Tổng hợp 10 sự kiện an ninh trong lĩnh vực Web3 năm 2024
Năm 2024, ngành công nghiệp blockchain không chỉ đối mặt với những thách thức an ninh ngày càng nghiêm trọng mà còn có những đổi mới công nghệ và mở rộng hệ sinh thái. Theo dữ liệu từ nền tảng giám sát an ninh, tính đến cuối năm, tổng thiệt hại trong lĩnh vực Web3 do tấn công của hacker, lừa đảo qua phishing và các dự án bỏ trốn lên tới 2,491 triệu USD.
Những sự kiện này không chỉ phơi bày những thiếu sót kỹ thuật như quản lý khóa riêng, lỗ hổng hợp đồng thông minh, mà còn làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ điểm lại mười sự kiện an ninh hàng đầu trong Web3 năm 2024, nhằm giúp ngành học hỏi kinh nghiệm, ứng phó tốt hơn với các mối đe dọa an ninh trong tương lai.
1. Sự kiện DMM Bitcoin
Số tiền lỗ: 304 triệu USD
Cách tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp phải một cuộc tấn công lớn. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin và nhanh chóng phân tán số tiền bị đánh cắp tới hơn 10 địa chỉ khác nhau. Sự kiện này đã phơi bày những lỗ hổng nghiêm trọng trong quản lý khóa riêng và bảo mật đa lớp của sàn giao dịch. Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng tài sản, nhưng do Bitcoin bị đánh cắp đã bị phân tán và sử dụng công cụ trộn tiền để rửa, công việc truy tìm đang đối mặt với nhiều thách thức lớn.
Vào cuối năm, cảnh sát Nhật Bản xác nhận rằng vụ trộm này được tổ chức bởi một nhóm hacker của Triều Tiên.
2. PlayDapp bị tổn thất nặng nề
Số tiền lỗ: 290 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã遭 phải một cú sốc lớn. Hacker đã đánh cắp khóa riêng và đúc 2 tỷ token PLA, có giá trị ban đầu là 36,5 triệu đô la. Do phía dự án không thành công trong việc thương lượng với hacker, hacker sau đó đã đúc thêm 15,9 tỷ token PLA, có giá trị 253,9 triệu đô la. Một phần token bị đánh cắp đã được đưa vào sàn giao dịch, sau đó PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng token PDA mới. Sự kiện này làm nổi bật những thiếu sót trong việc bảo vệ khóa riêng và phản ứng khẩn cấp của các dự án blockchain.
3. Ví đa chữ ký WazirX bị tấn công
Số tiền thiệt hại: 235 triệu USD
Hình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ WazirX đã bị tấn công chính xác. Kẻ tấn công đã sử dụng phương pháp kỹ thuật xã hội để dụ dỗ người ký đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển giao toàn bộ tài sản trong ví. Vụ việc này đã hé lộ những rủi ro tiềm ẩn của ví đa chữ ký trong việc quản lý quyền hạn và tính minh bạch trong hoạt động, đồng thời khơi dậy sự suy ngẫm sâu sắc trong ngành về cơ chế kiểm soát rủi ro nội bộ của dự án.
4. Lỗ hổng hợp đồng Gala Games đã bị khai thác
Số tiền thua lỗ: 216 triệu đô la Mỹ
Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint của hợp đồng token để đúc một lần 5 tỷ GALA token. Sau đó, hacker đã đổi từng phần của số token phát hành thêm thành ETH, dẫn đến thiệt hại trực tiếp là 216 triệu USD. Đội ngũ Gala Games đã khẩn trương kích hoạt tính năng danh sách đen để chặn một số tài khoản của hacker và đã thông qua các biện pháp pháp lý để thu hồi một phần thiệt hại.
5. Đồng sáng lập Ripple bị tấn công bởi hacker
Số tiền mất mát: 112 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị tin tặc tấn công, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ kép bằng thiết bị phần cứng. Sau sự cố, một sàn giao dịch đã thành công trong việc đóng băng 4,2 triệu USD XRP và hỗ trợ truy tìm tài sản bị đánh cắp, nhưng phần lớn số tiền đã bị rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables gặp phải sự xâm nhập nội bộ
Số tiền thiệt hại: 62,5 triệu USD
Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng game Web3 Munchables dựa trên Blast đã trải qua một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công đã ngụy trang thành nhà phát triển blockchain, thông qua việc ẩn nấp lâu dài để lấy được mã nguồn và khóa nhạy cảm. Mặc dù gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã hoàn trả tất cả số tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển của bên thứ ba.
7. Sự cố rò rỉ khóa riêng BtcTurk
Số tiền tổn thất: 55 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất của Thổ Nhĩ Kỳ, BtcTurk, đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Nhờ sự hỗ trợ của một nền tảng giao dịch, 5,3 triệu USD tài sản bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng lo ngại của thị trường về việc quản lý khóa riêng tại các sàn giao dịch tập trung.
8. Ví đa chữ ký của Radiant Capital bị tấn công
Số tiền thiệt hại: 53 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị hacker xâm nhập. Do sử dụng chế độ xác thực ký 3/11 với rào cản thấp, hacker đã nắm giữ khóa riêng của 3 người ký và thực hiện ký ngoài chuỗi, chuyển quyền sở hữu hợp đồng ví đến địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gây ra sự suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng, Radiant Capital đã mất 4,5 triệu USD và hơn 1900 ETH do lỗ hổng hợp đồng trước cuộc tấn công này. Điều này một lần nữa nhấn mạnh rằng các dự án Web3 vẫn cần cải thiện mức độ chú trọng đến an ninh.
9. Lỗ hổng hợp đồng của Hedgey Finance bị khai thác
Số tiền mất mát: 44,7 triệu đô la Mỹ
Phương thức tấn công: Lỗi hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút ra token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44,7 triệu USD. Sự kiện này nhấn mạnh tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt token.
10. Ví nóng của sàn giao dịch BingX bị xâm nhập
Số tiền lỗ: 44.7 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, ví nóng của sàn giao dịch BingX đã bị tin tặc tấn công, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển đổi tài sản và đóng băng rút tiền, tin tặc vẫn thành công rút được tài sản trị giá 44,7 triệu đô la. Cuộc tấn công lần này lại làm nổi bật sự rủi ro cao trong quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành khám phá những giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện an ninh thường xuyên xảy ra trong năm 2024 một lần nữa cảnh báo chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo đảm an ninh. Từ việc lộ khóa riêng đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến việc nâng cấp phương thức tấn công từ bên ngoài, mỗi sự kiện đều mang lại bài học sâu sắc. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và kiểm soát rủi ro. Trong tương lai, chúng tôi mong đợi thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Tổng quan về an ninh Web3 năm 2024: Mười sự kiện gây thiệt hại gần 2,5 tỷ đô la
Tổng hợp 10 sự kiện an ninh trong lĩnh vực Web3 năm 2024
Năm 2024, ngành công nghiệp blockchain không chỉ đối mặt với những thách thức an ninh ngày càng nghiêm trọng mà còn có những đổi mới công nghệ và mở rộng hệ sinh thái. Theo dữ liệu từ nền tảng giám sát an ninh, tính đến cuối năm, tổng thiệt hại trong lĩnh vực Web3 do tấn công của hacker, lừa đảo qua phishing và các dự án bỏ trốn lên tới 2,491 triệu USD.
Những sự kiện này không chỉ phơi bày những thiếu sót kỹ thuật như quản lý khóa riêng, lỗ hổng hợp đồng thông minh, mà còn làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ điểm lại mười sự kiện an ninh hàng đầu trong Web3 năm 2024, nhằm giúp ngành học hỏi kinh nghiệm, ứng phó tốt hơn với các mối đe dọa an ninh trong tương lai.
1. Sự kiện DMM Bitcoin
Số tiền lỗ: 304 triệu USD Cách tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp phải một cuộc tấn công lớn. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin và nhanh chóng phân tán số tiền bị đánh cắp tới hơn 10 địa chỉ khác nhau. Sự kiện này đã phơi bày những lỗ hổng nghiêm trọng trong quản lý khóa riêng và bảo mật đa lớp của sàn giao dịch. Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng tài sản, nhưng do Bitcoin bị đánh cắp đã bị phân tán và sử dụng công cụ trộn tiền để rửa, công việc truy tìm đang đối mặt với nhiều thách thức lớn.
Vào cuối năm, cảnh sát Nhật Bản xác nhận rằng vụ trộm này được tổ chức bởi một nhóm hacker của Triều Tiên.
2. PlayDapp bị tổn thất nặng nề
Số tiền lỗ: 290 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã遭 phải một cú sốc lớn. Hacker đã đánh cắp khóa riêng và đúc 2 tỷ token PLA, có giá trị ban đầu là 36,5 triệu đô la. Do phía dự án không thành công trong việc thương lượng với hacker, hacker sau đó đã đúc thêm 15,9 tỷ token PLA, có giá trị 253,9 triệu đô la. Một phần token bị đánh cắp đã được đưa vào sàn giao dịch, sau đó PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng token PDA mới. Sự kiện này làm nổi bật những thiếu sót trong việc bảo vệ khóa riêng và phản ứng khẩn cấp của các dự án blockchain.
3. Ví đa chữ ký WazirX bị tấn công
Số tiền thiệt hại: 235 triệu USD Hình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ WazirX đã bị tấn công chính xác. Kẻ tấn công đã sử dụng phương pháp kỹ thuật xã hội để dụ dỗ người ký đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển giao toàn bộ tài sản trong ví. Vụ việc này đã hé lộ những rủi ro tiềm ẩn của ví đa chữ ký trong việc quản lý quyền hạn và tính minh bạch trong hoạt động, đồng thời khơi dậy sự suy ngẫm sâu sắc trong ngành về cơ chế kiểm soát rủi ro nội bộ của dự án.
4. Lỗ hổng hợp đồng Gala Games đã bị khai thác
Số tiền thua lỗ: 216 triệu đô la Mỹ Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint của hợp đồng token để đúc một lần 5 tỷ GALA token. Sau đó, hacker đã đổi từng phần của số token phát hành thêm thành ETH, dẫn đến thiệt hại trực tiếp là 216 triệu USD. Đội ngũ Gala Games đã khẩn trương kích hoạt tính năng danh sách đen để chặn một số tài khoản của hacker và đã thông qua các biện pháp pháp lý để thu hồi một phần thiệt hại.
5. Đồng sáng lập Ripple bị tấn công bởi hacker
Số tiền mất mát: 112 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị tin tặc tấn công, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ kép bằng thiết bị phần cứng. Sau sự cố, một sàn giao dịch đã thành công trong việc đóng băng 4,2 triệu USD XRP và hỗ trợ truy tìm tài sản bị đánh cắp, nhưng phần lớn số tiền đã bị rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables gặp phải sự xâm nhập nội bộ
Số tiền thiệt hại: 62,5 triệu USD Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng game Web3 Munchables dựa trên Blast đã trải qua một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công đã ngụy trang thành nhà phát triển blockchain, thông qua việc ẩn nấp lâu dài để lấy được mã nguồn và khóa nhạy cảm. Mặc dù gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã hoàn trả tất cả số tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển của bên thứ ba.
7. Sự cố rò rỉ khóa riêng BtcTurk
Số tiền tổn thất: 55 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất của Thổ Nhĩ Kỳ, BtcTurk, đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Nhờ sự hỗ trợ của một nền tảng giao dịch, 5,3 triệu USD tài sản bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng lo ngại của thị trường về việc quản lý khóa riêng tại các sàn giao dịch tập trung.
8. Ví đa chữ ký của Radiant Capital bị tấn công
Số tiền thiệt hại: 53 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị hacker xâm nhập. Do sử dụng chế độ xác thực ký 3/11 với rào cản thấp, hacker đã nắm giữ khóa riêng của 3 người ký và thực hiện ký ngoài chuỗi, chuyển quyền sở hữu hợp đồng ví đến địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gây ra sự suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng, Radiant Capital đã mất 4,5 triệu USD và hơn 1900 ETH do lỗ hổng hợp đồng trước cuộc tấn công này. Điều này một lần nữa nhấn mạnh rằng các dự án Web3 vẫn cần cải thiện mức độ chú trọng đến an ninh.
9. Lỗ hổng hợp đồng của Hedgey Finance bị khai thác
Số tiền mất mát: 44,7 triệu đô la Mỹ Phương thức tấn công: Lỗi hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút ra token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44,7 triệu USD. Sự kiện này nhấn mạnh tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt token.
10. Ví nóng của sàn giao dịch BingX bị xâm nhập
Số tiền lỗ: 44.7 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, ví nóng của sàn giao dịch BingX đã bị tin tặc tấn công, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển đổi tài sản và đóng băng rút tiền, tin tặc vẫn thành công rút được tài sản trị giá 44,7 triệu đô la. Cuộc tấn công lần này lại làm nổi bật sự rủi ro cao trong quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành khám phá những giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện an ninh thường xuyên xảy ra trong năm 2024 một lần nữa cảnh báo chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo đảm an ninh. Từ việc lộ khóa riêng đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến việc nâng cấp phương thức tấn công từ bên ngoài, mỗi sự kiện đều mang lại bài học sâu sắc. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và kiểm soát rủi ro. Trong tương lai, chúng tôi mong đợi thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.