
Mạn Vụ: Phân tích rủi ro an toàn cơ bản của các dự án DeFi phổ biến
Tuyển chọn TechFlowTuyển chọn TechFlow

Mạn Vụ: Phân tích rủi ro an toàn cơ bản của các dự án DeFi phổ biến
Bài viết này nhằm mục đích đánh giá và phân tích các rủi ro an toàn cơ bản của các dự án DeFi trên bảng xếp hạng DefiLlama.
Tác giả: Sơn Ca, Mr.A, đội an toàn SlowMist
Bối cảnh
Trong những năm gần đây, các dự án DeFi phát triển nhanh chóng, dẫn đầu một cuộc cách mạng đổi mới tài chính. Các dự án DeFi tận dụng công nghệ blockchain để cung cấp các dịch vụ tài chính phi tập trung như cho vay, giao dịch, quản lý tài sản,... giúp người dùng tương tác trực tiếp mà không cần thông qua trung gian tài chính truyền thống.
Tuy nhiên, do các dự án DeFi có quy mô vốn và cơ sở người dùng nhất định, chúng cũng trở thành mục tiêu tiềm năng của tin tặc. Nhiều bên phát triển dự án cho rằng an toàn DeFi chỉ là an toàn hợp đồng thông minh — đây là nhận thức sai lầm. Bởi vì DeFi còn bao gồm cả tên miền, máy chủ và các yếu tố khác.
Do đó, các nhóm lừa đảo钓鱼 (lừa đảo) đã xuất hiện theo sau, đặc biệt là nhóm Angel Drainer sử dụng kỹ thuật xã hội học tấn công. Trong năm nay, nhóm lừa đảo này đã tiến hành tấn công vào các dự án DeFi như Balancer, Galxe, Frax Finance, VelodromeFi, Aerodrome.Finance. Angel Drainer chiếm quyền kiểm soát DNS của dự án để đánh cắp tên miền, chèn mã JavaScript độc hại vào giao diện người dùng, dụ người dùng ký kết, từ đó đánh cắp tài sản.
Trong bối cảnh đó, bài viết này nhằm mục đích đánh giá và phân tích các rủi ro an ninh cơ bản của các dự án DeFi trên bảng xếp hạng DefiLlama. DefiLlama là nền tảng cung cấp dữ liệu và xếp hạng các dự án DeFi, các dự án trên bảng xếp hạng của nó đại diện cho những dịch vụ DeFi được chú ý và sử dụng rộng rãi nhất trên thị trường.
Dự án và phương pháp thử nghiệm
Đầu tiên, chúng tôi phân loại các dự án theo thứ hạng DefiLlama thành các phạm vi Top 50, Top 100, Top 200, Top 500 và Top 3000 để thực hiện thống kê. Chúng tôi thu thập và phân tích thông tin liên quan đến DNSSEC, thông tin whois tên miền, thông tin CDN và tình trạng lộ IP nguồn của từng dự án.

Vấn đề an toàn DNSSEC
DNSSEC (Domain Name System Security Extensions) là một phần mở rộng kỹ thuật nhằm tăng cường tính bảo mật cho hệ thống tên miền (DNS), với chức năng chính là cung cấp cơ chế đảm bảo tính toàn vẹn, xác thực và xác nhận dữ liệu truy vấn DNS. Dưới đây là các vai trò chính của DNSSEC:
1. Tính toàn vẹn dữ liệu: DNSSEC sử dụng chữ ký số để ký lên dữ liệu DNS, đảm bảo dữ liệu không bị thay đổi trong quá trình truyền tải. Điều này ngăn chặn việc kẻ tấn công sửa đổi phản hồi DNS, chuyển hướng người dùng đến trang web độc hại hoặc đánh cắp lưu lượng mạng.
2. Xác thực và xác nhận dữ liệu: DNSSEC có thể xác minh tính xác thực của phản hồi DNS, đảm bảo dữ liệu đến từ máy chủ DNS chính thống chứ không phải máy chủ DNS độc hại. Điều này giúp ngăn chặn các cuộc tấn công lừa đảo DNS, khi kẻ tấn công cố gắng giả mạo phản hồi DNS để lừa người dùng.
3. Chống lại tấn công đầu độc bộ nhớ đệm: DNSSEC có thể ngăn chặn tấn công đầu độc bộ nhớ đệm (cache poisoning), tức là ngăn kẻ tấn công chèn bản ghi DNS giả vào bộ nhớ đệm DNS, khiến người dùng bị chuyển hướng đến trang web độc hại. Nhờ xác minh bằng chữ ký số, DNSSEC có thể phát hiện và từ chối các bản ghi DNS giả.
4. Tăng cường an toàn DNS: DNS là một trong những hạ tầng then chốt của Internet, nhiều hoạt động mạng phụ thuộc vào DNS. Việc sử dụng DNSSEC có thể nâng cao mức độ an toàn tổng thể của Internet, giảm tỷ lệ thành công của các cuộc tấn công độc hại, từ đó tăng cường an ninh mạng cho người dùng và tổ chức.
Tóm lại, mục đích của DNSSEC là tăng cường bảo mật DNS thông qua cơ chế chữ ký số và xác minh, đảm bảo tính toàn vẹn và xác thực dữ liệu truy vấn DNS. Đặc biệt, khi DNSSEC được bật, có thể xác minh máy chủ DNS chính thống của tên miền có thực sự đáng tin cậy hay không, giảm nguy cơ bị đánh cắp tên miền và lừa đảo DNS, góp phần nâng cao tính an toàn và độ tin cậy tổng thể của Internet.
Trong bài kiểm tra này, chúng tôi sử dụng script và các trang web kiểm tra bên thứ ba như https://domsignal.com/ để phân tích an toàn DNSSEC, kiểm tra xem DNSKEY của tên miền dự án đã được cấu hình đúng chưa, RRSIG có hiệu lực hay không, ví dụ mẫu như sau:

Vấn đề an toàn nhà đăng ký tên miền
Nhà đăng ký tên miền chịu trách nhiệm đăng ký và quản lý tên miền. Các biện pháp an toàn của họ bao gồm bảo vệ tài khoản người dùng khỏi truy cập trái phép, ngăn chặn việc chuyển nhượng hoặc thay đổi tên miền trái phép, cũng như đảm bảo an toàn dữ liệu đăng ký tên miền. Một nhà đăng ký tên miền an toàn thường cung cấp xác thực hai yếu tố (2FA), kiểm toán an toàn định kỳ và các chức năng bảo vệ quyền riêng tư mạnh mẽ.
Việc sử dụng nhà cung cấp tên miền không an toàn có thể dẫn đến nhiều vấn đề an toàn DNS, bao gồm:
1. Đánh cắp DNS (DNS Hijacking): Nhà cung cấp tên miền không an toàn có thể dễ bị tấn công đánh cắp DNS, khi kẻ tấn công có thể thay đổi phản hồi DNS, chuyển hướng người dùng đến trang web độc hại. Điều này có thể khiến người dùng bị lừa, rơi vào các mối nguy như lừa đảo (phishing), phần mềm độc hại hoặc các hoạt động độc hại khác.
2. Đầu độc bộ nhớ đệm DNS: Kẻ tấn công có thể cung cấp bản ghi DNS giả cho nhà cung cấp tên miền không an toàn để thực hiện tấn công đầu độc bộ nhớ đệm. Điều này khiến máy chủ DNS không an toàn lưu trữ dữ liệu giả vào bộ nhớ đệm DNS của mình, ảnh hưởng đến một lượng lớn người dùng và dẫn họ đến các trang web độc hại.
3. Thay đổi dữ liệu: Nhà cung cấp tên miền không an toàn có thể dễ bị tấn công trung gian (man-in-the-middle), khi kẻ tấn công có thể thay đổi dữ liệu trong quá trình truyền tải truy vấn DNS, khiến người dùng nhận được phản hồi DNS giả. Điều này có thể khiến người dùng kết nối tới máy chủ sai hoặc gặp rủi ro truy cập trang web độc hại.
4. Dịch vụ ngừng hoạt động: Nếu nhà cung cấp tên miền không an toàn bị tấn công từ chối dịch vụ phân tán (DDoS) hoặc các cuộc tấn công mạng khác, máy chủ DNS của họ có thể ngừng hoạt động, khiến trang web và dịch vụ trực tuyến không thể truy cập được.
5. Thiếu hỗ trợ DNSSEC: Nhà cung cấp tên miền không an toàn có thể không hỗ trợ DNSSEC, điều này làm tăng mức độ không an toàn của truy vấn DNS, khiến người dùng dễ bị ảnh hưởng bởi các cuộc tấn công lừa đảo DNS và các cuộc tấn công khác.
Tóm lại, việc sử dụng nhà cung cấp tên miền không an toàn có thể gây ra các vấn đề an toàn DNS, khiến người dùng và tổ chức đối mặt với nhiều mối đe dọa mạng. Do đó, việc lựa chọn nhà cung cấp tên miền đáng tin cậy, có các biện pháp an toàn mạnh (như hỗ trợ DNSSEC) là rất quan trọng để bảo vệ tên miền và an toàn mạng. Các dự án DeFi nên cẩn trọng đánh giá và lựa chọn nhà cung cấp tên miền để đảm bảo dịch vụ họ cung cấp là an toàn và đáng tin cậy.
Trong bài kiểm tra này, chúng tôi sử dụng các dịch vụ whois như https://www.godaddy.com/whois để tra cứu tên miền, thu thập thông tin Register (người đăng ký) và Name Server hiện tại tương ứng với tên miền dự án, ví dụ mẫu như sau:

Vấn đề an toàn CDN và bảo vệ lưu lượng
Mạng phân phối nội dung (CDN) là một dịch vụ tối ưu hiệu suất và bảo mật trang web, bằng cách phân phối nội dung trang web đến nhiều điểm nút toàn cầu, giảm độ trễ và tăng tốc độ truy cập. Các biện pháp an toàn của CDN bao gồm chống lại các cuộc tấn công từ chối dịch vụ phân tán (DDoS), tường lửa ứng dụng web (WAF), và hỗ trợ HTTPS, đảm bảo an toàn và mã hóa trong suốt quá trình truyền dữ liệu.
Việc sử dụng một nhà cung cấp CDN không an toàn có thể mang lại nhiều rủi ro an toàn, bao gồm:
1. Rò rỉ dữ liệu: Nhà cung cấp CDN không an toàn có thể không đủ khả năng bảo vệ dữ liệu được lưu trữ trên máy chủ của họ. Điều này có thể dẫn đến rò rỉ thông tin nhạy cảm như dữ liệu khách hàng, thông tin đăng nhập hoặc tài liệu quan trọng. Tin tặc có thể khai thác điểm yếu của CDN để lấy cắp hoặc đánh cắp dữ liệu này.
2. Tấn công trung gian (Man-in-the-Middle): Tin tặc có thể cố gắng thực hiện tấn công trung gian giữa CDN và người dùng cuối. Điều này có nghĩa là tin tặc có thể sửa đổi hoặc giám sát lưu lượng dữ liệu truyền qua CDN để lấy cắp thông tin nhạy cảm hoặc phát tán nội dung độc hại.
3. Dịch vụ ngừng hoạt động: Nếu nhà cung cấp CDN bị tấn công DDoS hoặc các cuộc tấn công mạng khác, dịch vụ CDN có thể bị gián đoạn, khiến trang web hoặc ứng dụng không thể truy cập. Điều này gây ảnh hưởng nghiêm trọng đến khả năng sử dụng và hiệu suất kinh doanh.
4. Phát tán nội dung độc hại: Nếu nhà cung cấp CDN không áp dụng các biện pháp an toàn đủ mạnh để xác minh và kiểm duyệt nội dung được lưu trữ trên mạng của họ, người dùng độc hại có thể lợi dụng CDN để phát tán phần mềm độc hại, mã độc hoặc các nội dung có hại khác.
5. Thiếu hỗ trợ mã hóa: Nhà cung cấp CDN không an toàn có thể không cung cấp đủ hỗ trợ mã hóa, khiến việc truyền dữ liệu dễ bị nghe lén. Điều này có thể dẫn đến rò rỉ dữ liệu và các vấn đề về quyền riêng tư.
6. Khai thác lỗ hổng an toàn: Tin tặc có thể khai thác các lỗ hổng an toàn trong CDN không an toàn để xâm nhập vào mạng CDN và truy cập dữ liệu nhạy cảm hoặc kiểm soát tài nguyên mạng.
7. Vấn đề pháp lý và tuân thủ: Một số nhà cung cấp CDN có thể nằm ở các quốc gia hoặc khu vực pháp lý khác nhau, có thể phát sinh các vấn đề pháp lý và tuân thủ. Điều này có thể gây khó khăn về quyền riêng tư dữ liệu và tuân thủ quy định.
Để giảm thiểu các rủi ro này, các dự án DeFi nên cẩn trọng đánh giá các biện pháp an toàn, chính sách quyền riêng tư và mức độ tuân thủ của nhà cung cấp CDN khi lựa chọn. Việc chọn nhà cung cấp CDN đáng tin cậy, có hồ sơ an toàn tốt và đội ngũ an toàn chuyên trách là bước quan trọng để đảm bảo an toàn dữ liệu và mạng.
Trong bài kiểm tra này, chúng tôi thu thập địa chỉ IP tương ứng với tên miền dự án để thống kê việc sử dụng các CDN phổ biến trên thị trường như Akamai, Azure CDN, Cloudflare, Cloudfront, Fastly, Google Cloud CDN, MaxCDN. Ví dụ mẫu như sau:

Vấn đề an toàn lộ IP nguồn
Lộ IP nguồn xảy ra khi tin tặc có thể xác định được địa chỉ IP thật của máy chủ phía sau trang web, từ đó vượt qua CDN hoặc các biện pháp an toàn khác để tấn công trực tiếp máy chủ, vượt qua các chính sách giới hạn tường lửa, v.v. Đồng thời, việc lộ IP nguồn của máy chủ web có thể dẫn đến các vấn đề an toàn sau:
1. Tấn công trực tiếp: Địa chỉ IP bị lộ sẽ trở thành mục tiêu tấn công trực tiếp của tin tặc, bao gồm tấn công từ chối dịch vụ phân tán (DDoS), có thể khiến trang web không thể truy cập được.
2. Khai thác lỗ hổng an toàn: Nếu phần mềm máy chủ có các lỗ hổng đã biết, tin tặc có thể khai thác để xâm nhập máy chủ.
3. Nguy cơ rò rỉ dữ liệu: Tin tặc có thể truy cập dữ liệu nhạy cảm thông qua IP bị lộ, dẫn đến rò rỉ dữ liệu.
4. Lừa đảo và gian lận mạng: Tin tặc có thể giả mạo danh tính máy chủ để thực hiện các hoạt động lừa đảo (phishing) hoặc gian lận.
Do đó, việc bảo vệ địa chỉ IP nguồn của máy chủ web là một biện pháp quan trọng để duy trì an toàn mạng. Để bảo vệ IP nguồn không bị lộ, thường áp dụng các biện pháp ẩn địa chỉ IP thật như sử dụng máy chủ proxy ngược, cấu hình bản ghi DNS an toàn và đảm bảo tất cả các điểm truy cập vào máy chủ đều được bảo vệ an toàn phù hợp, từ đó giảm rủi ro bị tấn công trực tiếp vào máy chủ nguồn.
Trong bài kiểm tra này, chúng tôi sử dụng các dịch vụ bên thứ ba để cố gắng vượt qua CDN của các tên miền đang dùng, nhằm kiểm tra xem IP nguồn của tên miền dự án có bị lộ hay không, ví dụ mẫu như sau:

Dựa trên các bài kiểm tra trên, dưới đây là phần thống kê và phân tích kết quả.
Thống kê kết quả
Vấn đề an toàn DNSSEC
Một phần kết quả:

Thống kê DNSSEC:

(Phân bố số lượng)

(Phân bố phần trăm)

Vấn đề an toàn nhà đăng ký tên miền
Một phần kết quả:

Thống kê nhà đăng ký tên miền:



Vấn đề an toàn CDN và bảo vệ lưu lượng
Một phần kết quả:

Thống kê sử dụng CDN:


Có thể thấy, nhà cung cấp CDN an toàn hàng đầu thế giới Akamai gần như không được sử dụng trong ngành DeFi. Việc nâng cao an toàn cơ bản và nhận thức an toàn cho DeFi vẫn còn dài và đầy thách thức.
Vấn đề an toàn lộ IP nguồn
Một phần kết quả:

Thống kê lộ IP:



Vấn đề an toàn do lộ IP nguồn không thể xem nhẹ. Chỉ vào ngày 7 tháng 12, dự án game nổi tiếng @XAI_GAMES đã bị tấn công DDoS, khiến trang web chính thức không thể truy cập. Đồng thời, tin tặc đã đăng trên cộng đồng Discord của dự án một trang web giả mạo, dụ dỗ nạn nhân truy cập vào trang lừa đảo, thực hiện tấn công phishing, khiến hàng loạt nạn nhân bị lừa, thiệt hại khoảng hơn 400 ETH. Do đó, các dự án DeFi cần chú trọng bảo vệ địa chỉ IP nguồn của máy chủ web, giảm thiểu rủi ro bị tấn công trực tiếp vào máy chủ nguồn.
Tổng kết
Từ các thông tin thống kê đa chiều nêu trên, chúng ta có thể thấy rõ ràng rằng hiện trạng rủi ro an toàn cơ bản của các dự án DeFi đang rất nghiêm trọng. Phần lớn cấu hình của các dự án DeFi là không an toàn, tồn tại nguy cơ bị tấn công.
Thông qua phân tích trong bài viết này, chúng ta hiểu rằng an toàn DeFi không chỉ đơn thuần là an toàn hợp đồng thông minh — an toàn là một hệ thống tổng thể. Đội an toàn SlowMist đã công bố "Yêu cầu Thực hành An toàn Dự án Web3" (https://github.com/slowmist/Web3-Project-Security-Practice-Requirements) và Hướng dẫn An toàn Chuỗi Cung ứng Ngành Web3, nhằm hướng dẫn và nhắc nhở các dự án Web3 chú ý đến các biện pháp an toàn toàn diện. Hệ thống giám sát an toàn MistEye do đội an toàn SlowMist triển khai bao gồm giám sát hợp đồng, giám sát đầu cuối trước - sau, cảnh báo phát hiện lỗ hổng và các thông tin toàn diện khác, theo dõi an toàn toàn bộ quy trình trước, trong và sau sự kiện của dự án DeFi. Chúng tôi chào đón các dự án sử dụng hệ thống giám sát an toàn MistEye để kiểm soát rủi ro và nâng cao mức độ an toàn cho dự án.
Cảm ơn: @DefiLlama @censysio
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News










