Tổng hợp sự kiện an ninh Web3 năm 2024: Phân tích mười trường hợp tấn công hàng đầu
Năm 2024, ngành công nghiệp blockchain trong khi đổi mới công nghệ và mở rộng hệ sinh thái, cũng phải đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo dữ liệu từ một nền tảng giám sát an ninh, tính đến cuối năm, tổng thiệt hại trong lĩnh vực Web3 do tấn công của hacker, lừa đảo qua email và các dự án bỏ trốn lên tới 2,491 triệu USD.
Những sự kiện này không chỉ phơi bày những thiếu sót kỹ thuật như quản lý khóa riêng, lỗ hổng hợp đồng thông minh mà còn làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ tổng hợp mười sự kiện an ninh hàng đầu của Web3 trong năm 2024, nhằm rút ra bài học và cung cấp những gợi ý cho công tác bảo vệ an toàn trong tương lai của ngành.
1. Sự kiện DMM Bitcoin
Số tiền mất mát: 304 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp phải một sự cố an ninh nghiêm trọng. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến hơn 10 địa chỉ khác nhau. Cuộc tấn công này đã phơi bày những lỗ hổng nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh đa lớp.
Mặc dù sàn giao dịch cố gắng theo dõi hacker thông qua việc giám sát trên chuỗi và đóng băng tài sản, nhưng do Bitcoin bị đánh cắp nhanh chóng bị phân tán và sử dụng công cụ trộn coin để rửa sạch, công việc thu hồi gặp rất nhiều thách thức. Cuối năm, các cơ quan thực thi pháp luật địa phương xác định cuộc tấn công này do một tổ chức hacker quốc tế thực hiện.
2. PlayDapp gặp phải tình trạng phát hành token tràn lan
Số tiền mất mát: 290 triệu USD
Cách tấn công: Rò rỉ khóa riêng
Ngày 9 tháng 2 năm 2024, dự án PlayDapp đã bị ảnh hưởng nặng nề. Tin tặc đã bất hợp pháp đúc ra 2 tỷ PLA token bằng cách lấy được khóa riêng, với giá trị ban đầu là 36,5 triệu đô la Mỹ. Do các bên liên quan không đạt được thỏa thuận với tin tặc, kẻ tấn công đã đúc thêm 15,9 tỷ PLA token trong thời gian ngắn, tổng giá trị lên đến 253,9 triệu đô la Mỹ. Một phần token đã vào sàn giao dịch, PlayDapp buộc phải tạm ngừng hợp đồng PLA và chuyển sang hợp đồng token mới. Sự kiện này làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý ứng phó khẩn cấp.
3. Một sàn giao dịch Ấn Độ bị tấn công chính xác
Số tiền mất mát: 235 triệu USD
Hình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, một sàn giao dịch tiền điện tử lớn tại Ấn Độ đã bị tấn công chính xác vào ví đa ký. Kẻ tấn công đã sử dụng phương pháp kỹ thuật xã hội để dụ các người ký đa ký phê duyệt một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển tất cả tài sản trong ví. Vụ việc này đã làm lộ ra những rủi ro tiềm ẩn trong việc cấu hình quyền hạn và tính minh bạch trong hoạt động của ví đa ký, đồng thời cũng đã gây ra những suy nghĩ sâu sắc trong ngành về cơ chế kiểm soát rủi ro nội bộ của các dự án.
4. Lỗ hổng hợp đồng mã thông báo Gala Games
Số tiền thua lỗ: 216 triệu USD
Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị tin tặc tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng token để đúc một lần 5 tỷ GALA token. Sau đó, những token bị đúc trái phép này đã được đổi thành ETH theo từng đợt, dẫn đến tổn thất 216 triệu đô la. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để khóa một số tài khoản của tin tặc và đã thu hồi được một phần tổn thất thông qua các biện pháp pháp lý.
5. Ví cá nhân của một nhà sáng lập tiền mã hóa nổi tiếng bị đánh cắp
Số tiền mất mát: 1.12 triệu đô la Mỹ
Cách tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của một trong những người đồng sáng lập một dự án tiền điện tử nổi tiếng đã bị tin tặc tấn công, dẫn đến việc 112 triệu đô la tiền điện tử bị đánh cắp. Những ví này bị nghi ngờ là mục tiêu tấn công do thiếu bảo vệ bằng thiết bị phần cứng kép. Sau sự cố, một sàn giao dịch lớn đã thành công trong việc đóng băng tài sản bị đánh cắp trị giá 4,2 triệu đô la và hỗ trợ theo dõi số tiền còn lại, nhưng phần lớn số tiền đã bị rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn.
6. Munchables gặp phải sự xâm nhập nội bộ
Số tiền thiệt hại: 62,5 triệu USD
Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast là Munchables đã trải qua một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công đã ngụy trang thành các nhà phát triển blockchain, thông qua việc ẩn nấp lâu dài để lấy được mã nguồn chính và các khóa nhạy cảm. Mặc dù gây ra thiệt hại lớn, nhưng dưới áp lực của cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển từ bên thứ ba.
7. Rò rỉ khóa riêng của một sàn giao dịch Thổ Nhĩ Kỳ
Số tiền lỗ: 55 triệu USD
Cách tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, một sàn giao dịch tiền điện tử lớn ở Thổ Nhĩ Kỳ đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự hỗ trợ của một sàn giao dịch quốc tế, khoảng 5,3 triệu USD tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản còn lại vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng lo ngại của thị trường về khả năng quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa chữ ký của Radiant Capital bị tấn công
Số tiền lỗ: 53 triệu đô la Mỹ
Hình thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị hacker xâm nhập. Do sử dụng mô hình xác thực chữ ký 3/11 với ngưỡng thấp hơn, hacker đã lấy được khóa riêng của 3 ký giả và thực hiện chữ ký ngoại tuyến, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gây ra sự phản tư trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng, Radiant Capital đã từng chịu thiệt hại 4,5 triệu đô la do lỗ hổng hợp đồng, hơn 1900 ETH đã bị đánh cắp. Điều này một lần nữa nhấn mạnh rằng mức độ chú trọng đến an ninh của các dự án Web3 vẫn cần được cải thiện.
9. Lỗ hổng hợp đồng của Hedgey Finance bị khai thác
Số tiền thiệt hại: 44,7 triệu USD
Phương thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ để thành công rút ra token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44,7 triệu đô la. Sự kiện này làm nổi bật tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt token.
10. Sự xâm nhập ví nóng của một sàn giao dịch quốc tế
Số tiền mất mát: 44,7 triệu đô la Mỹ
Cách tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, một sàn giao dịch quốc tế nổi tiếng đã bị tin tặc xâm nhập vào ví nóng, liên quan đến nhiều chuỗi công cộng như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng tin tặc vẫn thành công rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công này lại một lần nữa làm nổi bật tính rủi ro cao trong quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành công nghiệp khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Kết luận
Các sự kiện an ninh thường xuyên xảy ra trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển lành mạnh của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo đảm an toàn. Từ việc quản lý khóa riêng đến lỗ hổng hợp đồng, từ quản trị nội bộ đến sự nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều gióng lên hồi chuông cảnh báo cho ngành. Đối mặt với những mối đe dọa an ninh ngày càng phức tạp, ngành công nghiệp cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy chuẩn quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi mong đợi thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn và đáng tin cậy hơn, cung cấp sự bảo vệ mạnh mẽ hơn cho người dùng và nhà đầu tư.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
15 thích
Phần thưởng
15
6
Đăng lại
Chia sẻ
Bình luận
0/400
ETHReserveBank
· 08-08 05:34
25 tỷ đô la Mỹ đã biến mất như vậy sao?
Xem bản gốcTrả lời0
ChainComedian
· 08-08 05:34
Khó quá, quá khó! Hai mươi lăm tỷ đã bay mất như vậy.
Xem bản gốcTrả lời0
SatoshiChallenger
· 08-08 05:34
Hacker năm nào cũng có, đồ ngốc không biết già, chiên đến cuối cùng mất trắng.
Điểm qua 10 sự kiện an ninh Web3: Cuộc tấn công của Hacker vào năm 2024 gây thiệt hại 2.491 triệu đô la.
Tổng hợp sự kiện an ninh Web3 năm 2024: Phân tích mười trường hợp tấn công hàng đầu
Năm 2024, ngành công nghiệp blockchain trong khi đổi mới công nghệ và mở rộng hệ sinh thái, cũng phải đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo dữ liệu từ một nền tảng giám sát an ninh, tính đến cuối năm, tổng thiệt hại trong lĩnh vực Web3 do tấn công của hacker, lừa đảo qua email và các dự án bỏ trốn lên tới 2,491 triệu USD.
Những sự kiện này không chỉ phơi bày những thiếu sót kỹ thuật như quản lý khóa riêng, lỗ hổng hợp đồng thông minh mà còn làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ tổng hợp mười sự kiện an ninh hàng đầu của Web3 trong năm 2024, nhằm rút ra bài học và cung cấp những gợi ý cho công tác bảo vệ an toàn trong tương lai của ngành.
1. Sự kiện DMM Bitcoin
Số tiền mất mát: 304 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp phải một sự cố an ninh nghiêm trọng. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến hơn 10 địa chỉ khác nhau. Cuộc tấn công này đã phơi bày những lỗ hổng nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh đa lớp.
Mặc dù sàn giao dịch cố gắng theo dõi hacker thông qua việc giám sát trên chuỗi và đóng băng tài sản, nhưng do Bitcoin bị đánh cắp nhanh chóng bị phân tán và sử dụng công cụ trộn coin để rửa sạch, công việc thu hồi gặp rất nhiều thách thức. Cuối năm, các cơ quan thực thi pháp luật địa phương xác định cuộc tấn công này do một tổ chức hacker quốc tế thực hiện.
2. PlayDapp gặp phải tình trạng phát hành token tràn lan
Số tiền mất mát: 290 triệu USD Cách tấn công: Rò rỉ khóa riêng
Ngày 9 tháng 2 năm 2024, dự án PlayDapp đã bị ảnh hưởng nặng nề. Tin tặc đã bất hợp pháp đúc ra 2 tỷ PLA token bằng cách lấy được khóa riêng, với giá trị ban đầu là 36,5 triệu đô la Mỹ. Do các bên liên quan không đạt được thỏa thuận với tin tặc, kẻ tấn công đã đúc thêm 15,9 tỷ PLA token trong thời gian ngắn, tổng giá trị lên đến 253,9 triệu đô la Mỹ. Một phần token đã vào sàn giao dịch, PlayDapp buộc phải tạm ngừng hợp đồng PLA và chuyển sang hợp đồng token mới. Sự kiện này làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý ứng phó khẩn cấp.
3. Một sàn giao dịch Ấn Độ bị tấn công chính xác
Số tiền mất mát: 235 triệu USD Hình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, một sàn giao dịch tiền điện tử lớn tại Ấn Độ đã bị tấn công chính xác vào ví đa ký. Kẻ tấn công đã sử dụng phương pháp kỹ thuật xã hội để dụ các người ký đa ký phê duyệt một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển tất cả tài sản trong ví. Vụ việc này đã làm lộ ra những rủi ro tiềm ẩn trong việc cấu hình quyền hạn và tính minh bạch trong hoạt động của ví đa ký, đồng thời cũng đã gây ra những suy nghĩ sâu sắc trong ngành về cơ chế kiểm soát rủi ro nội bộ của các dự án.
4. Lỗ hổng hợp đồng mã thông báo Gala Games
Số tiền thua lỗ: 216 triệu USD Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị tin tặc tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng token để đúc một lần 5 tỷ GALA token. Sau đó, những token bị đúc trái phép này đã được đổi thành ETH theo từng đợt, dẫn đến tổn thất 216 triệu đô la. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để khóa một số tài khoản của tin tặc và đã thu hồi được một phần tổn thất thông qua các biện pháp pháp lý.
5. Ví cá nhân của một nhà sáng lập tiền mã hóa nổi tiếng bị đánh cắp
Số tiền mất mát: 1.12 triệu đô la Mỹ Cách tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của một trong những người đồng sáng lập một dự án tiền điện tử nổi tiếng đã bị tin tặc tấn công, dẫn đến việc 112 triệu đô la tiền điện tử bị đánh cắp. Những ví này bị nghi ngờ là mục tiêu tấn công do thiếu bảo vệ bằng thiết bị phần cứng kép. Sau sự cố, một sàn giao dịch lớn đã thành công trong việc đóng băng tài sản bị đánh cắp trị giá 4,2 triệu đô la và hỗ trợ theo dõi số tiền còn lại, nhưng phần lớn số tiền đã bị rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn.
6. Munchables gặp phải sự xâm nhập nội bộ
Số tiền thiệt hại: 62,5 triệu USD Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast là Munchables đã trải qua một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công đã ngụy trang thành các nhà phát triển blockchain, thông qua việc ẩn nấp lâu dài để lấy được mã nguồn chính và các khóa nhạy cảm. Mặc dù gây ra thiệt hại lớn, nhưng dưới áp lực của cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển từ bên thứ ba.
7. Rò rỉ khóa riêng của một sàn giao dịch Thổ Nhĩ Kỳ
Số tiền lỗ: 55 triệu USD Cách tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, một sàn giao dịch tiền điện tử lớn ở Thổ Nhĩ Kỳ đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự hỗ trợ của một sàn giao dịch quốc tế, khoảng 5,3 triệu USD tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản còn lại vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng lo ngại của thị trường về khả năng quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa chữ ký của Radiant Capital bị tấn công
Số tiền lỗ: 53 triệu đô la Mỹ Hình thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị hacker xâm nhập. Do sử dụng mô hình xác thực chữ ký 3/11 với ngưỡng thấp hơn, hacker đã lấy được khóa riêng của 3 ký giả và thực hiện chữ ký ngoại tuyến, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gây ra sự phản tư trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng, Radiant Capital đã từng chịu thiệt hại 4,5 triệu đô la do lỗ hổng hợp đồng, hơn 1900 ETH đã bị đánh cắp. Điều này một lần nữa nhấn mạnh rằng mức độ chú trọng đến an ninh của các dự án Web3 vẫn cần được cải thiện.
9. Lỗ hổng hợp đồng của Hedgey Finance bị khai thác
Số tiền thiệt hại: 44,7 triệu USD Phương thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ để thành công rút ra token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44,7 triệu đô la. Sự kiện này làm nổi bật tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt token.
10. Sự xâm nhập ví nóng của một sàn giao dịch quốc tế
Số tiền mất mát: 44,7 triệu đô la Mỹ Cách tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, một sàn giao dịch quốc tế nổi tiếng đã bị tin tặc xâm nhập vào ví nóng, liên quan đến nhiều chuỗi công cộng như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng tin tặc vẫn thành công rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công này lại một lần nữa làm nổi bật tính rủi ro cao trong quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành công nghiệp khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Kết luận
Các sự kiện an ninh thường xuyên xảy ra trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển lành mạnh của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo đảm an toàn. Từ việc quản lý khóa riêng đến lỗ hổng hợp đồng, từ quản trị nội bộ đến sự nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều gióng lên hồi chuông cảnh báo cho ngành. Đối mặt với những mối đe dọa an ninh ngày càng phức tạp, ngành công nghiệp cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy chuẩn quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi mong đợi thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn và đáng tin cậy hơn, cung cấp sự bảo vệ mạnh mẽ hơn cho người dùng và nhà đầu tư.