Năm 2024, ngành công nghiệp blockchain phát triển nhanh chóng nhưng cũng đối mặt với những thách thức an ninh nghiêm trọng. Theo dữ liệu từ nền tảng giám sát, tính đến cuối năm, tổng thiệt hại trong lĩnh vực Web3 do các cuộc tấn công của hacker, lừa đảo và các dự án bỏ trốn lên tới 2,491 triệu USD. Những sự kiện này không chỉ phơi bày lỗ hổng về mặt công nghệ mà còn làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Hãy cùng nhìn lại mười sự cố an ninh có ảnh hưởng nhất trong lĩnh vực Web3 năm 2024, nhằm rút ra bài học và chuẩn bị tốt hơn cho những mối đe dọa an ninh trong tương lai.
1. DMM Bitcoin: Rò rỉ khóa riêng dẫn đến thiệt hại 304 triệu đô la
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp phải tổn thất nghiêm trọng. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển hơn 300 triệu đô la Bitcoin và nhanh chóng phân tán số tiền này đến nhiều địa chỉ khác nhau. Sự cố này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo mật nhiều lớp. Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng tài khoản, nhưng số tiền bị đánh cắp đã được phân tán chuyển nhượng và rửa tiền thông qua công cụ trộn, làm tăng đáng kể độ khó trong việc thu hồi.
Cuối năm, cảnh sát Nhật Bản xác nhận cuộc tấn công này được thực hiện bởi một tổ chức hacker nào đó.
2. PlayDapp: Sự rò rỉ khóa riêng gây thiệt hại 2.90 tỷ đô la
Ngày 9 tháng 2 năm 2024, PlayDapp đã gặp phải một sự cố an ninh nghiêm trọng. Hacker đã đánh cắp khóa riêng và tạo ra một lượng lớn mã thông báo PLA, có giá trị ban đầu là 36,5 triệu đô la. Do thất bại trong việc đàm phán với hacker, kẻ tấn công sau đó đã tạo ra nhiều mã thông báo hơn, tổng giá trị lên tới 253,9 triệu đô la. Sau khi một phần các mã thông báo này được đưa vào sàn giao dịch, PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng mã thông báo mới. Sự kiện này làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý khẩn cấp.
3. Sàn giao dịch Ấn Độ: Tấn công mạng và lừa đảo dẫn đến thiệt hại 235 triệu USD
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác. Kẻ tấn công đã sử dụng phương pháp kỹ thuật xã hội để dụ dỗ những người ký đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển tài sản trong ví. Vụ việc này đã phơi bày những rủi ro tiềm ẩn của ví đa chữ ký trong việc cấu hình quyền hạn và độ minh bạch của hoạt động, gây ra những suy nghĩ sâu sắc trong ngành về cơ chế kiểm soát rủi ro và an ninh nội bộ của dự án.
4. Gala Games: Lỗ hổng kiểm soát truy cập dẫn đến thiệt hại 216 triệu đô la
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint của hợp đồng token và một lần đã đúc ra 5 tỷ GALA token. Sau đó, những token này đã được đổi thành ETH theo từng lô, gây ra thiệt hại 216 triệu USD. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã thu hồi một phần thiệt hại thông qua các biện pháp pháp lý.
5. Đồng sáng lập một loại tiền điện tử: Việc lộ khóa riêng đã gây ra tổn thất 112 triệu đô la
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của một trong những người đồng sáng lập dự án tiền điện tử nổi tiếng đã bị hacker tấn công, dẫn đến việc 112 triệu USD token bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ kép bằng thiết bị phần cứng. Sau đó, một sàn giao dịch đã thành công trong việc đóng băng token trị giá 4,2 triệu USD, nhưng phần lớn số tiền đã bị rửa thông qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables: Cuộc tấn công kỹ thuật xã hội dẫn đến thiệt hại 62,5 triệu đô la
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast là Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công đã giả mạo thành các nhà phát triển blockchain, thông qua việc ẩn nấp lâu dài để thu thập mã nguồn và khóa nhạy cảm. Mặc dù đã gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã hoàn trả tất cả số tiền bị đánh cắp. Sự kiện này làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển từ bên thứ ba.
7. Một sàn giao dịch ở Thổ Nhĩ Kỳ: Rò rỉ khóa riêng gây thiệt hại 55 triệu đô la
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất ở Thổ Nhĩ Kỳ đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu đô la tài sản tiền điện tử. Với sự hỗ trợ của đội ngũ từ một sàn giao dịch, 5,3 triệu đô la tiền bị đánh cắp đã được đông lạnh thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng lo ngại của thị trường về quản lý khóa riêng của các sàn giao dịch tập trung.
8. Radiant Capital: Rò rỉ khóa riêng dẫn đến thiệt hại 53 triệu đô la
Vào ngày 17 tháng 10 năm 2024, ví đa chữ ký của Radiant Capital đã bị tin tặc tấn công. Do sử dụng chế độ xác minh chữ ký 3/11, tin tặc đã nắm giữ khóa riêng của 3 người ký và thực hiện chữ ký ngoại tuyến, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gây ra sự suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa chữ ký.
Cần lưu ý rằng Radiant Capital trước đó đã mất 4,5 triệu đô la do lỗ hổng hợp đồng, hơn 1900 ETH đã bị đánh cắp, cho thấy mức độ chú trọng đến an toàn của các dự án Web3 vẫn cần được cải thiện.
9. Hedgey Finance: Lỗ hổng hợp đồng gây thiệt hại 44,7 triệu đô la
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhắm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns để thành công rút token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên đến 44,7 triệu USD. Sự kiện này đã làm nổi bật tầm quan trọng của việc kiểm toán mã, đặc biệt là xác minh nghiêm ngặt logic phê duyệt token.
10. Sàn giao dịch tiền điện tử: Rò rỉ khóa riêng dẫn đến thiệt hại 44,7 triệu đô la
Vào ngày 19 tháng 9 năm 2024, ví nóng của một sàn giao dịch đã bị tin tặc xâm nhập, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng tin tặc đã thành công trong việc rút ra tài sản trị giá 44,7 triệu USD. Cuộc tấn công lần này một lần nữa phản ánh tính rủi ro cao trong quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành công nghiệp tìm kiếm các giải pháp lưu trữ tài sản an toàn hơn.
Các sự cố an ninh xảy ra thường xuyên vào năm 2024 lại một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi bảo đảm an ninh. Từ việc quản lý khóa riêng đến lỗ hổng hợp đồng, từ những sơ suất trong quản lý nội bộ đến việc nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại bài học sâu sắc. Để đối phó với những mối đe dọa an ninh ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy chuẩn quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi kỳ vọng thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo vệ đáng tin cậy hơn cho người dùng và nhà đầu tư.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Tổng kết 10 sự cố an ninh Web3 năm 2024: Thiệt hại gần 2,5 tỷ đô la cảnh báo ngành.
Tổng hợp 10 sự cố an ninh Web3 năm 2024
Năm 2024, ngành công nghiệp blockchain phát triển nhanh chóng nhưng cũng đối mặt với những thách thức an ninh nghiêm trọng. Theo dữ liệu từ nền tảng giám sát, tính đến cuối năm, tổng thiệt hại trong lĩnh vực Web3 do các cuộc tấn công của hacker, lừa đảo và các dự án bỏ trốn lên tới 2,491 triệu USD. Những sự kiện này không chỉ phơi bày lỗ hổng về mặt công nghệ mà còn làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Hãy cùng nhìn lại mười sự cố an ninh có ảnh hưởng nhất trong lĩnh vực Web3 năm 2024, nhằm rút ra bài học và chuẩn bị tốt hơn cho những mối đe dọa an ninh trong tương lai.
1. DMM Bitcoin: Rò rỉ khóa riêng dẫn đến thiệt hại 304 triệu đô la
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp phải tổn thất nghiêm trọng. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển hơn 300 triệu đô la Bitcoin và nhanh chóng phân tán số tiền này đến nhiều địa chỉ khác nhau. Sự cố này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo mật nhiều lớp. Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng tài khoản, nhưng số tiền bị đánh cắp đã được phân tán chuyển nhượng và rửa tiền thông qua công cụ trộn, làm tăng đáng kể độ khó trong việc thu hồi.
Cuối năm, cảnh sát Nhật Bản xác nhận cuộc tấn công này được thực hiện bởi một tổ chức hacker nào đó.
2. PlayDapp: Sự rò rỉ khóa riêng gây thiệt hại 2.90 tỷ đô la
Ngày 9 tháng 2 năm 2024, PlayDapp đã gặp phải một sự cố an ninh nghiêm trọng. Hacker đã đánh cắp khóa riêng và tạo ra một lượng lớn mã thông báo PLA, có giá trị ban đầu là 36,5 triệu đô la. Do thất bại trong việc đàm phán với hacker, kẻ tấn công sau đó đã tạo ra nhiều mã thông báo hơn, tổng giá trị lên tới 253,9 triệu đô la. Sau khi một phần các mã thông báo này được đưa vào sàn giao dịch, PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng mã thông báo mới. Sự kiện này làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý khẩn cấp.
3. Sàn giao dịch Ấn Độ: Tấn công mạng và lừa đảo dẫn đến thiệt hại 235 triệu USD
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác. Kẻ tấn công đã sử dụng phương pháp kỹ thuật xã hội để dụ dỗ những người ký đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển tài sản trong ví. Vụ việc này đã phơi bày những rủi ro tiềm ẩn của ví đa chữ ký trong việc cấu hình quyền hạn và độ minh bạch của hoạt động, gây ra những suy nghĩ sâu sắc trong ngành về cơ chế kiểm soát rủi ro và an ninh nội bộ của dự án.
4. Gala Games: Lỗ hổng kiểm soát truy cập dẫn đến thiệt hại 216 triệu đô la
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint của hợp đồng token và một lần đã đúc ra 5 tỷ GALA token. Sau đó, những token này đã được đổi thành ETH theo từng lô, gây ra thiệt hại 216 triệu USD. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã thu hồi một phần thiệt hại thông qua các biện pháp pháp lý.
5. Đồng sáng lập một loại tiền điện tử: Việc lộ khóa riêng đã gây ra tổn thất 112 triệu đô la
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của một trong những người đồng sáng lập dự án tiền điện tử nổi tiếng đã bị hacker tấn công, dẫn đến việc 112 triệu USD token bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ kép bằng thiết bị phần cứng. Sau đó, một sàn giao dịch đã thành công trong việc đóng băng token trị giá 4,2 triệu USD, nhưng phần lớn số tiền đã bị rửa thông qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables: Cuộc tấn công kỹ thuật xã hội dẫn đến thiệt hại 62,5 triệu đô la
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast là Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công đã giả mạo thành các nhà phát triển blockchain, thông qua việc ẩn nấp lâu dài để thu thập mã nguồn và khóa nhạy cảm. Mặc dù đã gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã hoàn trả tất cả số tiền bị đánh cắp. Sự kiện này làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển từ bên thứ ba.
7. Một sàn giao dịch ở Thổ Nhĩ Kỳ: Rò rỉ khóa riêng gây thiệt hại 55 triệu đô la
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất ở Thổ Nhĩ Kỳ đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu đô la tài sản tiền điện tử. Với sự hỗ trợ của đội ngũ từ một sàn giao dịch, 5,3 triệu đô la tiền bị đánh cắp đã được đông lạnh thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng lo ngại của thị trường về quản lý khóa riêng của các sàn giao dịch tập trung.
8. Radiant Capital: Rò rỉ khóa riêng dẫn đến thiệt hại 53 triệu đô la
Vào ngày 17 tháng 10 năm 2024, ví đa chữ ký của Radiant Capital đã bị tin tặc tấn công. Do sử dụng chế độ xác minh chữ ký 3/11, tin tặc đã nắm giữ khóa riêng của 3 người ký và thực hiện chữ ký ngoại tuyến, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gây ra sự suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa chữ ký.
Cần lưu ý rằng Radiant Capital trước đó đã mất 4,5 triệu đô la do lỗ hổng hợp đồng, hơn 1900 ETH đã bị đánh cắp, cho thấy mức độ chú trọng đến an toàn của các dự án Web3 vẫn cần được cải thiện.
9. Hedgey Finance: Lỗ hổng hợp đồng gây thiệt hại 44,7 triệu đô la
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhắm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns để thành công rút token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên đến 44,7 triệu USD. Sự kiện này đã làm nổi bật tầm quan trọng của việc kiểm toán mã, đặc biệt là xác minh nghiêm ngặt logic phê duyệt token.
10. Sàn giao dịch tiền điện tử: Rò rỉ khóa riêng dẫn đến thiệt hại 44,7 triệu đô la
Vào ngày 19 tháng 9 năm 2024, ví nóng của một sàn giao dịch đã bị tin tặc xâm nhập, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng tin tặc đã thành công trong việc rút ra tài sản trị giá 44,7 triệu USD. Cuộc tấn công lần này một lần nữa phản ánh tính rủi ro cao trong quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành công nghiệp tìm kiếm các giải pháp lưu trữ tài sản an toàn hơn.
Các sự cố an ninh xảy ra thường xuyên vào năm 2024 lại một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi bảo đảm an ninh. Từ việc quản lý khóa riêng đến lỗ hổng hợp đồng, từ những sơ suất trong quản lý nội bộ đến việc nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại bài học sâu sắc. Để đối phó với những mối đe dọa an ninh ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy chuẩn quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi kỳ vọng thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo vệ đáng tin cậy hơn cho người dùng và nhà đầu tư.