Tổng hợp 10 sự kiện an ninh Web3 hàng đầu năm 2024
Trong năm 2024, ngành công nghiệp blockchain đối mặt với những thách thức an ninh ngày càng nghiêm trọng trong quá trình đổi mới công nghệ và mở rộng hệ sinh thái. Theo dữ liệu từ nền tảng giám sát an ninh, tính đến nay, tổng thiệt hại trong lĩnh vực Web3 năm 2024 do các cuộc tấn công của hacker, lừa đảo qua email và sự biến mất của các dự án đã lên đến 2.491 triệu USD.
Các sự kiện này không chỉ phơi bày những lỗ hổng ở cấp độ kỹ thuật như quản lý khóa riêng, hợp đồng thông minh, mà còn làm nổi bật những rủi ro tiềm ẩn từ tấn công kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ xem xét mười sự kiện an ninh có ảnh hưởng nhất trong lĩnh vực Web3 năm 2024, với hy vọng ngành có thể rút ra bài học từ đó, để ứng phó tốt hơn với các mối đe dọa an ninh trong tương lai.
1. DMM Bitcoin
Số tiền lỗ: 304 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng Nhật Bản DMM Bitcoin đã gặp phải một sự cố an ninh nghiêm trọng. Kẻ tấn công đã sử dụng khóa riêng bị rò rỉ để trực tiếp chuyển hơn 300 triệu USD Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến hơn 10 địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh đa lớp. Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng tài sản, nhưng do Bitcoin bị đánh cắp đã được phân tán và chuyển đổi nhanh chóng thông qua các công cụ trộn tiền, công việc thu hồi gặp phải nhiều thách thức lớn.
Vào ngày 24 tháng 12, cảnh sát Nhật Bản xác nhận cuộc tấn công này được tổ chức hacker Triều Tiên Lazarus Group thực hiện.
2. PlayDapp
Số tiền mất mát: 290 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã bị tấn công nặng nề. Hacker đã đánh cắp khóa riêng và đúc ra 2 tỷ token PLA, có giá trị ban đầu là 36,5 triệu USD. Do việc đàm phán với hacker thất bại, kẻ tấn công đã tiếp tục đúc thêm 15,9 tỷ token PLA trong một thời gian ngắn, có giá trị là 253,9 triệu USD. Một phần token bị đánh cắp đã chảy vào sàn giao dịch, khiến PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng token PDA mới. Sự kiện này đã làm nổi bật những thiếu sót trong việc bảo vệ khóa riêng và xử lý sự cố khẩn cấp của các dự án blockchain.
3. Một sàn giao dịch tiền điện tử Ấn Độ
Số tiền tổn thất: 235 triệu USD
Hình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác. Kẻ tấn công đã sử dụng phương pháp kỹ thuật xã hội để dụ dỗ người ký đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó tận dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví. Vụ việc này làm nổi bật những rủi ro tiềm ẩn liên quan đến việc quản lý cấu hình quyền hạn và tính minh bạch trong hoạt động của ví đa chữ ký, đồng thời đã gây ra những suy ngẫm sâu sắc trong ngành về cơ chế kiểm soát nội bộ và an ninh của dự án.
4. Gala Games
Số tiền thua lỗ: 216 triệu USD
Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng token để đúc một lần 5 tỷ GALA token. Sau đó, hacker đã đổi từng phần của các token được phát hành thêm ra ETH, gây ra thiệt hại trực tiếp lên đến 216 triệu USD. Đội ngũ Gala Games đã khẩn cấp kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã thu hồi được một phần thiệt hại thông qua các biện pháp pháp lý.
5. Ví cá nhân của đồng sáng lập Ripple bị đánh cắp
Số tiền lỗ: 1.12 triệu đô la Mỹ
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị tấn công bởi hacker, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này nghi ngờ đã trở thành mục tiêu tấn công do thiếu bảo vệ kép bằng thiết bị phần cứng. Sau sự kiện, một sàn giao dịch đã thành công trong việc đóng băng 4,2 triệu USD XRP và hỗ trợ Larsen truy tìm tài sản bị đánh cắp, nhưng phần lớn số tiền đã bị rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables
Số tiền thiệt hại: 62,5 triệu USD
Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng game Web3 dựa trên Blast là Munchables đã phải đối mặt với một cuộc tấn công thâm nhập nội bộ hiếm thấy. Kẻ tấn công là một hacker giả danh là nhà phát triển blockchain, đã thu thập được mã nguồn và khóa nhạy cảm thông qua việc ẩn nấp lâu dài. Mặc dù cuộc tấn công gây ra tổn thất lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại tất cả số tiền bị đánh cắp. Sự kiện này đã làm bật lên tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào các nhà phát triển bên thứ ba.
7. Một sàn giao dịch tiền điện tử ở Thổ Nhĩ Kỳ
Số tiền lỗ: 55 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất của Thổ Nhĩ Kỳ đã bị tấn công do rò rỉ khóa bí mật, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự hỗ trợ của một đội ngũ từ sàn giao dịch khác, 5,3 triệu USD tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm tăng thêm nỗi lo ngại của thị trường về việc quản lý khóa bí mật tại các sàn giao dịch tập trung.
8. Radiant Capital
Số tiền mất mát: 53 triệu đô la Mỹ
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị tin tặc tấn công. Do áp dụng mô hình xác thực ký hiệu 3/11 với ngưỡng thấp, tin tặc đã nắm giữ khóa riêng của 3 người ký và thực hiện ký hiệu ngoại chuỗi, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gợi ra những suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước khi cuộc tấn công này xảy ra, với hơn 1900 ETH bị đánh cắp. Điều này một lần nữa nhấn mạnh rằng mức độ chú trọng đến an ninh của các dự án Web3 cần được nâng cao.
9. Hedgey Finance
Số tiền lỗ: 44,7 triệu USD
Phương thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút ra token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên đến 44,7 triệu USD. Sự kiện này cho thấy tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt token.
10. Ví nóng của một sàn giao dịch tiền điện tử bị đánh cắp
Số tiền lỗ: 44,7 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, một sàn giao dịch tiền điện tử đã bị hacker xâm nhập vào ví nóng, liên quan đến nhiều chuỗi công khai bao gồm Ethereum, BNB Chain, Tron và nhiều chuỗi khác. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công này phản ánh tính rủi ro cao trong quản lý ví nóng của các sàn giao dịch tập trung, và thúc đẩy ngành công nghiệp tìm kiếm các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện tấn công an ninh thường xuyên xảy ra vào năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo vệ an toàn. Từ việc rò rỉ khóa riêng tư đến lỗ hổng hợp đồng, từ sự quản lý nội bộ kém đến việc nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại những bài học sâu sắc. Để ứng phó với các mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi hy vọng thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 sự kiện an ninh Web3 hàng đầu năm 2024 gây thiệt hại gần 2,5 tỷ đô la, DMM Bitcoin bị tấn công 300 triệu đô la đứng đầu.
Tổng hợp 10 sự kiện an ninh Web3 hàng đầu năm 2024
Trong năm 2024, ngành công nghiệp blockchain đối mặt với những thách thức an ninh ngày càng nghiêm trọng trong quá trình đổi mới công nghệ và mở rộng hệ sinh thái. Theo dữ liệu từ nền tảng giám sát an ninh, tính đến nay, tổng thiệt hại trong lĩnh vực Web3 năm 2024 do các cuộc tấn công của hacker, lừa đảo qua email và sự biến mất của các dự án đã lên đến 2.491 triệu USD.
Các sự kiện này không chỉ phơi bày những lỗ hổng ở cấp độ kỹ thuật như quản lý khóa riêng, hợp đồng thông minh, mà còn làm nổi bật những rủi ro tiềm ẩn từ tấn công kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ xem xét mười sự kiện an ninh có ảnh hưởng nhất trong lĩnh vực Web3 năm 2024, với hy vọng ngành có thể rút ra bài học từ đó, để ứng phó tốt hơn với các mối đe dọa an ninh trong tương lai.
1. DMM Bitcoin
Số tiền lỗ: 304 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng Nhật Bản DMM Bitcoin đã gặp phải một sự cố an ninh nghiêm trọng. Kẻ tấn công đã sử dụng khóa riêng bị rò rỉ để trực tiếp chuyển hơn 300 triệu USD Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến hơn 10 địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh đa lớp. Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng tài sản, nhưng do Bitcoin bị đánh cắp đã được phân tán và chuyển đổi nhanh chóng thông qua các công cụ trộn tiền, công việc thu hồi gặp phải nhiều thách thức lớn.
Vào ngày 24 tháng 12, cảnh sát Nhật Bản xác nhận cuộc tấn công này được tổ chức hacker Triều Tiên Lazarus Group thực hiện.
2. PlayDapp
Số tiền mất mát: 290 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã bị tấn công nặng nề. Hacker đã đánh cắp khóa riêng và đúc ra 2 tỷ token PLA, có giá trị ban đầu là 36,5 triệu USD. Do việc đàm phán với hacker thất bại, kẻ tấn công đã tiếp tục đúc thêm 15,9 tỷ token PLA trong một thời gian ngắn, có giá trị là 253,9 triệu USD. Một phần token bị đánh cắp đã chảy vào sàn giao dịch, khiến PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng token PDA mới. Sự kiện này đã làm nổi bật những thiếu sót trong việc bảo vệ khóa riêng và xử lý sự cố khẩn cấp của các dự án blockchain.
3. Một sàn giao dịch tiền điện tử Ấn Độ
Số tiền tổn thất: 235 triệu USD Hình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác. Kẻ tấn công đã sử dụng phương pháp kỹ thuật xã hội để dụ dỗ người ký đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó tận dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví. Vụ việc này làm nổi bật những rủi ro tiềm ẩn liên quan đến việc quản lý cấu hình quyền hạn và tính minh bạch trong hoạt động của ví đa chữ ký, đồng thời đã gây ra những suy ngẫm sâu sắc trong ngành về cơ chế kiểm soát nội bộ và an ninh của dự án.
4. Gala Games
Số tiền thua lỗ: 216 triệu USD Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng token để đúc một lần 5 tỷ GALA token. Sau đó, hacker đã đổi từng phần của các token được phát hành thêm ra ETH, gây ra thiệt hại trực tiếp lên đến 216 triệu USD. Đội ngũ Gala Games đã khẩn cấp kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã thu hồi được một phần thiệt hại thông qua các biện pháp pháp lý.
5. Ví cá nhân của đồng sáng lập Ripple bị đánh cắp
Số tiền lỗ: 1.12 triệu đô la Mỹ Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị tấn công bởi hacker, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này nghi ngờ đã trở thành mục tiêu tấn công do thiếu bảo vệ kép bằng thiết bị phần cứng. Sau sự kiện, một sàn giao dịch đã thành công trong việc đóng băng 4,2 triệu USD XRP và hỗ trợ Larsen truy tìm tài sản bị đánh cắp, nhưng phần lớn số tiền đã bị rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables
Số tiền thiệt hại: 62,5 triệu USD Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng game Web3 dựa trên Blast là Munchables đã phải đối mặt với một cuộc tấn công thâm nhập nội bộ hiếm thấy. Kẻ tấn công là một hacker giả danh là nhà phát triển blockchain, đã thu thập được mã nguồn và khóa nhạy cảm thông qua việc ẩn nấp lâu dài. Mặc dù cuộc tấn công gây ra tổn thất lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại tất cả số tiền bị đánh cắp. Sự kiện này đã làm bật lên tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào các nhà phát triển bên thứ ba.
7. Một sàn giao dịch tiền điện tử ở Thổ Nhĩ Kỳ
Số tiền lỗ: 55 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất của Thổ Nhĩ Kỳ đã bị tấn công do rò rỉ khóa bí mật, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự hỗ trợ của một đội ngũ từ sàn giao dịch khác, 5,3 triệu USD tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm tăng thêm nỗi lo ngại của thị trường về việc quản lý khóa bí mật tại các sàn giao dịch tập trung.
8. Radiant Capital
Số tiền mất mát: 53 triệu đô la Mỹ Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị tin tặc tấn công. Do áp dụng mô hình xác thực ký hiệu 3/11 với ngưỡng thấp, tin tặc đã nắm giữ khóa riêng của 3 người ký và thực hiện ký hiệu ngoại chuỗi, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gợi ra những suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước khi cuộc tấn công này xảy ra, với hơn 1900 ETH bị đánh cắp. Điều này một lần nữa nhấn mạnh rằng mức độ chú trọng đến an ninh của các dự án Web3 cần được nâng cao.
9. Hedgey Finance
Số tiền lỗ: 44,7 triệu USD Phương thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút ra token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên đến 44,7 triệu USD. Sự kiện này cho thấy tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt token.
10. Ví nóng của một sàn giao dịch tiền điện tử bị đánh cắp
Số tiền lỗ: 44,7 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, một sàn giao dịch tiền điện tử đã bị hacker xâm nhập vào ví nóng, liên quan đến nhiều chuỗi công khai bao gồm Ethereum, BNB Chain, Tron và nhiều chuỗi khác. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công này phản ánh tính rủi ro cao trong quản lý ví nóng của các sàn giao dịch tập trung, và thúc đẩy ngành công nghiệp tìm kiếm các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện tấn công an ninh thường xuyên xảy ra vào năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo vệ an toàn. Từ việc rò rỉ khóa riêng tư đến lỗ hổng hợp đồng, từ sự quản lý nội bộ kém đến việc nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại những bài học sâu sắc. Để ứng phó với các mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi hy vọng thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.