Khoảng 3 tỷ USD đã bị đánh đánh cắp từ các dự án tiền điện tử blockchain trong năm 2022. Điển hình như tại BNB Chain đã bị tấn công, Hacker sau đó liền rút ruột và chiếm quyền kiểm soát khoảng 2 triệu token BNB, trị giá hơn 586 triệu USD; Tựa game của người Việt là Axie Infinity bị hacker tấn công và lấy đi lượng tiền điện tử trị giá hơn 600 triệu USD; Wormhole Network với 325 triệu USD; 190 triệu USD bị đánh cắp từ Nomad; Beanstalk Farms mất 182 triệu USD; Wintermute đã tạo thu nhập cho tin tặc 160 triệu USD...
Năm 2022, hàng loạt các cầu nối blockchain đã bị tấn công sau khi các hacker xác định và khai thác các điểm yếu. Nếu không được khắc phục, cấp độ nguy hiểm của những lỗi này có thể dẫn đến các cuộc tấn công tiếp theo và sự mất mát tiền tệ tương ứng, trong một số trường hợp có thể dẫn đến hàng triệu hoặc thậm chí là hàng tỷ USD.
Các dự án blockchain luôn là đối tượng nằm trong tầm ngắm của Hacker. |
Ông Nguyễn Lê Thành, Nhà sáng lập Công ty bảo mật blockchai Verichains (Việt Nam) cho biết, Verichains phát hiện ra khi công ty hỗ trợ Binance xử lý vụ tấn công cầu nối BNB Chain hồi tháng 10/2022, với thiệt hại được ước tính lên tới gần 600 triệu USD. Verichains đã tuân thủ Chính sách Công bố lỗi bảo mật có trách nhiệm và thông báo cho công chúng sau 120 ngày. Verichains đã kêu gọi các dự án Web3 đang sử dụng xác minh chứng thực IAVL của Tendermint, nâng cấp bảo mật để phòng tránh những sự mất mát đáng tiếc.
Theo đó, Verichains đã phát hành khuyến cáo bảo mật công khai số VSA-2022-100, về một lỗi bảo mật trong thuật toán xử lý Merkle Tree cấp độ nguy hiểm và VSA-2022-101, về tấn công làm giả IAVL qua nhiều lỗi bảo mật cấp độ nguy hiểm trên Tendermint Core và BNB Chain (CVE-2023-27575). Cơ chế đồng thuận Tendermint BFT và Cosmos-SDK là hai nền tảng blockchain được sử dụng bởi nhiều dự án nổi tiếng như BNB Smart Chain (BSC), OKX Chain, Band Chain, và dự án bị sập Terra (LUNA).
Một thông báo bảo mật riêng tương tự cũng đã được gửi đến đội phát triển Tendermint/Cosmos, và các lỗ hổng đã được xác nhận, tuy nhiên, một bản vá không được phát hành cho thư viện Tendermint vì thư viện IBC và Cosmos-SDK đã chuyển sang sử dụng xác minh chứng thư ICS-23 từ IAVL Merkle trước đó.
Tuy nhiên, do sự phổ biến của Tendermint và số lượng tài sản lớn được cất giữ bởi các dự án, chúng ta có thể khẳng định tiềm năng ảnh hưởng sẽ vô cùng đáng kể. Ví dụ, vào tháng 10/2022, Cầu nối BNB Chain đã bị khai thác để phát hành trái phép 2 triệu BNB, trị giá khoảng 566 triệu USD, do một lỗ hổng trong xác minh Proof Range của IAVL trong mã code.
Đội ngũ BNB Chains cũng đã được thông báo về các kết quả này bởi Verichains song song với mối quan hệ đối tác có sẵn, và sự cố đã được khắc phục trong ngày. Không còn đợt tấn công cũng như mất mát xảy ra sau đó. Các lỗ hổng bảo mật và điểm yếu được xác định bởi đội ngũ Verichains trong quá trình nghiên cứu và kiểm thử thường được đăng trên website của công ty.
Năm 2021-2022, Việt Nam có khoảng hơn 600 dự án game blockchain. Đến nay, số dự án còn tồn tại chỉ còn gần 100 dự án. Hơn 6 triệu nhà đầu tư Việt Nam đã mất hàng chục tỷ USD trong năm 2022 khi đầu tư vào coin, game blockchain, tài sản kỹ thuật số.