Tổng kết 10 sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024
Năm 2024, ngành công nghiệp blockchain đang phải đối mặt với những thách thức an ninh ngày càng nghiêm trọng trong khi vẫn tiếp tục đổi mới công nghệ và mở rộng hệ sinh thái. Theo dữ liệu từ nền tảng giám sát, tính đến thời điểm hiện tại, tổng thiệt hại trong lĩnh vực Web3 năm 2024 do tấn công mạng, lừa đảo qua email và các dự án bỏ trốn đã lên tới 2,491 triệu USD.
Những sự kiện này không chỉ phơi bày các khuyết điểm kỹ thuật như quản lý khóa riêng, lỗ hổng hợp đồng thông minh mà còn làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ tổng hợp mười sự kiện an ninh hàng đầu của Web3 trong năm 2024, nhằm rút ra bài học từ đó để đối phó tốt hơn với các mối đe dọa an ninh trong tương lai.
1. DMM Bitcoin
Số tiền lỗ: 304 triệu USDPhương thức tấn công: Lộ khóa riêng
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp phải một sự cố bảo mật nghiêm trọng. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến hơn 10 địa chỉ khác nhau. Cuộc tấn công này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an toàn đa lớp. Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng tài chính, nhưng việc phân tán và rửa tiền Bitcoin bị đánh cắp đã tạo ra những thách thức lớn cho công tác theo dõi.
Vào ngày 24 tháng 12, cảnh sát Nhật Bản xác nhận rằng sự kiện này là do tổ chức hacker Bắc Triều Tiên Lazarus Group thực hiện.
2. PlayDapp
Số tiền thua lỗ: 290 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã gặp phải một cú sốc lớn. Tin tặc đã đánh cắp khóa riêng và đúc ra 2 tỷ mã thông báo PLA, với giá trị ban đầu là 36,5 triệu đô la Mỹ. Do cuộc đàm phán giữa nhóm dự án và tin tặc không thành công, tin tặc đã nhanh chóng đúc thêm 15,9 tỷ mã thông báo PLA, trị giá 253,9 triệu đô la Mỹ. Một phần mã thông báo đã được đưa vào sàn giao dịch, dẫn đến việc PlayDapp buộc phải tạm ngừng hợp đồng PLA và chuyển sang hợp đồng mã thông báo PDA mới. Sự kiện này đã làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý sự cố.
3. Một sàn giao dịch tiền điện tử Ấn Độ
Số tiền thiệt hại: 235 triệu đô la MỹHình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác. Kẻ tấn công đã sử dụng kỹ thuật kỹ thuật xã hội để lừa đảo người ký đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó đã lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví. Sự kiện này làm nổi bật những rủi ro tiềm ẩn của ví đa chữ ký trong việc quản lý cấu hình quyền hạn và tính minh bạch trong hoạt động, đồng thời đã gây ra sự suy ngẫm sâu sắc trong ngành về cơ chế kiểm soát rủi ro và an ninh nội bộ của dự án.
4. Gala Games
Số tiền lỗ: 216 triệu USDPhương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng token để đúc một lần 5 tỷ GALA token. Sau đó, hacker đã đổi những token này thành ETH theo từng đợt, gây ra thiệt hại trực tiếp lên tới 216 triệu đô la. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã thu hồi được một phần thiệt hại thông qua các biện pháp pháp lý.
5. Đồng sáng lập của một dự án tiền điện tử nào đó
Số tiền mất mát: 112 triệu USDHình thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của một đồng sáng lập dự án tiền điện tử nổi tiếng đã bị tin tặc tấn công, dẫn đến việc 112 triệu USD tiền điện tử bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ kép bằng thiết bị phần cứng. Sau sự cố, một nền tảng giao dịch đã thành công trong việc đóng băng tài sản bị đánh cắp trị giá 4,2 triệu USD và hỗ trợ truy dấu, nhưng phần lớn số tiền đã bị rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn tiền.
6. Munchables
Số tiền lỗ: 62,5 triệu USDPhương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 Munchables dựa trên Blast đã gặp phải một cuộc tấn công nội bộ hiếm hoi. Kẻ tấn công là một hacker giả danh là nhà phát triển blockchain, đã xâm nhập lâu dài để lấy được mã nguồn và khóa nhạy cảm. Mặc dù cuộc tấn công đã gây ra thiệt hại lớn, nhưng dưới áp lực của cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển của bên thứ ba.
7. BtcTurk
Số tiền thua lỗ: 55 triệu đô la MỹPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền mã hóa lớn nhất của Thổ Nhĩ Kỳ, BtcTurk, đã bị tấn công rò rỉ khóa riêng, dẫn đến thiệt hại hơn 55 triệu USD tài sản tiền mã hóa. Nhờ sự hỗ trợ của một đội ngũ từ nền tảng giao dịch, 5,3 triệu USD tiền bị đánh cắp đã được phong tỏa thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng nỗi lo ngại của thị trường về quản lý khóa riêng của các sàn giao dịch tập trung.
8. Radiant Capital
Số tiền mất mát: 53 triệu đô la MỹPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký Radiant Capital đã bị hacker tấn công. Do sử dụng mô hình xác thực chữ ký 3/11 với rào cản thấp, hacker đã nắm giữ khóa riêng của 3 người ký để thực hiện chữ ký ngoại tuyến, chuyển quyền sở hữu hợp đồng ví sang địa chỉ ác ý, cuối cùng dẫn đến việc đánh cắp 53 triệu USD. Cuộc tấn công này đã gây ra sự phản tư trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước cuộc tấn công này, với hơn 1900 ETH bị đánh cắp. Điều này cho thấy rằng các dự án Web3 vẫn cần phải nâng cao mức độ chú trọng đến an toàn.
9. Hedgey Finance
Số tiền lỗ: 44,7 triệu USDHình thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhắm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút ra các token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44,7 triệu USD. Sự kiện này cho thấy tầm quan trọng của việc kiểm tra mã, đặc biệt là việc xác minh chặt chẽ logic phê duyệt token.
10. BingX
Số tiền lỗ: 44,7 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, ví nóng của sàn giao dịch BingX đã bị tin tặc xâm nhập, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng tin tặc đã thành công trong việc rút tài sản trị giá 44,7 triệu đô la. Cuộc tấn công này phản ánh rủi ro cao trong quản lý ví nóng của các sàn giao dịch tập trung và thúc đẩy ngành công nghiệp khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Tóm tắt
Các sự kiện tấn công an ninh gia tăng trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo vệ an toàn. Từ việc rò rỉ khóa riêng tư đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến sự nâng cấp của các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại những bài học sâu sắc. Để ứng phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy chuẩn quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi mong đợi thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Năm 2024, lĩnh vực Web3 mất 2,491 triệu USD, tổng hợp 10 sự kiện an ninh lớn nhất.
Tổng kết 10 sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024
Năm 2024, ngành công nghiệp blockchain đang phải đối mặt với những thách thức an ninh ngày càng nghiêm trọng trong khi vẫn tiếp tục đổi mới công nghệ và mở rộng hệ sinh thái. Theo dữ liệu từ nền tảng giám sát, tính đến thời điểm hiện tại, tổng thiệt hại trong lĩnh vực Web3 năm 2024 do tấn công mạng, lừa đảo qua email và các dự án bỏ trốn đã lên tới 2,491 triệu USD.
Những sự kiện này không chỉ phơi bày các khuyết điểm kỹ thuật như quản lý khóa riêng, lỗ hổng hợp đồng thông minh mà còn làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ tổng hợp mười sự kiện an ninh hàng đầu của Web3 trong năm 2024, nhằm rút ra bài học từ đó để đối phó tốt hơn với các mối đe dọa an ninh trong tương lai.
1. DMM Bitcoin
Số tiền lỗ: 304 triệu USD Phương thức tấn công: Lộ khóa riêng
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp phải một sự cố bảo mật nghiêm trọng. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến hơn 10 địa chỉ khác nhau. Cuộc tấn công này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an toàn đa lớp. Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng tài chính, nhưng việc phân tán và rửa tiền Bitcoin bị đánh cắp đã tạo ra những thách thức lớn cho công tác theo dõi.
Vào ngày 24 tháng 12, cảnh sát Nhật Bản xác nhận rằng sự kiện này là do tổ chức hacker Bắc Triều Tiên Lazarus Group thực hiện.
2. PlayDapp
Số tiền thua lỗ: 290 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã gặp phải một cú sốc lớn. Tin tặc đã đánh cắp khóa riêng và đúc ra 2 tỷ mã thông báo PLA, với giá trị ban đầu là 36,5 triệu đô la Mỹ. Do cuộc đàm phán giữa nhóm dự án và tin tặc không thành công, tin tặc đã nhanh chóng đúc thêm 15,9 tỷ mã thông báo PLA, trị giá 253,9 triệu đô la Mỹ. Một phần mã thông báo đã được đưa vào sàn giao dịch, dẫn đến việc PlayDapp buộc phải tạm ngừng hợp đồng PLA và chuyển sang hợp đồng mã thông báo PDA mới. Sự kiện này đã làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý sự cố.
3. Một sàn giao dịch tiền điện tử Ấn Độ
Số tiền thiệt hại: 235 triệu đô la Mỹ Hình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác. Kẻ tấn công đã sử dụng kỹ thuật kỹ thuật xã hội để lừa đảo người ký đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó đã lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví. Sự kiện này làm nổi bật những rủi ro tiềm ẩn của ví đa chữ ký trong việc quản lý cấu hình quyền hạn và tính minh bạch trong hoạt động, đồng thời đã gây ra sự suy ngẫm sâu sắc trong ngành về cơ chế kiểm soát rủi ro và an ninh nội bộ của dự án.
4. Gala Games
Số tiền lỗ: 216 triệu USD Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng token để đúc một lần 5 tỷ GALA token. Sau đó, hacker đã đổi những token này thành ETH theo từng đợt, gây ra thiệt hại trực tiếp lên tới 216 triệu đô la. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã thu hồi được một phần thiệt hại thông qua các biện pháp pháp lý.
5. Đồng sáng lập của một dự án tiền điện tử nào đó
Số tiền mất mát: 112 triệu USD Hình thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của một đồng sáng lập dự án tiền điện tử nổi tiếng đã bị tin tặc tấn công, dẫn đến việc 112 triệu USD tiền điện tử bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ kép bằng thiết bị phần cứng. Sau sự cố, một nền tảng giao dịch đã thành công trong việc đóng băng tài sản bị đánh cắp trị giá 4,2 triệu USD và hỗ trợ truy dấu, nhưng phần lớn số tiền đã bị rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn tiền.
6. Munchables
Số tiền lỗ: 62,5 triệu USD Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 Munchables dựa trên Blast đã gặp phải một cuộc tấn công nội bộ hiếm hoi. Kẻ tấn công là một hacker giả danh là nhà phát triển blockchain, đã xâm nhập lâu dài để lấy được mã nguồn và khóa nhạy cảm. Mặc dù cuộc tấn công đã gây ra thiệt hại lớn, nhưng dưới áp lực của cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển của bên thứ ba.
7. BtcTurk
Số tiền thua lỗ: 55 triệu đô la Mỹ Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền mã hóa lớn nhất của Thổ Nhĩ Kỳ, BtcTurk, đã bị tấn công rò rỉ khóa riêng, dẫn đến thiệt hại hơn 55 triệu USD tài sản tiền mã hóa. Nhờ sự hỗ trợ của một đội ngũ từ nền tảng giao dịch, 5,3 triệu USD tiền bị đánh cắp đã được phong tỏa thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng nỗi lo ngại của thị trường về quản lý khóa riêng của các sàn giao dịch tập trung.
8. Radiant Capital
Số tiền mất mát: 53 triệu đô la Mỹ Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký Radiant Capital đã bị hacker tấn công. Do sử dụng mô hình xác thực chữ ký 3/11 với rào cản thấp, hacker đã nắm giữ khóa riêng của 3 người ký để thực hiện chữ ký ngoại tuyến, chuyển quyền sở hữu hợp đồng ví sang địa chỉ ác ý, cuối cùng dẫn đến việc đánh cắp 53 triệu USD. Cuộc tấn công này đã gây ra sự phản tư trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước cuộc tấn công này, với hơn 1900 ETH bị đánh cắp. Điều này cho thấy rằng các dự án Web3 vẫn cần phải nâng cao mức độ chú trọng đến an toàn.
9. Hedgey Finance
Số tiền lỗ: 44,7 triệu USD Hình thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhắm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút ra các token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44,7 triệu USD. Sự kiện này cho thấy tầm quan trọng của việc kiểm tra mã, đặc biệt là việc xác minh chặt chẽ logic phê duyệt token.
10. BingX
Số tiền lỗ: 44,7 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, ví nóng của sàn giao dịch BingX đã bị tin tặc xâm nhập, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng tin tặc đã thành công trong việc rút tài sản trị giá 44,7 triệu đô la. Cuộc tấn công này phản ánh rủi ro cao trong quản lý ví nóng của các sàn giao dịch tập trung và thúc đẩy ngành công nghiệp khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Tóm tắt
Các sự kiện tấn công an ninh gia tăng trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo vệ an toàn. Từ việc rò rỉ khóa riêng tư đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến sự nâng cấp của các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại những bài học sâu sắc. Để ứng phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy chuẩn quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi mong đợi thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.