra chức năng và hiệu suất cơ bản. Kiểm tra định kỳ môi trường sản xuất phải xác định và loại bỏ bất kỳ tài khoản thử nghiệm giả mạo nào.

 

Thiếu sót trong tách biệt nhiệm vụ

Một phương pháp tối ưu khác là đảm bảo tách biệt các nhiệm vụ và triển khai thực hiện "quyền truy cập đặc quyền tối thiểu" cho các tài khoản. Sàn giao dịch tiền mã hóa nên bao gồm một quy trình giám sát chặt chẽ cho phép các nhà phát triển truy cập vào các hệ thống sản xuất chỉ khi cần thiết, chẳng hạn như trong trường hợp khẩn cấp.

 

Quản lý và “vệ sinh” tài khoản kém

Khi một sàn giao dịch tiền mã hóa không quản lý hiệu quả công tác “vệ sinh” tài khoản, thì bề mặt tấn công sẽ bị mở rộng một cách không cần thiết và và sàn giao dịch dễ dàng bị xâm phạm. Cùng với việc hạn chế quyền truy cập tài khoản thử nghiệm trong môi trường sản xuất và đảm bảo tách biệt các nhiệm vụ cho các vai trò khác nhau, điều quan trọng là sàn giao dịch tiền mã hóa phải  thực hiện các phương pháp quản lý tài khoản cơ bản tốt nhất.

 

Lỏng lẻo trong giao dịch

Nền tảng cho sự an toàn của tiền mã hóa -Công nghệ Blockchain - là các giao dịch không thể thay đổi được. Một trong những vụ tấn công sàn giao dịch tiền mã hóa lớn nhất trong lịch sử là kết quả của tính lỏng lẻo trong giao dịch khi kẻ tấn công phát hiện ra rằng họ có thể thay đổi ID giao dịch trước khi giao dịch bị đóng và chuyển tiền vào một tài khoản khác. Trong năm 2014, tin tặc đã sử dụng lỗ hổng này để chuyển gần 500 triệu đô la từ sàn giao dịch mã hóa Mt. Gox.

 

Thiếu bảo vệ ví nóng

Các máy chủ sàn giao dịch tiền mã hóa và mạng lưới lưu trữ duy trì các nhóm tiền mã hóa trực tiếp thì được gọi là ví nóng. Tiền mã hóa trong ví nóng phải được mã hóa và bảo mật, nhưng nếu ví  nóng không được bảo vệ đúng cách hoặc thiếu các kiểm soát bảo mật đầy đủ, tiền mã hóa trong đó sẽ dễ bị trộm cắp.

Ví nóng phải được bảo đảm bằng cách sử dụng các khóa riêng đa chữ ký, cung cấp bảo mật phân tán và đảm bảo rằng một khóa duy nhất không thể truy cập được. Vào tháng 1 năm 2018, tin tặc đã lấy cắp một số tiền kỷ lục lên tới 530 triệu đô la từ Coincheck do các khóa đa chữ ký không được sử dụng và tin tặc có được một khóa riêng cho phép họ mở khóa ví nóng.

Sự bùng nổ của tiền mã hóa và hàng tỷ đô la đổ đổ vào nó làm cho lĩnh vực này trở thành một mục tiêu rất hấp dẫn đối với tội phạm mạng. Công nghệ Blockchain có nhiều lợi ích - một trong số đó là bảo mật. Tuy nhiên, luôn luôn có một mối liên kết yếu ở đâu đó. Những ví dụ này cho thấy rằng rằng mặc dù tiền mã hóa  chính nó có thể được bảo mật, nhưng các sàn giao dịch tiền mã hóa xử lý giao dịch và lưu trữ tiền mã hóa vẫn có thể dễ bị tấn công và đánh cắp.

Nguồn: www.infosecurity-magazine.com

Bạn đang đọc bài: Vì sao mà các sàn giao dịch tiền mã hóa liên tục bị tấn công? tại Tin tức

Biên soạn & sản xuất nội dung: bigcoinvietnam.com

Tags
Chia sẻ  
  
  
  
100% Rating
Điểm: 5 / 5
1 Bình chọn

StevenPalley

Đội ngũ dịch bài từ các trang web uy tín ở nước ngoài. Với sự đánh giá cao của các chuyên gia

ICO gặp khủng hoảng do không có sản phẩm khả thi


Trong thị trường tăng giá của năm 2018, các dự án ICO trong thị trường tiền mã hóa đã huy động được trung bình hàng chục triệu đô la từ các nhà đầu tư trên thị trường công khai để tạo ra các ứng dụng phi tập trung (dApps) và hệ thống. 12 tháng nhanh chóng trôi qua, hầu hết các dự án ICO hiện đang tồn tại trong lĩnh vực này đều không có sản phẩm đang hoạt động hoặc không đủ số lượng người dùng để chứng minh giá trị của họ.


Theo Martha Bennett, một nhà phân tích chính của Forrester Research, các ICO đã phải vật lộn để tìm kiếm các sản phẩm khả thi với các mô hình kinh doanh không giải thích được sự xuất hiện của một thị trường gấu tiềm năng có thể buộc các dự án phải đối mặt với sự đổ vỡ trong gọi vốn.

 

Khủng hoảng

Các ICO đã huy động được một khoản tiền lớn trong năm qua với một số ICO huy động tới 4 tỷ đô la từ thị trường công khai. Tuy nhiên, dựa trên dữ liệu do DappRadar cung cấp, ngoài IDEX và ForkDelta, không có ứng dụng nào trên thị trường có hơn 600 người dùng.

Nhiều trong số 100 dự án tiền mã hóa hàng đầu trên thị trường, ngay cả những dự án có cộng đồng nhà phát triển hoạt động tích cực và công nghệ mạnh như Augur, 0x, Decentraland, ICON, Wanchain và Polymath, đều gặp khó khăn trong việc bảo vệ cơ sở người dùng đang hoạt động và duy trì các hoạt động người dùng ở mức độ cao trên các hệ thống phi tập trung.

Các dự án nêu trên có các sản phẩm đang hoạt động hiện đang được người dùng sử dụng trong hệ sinh thái Ethereum cho các trường hợp sử dụng khác nhau. Chẳng hạn, Augur đã chứng kiến khối lượng giao dịch hàng ngày  tăng vọt lên tới gần 3 triệu đô la trong thời gian bầu cử giữa kỳ gần đây của Mỹ.

ICO gặp khủng hoảng do không có sản phẩm khả thi

ICO gặp khủng hoảng do không có sản phẩm khả thi

Tuy nhiên, phần lớn token ERC20 và ICO trong bảng xếp hạng 100 đồng tiền mã hóa hàng đầu thậm chí không có sản phẩm đang hoạt động để cho thấy người dùng tích cực sử dụng sản phẩm thường xuyên.

Căn cứ vào hiệu suất vượt trội của hầu hết các dự án dApps và ICO trong không gian, Martha Bennett, nhà phân tích của Forrester Research cho biết, thị trường gấu năm nay đã là một hồi chuông cảnh tỉnh cho các nhà đầu tư tài trợ cho các dự án trị giá hàng triệu đô la mà không có sản phẩm đang hoạt động nào và trong nhiều trường hợp, không có một tầm nhìn dài hạn, chiến lược và mô hình kinh doanh vững chắc.

Bennett nói:

“Dù sớm hay muộn, điều này cũng sẽ dẫn đến sự thu hẹp. Khủng hoảng tiền mã hóa vừa đóng vai trò là chất xúc tác vừa là một hồi chuông cảnh tỉnh”

Một số công ty quy mô lớn như Coinbase và ConsenSys cũng đã sa thải một phần tương đối nhỏ nhân viên của họ trong hai tháng qua, do bị ảnh hưởng bởi thị trường gấu và tiền mã hóa sụt giá.

Vào tháng 10, Coinbase, một trong những sàn giao dịch tiền mã hóa lớn nhất trên thị trường toàn cầu, đã sa thải 15 thành viên trong đội ngũ nhân viên. Trong tháng này, ConsenSys được cho là đã chấm dứt hợp đồng với 13% nhân viên của họ, ước tính có khoảng 130 nhân viên.

 

Làm sao để tiến lên

Lex Sokolin, giám đốc chiến lược fintech toàn cầu tại Autonomous Research, nói rằng sự gia nhập của các nhà đầu tư và vốn mới có thể sẽ làm cân bằng lĩnh vực này trong những tháng tới và đối với các công ty thương mại có tỷ suất lợi nhuận cao như các sàn giao dịch, chắc chắn các tổ chức này nằm có thể sẽ làm được điều đó.

“Tôi cảm thấy thoải mái khi nói rằng áp lực về định giá đối với tài sản kỹ thuật số trong năm 2018 có thể dẫn đến việc đóng cửa 25-50% các dự án và sa thải trong các dự án hiện tại dựa trên so sánh trong lịch sử. Tuy nhiên, tốc độ của những người mới tham gia và vốn mới có thể làm mất cân bằng sự thu hẹp này và vẫn giúp toàn bộ ngành tăng trưởng.”

Tuy nhiên, đối với ICO, nếu các dự án chưa bắt tay vào phát triển các sản phẩm thực sự có thể được sử dụng bởi cả tiền mã hóa và người dùng thông thường, sẽ rất khó để phục hồi từ tình hình hiện tại của thị trường.

Bạn đang đọc: ICO gặp khủng hoảng do không có sản phẩm khả thi tại Tin tức

Theo CCN

Biên dịch: Bigcoinvietnam.com

Tags
Chia sẻ  
  
  
  
100% Rating
Điểm: 5 / 5
1 Bình chọn

Anna

Thành viên của đội ngũ dịch bài từ các trang web uy tín ở nước ngoài luôn cập nhật nhanh nhất về những tin tức trên thế giới trong ngành công nghiệp mới nổi và còn non trẻ này.

Bigcoin Việt Nam - Phân tích đầu tư Bitcoin, Ethereum, đầu tư ICO theo 39 tiêu chí phân tích công nghệ