Điểm vướng mắc lớn nhất trong quá trình phát triển của DeFi

Tác giả: Chloe, ChainCatcher

Giao thức cho vay Solana Drift đã bị hack vào tuần trước và khoảng 285 triệu USD tài sản của người dùng đã bị đánh cắp. Theo tuyên bố chính thức, đây không phải là một cuộc tấn công vào lỗ hổng hợp đồng thông minh điển hình mà là một cuộc tấn công kỹ thuật xã hội kéo dài sáu tháng được lên kế hoạch cẩn thận bởi các tin tặc cấp nhà nước.

Thậm chí còn có bằng chứng điều tra cho thấy rằng cùng một tác nhân đe dọa có thể đã xâm nhập vào nhiều DeFi. Cốt lõi của sự phát triển giao thức không phải là kẻ tấn công mà là như một người đóng góp.

Việc tin tặc Triều Tiên xâm nhập sớm vào mục tiêu là điều bình thường, nhưng hiếm khi đầu tư số tiền lớn

Theo tuyên bố về sự cố Drift, chiến lược cốt lõi của kẻ tấn công là "trở thành một phần của hệ sinh thái".

Kể từ mùa thu năm 2025, họ đã cải trang thành một công ty giao dịch định lượng Drift và bắt đầu liên hệ tại các hội nghị lớn của ngành tiền điện tử. người đóng góp cốt lõi. Kiểu tiếp xúc này không chỉ một mà nhiều lần ở các quốc gia khác nhau, nhiều cuộc gặp gỡ và quản lý có chủ ý kéo dài nửa năm. Đây là những người có chuyên môn kỹ thuật, nền tảng đã được chứng minh và hiểu biết sâu sắc về cách thức hoạt động của Drift.

Và họ không bị giới hạn trong việc giao tiếp với các thành viên cốt lõi của Drift. Nhóm cũng đã tận dụng cơ chế mở của Drift Ecosystem Vault, niêm yết thành công vault của riêng mình với tư cách là một công ty thương mại hợp pháp, ký gửi hơn 1 triệu USD từ quỹ của chính mình, tham gia nhiều cuộc họp công việc, nêu ra các vấn đề chuyên sâu về sản phẩm và củng cố thêm niềm tin với các bên dự án.

Chuyên gia công nghệ chuỗi khối Steven chấp nhận ChainCatcher Trong cuộc phỏng vấn, ông nói: "Đây là cách phổ biến để tin tặc Triều Tiên xâm nhập vào các mục tiêu ngay từ đầu giai đoạn này, nhưng hiếm khi đầu tư một lượng lớn tiền mặt làm cơ sở cho sự tin cậy. Tuy nhiên, đối với những kẻ tấn công, 1 triệu đô la này thực sự là một khoản đầu tư không có rủi ro, miễn là không có cuộc tấn công nào được thực hiện, thì tiền chỉ là tiền bình thường trong kho và có thể rút ra bất cứ lúc nào; và hoạt động thực tế được thực hiện bởi nhân viên bên thứ ba được tuyển dụng một cách không nghi ngờ và gần như không có tổn thất kinh tế nào cho chính tổ chức. họ phông chữ: PingFang SC,Helvetica Neue,Helvetica,Arial,Hiragino Sans GB,Heiti SC,Microsoft YaHei,WenQuanYi Micro Hei,sans-serif;">Ngoài ra, trong quá trình hợp tác lâu dài với Drift, nhóm đã chia sẻ các dự án mã và ứng dụng được lưu trữ trên GitHub với lý do giới thiệu các công cụ phát triển của riêng mình. Xét theo tình hình lúc đó, việc các đối tác kiểm tra sổ mã của nhau là điều bình thường. Tuy nhiên, cuộc điều tra sau đó của Drift phát hiện ra rằng dự án mã GitHub được sao chép bởi một cộng tác viên có chứa mã độc và một cộng tác viên khác đã bị xúi giục tải xuống ứng dụng TestFlight được ngụy trang dưới dạng sản phẩm ví.

Lý do tại sao đường dẫn dự án mã khó ngăn chặn là vì nó hoàn toàn được nhúng vào quy trình làm việc hàng ngày của nhà phát triển. Khi các nhà phát triển viết mã hàng ngày, họ hầu như luôn sử dụng các trình soạn thảo mã như VSCode hoặc Cursor. Bạn có thể coi nó giống như Word dành cho kỹ sư mà bạn mở và sử dụng hàng ngày.

Và cộng đồng nghiên cứu bảo mật năm 2025 Vào cuối năm, một lỗ hổng nghiêm trọng đã được phát hiện trong loại trình soạn thảo này: khi một nhà phát triển sử dụng nó để mở một dự án mã được người khác chia sẻ, các hướng dẫn độc hại ẩn trong dự án sẽ tự động được thực thi ở chế độ nền. Toàn bộ quá trình có thể được ẩn hoàn toàn, không có cửa sổ xác nhận nào bật lên trên màn hình, không cần nhấp vào đồng ý và không có cảnh báo. Nhà phát triển tưởng rằng mình chỉ đang "nhìn mã" nhưng thực tế máy tính đã được cấy một cửa sau. Những kẻ tấn công khai thác lỗ hổng này để ẩn phần mềm độc hại trong các hoạt động thường ngày mà các nhà phát triển thực hiện hàng ngày.

Cho đến ngày 1 tháng 4, khi cuộc tấn công Drift xảy ra, nhật ký Trò chuyện Telegram của nhóm tấn công và mọi dấu vết của phần mềm độc hại đã bị xóa sạch, chỉ để lại một lỗ 285 triệu USD.

Sự trôi dạt có thể chỉ là phần nổi của tảng băng chìm?

Theo điều tra của tổ chức ứng phó an ninh khẩn cấp SEAL 911 trong ngành mã hóa, cuộc tấn công này có liên quan đến tháng 10 năm 2024. Tương tự Các tác nhân đe dọa chịu trách nhiệm về vụ hack Radiant Capital vào tháng 3. Liên kết này dựa trên các luồng tài trợ trên chuỗi (quỹ được sử dụng để chuẩn bị và thử nghiệm hoạt động này có thể được truy tìm đến những kẻ tấn công Radiant) và mô hình hoạt động (các cá nhân được triển khai trong hoạt động này có sự trùng lặp rõ ràng với hoạt động đã biết liên quan đến Triều Tiên). Mandiant, một công ty pháp y bảo mật nổi tiếng được Drift (hiện là một phần của Google) thuê, trước đây đã quy sự cố Radiant cho tổ chức UNC4736 trực thuộc nhà nước Triều Tiên. Tuy nhiên, Mandiant vẫn chưa chính thức xác nhận sự cố Drift và quá trình điều tra thiết bị hoàn chỉnh vẫn đang được tiến hành.

Đặc biệt, cá nhân có mặt tại cuộc họp trực tiếp không phải là công dân Bắc Triều Tiên. Steven nói: "Tin tặc Triều Tiên không nên được coi là các tổ chức hacker nói chung mà là một cơ quan tình báo. Đây là một tổ chức khổng lồ với hàng nghìn người và sự phân công lao động rõ ràng. Trong số đó, tên mã chính thức của hacker Triều Tiên Lazarus trong lĩnh vực an ninh quốc tế là APT38, và tên mã của một tổ chức khác có liên quan đến Triều Tiên là Kimsuky là APT43".

Điều này cũng giải thích tại sao họ có thể triển khai người thật ngoại tuyến. Họ thành lập các công ty ở nước ngoài dưới nhiều tên khác nhau và tuyển dụng những người địa phương, những người thậm chí còn không biết họ đang làm việc cho ai. "Anh ta có thể đã nghĩ rằng mình gia nhập một công ty viễn thông bình thường và được cử đi gặp một khách hàng sau khi làm việc được một năm. Mọi chuyện tưởng chừng như bình thường nhưng đằng sau đó lại là một tổ chức hacker. Khi cơ quan tư pháp đến điều tra thì người đó chẳng biết gì cả." YaHei,WenQuanYi Micro Hei,sans-serif;">Ngày nay, Drift có thể chỉ là phần nổi của tảng băng trôi.

Nếu Drift Những gì vụ việc tiết lộ là vi phạm trong một giao thức duy nhất thì kết quả điều tra sau đó chỉ ra một vấn đề lớn hơn: phương pháp tương tự có thể đã hoạt động trong toàn bộ hệ sinh thái DeFi trong nhiều năm.

Theo khảo sát của nhà nghiên cứu blockchain Tayvano, kể từ khi DeFi mở rộng nhanh chóng vào năm 2020, đã có xu hướng ngày càng tăng với việc đóng góp mã liên kết với Nhân viên CNTT Bắc Triều Tiên đã được lan truyền trên một số dự án nổi tiếng, bao gồm SushiSwap, THORChain, Harmony, Ankr và Yearn Finance

Phương pháp của những người này hoàn toàn giống với sự cố Drift: sử dụng danh tính giả, giành vai trò phát triển thông qua các nền tảng nhận đơn đặt hàng miễn phí và liên hệ trực tiếp, tham gia các kênh Discord, cộng đồng nhà phát triển và thậm chí tham dự các cuộc họp của nhà phát triển. Khi vào trong dự án, họ đóng góp mã, tham gia chu trình phát triển và tạo dựng niềm tin với nhóm cho đến khi họ hiểu toàn bộ kiến trúc giao thức và chờ đợi cơ hội

Steven Người ta tin rằng trong các cơ quan tình báo truyền thống, họ thậm chí có thể nằm chờ cả đời và thậm chí thế hệ tiếp theo có thể tiếp tục thực hiện những nhiệm vụ còn dang dở của thế hệ trước. Các dự án Web3 mang tính ngắn hạn và mang lại lợi nhuận cao cho họ và tính năng làm việc từ xa cho phép một người đảm trách nhiều dự án cùng một lúc. Điều này thực sự rất phổ biến trong ngành Web3 và sẽ không gây ra sự nghi ngờ nào cả. họ phông chữ: PingFang SC,Helvetica Neue,Helvetica,Arial,Hiragino Sans GB,Heiti SC,Microsoft YaHei,WenQuanYi Micro Hei,sans-serif;">"Nhóm hacker Triều Tiên sẽ đưa tất cả các Dự án Web3 vào phạm vi tấn công và mỗi dự án đều được sàng lọc cẩn thận và thu thập thông tin từ các thành viên trong nhóm. Họ hiểu rõ dự án hơn chính nhóm dự án", Steven nói. Lý do khiến Web3 trở thành mục tiêu hàng đầu là vì số tiền lớn trong hệ sinh thái này, thiếu sự giám sát thống nhất toàn cầu, làm việc từ xa phổ biến, thường khiến không thể xác minh danh tính thực sự của đối tác và nhân viên, cũng như thực tế là những người thực hiện nhìn chung còn trẻ và thiếu kinh nghiệm xã hội. Những đặc điểm này mang lại môi trường xâm nhập lý tưởng cho các cơ quan tình báo Triều Tiên.

Sự cố hacker xảy ra thường xuyên và các bên tham gia dự án chỉ có thể ngồi chờ chết?

Nhìn lại những sự kiện lớn trong những năm gần đây, kỹ thuật lừa đảo qua mạng luôn là phương pháp cốt lõi của các nhóm hacker Triều Tiên. Trùng hợp với việc phát hành cuốn hồi ký "Binance Life" gần đây của người sáng lập Binance CZ, cuốn sách đánh giá vụ trộm 7.000 Bitcoin từ Binance vào tháng 5 năm 2019. Theo CZ, tin tặc lần đầu tiên xâm nhập vào máy tính xách tay của một số nhân viên thông qua vi rút tiên tiến, sau đó cấy các hướng dẫn độc hại vào bước cuối cùng của quy trình rút tiền, đánh cắp tất cả 7.000 Bitcoin trong ví nóng vào lúc 1 giờ sáng (trị giá khoảng 40 triệu USD vào thời điểm đó, CZ đã viết trong cuốn sách rằng xét theo các phương thức tấn công, tin tặc đã ẩn nấp trong mạng Binance trong một khoảng thời gian và rất nghi ngờ là tác phẩm của North). Lazarus của Hàn Quốc, và thậm chí có thể đã hối lộ nhân viên nội bộ

Sự cố Ronin Network năm 2022 cũng là một trường hợp điển hình. Ronin là chuỗi bên đằng sau trò chơi chuỗi nổi tiếng Axie Infinity. Nó chịu trách nhiệm xử lý việc chuyển giao chuỗi chéo tất cả tài sản trong trò chơi. Vào thời điểm đó, số tiền bị khóa là Cuộc tấn công bắt đầu khi một nhà phát triển nhận được lời mời làm việc lương cao từ một công ty nổi tiếng. Trong quá trình phỏng vấn, anh ta đã tải xuống một tệp chứa chương trình độc hại. Kẻ tấn công đã sử dụng tệp này để truy cập vào hệ thống nội bộ và cuối cùng đã đánh cắp 625 triệu USD. họ phông chữ: PingFang SC,Helvetica Neue,Helvetica,Arial,Hiragino Sans GB,Heiti SC,Microsoft YaHei,WenQuanYi Micro Hei,sans-serif;">Phương thức xảy ra sự cố của CoinsPaid vào năm 2023 gần như giống nhau. CoinsPaid là nhà cung cấp dịch vụ xử lý các khoản thanh toán bằng tiền điện tử. Những kẻ tấn công cũng tiếp cận nhân viên thông qua quy trình tuyển dụng giả mạo, khiến họ cài đặt phần mềm độc hại và sau đó xâm chiếm hệ thống. Các phương pháp hack gần đây hơn có đa dạng hơn: cuộc gọi video giả mạo, tài khoản xã hội bị xâm phạm và các chương trình độc hại được ngụy trang dưới dạng phần mềm hội nghị

Nạn nhân nhận được một Calendly có vẻ bình thường. Sau khi nhấp vào liên kết cuộc họp, bạn sẽ được hướng dẫn cài đặt một ứng dụng cuộc họp giả mạo và phần mềm độc hại sẽ sử dụng ứng dụng này để đánh cắp ví, mật khẩu, cụm từ ghi nhớ và hồ sơ liên lạc. Người ta ước tính rằng các nhóm hack Triều Tiên đã đánh cắp hơn 300 triệu USD chỉ thông qua các chiến thuật như vậy

Đồng thời, đích đến cuối cùng của số tiền bị đánh cắp cũng đáng được chú ý. Steven cho biết số tiền bị đánh cắp cuối cùng sẽ rơi vào sự kiểm soát của chính phủ Bắc Triều Tiên. Việc rửa tiền được thực hiện bởi một nhóm tận tâm trong tổ chức. Họ sẽ mở máy trộn tiền tệ của riêng mình và mở tài khoản bằng tiền giả danh tính trên một số lượng lớn sàn giao dịch Có một quy trình hoàn chỉnh và phức tạp: tiền sẽ được máy trộn tiền tệ làm sạch ngay khi chúng bị đánh cắp, sau đó được chuyển đổi thành tiền riêng tư, sau đó chuyển chuỗi chéo qua các dự án DeFi khác nhau, liên tục chảy giữa các sàn giao dịch và DeFi. font-family: PingFang SC,Helvetica Neue,Helvetica,Arial,Hiragino Sans GB,Heiti SC,Microsoft YaHei,WenQuanYi Micro Hei,sans-serif;">"Toàn bộ quá trình sẽ được hoàn thành trong khoảng 30 ngày và số tiền cuối cùng sẽ rơi vào các sòng bạc ở Đông Nam Á, không cần KYC. Các sàn giao dịch nhỏ cũng như các nhà cung cấp dịch vụ không cần kê đơn (OTC) ở Hồng Kông và Đông Nam Á đều có mặt tiền mặt và rút tiền. Hei,sans-serif;">Vì vậy, khi đối mặt với mô hình mối đe dọa mới này, đối thủ không chỉ là những kẻ tấn công mà còn là những người tham gia. Ngành công nghiệp mã hóa nên ứng phó như thế nào?

Steven Người ta tin rằng các bên dự án quản lý quỹ quy mô lớn nên thuê một đội ngũ bảo mật chuyên nghiệp và thiết lập các vị trí bảo mật toàn thời gian trong nhóm và tất cả các thành viên cốt lõi phải tuân thủ nghiêm ngặt các kỷ luật bảo mật. Điều đặc biệt quan trọng là thiết bị phát triển và thiết bị chịu trách nhiệm về chữ ký tài chính phải được nghiêm ngặt Ông đặc biệt đề cập rằng vấn đề mấu chốt trong sự cố Drift là cơ chế đệm thời gian đã bị hủy "Điều này không thể bị hủy bất cứ lúc nào."

Tuy nhiên, ông cũng thừa nhận rằng nếu các cơ quan tình báo Triều Tiên thực sự muốn ẩn nấp sâu, sẽ khó có thể xác định đầy đủ danh tính của họ ngay cả khi kiểm tra lý lịch nghiêm ngặt. Nhưng việc đưa vào một đội an ninh vẫn rất quan trọng. Ông đề nghị nhóm dự án giới thiệu một đội xanh (tức là đội phòng thủ ở đây) tấn công và phòng thủ mạng), bởi vì đội xanh không chỉ có thể giúp cải thiện tính bảo mật của thiết bị và hành vi mà còn liên tục giám sát các nút chính. Sau khi xảy ra biến động bất thường, họ có thể phát hiện và ứng phó với các cuộc tấn công càng sớm càng tốt. font-family: PingFang SC,Helvetica Neue,Helvetica,Arial,Hiragino Sans GB,Heiti SC,Microsoft YaHei,WenQuanYi Micro Hei,sans-serif;">Ông cũng nói thêm rằng năng lực tác chiến mạng của Triều Tiên hiện nằm trong top 5 thế giới, chỉ đứng sau Hoa Kỳ, Nga, Trung Quốc và Israel. Đối mặt với đối thủ ở cấp độ này, chỉ kiểm tra mã thôi là chưa đủ.

Kết luận

Sự cố Drift chứng minh rằng mối đe dọa lớn nhất mà DeFi phải đối mặt ngày nay không chỉ là giá thị trường và tính thanh khoản mà còn là nhu cầu ngăn chặn các lỗ hổng mã về mặt bảo mật, vì gián điệp có thể ẩn náu xung quanh.

Khi kẻ tấn công sẵn sàng dành nửa năm và đầu tư hàng triệu đô la để thiết lập một mối quan hệ, kiểm tra mã truyền thống và bảo vệ an ninh đơn giản là không đủ. Theo điều tra hiện tại, phương pháp này có thể đã hoạt động trong nhiều dự án trong nhiều năm nhưng vẫn chưa được phát hiện.

DeFi Liệu nó có thể duy trì được tính phi tập trung và mở không còn là vấn đề cốt lõi nữa. Câu hỏi thực sự là: liệu nó có thể tiếp tục mở trong khi chống lại sự xâm nhập của các đối thủ đã được đóng gói theo lớp hay không?