2 tuần trước, chủ đề thị trường tiền điện tử nóng nhất là vụ tấn công KuCoin. Nhóm của chúng tôi đánh giá cao nhu cầu nhận thức của người dùng về các mối đe dọa như vậy, vì vậy đây là phần trình bày về nghiên cứu do các chuyên gia của chúng tôi thực hiện. Tuy nhiên, vấn đề ngăn chặn những tình huống như vậy có tầm quan trọng lớn hơn vào lúc này. Các chuyên gia của chúng tôi đã chuẩn bị các khuyến nghị về những điều cần chú ý và những việc cần làm để tránh những cuộc tấn công như vậy.
Lý lịch
Vào ngày 25 tháng 9 năm 2020, sàn giao dịch tiền điện tử KuCoin đã bị tấn công. Số tiền điện tử bị đánh cắp ước tính là hơn $ 275 triệu bằng nhiều loại tiền điện tử khác nhau.
Trên trang web chính thức, nhóm KuCoin giải thích rằng vụ hack được thực hiện do rò rỉ khóa riêng của ví nóng KuCoin. Kết quả là 1.008 BTC đã bị đánh cắp, cùng với 14.713 BSV, 26.733 LTC, 9.588.383 XLM, Omni và tether dựa trên EOS (USDT) trị giá 14 triệu đô la, 153 triệu đô la ether và ERC20, và hơn 18 triệu XRP.
Tất cả các mã thông báo USDT bị đánh cắp đã bị nhóm Tether chặn. Chặn là tốt cho những trường hợp hack như vậy. Nhờ các thủ tục này, sàn giao dịch đã có thể trả lại số tiền tương đương 64 triệu đô la. Tuy nhiên, nó mâu thuẫn với ý tưởng chính của tiền điện tử, cụ thể là phân quyền. Ví dụ: bitcoin của bạn không thể bị chặn theo bất kỳ cách nào.
Tin tặc đã thực hiện rút tiền từ ví nóng KuCoin đến các địa chỉ sau:
- ETH: https://etherscan.io/address/0xeb31973e0febf3e3d7058234a5ebbae1ab4b8c23
- BTC https://www.blockchain.com/btc/address/1TYyommJW3uhjhcnHhUSuTQFqSBAxBDPV
https://www.blockchain.com/btc/address/12FACbewf5Fy9nmeaLQtm6Ugo5WS8g2Hay
- LTC: https://live.blockcypher.com/ltc/address/LQtFoidy5TmLrPP77MZzgMRffqPsmRfMXE/
- XRP: https://bithomp.com/explorer/r3mZvvHVLPtRWAujzBsAoXqH11jhwQZvzY
- BSV: https://blockchair.com/bitcoin-sv/address/15mC7zKbLyErSKzGRHpy6gyqS7GyRpWjE
- XLM: https://stellarchain.io/address/GBM3PJWNB5VKNOFXCDTTNXPMUNBMYTLAAPYDIIKLHUGMKX7ZGN2FNGFU
- USDT: https://omniexplorer.info/address/1NRsEQRg5EjmJHbPUX7YADVPcPzCQBkyU7
- TRX: https://tronscan.org/#/address/TB3j1gUXaLXXq2bstiSMfjQ9R7Yh9DdDgK
Như chúng tôi phát hiện ra từ các giao dịch, hacker đã bán tiền điện tử bị đánh cắp từ các địa chỉ trên trên các sàn giao dịch phi tập trung như Uniswap và ẩn danh các loại tiền điện tử bị đánh cắp thông qua các dịch vụ trộn. Một lợi thế chính của Uniswap, một sàn giao dịch phi tập trung, là nó cho phép người dùng giữ toàn quyền quản lý các tài sản kỹ thuật số của họ khi trao đổi chúng. Tuy nhiên, tin tặc đã tận dụng những ưu điểm của nó và sử dụng sai nền tảng dịch vụ.
Việc một hacker sử dụng các sàn giao dịch phi tập trung ảnh hưởng tiêu cực đến danh tiếng của họ nhưng đồng thời cũng khẳng định độ tin cậy của họ. Uniswap hoàn toàn phi tập trung và là một dịch vụ đáng tin cậy để trao đổi tiền điện tử. Mọi người đều có thể trao đổi tiền điện tử mà không sợ bị chặn.
Tại sao vụ hack có thể xảy ra?
- Hành động độc hại của nhân viên có trách nhiệm.
Điều này có thể được thực hiện bởi một người nào đó từ nhân viên trao đổi có quyền truy cập thích hợp.
- Tấn công vào cơ sở hạ tầng web.
Kẻ tấn công có thể truy cập vào các dịch vụ ví nóng của sàn giao dịch. Tuy nhiên, chúng tôi coi một phiên bản như vậy là không thể.
- Tấn công kỹ thuật xã hội.
Tin tặc có thể có được quyền truy cập vào các khóa cá nhân do kết quả của một cuộc tấn công lừa đảo bằng cách sử dụng khai thác, vi rút và cửa hậu đối với những nhân viên có quyền truy cập vào khóa cá nhân.
Theo twitter của Johny Lyu, nhóm Kucoin đã tìm ra các nghi phạm của sự cố an ninh. Tuy nhiên, không có lý do cụ thể nào được đưa ra.
KuCoin sẽ bù lỗ?
Mặc dù sàn giao dịch tuyên bố sẽ bồi hoàn tất cả tổn thất cho người dùng , chúng ta có thể thấy rằng không có đủ tiền trên các ví KuCoin được xác định để trả cho những tổn thất do vụ hack gây ra. Ngoài ra, sàn giao dịch không có quỹ tài sản đảm bảo để thu hồi các khoản lỗ. Có lẽ những khoản tiền này được giữ trong tài khoản ngân hàng của sàn giao dịch hoặc trong ví “bí mật”, nhưng chúng tôi không có thông tin như vậy.
Nói về các sàn giao dịch khác, chúng ta có thể lưu ý rằng một số sàn giao dịch thực sự có quỹ bảo hiểm, như Bảo hiểm tài sản kỹ thuật số Bittrex .
Ai có nguy cơ?
Trước hết, trong nhóm rủi ro, chúng tôi bao gồm các sàn giao dịch có lượng tiền khổng lồ được lưu trữ trong ví nóng. Vài người trong số họ:
- Poloniex: https://etherscan.io/address/0xa910f92acdaf488fa6ef02174fb86208ad7722ba
- Coinoine: https://etherscan.io/address/0x167a9333bf582556f35bd4d16a7e80e191aa6476
- FTX: https://etherscan.io/address/0x2faf487a4414fe77e2327f0bf4ae2a264a776ad2 https://etherscan.io/address/0xc098b2a3aa256d2140208c3de6543aaef5cd3a94
Làm thế nào để tránh những vụ hack như vậy?
- Định kỳ khởi động lại ví nóng. Các cặp khóa ví nóng của KuCoin đã không được thay đổi trong 3 năm. Các giao dịch đầu tiên được thực hiện vào ngày 17/09/2017.
- Quy tắc hai người. Sử dụng các kế hoạch chia sẻ bí mật. Một trong những cách phổ biến nhất là sử dụng kế hoạch Chia sẻ Bí mật của Shamir.
- Không lưu trữ hơn 5% tổng số tiền gửi trong ví nóng. 95% còn lại phải được cất trong ví lạnh.
- Lưu trữ tiền điện tử trong một số ví nóng cho mỗi nền tảng tiền điện tử. Mỗi ví phải có khóa riêng của nó.
- Thực hiện kiểm tra thâm nhập thường xuyên, mô phỏng lừa đảo, bài tập đội đỏ.
- Thực hiện kiểm tra hệ thống lưu trữ tiền điện tử có trong quy trình kiểm tra SOC2 và / hoặc ISO27000: https://gemini.com/blog/gemini-completes-soc-2-review-a-worlds-first-for-a-cryptocurrency -thay đổi và giám sát
Phần kết luận
Vụ hack sàn giao dịch KuCoin đã cho chúng ta thấy rằng một số sàn giao dịch phải chú ý hơn đến các tiêu chuẩn bảo mật chung. Một số sàn giao dịch đáng kính đã vượt qua kiểm định SOC-2. Việc kiểm tra SOC 2 hàng năm chứng tỏ rằng một sàn giao dịch quan tâm đến việc bảo vệ dữ liệu và tiền gửi của khách hàng.
Bất kể lý do hack là gì, chúng tôi khuyên các sàn giao dịch tuân thủ các quy tắc được chấp nhận chung để lưu trữ tiền của khách hàng và thực hiện kiểm tra thường xuyên.
Ngoài ra, chúng ta có thể thấy rằng một hacker đã quyết định trao đổi tiền điện tử bị đánh cắp trên các dịch vụ DEX như Uniswap. Không giống như các sàn giao dịch tập trung, DEX không thể chặn tiền của người dùng – chỉ các dự án cụ thể mới có thể chặn mã thông báo của họ (ví dụ: Tether). Chúng tôi cảm thấy rằng điều này làm tăng niềm tin của người dùng vào độ tin cậy của các dịch vụ phi tập trung.