Eclipse Attack là gì? Quá trình thực hiện tấn công che khuất

Trong bối cảnh blockchain và các hệ thống phi tập trung ngày càng phát triển, các rủi ro an ninh mạng cũng không ngừng gia tăng. Một trong những hình thức tấn công tinh vi và nguy hiểm nhất hiện nay là Eclipse Attack. Nếu không hiểu rõ bản chất và cơ chế của hình thức Eclipse Attack là gì này, trader và nhà phát triển dễ rơi vào bẫy nguy hiểm. Vậy Eclipse Attack có nó ảnh hưởng ra sao đến mạng blockchain? Cùng Trader Forex tìm hiểu chi tiết ngay sau đây nhé.

Eclipse Attack là gì?

Eclipse Attack còn được dịch sang tiếng Việt là tấn công che khuất, hình thức tấn công này thường được sử dụng trong Blockchain thông qua việc cô lập một node ra khỏi phần còn lại của hệ thống. Sau khi thành công cô lập, nút mạng chỉ có thể tiếp nhận thông tin từ nguồn mà hacker kiểm soát, không tiếp nhận những thông tin xác thực trên toàn mạng lưới chuỗi khối.

Điều này sẽ khiến các nút mạng bị thao túng và đi sai hướng, bị những tin tặc lạm dụng để tiến hành những hoạt động nguy hiểm như giao dịch giả, ẩn thông tin, chi tiêu hai lần,…

Quá trình thực hiện tấn công che khuất

Đối với những nhà đầu tư mới vừa gia nhập thị trường Crypto, việc bạn nắm được các yếu tố xoay quanh Eclipse Attack là điều cực kỳ cần thiết, giúp bạn đưa ra các quyết định và lựa chọn giao dịch an toàn nhất. Trên thị trường tiền điện tử, khi bạn nắm được cách thức hoạt động của hệ thống sẽ thuận lợi hơn trong quá trình quản lý rủi ro.

Giai đoạn chuẩn bị: Quản lý kết nối

Đầu tiên, người thực hiện Eclipse Attack sẽ xây dựng nên một mạng lưới rộng với nhiều địa chỉ IP giả hay dùng đến botnet nhằm chiếm đoạt bảng kết nối ngang hàng của các nút mạng mà họ nhắm đến.

Nhờ vậy mà chúng có thể dễ dàng điều khiển quy trình chọn các nút ngang hàng, làm cho node tiếp xúc với các nút độc hại bởi kẻ xấu tạo nên.

Cô lập node ra khỏi mạng thực

Sau khi có được toàn quyền kết nối, hacker sẽ ép nút mạng phải khởi động lại, được thực hiện thông qua tấn công từ chối dịch vụ (DoS) hay đợi đến nút mạng tự động khởi chạy.

Lúc đó, node sẽ tìm kiếm nút ngang hàng mới để liên kết và nếu bảng kết nối bị chiếm lấy, lúc này nút mạng chỉ có thể kết nối với các nút độc hại, qua đây bị cô lập hoàn toàn khỏi chuỗi khối chính.

Giai đoạn thao túng: Cung cấp các thông tin sai sự thật

Khi nắm được quyền điều khiển tất cả dữ liệu mà node có được, tin tặc sẽ tiến hành các hành vi mà họ mong muốn như:

• Làm giả thông tin về tình hình chuỗi khối, khiến nút mạng nhận dạng chuỗi block giả thành chuỗi thật.
• Ngăn chặn hay sửa đổi giao dịch, từ đó xây dựng nên các phiên bản giả trong các giao dịch.
• Tấn công chi tiêu 2 lần, lừa nạn nhân thực hiện một giao dịch giả mạo và sau đó sử dụng tiếp số tiền tương tự để trade một lần nữa.
• Quá trình xác nhận block mới trở nên chậm, thông qua ngăn nút tiếp xúc với các block thật đang được khai thác ngoài mạng.
• Điều khiển dữ liệu về giá, nhất là trong các ứng dụng tài chính phi tập trung dùng oracle. Trong trường hợp nút mạng sở hữu dữ liệu giá bị giấu đi, smart connect sẽ thao túng sao mang lại lợi ích nhiều nhất cho người thực hiện.

Mục tiêu của cuộc tấn công che khuất (Eclipse Attack) là gì?

Tấn công che khuất không chỉ làm gián đoạn một nút mạng trên Blockchain mà còn là cuộc tấn công có kế hoạch, hướng đến các mắt xích quan trọng trên hệ sinh thái Crypto. Dưới đây là các đối tượng bị hacker nhắm đến:

• Những người dùng cá nhân: Khi nút mạng ví của khách hàng bị cô lập, tin tặc sẽ lừa nạn nhân chấp nhận những trade không hợp lệ, như giao dịch bị hủy nhưng vẫn thông báo là thành công. Bên cạnh đó, thông tin về số dư hay nhật ký giao dịch cũng đều làm giả mạo, điều này khiến người dùng đưa ra quyết định không chính xác.
• Sàn giao dịch: Trong trường hợp trên hệ thống backend của sàn bị che giấu thông tin chuỗi khối thực, làm cho giao dịch không thể thực hiện hay giá không trùng khớp với thị trường. Tạo ra các cơ hội để tiến hành gian lận như điều khiển giá, rút tiền kép, lợi dụng sợ trễ hạn để thu về lợi nhuận sai quy định.
• Ứng dụng tài chính phi tập trung và oracle dữ liệu: Ứng dụng DeFi phần lớn dựa vào dữ liệu real-time từ chuỗi khối và oracle. Khi rơi vào tình trạng tấn công che khuất, dữ liệu đầu vào của smart connect sẽ bị thao túng để thực hiện tấn công flash loan, làm cho hệ thống cung cấp giá không chính xác khiến toàn bộ giao thức bị ảnh hưởng nghiêm trọng.
• Thợ đào (miners): Còn với các thợ đào, việc bị cô lập ra khỏi mạng chính sẽ làm hoạt động đào coin trên một chuỗi không hợp lệ, điều này làm tốn tài nguyên và thời gian. Thậm chí, kẻ tấn công sẽ tận dụng trạng thái cô lập để mở ra lối đi cho một đợt tấn công 51% thông qua việc làm một phần hash rate đi lệch hướng.

Tác động của tấn công cô lập node (eclipse attack)

Trong hệ thống blockchain hoạt động theo cơ chế phi tập trung, mỗi node đóng vai trò như một điểm xác thực và lan truyền dữ liệu. Khi một node bị cô lập khỏi phần còn lại của mạng, thì kẻ tấn công có thể thao túng hoàn toàn dữ liệu mà node này tiếp nhận.

Để thực hiện điều đó, kẻ xấu có thể chủ động chi tài nguyên nhằm tạo ra môi trường giả lập, khiến node mục tiêu chỉ giao tiếp với các địa chỉ do chính hắn kiểm soát. Trong trạng thái mù thông tin như vậy, node bị tách biệt sẽ tin rằng dữ liệu nhận được là hợp lệ, trong khi thực tế toàn bộ thông tin đều có thể bị bóp méo hoặc lợi dụng cho các mục đích xấu. Đây là nền tảng để khởi đầu các cuộc tấn công nguy hiểm hơn sau đó.

Rủi ro chi tiêu hai lần khi chưa có xác nhận

Một trong những điểm yếu thường bị khai thác là thời điểm giữa lúc giao dịch được gửi đi và lúc nó được ghi nhận vào một block thực sự trên blockchain. Trong khoảng thời gian đó, kẻ tấn công có thể cố tình gửi một giao dịch mới có cùng số tiền nhưng kèm theo mức phí gas cao hơn để thay thế giao dịch cũ.

Chẳng hạn, nếu người bán A giao hàng ngay sau khi thấy giao dịch xuất hiện mà không đợi bất kỳ xác nhận nào, anh ta rất dễ rơi vào bẫy chi tiêu kép. Người mua B có thể đánh lừa bằng cách chỉ phát sóng giao dịch đến các node giả do A kiểm soát.

Thực tế, A đồng thời gửi một giao dịch khác với mức phí cao hơn đến các node trung thực trong mạng. Khi mạng nhận được cả hai giao dịch, nó sẽ chọn giao dịch có phí cao hơn để đưa vào block. Giao dịch thật với B vì thế bị loại bỏ, còn hàng thì B đã lỡ chuyển. Kết quả là B mất cả hàng lẫn tiền.

Chiêu chi tiêu kép có xác nhận

Nhiều sàn giao dịch và nhà cung cấp dịch vụ yêu cầu phải có từ 3 đến 6 xác nhận trước khi xem một giao dịch là hoàn tất. Điều này giúp hạn chế rủi ro chi tiêu kép. Tuy nhiên, nếu kẻ tấn công đủ tinh vi, họ vẫn có thể qua mặt hệ thống này bằng một chiến thuật kết hợp với eclipse attack.

Kịch bản diễn ra như sau: sau khi hoàn tất việc đặt mua hàng, kẻ tấn công tạo một giao dịch và chỉ gửi đến nhóm thợ đào bị cô lập khỏi mạng thực. Người bán sẽ nghĩ rằng giao dịch đã được xử lý thành công và tiến hành giao hàng. Nhưng khi các thợ đào bị cô lập kết nối lại với phần còn lại của mạng, toàn bộ chuỗi mà họ duy trì sẽ bị hệ thống bỏ qua.

Chiêu thức này có cơ chế hoạt động gần giống như tấn công 51%, nhưng không nhất thiết phải kiểm soát phần lớn sức mạnh đào mà chỉ cần tận dụng sự cô lập mạng để tạo chuỗi giả.

Làm tê liệt các thợ đào cạnh tranh

Không chỉ ảnh hưởng đến người dùng, eclipse attack còn có thể trở thành công cụ để phá hoại hoạt động của các miner đối thủ. Nếu một nhóm miner bị ngắt kết nối khỏi mạng chính, họ vẫn tiếp tục đào block mà không hay biết rằng mình đang làm việc trên một chuỗi đã bị sai lệch. Khi kết nối lại, toàn bộ công sức đào block đó sẽ bị vô hiệu vì không được chấp nhận vào chuỗi chính.

Trong trường hợp này, kẻ tấn công có thể tận dụng tình trạng đó để vô hiệu hóa một phần sức mạnh đào của mạng, giúp mình dễ dàng chiếm ưu thế.

Ví dụ: giả sử tổng hashpower của mạng là 80 TH/s và kẻ tấn công chỉ có 40 TH/s. Nhưng nếu hắn có thể cô lập 5 trong số 10 miner, mỗi người sở hữu 8 TH/s, thì sẽ khiến 40 TH/s bị rút khỏi mạng chính. Lúc này, chỉ cần 21 TH/s (trong tổng số còn lại 40 TH/s) là kẻ tấn công đã nắm quyền kiểm soát phần lớn.

Các hoạt động nghiên cứu và thực tiễn liên quan đến Eclipse Attack

Trên thị trường tiền mã hóa, các cuộc tấn công dạng Eclipse Attack hiếm khi được công bố rộng rãi, đặc biệt là ở quy mô lớn. Có một số lý do khiến loại tấn công này ít được phát hiện và ghi nhận:

• Khó phát hiện trong thời gian thực: Không giống như tấn công DDoS hay tấn công 51%, thường để lại dấu vết rõ rệt trên toàn mạng, Eclipse Attack diễn ra âm thầm, chỉ nhắm vào một hoặc vài node cụ thể. Vì thế, sự bất thường rất khó bị phát hiện, nhất là với người dùng phổ thông hoặc các hệ thống không có cơ chế giám sát chặt chẽ.
• Chi phí triển khai cao trên mạng lớn: Để cô lập thành công một node trong mạng quy mô lớn như Bitcoin hoặc Ethereum, kẻ tấn công cần kiểm soát một lượng đáng kể địa chỉ IP hoặc hạ tầng mạng. Đây là một rào cản không nhỏ về tài chính và kỹ thuật, khiến loại tấn công này ít được thực hiện trên các blockchain có hệ sinh thái mạnh và phân tán rộng.

Mặc dù chưa có vụ tấn công Eclipse nào gây thiệt hại lớn được xác minh công khai, một số dấu hiệu từ các vụ tấn công mạng hoặc sự cố tại các node trên blockchain có thể liên quan đến hình thức này. Đặc biệt là trong các dự án nhỏ hoặc sàn phi tập trung (DEX), nơi hệ thống giám sát còn hạn chế, các cuộc tấn công Eclipse có thể đã xảy ra nhưng không được công bố rộng rãi.

Trường hợp nghiên cứu mô phỏng Eclipse Attack trên Bitcoin năm 2015

Năm 2015, một nhóm học giả đến từ Đại học Boston và Đại học Hebrew đã tiến hành nghiên cứu và mô phỏng thành công một cuộc tấn công Eclipse trên mạng Bitcoin. Mặc dù không phải là một vụ tấn công thực tế diễn ra trên thị trường, nghiên cứu này đã cho thấy Bitcoin hoàn toàn có thể bị khai thác theo cách này nếu các điều kiện kỹ thuật cho phép.

Trong nghiên cứu, các nhà khoa học đã trình bày chi tiết cách mà một node có thể bị cô lập và thao túng bởi kẻ tấn công, dẫn đến nhiều hậu quả nghiêm trọng như:

• Gửi block sai lệch hoặc không hợp lệ để đánh lừa node mục tiêu.
• Làm chậm quá trình cập nhật block mới, khiến node bị tụt lại so với mạng chính.
• Tạo điều kiện cho các hình thức double spend, ảnh hưởng trực tiếp đến tính toàn vẹn của hệ thống.

Nghiên cứu này được xem là một lời cảnh báo sớm cho cộng đồng phát triển Bitcoin về nguy cơ từ việc lơ là giám sát các node mạng.

Nguy cơ trên các blockchain sử dụng cơ chế PoS

Không chỉ riêng Bitcoin, các blockchain chạy theo mô hình Proof-of-Stake (PoS) cũng được xem là dễ tổn thương hơn trước kiểu tấn công này, nhất là khi các validator trở thành mục tiêu chính.

Khi một validator bị tấn công Eclipse, kẻ tấn công có thể kiểm soát việc lựa chọn block hoặc làm gián đoạn luồng xác nhận giao dịch. Nguy cơ này thậm chí còn cao hơn trong các mạng vừa mới chuyển đổi sang PoS, như Ethereum sau năm 2022.

Hơn nữa, Eclipse Attack còn có thể là bước đệm cho một cuộc tấn công 51% trong môi trường PoS. Thay vì cần sức mạnh tính toán lớn như trong PoW, kẻ tấn công chỉ cần chiếm phần lớn lượng staking hoặc lượng validator đủ lớn để gây ảnh hưởng đến toàn mạng.

Các mối đe dọa tiềm ẩn đối với nền tảng DeFi

Không nằm ngoài vòng ảnh hưởng, hệ sinh thái DeFi cũng có thể là mục tiêu của Eclipse Attack, dù cho đến nay chưa có vụ việc lớn nào được xác nhận công khai.

Trong môi trường DeFi, các smart contract thường phụ thuộc vào dữ liệu từ oracle. Nếu một node oracle bị cô lập và điều khiển bởi kẻ tấn công, hệ quả có thể rất nghiêm trọng:

• Thao túng giá: Kẻ tấn công có thể cung cấp thông tin sai lệch cho oracle, khiến smart contract tính sai giá tài sản. Điều này có thể dẫn đến giao dịch bất lợi trên các nền tảng như Uniswap, Aave, hoặc các protocol vay thế chấp khác.
• Khai thác flash loan: Dữ liệu sai lệch có thể được kết hợp với kỹ thuật flash loan để tạm thời mượn một lượng lớn tài sản và thực hiện các giao dịch có lợi cho kẻ tấn công, khiến DeFi protocol chịu tổn thất lớn.

Dấu hiệu nhận biết bị tấn công che khuất là gì?

Tấn công Eclipse rất khó để bạn có thể nhận biết được, nguyên nhân là do quy trình cô lập node thực hiện trong yên lặng, không đưa ra những cảnh báo nào như các cuộc tấn công khác trên thị trường. Nhưng chỉ cần bạn tinh mắt và nắm các dấu hiệu nhận biết là có thể phán đoán được ngay. Cụ thể:

• Giao dịch thực hiện chậm hơn mọi khi: Nếu nhà đầu tư gửi giao dịch nhưng sau một khoảng thời gian dài vẫn chưa nhận thấy thông báo xác nhận, dù phí mà bạn đặt hợp lý thì có thể nút mạng đã không thể liên kết được với mạng chính.
• Ví có những hoạt động bất thường, xuất hiện các phí phát sinh không phù hợp: Khi nhận thấy những cuộc giao dịch được thực hiện trên tài khoản mà không phải bản thân thực hiện, số dư có sự thay đổi mà chưa hề sử dụng thì bạn cần phải thật đề phòng và cảnh giác nhé. Lúc này, bạn có thể sẽ thấy được một phiên bản không đúng trên chuỗi khối được xây dựng bởi các nút độc hại.
• Khó hoặc không thể kết nối mạng: Trong trường hợp bạn rơi vào tình trạng thường xuyên ngắt kết nối vô lý khi truy cập vào ứng dụng Blockchain, thì có thể node của bạn đã bị kiểm soát bởi hacker, họ sẽ điều khiển các peer.

Trong lĩnh vực Blockchain phi tập trung, hệ thống có thể sẽ không thông báo khi bạn bị tấn công. Vì thế, việc nắm bắt các dấu hiệu trên cũng giúp các bạn đưa ra phương án xử lý phù hợp để bảo vệ tài sản của mình.

Vậy cách phòng tránh Eclipse Attack là gì? Cùng Traderforex tìm hiểu ngay phần nội dung cuối cùng nhé.

Một số cách phòng tránh tấn công che khuất hiệu quả

Đối với Blockchain, nút mạng bị cô lập vừa ảnh hưởng đến quá trình sử dụng của khách hàng vừa gây nguy hiểm đến dữ liệu và tài sản. Do đó, mỗi người dùng cần có biện pháp giúp node an toàn, đặc biệt là những cá nhân, thợ khai thác cùng với nhà phát triển hạ tầng. Traderforex sẽ cung cấp một số phương pháp ngăn chặn tấn công che khuất ngay dưới đây:

Phân tán kết nối mạng (làm đa dạng peer)

Không nên để nút mạng liên kết nhiều địa chỉ đến từ một IP hay một dải mạng. Nên đưa ra hạn mức cho mỗi IP, liên kết với các node uy tín từ nhiều khu vực và nhà cung cấp khác nhau. Đây cũng là một biện pháp giúp hạn chế bị một nguồn quản lý kết nối của người sử dụng.

Sử dụng những giao thức bảo mật trong truyền tải dữ liệu

Nên ưu tiên dùng những kết nối đã qua mã hóa như TLS và cài đặt cơ chế xác thực P2P, điều này giúp nút mạng chỉ được phép trao đổi thông tin với các nút có nguồn gốc rõ ràng, hạn chế kết nối với các nút giả.

Giảm thiểu các kết nối đến (inbound)

Bên cạnh đó, người dùng cũng nên thường xuyên lọc các kết nối đầu vào, nên chấp nhận các peer đã qua kiểm tra và xác nhận. Một biện pháp chủ động ngăn chặn tấn công Eclipse hiệu quả, giúp node được an toàn.

Thường xuyên cập nhật phần mềm node

Việc cập nhật thường xuyên giúp lấp đầy những lỗ hổng về bảo mật, đảm bảo nút mạng hoạt động với phiên bản mới nhất và tránh những lần tấn công nguy hiểm. Bên cạnh đó còn giúp phù hợp với mạng lưới chính thức.

Giám sát và nhận biết những hoạt động bất thường

Nên xây dựng hệ thống theo dõi lưu lượng mạng và nhận biết các hoạt động không phù hợp. Các chỉ báo như lượng kết nối tăng mạnh từ một dải IP, dữ liệu lạ thường được gửi đến từ node, đây cũng là dấu hiệu nhận biết các hacker đang cố gắng tấn công tài khoản của bạn.

Xem thêm:

Cyber attack là gì? Tác hại và ví dụ điển hình các vụ tấn công mạng

Malware là gì? Hiểu đúng về phần mềm độc hại và cách phòng tránh

Kết luận

Sau khi đi tìm hiểu về Eclipse Attack là gì cũng như các thông tin liên quan đến tấn công che khuất, qua đây cũng thấy rõ những nguy hiểm mà cuộc tấn công này mang lại. Việc chủ đồng phòng ngừa là điều cực kỳ cần thiết cho mỗi người dùng, tránh bị lạm dụng và bảo vệ tốt tài sản của mình. Hy vọng với bài viết trên của Traderforex sẽ giúp bạn có thêm nhiều thông tin bổ ích.