PMX giao dịch robot bị hacker tấn công, thiệt hại 230.000 USD từ quỹ người dùng, chính thức cam kết bồi thường

Robot giao dịch Polycule của PMX bị tấn công bởi hacker, dẫn đến khoảng 230.000 USD tiền của người dùng bị đánh cắp. Sự cố xảy ra vào tối ngày 7 tháng 1, lôi kéo chính thức đã nhanh chóng xác định lỗ hổng, các bản vá sửa chữa và kiểm toán sẽ ra mắt vào cuối tuần này. Đây là một sự cố bảo mật khác trong lĩnh vực robot giao dịch sau khi robot TG meme trước đó bị đánh cắp, một lần nữa lộ ra những rủi ro ẩn trong loại sản phẩm này.

Thông tin cốt lõi của sự cố

Chi tiết cuộc tấn công và đối phó

PMX chính thức đã tiết lộ qua thông báo rằng hacker đã tận dụng lỗ hổng mã của robot giao dịch Polycule để tấn công, dẫn đến tiền của người dùng bị đánh cắp. Theo lời nói của chính thức, quy mô tiền bị ảnh hưởng là khoảng 230.000 USD, chủ yếu liên quan đến người dùng trên chuỗi Polygon.

Nhịp độ đối phó của chính thức tương đối nhanh chóng:

• Đã xác định nguồn lỗ hổng
• Các bản vá sửa chữa và kiểm toán sẽ hoàn thành vào cuối tuần này
• Cam kết bồi thường cho người dùng bị thiệt hại thông qua kho tiền
• Cam kết phục hồi số dư của người dùng bị ảnh hưởng về trạng thái trước khi bị tấn công

Đánh giá phương án bồi thường

Từ các cam kết bồi thường của chính thức, thái độ “hoàn toàn bồi thường” này tương đối có trách nhiệm. Tuy nhiên, chi tiết thực thi cụ thể của bồi thường (lịch trình thời gian, quy trình, v.v.) vẫn cần được xác nhận sau này. Đối với người dùng bị thiệt hại, điểm then chốt là chính thức thực sự đã cam kết bồi thường, điều này tốt hơn thái độ “không liên quan gì đến tôi” mà một số dự án chọn.

Suy ngẫm về rủi ro ngành

Tình trạng khó khăn về bảo mật của robot giao dịch

Đây không phải lần đầu tiên robot giao dịch gặp sự cố. Tin tức liên quan đề cập rằng robot meme TG trước đây cũng từng bị đánh cắp, và sự kiện PMX này cho thấy rằng các rủi ro bảo mật tương tự có thể tái diễn trong các lĩnh vực như thị trường dự đoán, công cụ chênh lệch giá, v.v.

Các sản phẩm robot giao dịch phải đối mặt với các vấn đề cốt lõi:

• Cần tích hợp tiền hoặc quyền giao dịch của người dùng, vốn đã tồn tại rủi ro
• Độ phức tạp mã cao, khó hoàn toàn ngăn chặn lỗ hổng
• Các tiêu chuẩn kiểm toán và bảo mật không thống nhất
• Người dùng thường thiếu nhận thức về rủi ro

Bài học từ phía người dùng

Các sự cố loại này mang đến cho người dùng những gợi ý rõ ràng:

• Robot giao dịch mặc dù tiện lợi, nhưng không phải không có rủi ro
• Khi chọn sản phẩm, cần xem xét khả năng bảo mật và hồ sơ lịch sử của dự án
• Không nên gửi toàn bộ tiền cho bất kỳ công cụ tự động hóa nào
• Thái độ đối phó của chính thức và cam kết bồi thường cũng là những tham khảo quan trọng khi lựa chọn

Tóm tắt

Thái độ nhanh chóng xác định lỗ hổng và cam kết bồi thường của PMX chính thức đáng được ghi nhận, nhưng sự kiện này về bản chất phản ánh những vấn đề bảo mật hệ thống trong lĩnh vực robot giao dịch. Khi những công cụ loại này được sử dụng ngày càng rộng rãi, các sự cố bảo mật có thể sẽ tiếp tục xảy ra. Đối với dự án, cần kiểm toán mã nghiêm ngặt hơn và tiêu chuẩn bảo mật; đối với người dùng, cần đánh giá rủi ro thận trọng hơn. Điều này không phải nói không nên sử dụng robot giao dịch, mà là phải hiểu rõ rủi ro trong đó, đưa ra những lựa chọn hợp lý hơn.