Khám phá các lỗ hổng hợp đồng thông minh trong mã thông báo không thể thay thế (NFT) và tìm hiểu cách bạn có thể bảo vệ tài sản kỹ thuật số của mình tốt hơn.
Bạn có biết về những cạm bẫy bảo mật tiềm ẩn trong NFT không? Bài viết này nhằm mục đích làm sáng tỏ một số lỗ hổng hợp đồng thông minh phổ biến, thường dẫn đến tổn thất đáng kể trong hệ sinh thái blockchain.
Chúng ta sẽ khám phá một số phương pháp hiệu quả để phát hiện và giảm thiểu các mối đe dọa bảo mật tiềm ẩn này trong bối cảnh NFT.
Xác định và hiểu các lỗ hổng hợp đồng thông minh
Hợp đồng thông minh tạo thành xương sống của NFT, quản lý việc tạo, quyền sở hữu, nhận dạng và trao đổi các tài sản kỹ thuật số duy nhất, không thể thay thế, tất cả đều không cần cơ quan trung ương.
Tuy nhiên, những hợp đồng này, dù mang tính cách mạng, vẫn có những điểm yếu. Các vấn đề bảo mật của NFT có thể dẫn đến nhiều hậu quả không lường trước được, từ trộm cắp tài sản đến danh sách không chủ ý, vì chúng thường là mục tiêu của các hoạt động khai thác mã chứ không phải chính NFT.
Các lỗ hổng hợp đồng thông minh thường bắt nguồn từ các ngôn ngữ mã cấp cao như Solidity, Vyper hoặc Rust. Một lỗi trong mã Solidity của bạn có thể làm phát sinh nhiều lỗ hổng NFT.
Hơn nữa, vấn đề có thể trở nên phức tạp hơn khi các hợp đồng tương tác với nhau, với một lỗ hổng hợp đồng thông minh duy nhất có thể làm hỏng toàn bộ ứng dụng hoặc thậm chí các bên thứ ba dựa vào nó.
Các vấn đề thường gặp:
Reentrancy: Cuộc tấn công này xảy ra khi nhiều giao dịch được gửi nhanh chóng đến một hợp đồng thông minh, dẫn đến các lỗi tiềm ẩn bị tin tặc khai thác.
Từ chối dịch vụ (DOS): Các cuộc tấn công DOS thường liên quan đến việc làm cho một chức năng không thể thực hiện được bằng cách tạo một vòng lặp vô hạn hoặc khai thác giới hạn gas của Ethereum.
Tràn số học và tràn số học: Những lỗi này liên quan đến việc xử lý dữ liệu trong hợp đồng và thường có thể dẫn đến các vấn đề bảo mật NFT nghiêm trọng.
Khả năng hiển thị mặc định: Trong các hợp đồng thông minh Ethereum, khả năng hiển thị mặc định của các chức năng là công khai, tạo cơ hội cho các tác nhân độc hại có thể khai thác.
Ảo giác Entropy: Lỗ hổng hợp đồng thông minh này phát sinh khi các nhà phát triển nhầm tưởng rằng hàm blockhash có thể cung cấp các số ngẫu nhiên, dẫn đến kết quả bị thao túng.
Xác thực Tx.Origin: Sử dụng lệnh tx.origin để xác thực có thể dẫn đến các cuộc tấn công lừa đảo, do đó làm tổn hại đến hợp đồng thông minh.
Điều kiện cạnh tranh: Điều này xảy ra khi kết quả của một chức năng phụ thuộc vào thứ tự giao dịch, tạo cơ hội cho việc khai thác tiềm năng.
Nghiên cứu điển hình
Những lỗ hổng NFT này đã bị khai thác trong nhiều trường hợp trong thế giới thực, dẫn đến tổn thất đáng kể. Một số ví dụ bao gồm:
Thỏa thuận hợp đồng NFT Trader: Vào ngày 16 tháng 12 năm 2023, trang giao dịch NFT Trader đã xảy ra sự cố khai thác hai trong số các hợp đồng cũ của mình, dẫn đến việc đánh cắp nhiều NFT có giá trị khác nhau, bao gồm Bored Apes, Art Blocks, World of Women và VeeFriends.
Lỗ hổng trong hợp đồng của NFT Trader đã được xác định bởi người sáng lập delegate.cash 0xfoobar, người đã kêu gọi người dùng nền tảng thu hồi mọi quyền liên quan đến hợp đồng bị xâm phạm ngay lập tức.
Lỗ hổng bảo mật trong thư viện hợp đồng thông minh phổ biến: Đến cuối năm 2023, Thirdweb, một công ty chuyên về công nghệ web3, đã phát hiện ra một lỗ hổng bảo mật hợp đồng thông minh lớn trong một thư viện nguồn mở thường được sử dụng.
Lỗ hổng này được cho là đã ảnh hưởng đến các hợp đồng thông minh được xây dựng sẵn như DropERC20, ERC721, ERC1155 và AirDrop20, có khả năng gây rủi ro cho nhiều bộ sưu tập NFT.
Sau khi phát hiện, Thirdweb đã bắt đầu một cuộc điều tra với các đối tác kiểm toán của mình. May mắn thay, họ phát hiện ra rằng lỗ hổng này chưa bị khai thác trong bất kỳ hợp đồng thông minh nào của họ.
Là một phần của giải pháp, công ty đã giải quyết vấn đề, có lẽ bằng cách vá lỗ hổng NFT trong thư viện và cập nhật các hợp đồng thông minh bị ảnh hưởng để sử dụng thư viện đã cập nhật.
Thao túng mã thông báo AllianceBlock: Vào tháng 2 năm 2023, ALBT, mã thông báo gốc của AllianceBlock, trở thành nạn nhân của một vụ hack Oracle dẫn đến thao túng giá đáng kể.
Vụ việc xảy ra khi một kẻ khai thác giả mạo lời tiên tri trong hợp đồng thông minh, cho phép họ thao túng giá của ALBT và tạo ra số lượng đáng kể tiền ổn định Bonq Euro (BEUR). Việc khai thác này đã dẫn đến khoản lỗ lớn ước tính khoảng 120 triệu USD.
Theo báo cáo, tin tặc đã bòn rút số token ALBT trị giá khoảng 5 triệu USD trên giao thức vay phi tập trung Bonq. Trong một trường hợp khác, tin tặc đã xâm phạm hợp đồng thông minh của giao thức và thao túng mã thông báo AllianceBlock, rút khoảng 88 triệu đô la tiền điện tử ra khỏi hệ thống.
Việc khai thác cũng ảnh hưởng đáng kể đến giá trị của ALBT, khiến giá trị của ALBT giảm 51% ngay sau vụ việc và hơn 65% trong vài ngày tiếp theo.
Omni reentrancy (tháng 7 năm 2022): Vào tháng 7 năm 2022, Omni, một nền tảng hoạt động như một thị trường tiền tệ NFT, đã gặp phải một vi phạm đáng kể do lỗ hổng reentrancy trong các hợp đồng Ethereum của nó, dẫn đến tổn thất 1,4 triệu USD.
Một phân tích bảo mật của vụ hack tiết lộ rằng kẻ tấn công đã có thể rút 1.300 ETH từ quỹ thử nghiệm của nền tảng.
Mặc dù Omni đã nhanh chóng chỉ ra rằng không có khoản tiền nào của người dùng bị ảnh hưởng trong vụ việc, nhưng sự kiện này đã đặt ra những câu hỏi nghiêm túc về tính bảo mật của nền tảng blockchain và các biện pháp họ cần thực hiện để bảo vệ trước các cuộc tấn công như vậy.
Cuộc tấn công DDoS của LookRare (tháng 1 năm 2022): Chỉ trong vài giờ kể từ khi ra mắt vào ngày 11 tháng 1 năm 2022, nền tảng LookRare đã trở thành nạn nhân của một cuộc tấn công Từ chối dịch vụ phân tán, khiến trang web không thể truy cập được.
Nhiều người dùng đã báo cáo những thách thức trong việc liên kết ví kỹ thuật số của họ và gặp khó khăn khi cố gắng liệt kê NFT của họ. Nhóm LookRare đã hành động nhanh chóng để khôi phục chức năng của trang web, mặc dù vấn đề liên quan đến kết nối ví vẫn chưa được giải quyết trong một thời gian nữa.
Trong mỗi trường hợp trên, mẫu số chung là việc khai thác các lỗ hổng hợp đồng thông minh, từ lỗi mã hóa đến lỗi thiết kế. Nó nhấn mạnh tầm quan trọng của việc kiểm tra toàn diện các vấn đề bảo mật NFT trước khi triển khai bất kỳ hợp đồng thông minh nào.
Giảm thiểu lỗ hổng
Mặc dù hệ sinh thái tiền điện tử bao gồm công nghệ mang tính thử nghiệm cao nhưng một số biện pháp có thể được thực hiện để tăng cường bảo mật tài sản kỹ thuật số.
Điều cần thiết là phải biết các quyền mà ví của bạn yêu cầu khi giao dịch trên nền tảng và đảm bảo rằng bạn không vô tình cấp nhiều quyền truy cập hơn dự định.
Đối với các nền tảng không quen thuộc hoặc ít tin cậy hơn, bạn nên tạo một ví mới và thử nghiệm nền tảng với số tiền nhỏ trước khi chuyển số tiền lớn hơn.
Là một lớp bảo vệ bổ sung, việc đồng bộ hóa ví dựa trên trình duyệt với ví phần cứng của bạn có thể mang lại cơ hội bổ sung để khắc phục mọi lỗi giao dịch.
Kiểm toán hợp đồng thông minh
Việc kiểm tra thường xuyên các hợp đồng thông minh NFT có thể giúp xác định và giải quyết các lỗ hổng tiềm ẩn. Các công ty chuyên về dịch vụ bảo mật trong lĩnh vực này có thể xem xét toàn diện mã, phân tích lỗ hổng và cung cấp báo cáo chi tiết.
Tiền thưởng lỗi
Sau khi kiểm tra nội bộ, dự án NFT có thể bắt đầu chương trình thưởng lỗi, mời công chúng xác định và báo cáo các lỗ hổng trong hợp đồng để đổi lấy phần thưởng.
Quản lý dự án hợp lý
Việc vội vàng xử lý phần mềm hoặc thể hiện sự bất cẩn nhỏ có thể dẫn đến tổn thất đáng kể. Do đó, quản lý dự án phù hợp là chìa khóa để tránh các vấn đề bảo mật NFT.
Tương lai của hợp đồng thông minh
Hợp đồng thông minh vẫn là một lĩnh vực đang phát triển và những tiến bộ gần đây đã tăng cường đáng kể tính bảo mật của chúng. Hệ thống liên lạc giữa các nền tảng đang trở nên mạnh mẽ hơn và các dự án đang triển khai các công ty kiểm toán cũng như hệ thống AI và bot để nhanh chóng phát hiện các giao dịch đáng ngờ.
Ngoài ra, với sự giám sát chặt chẽ từ cơ quan thực thi pháp luật và việc áp đặt các yêu cầu AML và KYC nghiêm ngặt hơn đối với người chơi trong lĩnh vực tiền điện tử, việc rửa tiền sau vụ hack đã trở nên khó khăn hơn.
Hơn nữa, sự gia tăng của các tin tặc “mũ trắng”, những người giúp xác định các lỗ hổng mà không gây tổn thất đáng kể cho nền tảng, cũng góp phần tăng cường bảo mật hợp đồng thông minh.
Tuy nhiên, ngay cả với những biện pháp này, điều cần thiết là phải hiểu rằng không nhà phát triển hoặc lập trình viên nào có thể khẳng định hợp đồng của họ an toàn 100%. Do đó, người dùng NFT vẫn cần cân nhắc cẩn thận các rủi ro liên quan.
Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Crypto News