Tội phạm mạng đã tiếp tục đưa ra các vectơ tấn công mới, sáng tạo mà rất nhiều nền tảng tiền điện tử nổi tiếng vẫn đang trở thành con mồi. Ví dụ, Johnny Lyu, Giám đốc điều hành của sàn giao dịch tiền điện tử KuCoin có trụ sở tại Singapore, đã nêu vào ngày 26 tháng 9 rằng sàn giao dịch đã phải nhận một vụ hack lớn dẫn đến việc các ví nóng Bitcoin (BTC), Ether (ETH) và ERC-20 của công ty bị ảnh hưởng. Bình luận về vụ hack, Charlie Cai, giám đốc truyền thông tại KuCoin, nói với Cointelegraph:
“Sau sự việc, KuCoin đang hành động nhanh chóng và minh bạch để giải quyết nó. Chúng tôi đang cố gắng hết sức để giảm thiểu tác động của sự cố bằng cách làm việc với nhiều dự án blockchain, công ty bảo mật và sàn giao dịch tiền điện tử ”.
Tổng cộng, ước tính rằng KuCoin đã mất tới 200 triệu đô la tiền quỹ của khách hàng. Tuy nhiên, bất chấp vi phạm bảo mật, giá của hầu hết các loại tiền điện tử hàng đầu, cũng như các mã thông báo DeFi, hầu như không thể hiện bất kỳ hành động tiêu cực nào mặc dù thực tế là các vụ hack lớn, chẳng hạn như vụ này, theo truyền thống dẫn đến bán tháo trên toàn thị trường.
Về mặt kỹ thuật hơn, Cai nhấn mạnh rằng tổng cộng 130 triệu mã thông báo kỹ thuật số bị đánh cắp đã được bảo mật hoặc đang được nhóm bảo mật KuCoin phục hồi. Về vấn đề này, Cai nói thêm rằng Tether (USDT) đã đóng băng thành công tổng cộng 22 triệu USDT stablecoin đã bị xâm phạm trong khi Velo Labs cũng thông báo rằng họ sẽ triển khai lại và thay thế từng mã thông báo VELO đã được chuyển như một phần của trộm cắp. Ông nói thêm: “122 triệu mã thông báo VELO (khoảng 75,7 triệu đô la) bị ảnh hưởng sẽ bị vô hiệu.”
Tương tự như vậy, một số mã thông báo khác mà công ty tuyên bố đã bảo mật kể từ khi vấn đề được thông báo rộng rãi bao gồm Công chứng im lặng (SNTR), Hợp tác đầu tư (COV), Giao thức Orion (ORN), KardiaChain (KAI), Mạng NOIA (NOIA) và Độ mờ (OPQ).
Cờ đỏ do KuCoin giải quyết
Đầu năm nay vào tháng 3, KuCoin đã vướng phải một số tranh cãi. Sàn giao dịch tiền điện tử đang phải đối mặt với khả năng xảy ra một vụ kiện tập thể tuyên bố KuCoin đã cung cấp cho khách hàng của mình “những tuyên bố sai và / hoặc gây hiểu lầm”. Tương tự, như một phần của một bộ đồ khác – Chase Williams kiện KuCoin – bị cáo buộc rằng sàn giao dịch đã giao dịch chứng khoán không có giấy phép, điều này là bất hợp pháp.
Hơn nữa, trong cùng khoảng thời gian đó, nhóm KuCoin đã thông báo với thế giới rằng họ sẽ trải qua một cuộc tái cơ cấu doanh nghiệp lớn chứng kiến công ty thay đổi nhãn hiệu của mình từ một thực thể đã đăng ký Seychelles sang một thực thể khác. Không những vậy, công ty còn bổ nhiệm một giám đốc mới, người trước đó không có vai trò gì lớn tại sàn giao dịch. Trong khi đó, vẫn chưa rõ về nơi đặt trụ sở chính xác của KuCoin.
Dựa trên những phát hiện nói trên, mọi người đã bắt đầu đặt câu hỏi về tính hợp pháp của các hoạt động của KuCoin, thậm chí có người còn nói rằng nền tảng này có thể là một trò lừa đảo lớn. Giải quyết những lo ngại này, Cai tuyên bố: “KuCoin là một nền tảng chính hãng được hỗ trợ bởi các VC nổi tiếng. Đầu năm 2018, chúng tôi đã nhận được khoản đầu tư 20 triệu đô la từ IDG và Matrix Partners. IDG rất ‘kén chọn’ khi đầu tư vào các sàn giao dịch tiền mã hóa ”.
Cai sau đó tiếp tục làm nổi bật các dòng tiền của KuCoin, tuyên bố rằng chỉ trong tháng 8 năm 2020, 13,35 tỷ đô la đã được giao dịch thông qua nền tảng giao dịch giao ngay của công ty, trong khi 13,51 tỷ đô la được giao dịch trên nền tảng tương lai của KuCoin.
Các chuyên gia bảo mật cân nhắc về vấn đề này
Để có được cái nhìn tổng thể hơn về toàn bộ tình hình, Cointelegraph đã liên hệ với John Jefferies, nhà phân tích tài chính trưởng tại CipherTrace – một công ty bảo mật tập trung vào tiền điện tử. Ông chỉ ra rằng hầu hết các loại tiền điện tử bị đánh cắp từ KuCoin là mã thông báo ERC-20 có thể dễ dàng rửa sạch thông qua các giao thức DeFi.
Hơn nữa, điều đáng chú ý là sau vụ hack KuCoin, kẻ gian đã tiến hành chuyển hàng nghìn đô la của Synthetix Network Tokens (SNX) sang Uniswap – sàn giao dịch phi tập trung lớn nhất tính theo tổng giá trị bị khóa. Người ta ước tính rằng các tin tặc đã chuyển ít nhất 1,2 triệu đô la mã thông báo SNX thông qua bốn giao dịch. Về chủ đề này, Jefferies đã tuyên bố:
“Đây là trường hợp cao cấp đầu tiên của DEX, Uniswap, được sử dụng như một máy trộn tiền. Không giống như các sàn giao dịch tập trung, DEX không thể đóng băng tiền – chỉ các dự án cụ thể mới có thể. Một tác động đáng kể khác ở đây là việc đánh cắp mã thông báo đã ảnh hưởng trực tiếp đến các công ty của những mã thông báo bị đánh cắp này, chẳng hạn như Crypterium và Tether vì vụ hack bao gồm mã thông báo CRPT và Tether trên cả blockchain EOS và Ethereum. ”
Madeleine Kennedy, giám đốc truyền thông cấp cao của Chainalysis – một công ty phân tích tiền điện tử toàn cầu – chỉ ra rằng công ty của cô đã phát hiện ra rằng hơn 275 triệu đô la trong quỹ tiền điện tử rất có thể đã bị xâm phạm, điều này khiến đây trở thành một trong những vụ hack lớn nhất của sàn giao dịch tiền điện tử trong ghi nhớ lịch sử. Ngoài ra, Chainalysis thông báo rằng họ đang mở rộng sự hiện diện của mình trên khắp khu vực APAC sau hậu quả của vụ hack.
Cung cấp cho cô ấy biết chính xác cách mà các tin tặc có thể tạo điều kiện thành công cho hoạt động này, Kennedy chỉ ra rằng họ đã cố gắng hoán đổi càng nhiều mã thông báo ERC-20 càng tốt tại các sàn giao dịch phi tập trung trước khi tiền bị đóng băng bởi các hợp đồng thông minh hoặc bị phân nhánh để đảo ngược các giao dịch :
“Một số quỹ đã được gửi vào các sàn giao dịch, một số vào dịch vụ hoán đổi tiền xu và nhiều hơn nữa vào DEX, nhưng phần lớn số tiền vẫn chưa được tiêu. Các địa chỉ liên quan được dán nhãn trong Lò phản ứng Chainalysis, KYT và Kryptos, và chúng tôi đang tiếp tục theo dõi chuyển động của họ ”.
Một thái độ thoải mái?
Bất chấp những bước tiến lớn đã được các nhà nghiên cứu bảo mật tiền điện tử thực hiện trong vài năm qua, các nền tảng như KuCoin’s vẫn trở thành nạn nhân của các cuộc tấn công như vậy. Tuy nhiên, vụ hack mới nhất này làm dấy lên một mối lo ngại vì một số người có thể đặt câu hỏi liệu ngành công nghiệp tiền điện tử có làm đủ để tự bảo vệ mình hay không.
Jefferies chỉ ra rằng, như mọi thứ vẫn tồn tại, chỉ có các sàn giao dịch lớn nhất trên thế giới mới có thời hạn bảo mật của các tổ chức tài chính truyền thống, vốn thường phải tuân theo các quy tắc bảo mật và kiểm toán. Về vấn đề này, ông tin chắc rằng cho đến khi các nhà cung cấp dịch vụ tài sản ảo nhỏ hơn có thể thể hiện mức độ nghiêm ngặt tương tự như các đối tác dịch vụ tài chính của họ, sẽ không có gì lạ khi các loại sự cố như vậy diễn ra. Làm sáng tỏ suy nghĩ của anh ấy về vấn đề này:
“Các VASP đáng tin cậy như Bitgo, Coinbase và Bitgo đã trải qua Hệ thống và Tổ chức kiểm soát gắt gao, SOC2, kiểm tra bao gồm bảo mật, tính bảo mật, tính toàn vẹn của quá trình xử lý, quyền riêng tư và tính khả dụng.”
Điều đáng nói là trong vài năm qua, ngành công nghiệp bảo mật đã phát triển một số tiêu chuẩn bảo mật để cho phép khách hàng quyết định ai là người tin cậy với tài sản của họ. Các quy trình kiểm toán như SOC2 và ISO 27001 cung cấp các quy trình và công nghệ bên ngoài xác nhận nghiêm ngặt. Ví dụ: Binance và Crypto.com tuyên bố áp dụng ISO 27001.
Về chủ đề này, Dyma Budorin, người đồng sáng lập và Giám đốc điều hành của Hacken – một công ty an ninh mạng định hướng tiền điện tử – nói với Cointelegraph rằng phần lớn các sàn giao dịch ngày nay giống như hộp đen, tức là không ai biết khóa riêng của họ được quản lý như thế nào: “ Chỉ một số sàn giao dịch tiền điện tử như Kraken, Gemini và Binance đang đầu tư rất nhiều tiền để chứng minh các biện pháp kiểm soát nội bộ phù hợp đối với các giao thức quản lý khóa riêng cá nhân của họ ”.
Tom Albright, Giám đốc điều hành của Bittrex Global – một sàn giao dịch tiền điện tử – chia sẻ quan điểm tương tự – người tin rằng quá nhiều sàn giao dịch ngày nay coi bảo mật là một sự bất tiện, nói thêm:
“Khi ngày càng có nhiều nhà đầu tư chính thống tham gia vào tiền điện tử, sẽ có nhiều người tham gia dễ bị tổn thương hơn trong hệ sinh thái và các sàn giao dịch phải làm nhiều hơn nữa để bảo vệ những khách hàng này và giúp họ tự bảo vệ mình.”