SlowMist: Hướng dẫn sơ cứu cho tiền bị đánh cắp: Tin nhắn trên chuỗi - BTC

Tác giả: LisaBiên tập viên: Sherry

Bối cảnh

Tin nhắn trên chuỗi, với tư cách là phương thức giao tiếp đặc biệt trong thế giới blockchain, đã thường xuyên được sử dụng trong nhiều sự cố bảo mật khác nhau trong những năm gần đây. Ví dụ, gần đây SlowMist đã hỗ trợ KiloEx thực hiện nhiều vòng giao tiếp với kẻ tấn công thông qua các tin nhắn trên chuỗi và cuối cùng đã thành công trong việc hoàn trả toàn bộ số tiền bị đánh cắp trị giá 8,44 triệu đô la Mỹ. Trong môi trường ẩn danh, các tin nhắn trên chuỗi có thể đóng vai trò là công cụ hiệu quả để thiết lập các cuộc đối thoại ban đầu và đặt nền tảng cho việc khôi phục tiền sau này.

Trong bài viết trước đây của chúng tôi "Tin nhắn trên chuỗi trong hướng dẫn sơ cứu khi bị trộm", phương pháp để lại tin nhắn trên Ethereum đã được giới thiệu chi tiết. Mạng Bitcoin cũng hỗ trợ tin nhắn trên chuỗi, nhưng phương pháp triển khai của hai mạng này hơi khác nhau. Công cụ cốt lõi để để lại tin nhắn trên chuỗi Bitcoin là lệnh OP_RETURN. Nó cho phép người dùng nhúng 80 byte dữ liệu tùy chỉnh vào các giao dịch. Dữ liệu này sẽ không được các nút sử dụng để xác minh giao dịch và sẽ không ảnh hưởng đến trạng thái của UTXO. Nó chỉ được sử dụng để ghi lại thông tin và sẽ được ghi lại đầy đủ trong chuỗi khối.

Cách sử dụng OP_RETURN để để lại tin nhắn trên chuỗi

Bước 1: Mã hóa nội dung tin nhắn

Đầu tiên, chuyển đổi thông tin văn bản cần gửi sang định dạng thập lục phân (HEX). Lệnh OP_RETURN trên chuỗi Bitcoin chỉ chấp nhận dữ liệu định dạng HEX.

Ví dụ, nếu bạn muốn để lại tin nhắn:

Đây là một bài kiểm tra.

Mã HEX đã chuyển đổi là:

54686973206973206120746573742e

Bạn có thể sử dụng công cụ chuyển đổi định dạng trực tuyến hoặc tập lệnh Python để hoàn tất:

Nội dung tin nhắn phải ít hơn 160 ký tự thập lục phân hoặc 80 byte. Nếu độ dài vượt quá giới hạn này, bạn nên rút gọn tin nhắn hoặc gửi thành nhiều tin nhắn.

Bước 2: Xây dựng giao dịch với OP_RETURN

Tiếp theo, bạn cần sử dụng ví Bitcoin hoặc công cụ hỗ trợ giao dịch tùy chỉnh để tạo giao dịch với đầu ra OP_RETURN.

Lấy Bitcoin Core làm ví dụ, sử dụng createrawtransaction để thêm đầu ra OP_RETURN theo cách thủ công:

Giao dịch được xây dựng theo cách này sẽ không thực sự chuyển tiền mà chỉ ghi thông báo này vào chuỗi.

Lấy ví imToken làm ví dụ, vào giao diện chuyển tiền ví BTC và bật “Chế độ nâng cao”. Nhập thông tin thập lục phân vào hộp nhập "OP_RETURN". Nhấp vào "Tiếp theo" để hoàn tất xác nhận thông tin giao dịch. Nhập mật khẩu giao dịch để gửi giao dịch thành công với thông tin OP_RETURN. Hãy đảm bảo rằng "Số tiền đầu vào = Số tiền đầu ra + Phí khai thác".

Bước 3: Phát sóng giao dịch

Phát sóng giao dịch đã ký thông qua mạng Bitcoin. Vì các giao dịch OP_RETURN không thực sự chuyển tiền nên chúng phải bao gồm phí khai thác để được xử lý và chờ thợ đào đóng gói chúng thành các khối. Sau khi giao dịch được xác nhận, tin nhắn sẽ được lưu trữ vĩnh viễn trong chuỗi khối Bitcoin.

Bước 4: Xem nội dung tin nhắn

Sau khi hoàn tất giao dịch, bạn sẽ nhận được TXID. Bạn có thể xem giao dịch thông qua trình duyệt khối. Trình duyệt thường sẽ tự động giải mã dữ liệu thập lục phân OP_RETURN trở lại ASCII, ví dụ:

Trong một sự cố bảo mật, một số kẻ tấn công sẽ để lại tin nhắn OP_RETURN trên chuỗi để thể hiện ý định trả lại tiền cho bên dự án hoặc bên dự án và nhóm mũ trắng cũng sẽ sử dụng phương pháp này để nói chuyện với kẻ tấn công nhằm thiết lập liên lạc. Ngoài việc được sử dụng trong các tình huống đàm phán, OP_RETURN còn được sử dụng cho các hoạt động "đánh dấu". Ví dụ, Chainalysis đã từng tiết lộ rằng vào đêm trước khi chiến tranh Nga-Ukraine nổ ra vào năm 2022, một người dùng Bitcoin không xác định đã sử dụng chuỗi OP_RETURN để để lại tin nhắn và đánh dấu gần 1.000 địa chỉ bị nghi ngờ có liên quan đến bộ phận an ninh Nga. Các tin nhắn được viết bằng tiếng Nga chỉ ra trực tiếp rằng các địa chỉ này có thể liên quan đến các cuộc tấn công mạng hoặc hoạt động gián điệp:

• "GRU gửi SVR. Được sử dụng để tấn công!"

• "GRU gửi GRU. Được sử dụng để tấn công!"

• "GRU gửi FSB. Được sử dụng để tấn công!"

• "Giúp Ukraine bằng tiền từ GRU Khakir"

• " style="text-align:center">

  (https://mempool.space/address/1CMugHhsSf8Bzrp142BpvUynWBR1RiqMCk)

  Khi người dùng này đưa ra những cảnh báo này, anh ta không chỉ để lại tin nhắn mà còn hợp tác đốt một lượng lớn bitcoin. Do bản chất của đầu ra OP_RETURN, bất kỳ Bitcoin nào được gửi đến giao dịch như vậy sẽ bị đốt cháy và không thể chi tiêu. Theo thống kê, người dùng này đã đốt hơn 300.000 đô la Bitcoin trong chuỗi hoạt động này.

  Tóm tắt

  Các tin nhắn trên chuỗi, đặc biệt là OP_RETURN trong mạng Bitcoin, cung cấp phương thức giao tiếp ẩn danh, công khai và không thể thay đổi, được sử dụng rộng rãi trong liên hệ ban đầu và truyền thông tin về việc khôi phục tiền. Tuy nhiên, cần lưu ý rằng tin nhắn trên chuỗi cũng có thể được kẻ tấn công sử dụng để hướng dẫn nạn nhân truy cập vào các liên kết độc hại hoặc thực hiện các hoạt động rủi ro (chẳng hạn như nhập khóa riêng để giải mã, v.v.), vì vậy hãy đảm bảo luôn cảnh giác và tránh xem và xử lý thông tin đáng ngờ trên các thiết bị không đáng tin cậy. Khi gặp sự cố bảo mật, bạn nên liên hệ với nhóm bảo mật chuyên nghiệp càng sớm càng tốt để được hỗ trợ phân tích và tăng tỷ lệ thu hồi tiền thành công. Đồng thời, người dùng và các bên tham gia dự án nên tiếp tục tăng cường nhận thức về bảo mật để tránh trở thành mục tiêu tấn công.