Thiệt hại từ các vụ hack tiền điện tử vượt qua 1,5 tỷ đô la, phơi bày nhược điểm của chương trình thưởng lỗi

Khi thiệt hại từ các vụ vi phạm bảo mật tiền điện tử vượt quá 1,5 tỷ đô la, các chuyên gia bảo mật nhấn mạnh nhu cầu cần cải thiện các chương trình thưởng lỗi để thu hút các hacker đạo đức hàng đầu và tăng cường bảo mật nền tảng.

Ngành công nghiệp tiền điện tử gần đây đã trải qua một sự gia tăng đáng kể về thiệt hại do các vụ vi phạm bảo mật, tổng cộng hơn 1,5 tỷ đô la. Xu hướng đáng báo động này đã thúc đẩy các chuyên gia bảo mật kêu gọi hành động ngay lập tức từ các sàn giao dịch để cải thiện các chương trình thưởng lỗi của họ. Những chương trình này rất quan trọng để thu hút các hacker đạo đức, những người có thể phát hiện và giúp khắc phục các lỗ hổng bảo mật trước khi chúng bị khai thác bởi các diễn viên độc hại.

Chỉ riêng trong tháng Hai, lĩnh vực tiền điện tử đã chứng kiến thiệt hại lên tới 1,53 tỷ đô la từ các vụ hack, với vụ việc tại Bybit là đáng kể nhất, đóng góp hơn 1,4 tỷ đô la vào tổng số. Các vụ vi phạm đáng chú ý khác bao gồm một vụ hack trị giá 49 triệu đô la trên Infini, cho thấy mối đe dọa ngày càng tăng của các cuộc tấn công mạng trong không gian tiền điện tử.

Hacker đạo đức Marwan Hachem nhấn mạnh sự cần thiết cấp bách của việc cải thiện các sáng kiến thưởng lỗi. Ông đề xuất rằng các sàn giao dịch nên cung cấp các phần thưởng hấp dẫn hơn cho các hacker mũ trắng để ngăn chặn các vụ khai thác trong tương lai.

Hachem lập luận rằng để bảo vệ hiệu quả các nền tảng, các sàn giao dịch phải tăng cường các ưu đãi cho các hacker đạo đức để tìm và báo cáo các lỗ hổng.

Một vụ hack trị giá 1,4 tỷ đô la do lỗi 'ngoài phạm vi'

Với vai trò là giám đốc điều hành tại công ty bảo mật FearsOff, Hachem chỉ ra rằng vụ hack Bybit đã được tạo điều kiện bởi một lỗi được coi là 'ngoài phạm vi' bởi chương trình thưởng lỗi của Safe, nhà cung cấp ví đa chữ ký của Bybit. Phân loại này có nghĩa là các hacker đạo đức nhận diện các vấn đề như vậy sẽ không nhận được phần thưởng.

Theo Hachem, vụ hack Bybit là kết quả của việc khai thác một lỗi không được chương trình thưởng lỗi bao phủ. Ông tuyên bố, "Những gì họ coi là ngoài phạm vi đã dẫn đến vụ hack tiền điện tử lớn nhất trong lịch sử." Ông còn lưu ý rằng các hacker đạo đức thường không được thưởng cho việc tìm thấy các lỗ hổng trong các tài sản ngoài phạm vi, mà sau đó bị khai thác bởi tội phạm.

Chương trình thưởng lỗi chính thức của Bybit cung cấp phần thưởng tối đa là 4.000 đô la trên trang web của họ và lên đến 10.000 đô la trên HackerOne. Những số tiền này thấp hơn đáng kể so với lợi nhuận tiềm năng cho các hacker độc hại.

Hachem đề xuất rằng việc cung cấp các phần thưởng cao hơn cho các hacker mũ trắng một cách chủ động có thể ngăn chặn các vụ hack lớn và tiết kiệm chi phí hơn so với việc cung cấp một phần trăm số tiền bị đánh cắp sau một sự cố. Ông cảnh báo rằng cách tiếp cận hiện tại chỉ khuyến khích các hoạt động độc hại.

Hachem kết luận rằng việc khuyến khích các hacker đạo đức hàng đầu với các phần thưởng tốt hơn không chỉ nâng cao bảo mật nền tảng mà còn tiết kiệm chi phí hơn và giúp duy trì uy tín tốt cho sàn giao dịch.

Áp dụng các biện pháp bảo mật nghiêm ngặt hơn

Ngoài việc cải thiện các chương trình thưởng lỗi, các chuyên gia từ CertiK khuyến nghị áp dụng các biện pháp bảo mật nghiêm ngặt hơn để ngăn chặn các sự cố tương lai như vụ hack Bybit.

CertiK đề xuất rằng các tiêu chuẩn ngành nên bao gồm việc sử dụng các thiết bị ký kết không kết nối, môi trường hệ điều hành không lưu trữ cho việc phê duyệt giao dịch, và các lớp xác thực nâng cao cho các giao dịch có giá trị cao.

Họ cũng khuyến nghị thực hiện các bài tập tấn công đỏ thường xuyên và các mô phỏng lừa đảo để giảm thiểu rủi ro từ kỹ thuật xã hội.

Theo báo cáo của CertiK, vụ khai thác Bybit là kết quả của một cuộc tấn công lừa đảo đã lừa các người ký đa chữ ký phê duyệt một nâng cấp hợp đồng độc hại. Vụ hack Infini, mặt khác, là do rò rỉ khóa riêng tư của quản trị viên, dẫn đến các rút tiền không được phép.

CertiK nhấn mạnh rằng những sự cố này đã chứng minh nguy cơ của việc ký mù và xác minh giao dịch không đầy đủ. Họ nhấn mạnh tầm quan trọng của xác thực mạnh hơn, giám sát giao dịch theo thời gian thực, và bảo mật UI bền bỉ hơn để ngăn chặn các thao túng trong tương lai.

Theo Cointelegraph

Tin khác