Điểm lại 10 sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024
Năm 2024, ngành Web3 trong khi phát triển đổi mới cũng đang đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo giám sát từ nền tảng dữ liệu, tính đến hiện tại, tổng tổn thất trong lĩnh vực Web3 năm 2024 do các cuộc tấn công của hacker, lừa đảo và nhà phát triển bỏ trốn đã lên tới 2,491 triệu đô la.
Những sự kiện này không chỉ phơi bày các lỗ hổng về quản lý khóa riêng, hợp đồng thông minh và các vấn đề kỹ thuật khác, mà còn làm nổi bật những rủi ro tiềm ẩn trong kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ điểm qua mười sự kiện an ninh hàng đầu của Web3 vào năm 2024, nhằm cung cấp tài liệu tham khảo cho ngành công nghiệp, giúp ứng phó tốt hơn với các mối đe dọa an ninh trong tương lai.
1. Sự kiện DMM Bitcoin
Số tiền tổn thất: 3.04 triệu USD
Hình thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp phải một cuộc tấn công lớn. Tin tặc đã sử dụng khóa riêng bị rò rỉ để trực tiếp chuyển hơn 300 triệu đô la Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến hơn 10 địa chỉ khác nhau. Sự cố này đã phơi bày những thiếu sót nghiêm trọng trong quản lý khóa riêng và bảo vệ an ninh đa lớp của sàn giao dịch này.
Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng quỹ, nhưng bitcoin bị đánh cắp đã được chuyển giao phân tán và được rửa bằng công cụ trộn, làm tăng đáng kể độ khó trong việc theo dõi. Vào ngày 24 tháng 12, cảnh sát Nhật Bản xác nhận sự kiện này do tổ chức hacker Bắc Triều Tiên Lazarus Group thực hiện.
2. Sự kiện tấn công PlayDapp
Số tiền mất mát: 2.90 triệu đô la Mỹ Phương thức tấn công: Rò rỉ khóa bí mật
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã bị tổn thất nặng nề. Hacker đã tạo ra 2 tỷ đồng PLA bằng cách đánh cắp khóa riêng, với giá trị ban đầu là 36,5 triệu USD. Do phía dự án không đạt được thỏa thuận với hacker, hacker đã tiếp tục tạo ra 15,9 tỷ đồng PLA, có giá trị 253,9 triệu USD. Một phần đồng tiền đã được đưa vào các nền tảng giao dịch, PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng đồng PDA. Sự kiện này đã làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý tình huống khẩn cấp.
3. Ví đa chữ ký WazirX bị tấn công
Số tiền mất mát: 2.35 triệu đô la Mỹ
Hình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ WazirX đã bị tấn công chính xác. Kẻ tấn công đã sử dụng kỹ thuật kỹ thuật xã hội để lừa đảo người ký đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó đã lợi dụng quyền hạn của hợp đồng đã nâng cấp để chuyển toàn bộ tài sản trong ví. Vụ việc này đã tiết lộ những rủi ro tiềm ẩn về cấu hình quyền hạn và tính minh bạch trong hoạt động của ví đa chữ ký, cũng đã khiến ngành công nghiệp phải suy nghĩ sâu sắc về cơ chế kiểm soát rủi ro và an ninh nội bộ của dự án.
4. Sự kiện phát hành thêm token Gala Games
Số tiền tổn thất: 2.16 triệu USD
Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint của hợp đồng token, một lần đã đúc ra 5 tỷ token GALA. Sau đó, hacker đã đổi những token này thành ETH theo từng đợt, gây ra thiệt hại trực tiếp lên đến 216 triệu USD. Nhóm Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã thu hồi thiệt hại thông qua các biện pháp pháp lý.
5. Ví cá nhân của đồng sáng lập Ripple bị đánh cắp
Số tiền thua lỗ: 1.12 triệu đô la Mỹ Phương thức tấn công: Rò rỉ khóa bí mật
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị tin tặc tấn công, dẫn đến việc 112 triệu đô la Mỹ XRP bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ kép từ thiết bị phần cứng. Sau sự kiện, một sàn giao dịch đã thành công trong việc đóng băng 4,2 triệu đô la Mỹ XRP và hỗ trợ Larsen truy tìm tài sản bị đánh cắp, nhưng phần lớn tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn tiền.
6. Tấn công thâm nhập nội bộ Munchables
Số tiền thua lỗ: 62,5 triệu đô la Mỹ
Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast có tên Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm gặp. Kẻ tấn công là một hacker Bắc Triều Tiên giả dạng nhà phát triển blockchain, đã thu thập được mã nguồn và khóa nhạy cảm thông qua việc hoạt động ngầm trong một thời gian dài. Dù gây ra tổn thất lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, kẻ tấn công cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này đã làm sáng tỏ tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển của bên thứ ba.
7. Sự cố rò rỉ khóa riêng BtcTurk
Số tiền lỗ: 55 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất của Thổ Nhĩ Kỳ BtcTurk đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Nhờ sự hỗ trợ của một nền tảng giao dịch, 5,3 triệu USD tiền bị đánh cắp đã được phong tỏa thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm sâu sắc thêm mối lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa chữ ký Radiant Capital bị tấn công
Số tiền thiệt hại: 53 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị tin tặc tấn công. Do áp dụng mô hình xác thực chữ ký 3/11 với ngưỡng thấp, tin tặc đã nắm giữ khóa riêng của 3 người ký để thực hiện chữ ký ngoài chuỗi, chuyển quyền sở hữu hợp đồng ví đến địa chỉ độc hại, cuối cùng dẫn đến việc bị đánh cắp 53 triệu đô la. Cuộc tấn công này đã gây ra sự phản ánh trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng, Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước khi cuộc tấn công này xảy ra, với hơn 1900 ETH bị đánh cắp. Điều này phản ánh rằng mức độ chú trọng đến an toàn của các dự án Web3 vẫn cần được cải thiện.
9. Tấn công lỗ hổng hợp đồng của Hedgey Finance
Số tiền lỗ: 44,7 triệu đô la
Phương thức tấn công: Lỗ hổng hợp đồng
Ngày 19 tháng 4 năm 2024, Hedgey Finance đã遭遇 một cuộc tấn công nhắm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44,7 triệu đô la. Sự kiện này làm nổi bật tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh chặt chẽ logic phê duyệt token.
10. Ví nóng của sàn giao dịch BingX bị xâm nhập
Số tiền lỗ: 44 triệu 700 nghìn USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, ví nóng của sàn giao dịch BingX đã bị hacker tấn công, liên quan đến nhiều blockchain công cộng như Ethereum, BNB Chain và Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, hacker vẫn thành công rút ra tài sản trị giá 44,7 triệu USD. Cuộc tấn công này phản ánh sự rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành công nghiệp khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện tấn công an ninh gia tăng trong năm 2024, lại một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự đảm bảo an ninh. Từ việc lộ khóa riêng đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến việc nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại bài học sâu sắc. Để ứng phó với các mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi hy vọng rằng thông qua sự hợp tác trong ngành và đổi mới công nghệ, chúng ta có thể cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự đảm bảo đáng tin cậy hơn cho người dùng và nhà đầu tư.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Sự cố an ninh Web3 năm 2024 gây thiệt hại gần 2,5 tỷ USD, khóa riêng bị rò rỉ là nguyên nhân chính.
Điểm lại 10 sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024
Năm 2024, ngành Web3 trong khi phát triển đổi mới cũng đang đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo giám sát từ nền tảng dữ liệu, tính đến hiện tại, tổng tổn thất trong lĩnh vực Web3 năm 2024 do các cuộc tấn công của hacker, lừa đảo và nhà phát triển bỏ trốn đã lên tới 2,491 triệu đô la.
Những sự kiện này không chỉ phơi bày các lỗ hổng về quản lý khóa riêng, hợp đồng thông minh và các vấn đề kỹ thuật khác, mà còn làm nổi bật những rủi ro tiềm ẩn trong kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ điểm qua mười sự kiện an ninh hàng đầu của Web3 vào năm 2024, nhằm cung cấp tài liệu tham khảo cho ngành công nghiệp, giúp ứng phó tốt hơn với các mối đe dọa an ninh trong tương lai.
1. Sự kiện DMM Bitcoin
Số tiền tổn thất: 3.04 triệu USD Hình thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp phải một cuộc tấn công lớn. Tin tặc đã sử dụng khóa riêng bị rò rỉ để trực tiếp chuyển hơn 300 triệu đô la Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến hơn 10 địa chỉ khác nhau. Sự cố này đã phơi bày những thiếu sót nghiêm trọng trong quản lý khóa riêng và bảo vệ an ninh đa lớp của sàn giao dịch này.
Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng quỹ, nhưng bitcoin bị đánh cắp đã được chuyển giao phân tán và được rửa bằng công cụ trộn, làm tăng đáng kể độ khó trong việc theo dõi. Vào ngày 24 tháng 12, cảnh sát Nhật Bản xác nhận sự kiện này do tổ chức hacker Bắc Triều Tiên Lazarus Group thực hiện.
2. Sự kiện tấn công PlayDapp
Số tiền mất mát: 2.90 triệu đô la Mỹ
Phương thức tấn công: Rò rỉ khóa bí mật
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã bị tổn thất nặng nề. Hacker đã tạo ra 2 tỷ đồng PLA bằng cách đánh cắp khóa riêng, với giá trị ban đầu là 36,5 triệu USD. Do phía dự án không đạt được thỏa thuận với hacker, hacker đã tiếp tục tạo ra 15,9 tỷ đồng PLA, có giá trị 253,9 triệu USD. Một phần đồng tiền đã được đưa vào các nền tảng giao dịch, PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng đồng PDA. Sự kiện này đã làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý tình huống khẩn cấp.
3. Ví đa chữ ký WazirX bị tấn công
Số tiền mất mát: 2.35 triệu đô la Mỹ Hình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ WazirX đã bị tấn công chính xác. Kẻ tấn công đã sử dụng kỹ thuật kỹ thuật xã hội để lừa đảo người ký đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó đã lợi dụng quyền hạn của hợp đồng đã nâng cấp để chuyển toàn bộ tài sản trong ví. Vụ việc này đã tiết lộ những rủi ro tiềm ẩn về cấu hình quyền hạn và tính minh bạch trong hoạt động của ví đa chữ ký, cũng đã khiến ngành công nghiệp phải suy nghĩ sâu sắc về cơ chế kiểm soát rủi ro và an ninh nội bộ của dự án.
4. Sự kiện phát hành thêm token Gala Games
Số tiền tổn thất: 2.16 triệu USD Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint của hợp đồng token, một lần đã đúc ra 5 tỷ token GALA. Sau đó, hacker đã đổi những token này thành ETH theo từng đợt, gây ra thiệt hại trực tiếp lên đến 216 triệu USD. Nhóm Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã thu hồi thiệt hại thông qua các biện pháp pháp lý.
5. Ví cá nhân của đồng sáng lập Ripple bị đánh cắp
Số tiền thua lỗ: 1.12 triệu đô la Mỹ
Phương thức tấn công: Rò rỉ khóa bí mật
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị tin tặc tấn công, dẫn đến việc 112 triệu đô la Mỹ XRP bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ kép từ thiết bị phần cứng. Sau sự kiện, một sàn giao dịch đã thành công trong việc đóng băng 4,2 triệu đô la Mỹ XRP và hỗ trợ Larsen truy tìm tài sản bị đánh cắp, nhưng phần lớn tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn tiền.
6. Tấn công thâm nhập nội bộ Munchables
Số tiền thua lỗ: 62,5 triệu đô la Mỹ Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast có tên Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm gặp. Kẻ tấn công là một hacker Bắc Triều Tiên giả dạng nhà phát triển blockchain, đã thu thập được mã nguồn và khóa nhạy cảm thông qua việc hoạt động ngầm trong một thời gian dài. Dù gây ra tổn thất lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, kẻ tấn công cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này đã làm sáng tỏ tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển của bên thứ ba.
7. Sự cố rò rỉ khóa riêng BtcTurk
Số tiền lỗ: 55 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất của Thổ Nhĩ Kỳ BtcTurk đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Nhờ sự hỗ trợ của một nền tảng giao dịch, 5,3 triệu USD tiền bị đánh cắp đã được phong tỏa thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm sâu sắc thêm mối lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa chữ ký Radiant Capital bị tấn công
Số tiền thiệt hại: 53 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị tin tặc tấn công. Do áp dụng mô hình xác thực chữ ký 3/11 với ngưỡng thấp, tin tặc đã nắm giữ khóa riêng của 3 người ký để thực hiện chữ ký ngoài chuỗi, chuyển quyền sở hữu hợp đồng ví đến địa chỉ độc hại, cuối cùng dẫn đến việc bị đánh cắp 53 triệu đô la. Cuộc tấn công này đã gây ra sự phản ánh trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng, Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước khi cuộc tấn công này xảy ra, với hơn 1900 ETH bị đánh cắp. Điều này phản ánh rằng mức độ chú trọng đến an toàn của các dự án Web3 vẫn cần được cải thiện.
9. Tấn công lỗ hổng hợp đồng của Hedgey Finance
Số tiền lỗ: 44,7 triệu đô la Phương thức tấn công: Lỗ hổng hợp đồng
Ngày 19 tháng 4 năm 2024, Hedgey Finance đã遭遇 một cuộc tấn công nhắm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44,7 triệu đô la. Sự kiện này làm nổi bật tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh chặt chẽ logic phê duyệt token.
10. Ví nóng của sàn giao dịch BingX bị xâm nhập
Số tiền lỗ: 44 triệu 700 nghìn USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, ví nóng của sàn giao dịch BingX đã bị hacker tấn công, liên quan đến nhiều blockchain công cộng như Ethereum, BNB Chain và Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, hacker vẫn thành công rút ra tài sản trị giá 44,7 triệu USD. Cuộc tấn công này phản ánh sự rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành công nghiệp khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện tấn công an ninh gia tăng trong năm 2024, lại một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự đảm bảo an ninh. Từ việc lộ khóa riêng đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến việc nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại bài học sâu sắc. Để ứng phó với các mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi hy vọng rằng thông qua sự hợp tác trong ngành và đổi mới công nghệ, chúng ta có thể cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự đảm bảo đáng tin cậy hơn cho người dùng và nhà đầu tư.