Ai đó vừa rút cạn những ví Ethereum bị bỏ quên từ lâu, và nguyên nhân có thể bắt nguồn từ nhiều năm trước
Hàng trăm ví Ethereum đã không được sử dụng trong nhiều năm bị rút cạn vào cùng một địa chỉ được gắn nhãn, biến việc lộ khóa cũ thành cảnh báo bảo mật crypto gay gắt nhất tuần này.
Vào ngày 30 tháng 4, WazzCrypto đã gắn cờ sự cố ảnh hưởng đến các ví mainnet trên X, và cảnh báo của họ lan truyền nhanh chóng vì các tài khoản bị ảnh hưởng không có vẻ là những ví nóng mới bị nhử mồi. Đó là những ví cũ với lịch sử yên tĩnh, một số gắn liền với các tài sản và công cụ từ thời kỳ Ethereum trước đây.
Hơn 260 ETH, khoảng $600,000, đã bị rút khỏi hàng trăm ví không hoạt động. Hơn 500 ví có vẻ bị ảnh hưởng, với tổng thiệt hại khoảng $800,000, và nhiều ví đã không hoạt động từ bốn đến tám năm. Địa chỉ Etherscan liên quan được gắn nhãn Fake_Phishing2831105, hiển thị 596 giao dịch, và ghi lại một chuyển động 324.741 ETH đến THORChain Router v4.1.1 trong khoảng thời gian ngày 30 tháng 4.
Điểm chung giữa chúng hiện quan trọng hơn: các ví không hoạt động lâu đã bị chuyển đến một điểm đến chung, trong khi con đường xâm phạm vẫn chưa được giải quyết.
Vectơ chưa được giải quyết đó khiến vụ rút tiền này trở thành cảnh báo mạnh nhất tuần này, sau làn sóng tấn công DeFi. Các khai thác giao thức thường cung cấp cho điều tra viên một hợp đồng, một lệnh gọi hàm, hoặc một giao dịch đặc quyền để kiểm tra.
Ở đây, câu hỏi trọng tâm nằm ở tầng ví. Liệu có ai đó đã lấy được cụm từ khoá cũ, bẻ khóa các khóa được tạo yếu, sử dụng tài liệu khóa riêng tư bị rò rỉ, lạm dụng một công cụ từng xử lý khóa, hay khai thác một con đường khác chưa được phát hiện?
Thảo luận công khai đã đưa ra các lý thuyết bao gồm entropy yếu trong các công cụ ví cũ, mnemonic bị xâm phạm, xử lý khóa của bot giao dịch, và lưu trữ seed thời kỳ LastPass. Một người dùng bị ảnh hưởng đã cá nhân đưa ra lý thuyết LastPass.
Lời khuyên thực tế cho người dùng còn hạn chế nhưng khẩn cấp. Sự không hoạt động không làm giảm rủi ro khóa riêng tư. Một ví có giá trị phụ thuộc vào toàn bộ lịch sử của khóa, cụm từ khoá, thiết bị đã tạo ra nó, phần mềm đã chạm vào nó, và mọi nơi bí mật đó có thể đã được lưu trữ.
Đối với người dùng, phản ứng có lẽ là kiểm kê các ví cũ có giá trị cao, chuyển tiền chỉ sau khi thiết lập tài liệu khóa mới thông qua phần cứng đáng tin cậy hoặc phần mềm ví hiện đại, và tránh nhập seed cũ vào các công cụ kiểm tra, script, hoặc công cụ phục hồi không quen thuộc. Thu hồi phê duyệt giúp ích cho việc tiếp xúc giao thức, bao gồm cảnh báo người dùng của Wasabi, nhưng việc rút ví trực tiếp chỉ ra bảo mật khóa trước tiên hơn là phê duyệt token.
Tháng 4 mở rộng bề mặt kiểm soát
Cụm ví này xuất hiện trong bối cảnh tổng số vụ khai thác crypto của tháng 4, vốn đã ở mức cao. Báo cáo liên kết với DefiLlama đặt tháng 4 ở khoảng 28 đến 30 sự cố và hơn $625 triệu trong các quỹ bị đánh cắp. Tính đến ngày 1 tháng 5, API DefiLlama trực tiếp cho thấy 28 sự cố tháng 4 với tổng cộng $635,241,950.
Một luồng thị trường ngày 1 tháng 5 đã nắm bắt điểm áp lực: các vụ rút ví tuần này, khai thác khóa admin của Wasabi Protocol, và các tổn thất DeFi lớn hơn của tháng 4 đều nhắm vào các bề mặt kiểm soát mà người dùng thông thường hiếm khi kiểm tra. Mối liên hệ trong suốt tháng mang tính kiến trúc hơn là quy kết.
Các đường admin trở thành đường tấn công
Wasabi Protocol cung cấp ví dụ giao thức gần đây rõ ràng nhất. Vụ khai thác ngày 30 tháng 4 được báo cáo đã rút khoảng $4,5 triệu đến $5,5 triệu sau khi kẻ tấn công giành được quyền deployer/admin, cấp ADMIN_ROLE cho các hợp đồng do kẻ tấn công kiểm soát, và sử dụng nâng cấp proxy UUPS để rút vault và pool trên Ethereum, Base và Blast. Các cảnh báo bảo mật sớm đã gắn cờ mẫu admin-upgrade khi cuộc tấn công diễn ra.
Cơ chế được báo cáo đặt quản lý khóa vào trung tâm của sự cố. Khả năng nâng cấp có thể là cơ sở hạ tầng bảo trì bình thường. Quyền nâng cấp tập trung biến đường bảo trì đó thành mục tiêu có giá trị cao. Nếu một deployer hoặc tài khoản đặc quyền có thể thay đổi logic triển khai trên các chuỗi, ranh giới xung quanh một hợp đồng đã được kiểm toán có thể biến mất khi quyền đó bị xâm phạm.
Đó là vấn đề đối mặt với người dùng ẩn bên trong nhiều giao diện DeFi. Một giao thức có thể trình bày các hợp đồng mở, giao diện công khai, và ngôn ngữ phi tập trung trong khi quyền nâng cấp quan trọng vẫn nằm trong một tập hợp nhỏ các khóa vận hành.
Người ký và người xác minh chịu tổn thất lớn nhất
Drift đã đẩy vấn đề kiểm soát tương tự vào quy trình làm việc của người ký. Chainalysis mô tả kỹ thuật xã hội, giao dịch durable nonce, tài sản thế chấp giả, thao túng oracle, và di chuyển Security Council 2-of-5 không có timelock. Blockaid ước tính tổn thất khoảng $285 triệu và lập luận rằng mô phỏng giao dịch và các chính sách co-signer nghiêm ngặt hơn có thể đã thay đổi kết quả.
Trường hợp Drift quan trọng ở đây vì con đường không phụ thuộc vào một lỗi hàm công khai đơn giản. Nó phụ thuộc vào một quy trình làm việc trong đó chữ ký hợp lệ và máy móc quản trị nhanh có thể được chuyển hướng đến một di chuyển thù địch. Một quy trình ký trở thành bề mặt kiểm soát.
KelpDAO đã chuyển bài kiểm tra căng thẳng vào xác minh Cross-chain. Tuyên bố sự cố mô tả cấu hình bridge trong đó tuyến rsETH sử dụng LayerZero Labs làm DVN verifier duy nhất. Các đánh giá pháp y mô tả các nút RPC bị xâm phạm và áp lực DDoS đưa dữ liệu sai đến đường xác minh một điểm.
Kết quả, theo Chainalysis, là 116,500 rsETH, trị giá khoảng $292 triệu, được phát hành đối lại một lần đốt không tồn tại. Hợp đồng token có thể vẫn nguyên vẹn trong khi bridge chấp nhận một tiền đề sai. Đó là lý do tại sao lỗi verifier có thể trở thành vấn đề cấu trúc thị trường khi tài sản được bridge nằm trong các thị trường cho vay và pool thanh khoản.
AI thuộc về cuộc thảo luận về tốc độ
Tôi nghĩ Project Glasswing xứng đáng được đề cập đặc biệt ở đây để cung cấp bối cảnh, tách biệt khỏi nguyên nhân. Anthropic cho biết Claude Mythos Preview đã tìm thấy hàng nghìn lỗ hổng phần mềm nghiêm trọng và cho thấy cách AI có thể rút ngắn việc phát hiện lỗ hổng. Điều đó nâng cao tiêu chuẩn cho những người phòng thủ, nhưng hồ sơ nhân quả trong các sự cố crypto này chỉ đến các khóa, người ký, quyền admin, xác minh bridge, phụ thuộc RPC, và lộ diện ví chưa được giải quyết.
Các hàm ý bảo mật vẫn còn nghiêm trọng. Phát hiện nhanh hơn mang lại cho kẻ tấn công và người phòng thủ nhiều bề mặt song song hơn để làm việc. Nó cũng làm cho các lối tắt vận hành cũ tốn kém hơn vì các bí mật không hoạt động, khóa đặc quyền, và đường xác minh một điểm có thể được kiểm tra nhanh hơn so với các nhóm có thể xem xét thủ công.
Danh sách sửa chữa mang tính vận hành
Các biện pháp kiểm soát theo sau tháng 4 nằm trên và xung quanh codebase.
| Sự cố | Điểm kiểm soát ẩn | Chế độ thất bại | Kiểm soát thực tế |
|---|---|---|---|
| Ví Ethereum không hoạt động | Tài liệu ví cũ | Tiền được chuyển từ các ví không hoạt động lâu vào một địa chỉ được gắn nhãn trong khi vectơ vẫn chưa được giải quyết | Tạo khóa mới cho các quỹ không hoạt động có giá trị, di chuyển thận trọng, và không nhập seed vào các công cụ không rõ nguồn gốc |
| Wasabi | Quyền admin và nâng cấp | Cấp quyền đặc quyền và nâng cấp UUPS cho phép rút vault và pool | Xoay vòng khóa, ngưỡng mạnh hơn, quyền admin có giới hạn, timelock, và giám sát độc lập các hành động nâng cấp |
| Drift | Quy trình làm việc của người ký Security Council | Các giao dịch durable nonce được ký trước và quản trị không có độ trễ cho phép tiếp quản admin nhanh chóng | Ngưỡng cao hơn, cửa sổ trì hoãn, mô phỏng giao dịch, và co-signing được thực thi theo chính sách |
| KelpDAO | Đường xác minh bridge | Đầu độc RPC và tuyến DVN 1-of-1 cho phép một thông điệp Cross-chain sai thông qua | Xác minh Multi-DVN, giám sát bất biến Cross-chain, và kiểm tra độc lập bên ngoài cùng đường xác minh |
Đối với các giao thức, ưu tiên là giảm lượng mà bất kỳ quyền đơn lẻ nào có thể thực hiện cùng một lúc. Điều đó có nghĩa là time lock trên các hoạt động admin, ngưỡng người ký mạnh hơn và ổn định hơn, hàng đợi giao dịch đặc quyền được giám sát, giới hạn rõ ràng về thay đổi tham số, và các hệ thống co-signing mô phỏng hiệu ứng giao dịch trước khi con người phê duyệt chúng.
Đối với các bridge, ưu tiên là xác minh độc lập và kiểm tra bất biến. Một thông điệp Cross-chain nên được kiểm tra đối lại thực tế kinh tế mà nó tuyên bố đại diện. Nếu rsETH rời khỏi một phía, hệ thống nên xác minh thay đổi trạng thái tương ứng ở phía kia trước khi phía đích giải phóng giá trị. Việc giám sát đó cần tồn tại bên ngoài cùng đường ký thông điệp.
Đối với người dùng, danh sách sửa chữa nhỏ hơn. Chuyển các quỹ cũ có giá trị sang khóa mới thông qua một quy trình bạn đã tin tưởng. Tách hành động đó khỏi việc dọn dẹp phê duyệt dành riêng cho giao thức. Coi mọi tuyên bố về nguyên nhân gốc rễ của việc rút ví là tạm thời cho đến khi công việc pháp y xác định một công cụ chung, đường lưu trữ, hoặc nguồn lộ diện.
Bài kiểm tra tiếp theo
Tháng 4 đã chứng minh rằng danh sách kiểm tra bảo mật của người dùng trung bình có thể không đầy đủ. Kiểm toán, hợp đồng công khai, và giao diện phi tập trung có thể cùng tồn tại với quyền admin tập trung, quy trình người ký yếu, xác minh bridge giòn, và bí mật ví cũ.
Quý tiếp theo sẽ khen thưởng bằng chứng hơn ngôn ngữ phi tập trung: quyền nâng cấp bị hạn chế, timelock hiển thị, đường xác minh độc lập, mô phỏng giao dịch cho các hành động đặc quyền, kiểm soát truy cập có kỷ luật, và xoay vòng khóa được ghi lại.
Các vụ rút ví không hoạt động cho thấy phiên bản khó chịu phía người dùng của cùng một vấn đề. Một hệ thống có thể trông yên tĩnh trong khi một lỗi kiểm soát cũ chờ đợi trong nền. Làn sóng khai thác của tháng 4 đã phơi bày tầng đó phía trên code; giai đoạn tiếp theo sẽ cho thấy nhóm nào coi đó là bảo mật cốt lõi trước khi tiền di chuyển.
The post Someone just drained long-forgotten dormant Ethereum wallets, and the cause may trace back years appeared first on CryptoSlate.
Có thể bạn cũng thích
Thị trường chứng khoán hôm nay: S&P 500 và Nasdaq đạt mức cao kỷ lục khi mùa báo cáo thu nhập tiếp tục diễn ra
CoinShares AUM Tăng Vọt Lên $7,4B Trong Báo Cáo Thường Niên Đầu Tiên Sau Niêm Yết Mang Tính Lịch Sử
