Năm 2024, ngành Web3 vừa phát triển đổi mới vừa đối mặt với những thách thức bảo mật nghiêm trọng. Theo thống kê, tổng thiệt hại do các cuộc tấn công mạng, lừa đảo và các dự án biến mất năm nay lên tới 2,491 triệu đô la. Những sự kiện này đã phơi bày những thiếu sót kỹ thuật trong việc quản lý khóa riêng, hợp đồng thông minh, đồng thời cũng làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ xem xét mười sự kiện an ninh có ảnh hưởng nhất trong lĩnh vực Web3 năm 2024, nhằm rút ra bài học để ứng phó tốt hơn với những mối đe dọa an ninh trong tương lai.
1. Sự kiện DMM Bitcoin
Số tiền tổn thất: 304 triệu đô la MỹPhương thức tấn công: Lộ khóa riêng
Ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng Nhật Bản DMM Bitcoin đã bị tấn công nghiêm trọng. Tin tặc đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin và nhanh chóng phân tán số tiền bị đánh cắp đến nhiều địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng trong quản lý khóa riêng và bảo mật đa lớp của sàn giao dịch. Mặc dù sàn giao dịch đã cố gắng theo dõi tin tặc thông qua việc giám sát trên chuỗi và đóng băng tài sản, nhưng do tiền bị phân tán và đã được làm sạch qua công cụ trộn tiền, công việc theo dõi gặp rất nhiều thách thức.
Vào cuối năm, cảnh sát Nhật Bản xác nhận cuộc tấn công này được thực hiện bởi tổ chức hacker Bắc Triều Tiên Lazarus Group.
2. PlayDapp bị tấn công
Số tiền mất mát: 290 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Ngày 9 tháng 2 năm 2024, PlayDapp đã chịu tổn thất nặng nề. Tin tặc đã đánh cắp khóa riêng và đúc ra 2 tỷ token PLA, có giá trị ban đầu là 36,5 triệu đô la. Do việc đàm phán thất bại với tin tặc, họ đã tiếp tục đúc thêm 15,9 tỷ token PLA, có giá trị 253,9 triệu đô la. Sau khi một phần token được đưa vào sàn giao dịch, PlayDapp buộc phải tạm ngừng hợp đồng PLA và chuyển sang hợp đồng token PDA mới. Sự kiện này đã làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý tình huống khẩn cấp.
3. Ví đa chữ ký của một sàn giao dịch Ấn Độ bị tấn công
Số tiền tổn thất: 235 triệu USDPhương thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, một sàn giao dịch tiền mã hóa lớn ở Ấn Độ đã bị tấn công chính xác vào ví đa ký Safe Wallet. Kẻ tấn công đã lừa đảo các người ký đa ký thông qua các phương pháp kỹ thuật xã hội để ký một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví. Vụ việc này đã làm nổi bật những rủi ro tiềm ẩn về cấu hình quyền hạn và tính minh bạch trong vận hành của ví đa ký, gây ra một cuộc suy ngẫm sâu sắc trong ngành về cơ chế kiểm soát rủi ro và an ninh nội bộ của các dự án.
4. Gala Games gặp phải tấn công phát hành mã thông báo
Số tiền lỗ: 216 triệu USDPhương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint của hợp đồng token và một lần đã đúc ra 5 tỷ GALA token. Sau đó, các token này đã được đổi thành ETH theo từng đợt, gây ra thiệt hại trực tiếp 216 triệu USD. Nhóm Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã thu hồi một phần tổn thất thông qua các biện pháp pháp lý.
5. Ví cá nhân của một nhà sáng lập tiền điện tử nổi tiếng đã bị đánh cắp
Số tiền lỗ: 112 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của một trong những người đồng sáng lập của một dự án tiền điện tử nổi tiếng đã bị tin tặc tấn công, dẫn đến việc 112 triệu đô la tiền điện tử bị đánh cắp. Những ví này đã trở thành mục tiêu tấn công do thiếu bảo vệ kép bằng thiết bị phần cứng. Sau sự kiện, một sàn giao dịch lớn đã thành công trong việc đóng băng tài sản bị đánh cắp trị giá 4,2 triệu đô la và hỗ trợ theo dõi, nhưng phần lớn tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn tiền.
6. Munchables gặp phải sự thâm nhập nội bộ
Số tiền tổn thất: 62,5 triệu đô la MỹPhương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast có tên Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công đã giả mạo thành lập trình viên blockchain, thông qua việc ẩn mình trong thời gian dài để lấy được mã nguồn và khóa nhạy cảm. Dù gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt đối với các dự án blockchain phụ thuộc vào phát triển từ bên thứ ba.
7. Một sàn giao dịch của Thổ Nhĩ Kỳ gặp phải sự rò rỉ khóa riêng
Số tiền thua lỗ: 55 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, một sàn giao dịch tiền điện tử lớn ở Thổ Nhĩ Kỳ đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu đô la Mỹ tài sản tiền điện tử. Với sự hỗ trợ từ các sàn giao dịch khác, 5,3 triệu đô la Mỹ tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa chữ ký Radiant Capital bị tấn công
Số tiền tổn thất: 53 triệu đô la MỹPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị hacker tấn công. Do áp dụng mô hình xác minh chữ ký với mức thấp 3/11, hacker đã thông qua việc nắm giữ khóa riêng của 3 người ký để thực hiện chữ ký ngoại tuyến, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gây ra sự phản ánh trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng, Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước khi cuộc tấn công này xảy ra, với hơn 1900 ETH bị đánh cắp. Điều này một lần nữa nhấn mạnh tầm quan trọng của việc các dự án Web3 nâng cao nhận thức về an ninh.
9. Hedgey Finance gặp phải lỗ hổng hợp đồng tấn công
Số tiền lỗ: 44,7 triệu USDPhương thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhắm vào nhiều hợp đồng trên chuỗi. Kẻ tấn công đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút ra các token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44,7 triệu USD. Sự kiện này nhấn mạnh tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt token.
10. Ví nóng của một sàn giao dịch bị xâm nhập
Số tiền lỗ: 44,7 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, một sàn giao dịch tiền điện tử đã bị tin tặc xâm nhập vào ví nóng, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển nhượng tài sản và đóng băng rút tiền, nhưng tin tặc đã thành công trong việc rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công này phản ánh tính rủi ro cao trong quản lý ví nóng của sàn giao dịch tập trung, và thúc đẩy ngành công nghiệp khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện an ninh xảy ra thường xuyên vào năm 2024 lại một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi bảo đảm an ninh. Từ việc rò rỉ khóa riêng tư đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến sự nâng cấp của các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại bài học sâu sắc. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy chuẩn quản lý và kiểm soát rủi ro. Trong tương lai, chúng tôi hy vọng rằng thông qua hợp tác ngành và đổi mới công nghệ, chúng ta sẽ cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Cảnh báo an ninh Web3: Mười sự kiện hàng đầu năm 2024 gây thiệt hại gần 2,5 tỷ đô la
Tổng hợp 10 sự kiện an ninh Web3 năm 2024
Năm 2024, ngành Web3 vừa phát triển đổi mới vừa đối mặt với những thách thức bảo mật nghiêm trọng. Theo thống kê, tổng thiệt hại do các cuộc tấn công mạng, lừa đảo và các dự án biến mất năm nay lên tới 2,491 triệu đô la. Những sự kiện này đã phơi bày những thiếu sót kỹ thuật trong việc quản lý khóa riêng, hợp đồng thông minh, đồng thời cũng làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ xem xét mười sự kiện an ninh có ảnh hưởng nhất trong lĩnh vực Web3 năm 2024, nhằm rút ra bài học để ứng phó tốt hơn với những mối đe dọa an ninh trong tương lai.
1. Sự kiện DMM Bitcoin
Số tiền tổn thất: 304 triệu đô la Mỹ Phương thức tấn công: Lộ khóa riêng
Ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng Nhật Bản DMM Bitcoin đã bị tấn công nghiêm trọng. Tin tặc đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin và nhanh chóng phân tán số tiền bị đánh cắp đến nhiều địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng trong quản lý khóa riêng và bảo mật đa lớp của sàn giao dịch. Mặc dù sàn giao dịch đã cố gắng theo dõi tin tặc thông qua việc giám sát trên chuỗi và đóng băng tài sản, nhưng do tiền bị phân tán và đã được làm sạch qua công cụ trộn tiền, công việc theo dõi gặp rất nhiều thách thức.
Vào cuối năm, cảnh sát Nhật Bản xác nhận cuộc tấn công này được thực hiện bởi tổ chức hacker Bắc Triều Tiên Lazarus Group.
2. PlayDapp bị tấn công
Số tiền mất mát: 290 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Ngày 9 tháng 2 năm 2024, PlayDapp đã chịu tổn thất nặng nề. Tin tặc đã đánh cắp khóa riêng và đúc ra 2 tỷ token PLA, có giá trị ban đầu là 36,5 triệu đô la. Do việc đàm phán thất bại với tin tặc, họ đã tiếp tục đúc thêm 15,9 tỷ token PLA, có giá trị 253,9 triệu đô la. Sau khi một phần token được đưa vào sàn giao dịch, PlayDapp buộc phải tạm ngừng hợp đồng PLA và chuyển sang hợp đồng token PDA mới. Sự kiện này đã làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý tình huống khẩn cấp.
3. Ví đa chữ ký của một sàn giao dịch Ấn Độ bị tấn công
Số tiền tổn thất: 235 triệu USD Phương thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, một sàn giao dịch tiền mã hóa lớn ở Ấn Độ đã bị tấn công chính xác vào ví đa ký Safe Wallet. Kẻ tấn công đã lừa đảo các người ký đa ký thông qua các phương pháp kỹ thuật xã hội để ký một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví. Vụ việc này đã làm nổi bật những rủi ro tiềm ẩn về cấu hình quyền hạn và tính minh bạch trong vận hành của ví đa ký, gây ra một cuộc suy ngẫm sâu sắc trong ngành về cơ chế kiểm soát rủi ro và an ninh nội bộ của các dự án.
4. Gala Games gặp phải tấn công phát hành mã thông báo
Số tiền lỗ: 216 triệu USD Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint của hợp đồng token và một lần đã đúc ra 5 tỷ GALA token. Sau đó, các token này đã được đổi thành ETH theo từng đợt, gây ra thiệt hại trực tiếp 216 triệu USD. Nhóm Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã thu hồi một phần tổn thất thông qua các biện pháp pháp lý.
5. Ví cá nhân của một nhà sáng lập tiền điện tử nổi tiếng đã bị đánh cắp
Số tiền lỗ: 112 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của một trong những người đồng sáng lập của một dự án tiền điện tử nổi tiếng đã bị tin tặc tấn công, dẫn đến việc 112 triệu đô la tiền điện tử bị đánh cắp. Những ví này đã trở thành mục tiêu tấn công do thiếu bảo vệ kép bằng thiết bị phần cứng. Sau sự kiện, một sàn giao dịch lớn đã thành công trong việc đóng băng tài sản bị đánh cắp trị giá 4,2 triệu đô la và hỗ trợ theo dõi, nhưng phần lớn tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn tiền.
6. Munchables gặp phải sự thâm nhập nội bộ
Số tiền tổn thất: 62,5 triệu đô la Mỹ Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast có tên Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công đã giả mạo thành lập trình viên blockchain, thông qua việc ẩn mình trong thời gian dài để lấy được mã nguồn và khóa nhạy cảm. Dù gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt đối với các dự án blockchain phụ thuộc vào phát triển từ bên thứ ba.
7. Một sàn giao dịch của Thổ Nhĩ Kỳ gặp phải sự rò rỉ khóa riêng
Số tiền thua lỗ: 55 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, một sàn giao dịch tiền điện tử lớn ở Thổ Nhĩ Kỳ đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu đô la Mỹ tài sản tiền điện tử. Với sự hỗ trợ từ các sàn giao dịch khác, 5,3 triệu đô la Mỹ tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa chữ ký Radiant Capital bị tấn công
Số tiền tổn thất: 53 triệu đô la Mỹ Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị hacker tấn công. Do áp dụng mô hình xác minh chữ ký với mức thấp 3/11, hacker đã thông qua việc nắm giữ khóa riêng của 3 người ký để thực hiện chữ ký ngoại tuyến, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gây ra sự phản ánh trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng, Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước khi cuộc tấn công này xảy ra, với hơn 1900 ETH bị đánh cắp. Điều này một lần nữa nhấn mạnh tầm quan trọng của việc các dự án Web3 nâng cao nhận thức về an ninh.
9. Hedgey Finance gặp phải lỗ hổng hợp đồng tấn công
Số tiền lỗ: 44,7 triệu USD Phương thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhắm vào nhiều hợp đồng trên chuỗi. Kẻ tấn công đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút ra các token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44,7 triệu USD. Sự kiện này nhấn mạnh tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt token.
10. Ví nóng của một sàn giao dịch bị xâm nhập
Số tiền lỗ: 44,7 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, một sàn giao dịch tiền điện tử đã bị tin tặc xâm nhập vào ví nóng, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển nhượng tài sản và đóng băng rút tiền, nhưng tin tặc đã thành công trong việc rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công này phản ánh tính rủi ro cao trong quản lý ví nóng của sàn giao dịch tập trung, và thúc đẩy ngành công nghiệp khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện an ninh xảy ra thường xuyên vào năm 2024 lại một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi bảo đảm an ninh. Từ việc rò rỉ khóa riêng tư đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến sự nâng cấp của các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại bài học sâu sắc. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy chuẩn quản lý và kiểm soát rủi ro. Trong tương lai, chúng tôi hy vọng rằng thông qua hợp tác ngành và đổi mới công nghệ, chúng ta sẽ cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.