Gửi bài viết tới BigCoin

Vì sao mà các sàn giao dịch tiền mã hóa liên tục bị tấn công?

Đăng bởi: StevenPalley  - 16/07/2018 - 145 lượt xem
Chia sẻ
 

Tiền mã hóa đang là xu hướng thịnh hành ngày này. Hiện có hơn 1.600 tiền mã hóa khác nhau đang lưu hành với giá trị kết hợp đạt 350 tỷ đô la.Ba loại tiền mã hóa hàng đầu— Bitcoin, Ethereum và Ripple — trị giá hơn 210 tỷ đô la.

Tiền mã hóa rõ ràng được coi là đầu tư nóng của mọi người trên khắp thế giới. Một trong những điểm thu hút chính của tiền mã hóa là tính bảo mật của nó. Tuy nhiên, tính bảo mật của tiền mã hóa sẽ là vô ích nếu sàn giao dịch nơi mà chúng được lưu trữ không an toàn. Với trường hợp này, sẽ có ngày bạn thức dậy và chợt thấy rằng tất cả tiền mã hóa của bạn đã biến mất một cách đơn giản.

Mặc dù công nghệ Blockchain, nền tảng cho tiền mã hóa, cung cấp bảo mật mạnh mẽ, thì cả tiền mã hóa và sàn giao dịch lưu trữ tiền mã hóa của bạn đều có thể bị tấn công hoặc bị xâm phạm theo nhiều cách khác nhau.

Thông tin đăng nhập bị xâm phạm

Dù bảo mật có bảo vệ một hệ thống bao nhiêu đi chăng nữa, thì một số lượng nhất định của người dùng phải được ủy quyền để truy cập nó. Trong trường hợp của tiền mã hóa và sàn giao dịch tiền mã hóa, khách hàng, chủ sở hữu tiền mã hóa và quản trị viên sàn giao dịch tiêu biểu cho các mục tiêu tương đối dễ dàng với các kẻ tấn công. Phân tích của chúng tôi cho thấy nguyên nhân số một của cuộc tấn công sàn giao dịch mã hóa là thông tin đăng nhập bị xâm phạm.

Chỉ tính riêng năm 2017, thông tin đăng nhập bị xâm nhập đã dẫn đến nhiều vụ tấn công sàn giao dịch mã hóa. Vào tháng 6 năm 2017, thông tin cá nhân, bao gồm tên, địa chỉ email và số điện thoại di động của hơn 30.000 khách hàng đã bị xâm phạm khi tin tặc truy cập vào máy tính cá nhân của nhân viên sàn giao dịch mã hóa Bithumb.

Những kẻ tấn công đã có thể đánh cắp hàng chục ngàn đô la tiền mã hóa. Tin tặc cũng đã có thể xâm phạm các thông tin đăng nhập của một kỹ sư hệ thống để giành quyền truy cập vào NiceHash và lấy cắp khoảng 75 triệu đô la.

 

Các cuộc tấn công “social engineering”

Những kẻ tấn công biết rằng các liên kết yếu nhất trong bất kỳ hệ thống bảo mật máy tính nào là con người. Các cuộc tấn công social engineering có thể cung cấp cho kẻ tấn công thông tin chúng cần để truy cập giao dịch tiền mã hóa.

Một cuộc tấn công hướng tới phishing vào năm 2015 đã dẫn đến việc đánh cắp 5 triệu đô la từ Bitstamp, sau khi một quản trị viên của sàn giao dịch tiền mã hóa mở một tệp độc hại.

 

Lỗ hổng trong mã code tiền mã hóa

Không có mã code nào là bất tử. Mã code của một sàn giao dịch tiền mã hóa có thể ẩn chứa các lỗ hổng dễ bị khai thác để tấn công các giao dịch.

Trong năm 2016, kẻ trộm đã khai thác lỗ hổng trong mã code của một tổ chức tự trị phi tập trung, hay còn gọi là DAO, và đánh cắp tiền mã hóa. DAO đã được tạo ra như là một quỹ đầu tư phi tập trung.Tiền đề của DAO là việc quản lý các giao dịch thông qua mã code loại bỏ việc cần thiết phải tin tưởng con người để thực hiện các giao dịch và bản chất phân tán của hệ thống cũng sẽ ngăn cản bất kỳ cá nhân nào ăn cắp tiền. Những kẻ tấn công đã có thể khai thác một lỗ hổng trong cách mã code xử lý các giao dịch để loại bòn rút 50 triệu đô la Ethereum.

Các tài khoản thử nghiệm trong môi trường sản xuất

Các tài khoản thử nghiệm khá phổ biến trong bất kỳ môi trường phát triển nào. Nhà phát triển sử dụng các tài khoản có nhiều quyền và đặc quyền truy cập để kiểm tra mã code và xác minh rằng mọi thứ hoạt động theo đúng hướng. Nhưng tài khoản thử nghiệm có thể là một dấu Achilles cho một giao dịch tiền mã hóa. Chúng không được quản lý chặt chẽ cũng không được theo dõi và có thể cho phép kẻ tấn công truy cập vào mạng.

Sau khi các phương pháp hay nhất được thiết lập, tài khoản thử nghiệm chỉ nên tồn tại trong môi trường thử nghiệm hoặc dàn dựng. Các tài khoản như vậy sẽ không bao giờ nên được sử dụng trong môi trường sản xuất. Nếu vì lý do nào đó, tài khoản thử nghiệm phải được sử dụng trong môi trường sản xuất, tài khoản chỉ nên có mức độ đặc quyền và quyền truy cập tối thiểu cần thiết để kiểm tra chức năng và hiệu suất cơ bản. Kiểm tra định kỳ môi trường sản xuất phải xác định và loại bỏ bất kỳ tài khoản thử nghiệm giả mạo nào.

 

Thiếu sót trong tách biệt nhiệm vụ

Một phương pháp tối ưu khác là đảm bảo tách biệt các nhiệm vụ và triển khai thực hiện "quyền truy cập đặc quyền tối thiểu" cho các tài khoản. Sàn giao dịch tiền mã hóa nên bao gồm một quy trình giám sát chặt chẽ cho phép các nhà phát triển truy cập vào các hệ thống sản xuất chỉ khi cần thiết, chẳng hạn như trong trường hợp khẩn cấp.

 

Quản lý và “vệ sinh” tài khoản kém

Khi một sàn giao dịch tiền mã hóa không quản lý hiệu quả công tác “vệ sinh” tài khoản, thì bề mặt tấn công sẽ bị mở rộng một cách không cần thiết và và sàn giao dịch dễ dàng bị xâm phạm. Cùng với việc hạn chế quyền truy cập tài khoản thử nghiệm trong môi trường sản xuất và đảm bảo tách biệt các nhiệm vụ cho các vai trò khác nhau, điều quan trọng là sàn giao dịch tiền mã hóa phải  thực hiện các phương pháp quản lý tài khoản cơ bản tốt nhất.

 

Lỏng lẻo trong giao dịch

Nền tảng cho sự an toàn của tiền mã hóa -Công nghệ Blockchain - là các giao dịch không thể thay đổi được. Một trong những vụ tấn công sàn giao dịch tiền mã hóa lớn nhất trong lịch sử là kết quả của tính lỏng lẻo trong giao dịch khi kẻ tấn công phát hiện ra rằng họ có thể thay đổi ID giao dịch trước khi giao dịch bị đóng và chuyển tiền vào một tài khoản khác. Trong năm 2014, tin tặc đã sử dụng lỗ hổng này để chuyển gần 500 triệu đô la từ sàn giao dịch mã hóa Mt. Gox.

 

Thiếu bảo vệ ví nóng

Các máy chủ sàn giao dịch tiền mã hóa và mạng lưới lưu trữ duy trì các nhóm tiền mã hóa trực tiếp thì được gọi là ví nóng. Tiền mã hóa trong ví nóng phải được mã hóa và bảo mật, nhưng nếu ví  nóng không được bảo vệ đúng cách hoặc thiếu các kiểm soát bảo mật đầy đủ, tiền mã hóa trong đó sẽ dễ bị trộm cắp.

Ví nóng phải được bảo đảm bằng cách sử dụng các khóa riêng đa chữ ký, cung cấp bảo mật phân tán và đảm bảo rằng một khóa duy nhất không thể truy cập được. Vào tháng 1 năm 2018, tin tặc đã lấy cắp một số tiền kỷ lục lên tới 530 triệu đô la từ Coincheck do các khóa đa chữ ký không được sử dụng và tin tặc có được một khóa riêng cho phép họ mở khóa ví nóng.

Sự bùng nổ của tiền mã hóa và hàng tỷ đô la đổ đổ vào nó làm cho lĩnh vực này trở thành một mục tiêu rất hấp dẫn đối với tội phạm mạng. Công nghệ Blockchain có nhiều lợi ích - một trong số đó là bảo mật. Tuy nhiên, luôn luôn có một mối liên kết yếu ở đâu đó. Những ví dụ này cho thấy rằng rằng mặc dù tiền mã hóa  chính nó có thể được bảo mật, nhưng các sàn giao dịch tiền mã hóa xử lý giao dịch và lưu trữ tiền mã hóa vẫn có thể dễ bị tấn công và đánh cắp.

Nguồn: www.infosecurity-magazine.com

Bạn đang đọc bài: Vì sao mà các sàn giao dịch tiền mã hóa liên tục bị tấn công? tại Tin tức

Biên soạn & sản xuất nội dung: bigcoinvietnam.com

Tags
Chia sẻ  
  
  
  
100% Rating
Điểm: 5 / 5
1 Bình chọn

StevenPalley

Đội ngũ dịch bài từ các trang web uy tín ở nước ngoài. Với sự đánh giá cao của các chuyên gia

Ủy ban Châu Âu quan tâm đến tiềm năng độc quyền của Libra


Ủy ban Châu Âu quan tâm đến tiềm năng độc quyền của Libra

Các cơ quan quản lý chống độc quyền tại Ủy ban Châu Âu, chi nhánh điều hành của Liên minh Châu Âu đã gửi một bảng câu hỏi để xác định xem stablecoin Facebook Libra liệu có phải là một dự án chống cạnh tranh hay không.

Trang thông tin Bloomberg nắm được tin tức qua một tài liệu theo một báo cáo vào ngày 20 tháng 8. Theo báo cáo, ủy ban đã gửi một bảng câu hỏi trước đó vào tháng 8 trong một nỗ lực để tìm hiểu xem các đối thủ có thể cạnh tranh với Hiệp hội Libra và sản phẩm của nó trên cơ sở công bằng hay không. Các cơ quan chức tin rằng Libra có thể cản trở cạnh tranh thông qua trao đổi thông tin và sử dụng dữ liệu của người dùng.

Hơn nữa, các cơ quan quản lý đã bắt đầu điều tra làm thế nào Libra có thể được sử dụng trong các ứng dụng Facebook Whats và Messenger. Phần này của các trung tâm điều tra về cách thức thành viên và quản trị trong Hiệp hội Libra hoạt động.

Báo cáo lưu ý rằng chi nhánh chống độc quyền của Ủy Ban không phải là chi nhánh duy nhất của tổ chức quan tâm đến Libra. Người phát ngôn của bộ phận dịch vụ tài chính của Ủy ban cho biết chi nhánh này đang giám sát sự phát triển thị trường trong lĩnh vực tài sản tiền mã hóa và dịch vụ thanh toán, bao gồm cả Libra và sự phát triển của nó.

Tiền mã hóa mới của Facebook

Như Cointelegraph đã báo cáo trước đây, các quan chức chính phủ khác cũng đã bày tỏ quan ngại về sự thống trị có thể có của Facebook trong lĩnh vực thanh toán. Thượng Nghị Sĩ Hoa Kỳ Sherrod Brown, thành viên của Ủy ban Ngân hàng Thượng viện đã phát biểu vào tháng 6 về việc ông lo ngại Facebook có thể điều chỉnh các điều khoản thanh toán cho các doanh nghiệp như thế nào. Ông nói:

"Điều gì xảy ra khi Facebook buộc các doanh nghiệp bỏ chấp nhận thẻ tín dụng hoặc thẻ ghi nợ của bạn? Bạn có thể bị buộc sử dụng tiền Độc quyền mới của Facebook. Còn các chủ doanh nghiệp nhỏ, buộc phải sử dụng hoặc mất quyền truy cập vào hàng triệu người dùng của Facebook thì sao?"

Nguồn: cointelegraph

Tags
Chia sẻ  
  
  
  
100% Rating
Điểm: 5 / 5
1 Bình chọn
Bigcoin Việt Nam - Phân tích đầu tư Bitcoin và các dự án công nghê Blockchain