Điểm lại 10 sự kiện an toàn hàng đầu trong lĩnh vực Web3 năm 2024
Năm 2024, ngành Web3 trong khi phát triển đổi mới cũng phải đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo thống kê, tính đến cuối năm, tổng thiệt hại trong lĩnh vực Web3 do tấn công của hacker, lừa đảo và các dự án bỏ trốn đã lên tới 24,91 tỷ USD.
Các sự kiện an ninh này không chỉ phơi bày những khiếm khuyết kỹ thuật trong việc quản lý khóa riêng, hợp đồng thông minh và các khía cạnh khác, mà còn làm nổi bật những rủi ro tiềm ẩn từ tấn công kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ tổng hợp mười sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024, nhằm giúp ngành học hỏi từ những bài học, để ứng phó tốt hơn với các mối đe dọa an ninh trong tương lai.
1. Một sàn giao dịch Nhật Bản bị tấn công nghiêm trọng
Số tiền lỗ: 3.04 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, một sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản đã gặp phải một cuộc tấn công lịch sử. Tin tặc đã sử dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu USD bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến hơn 10 địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng trong quản lý khóa riêng và bảo mật đa lớp của sàn giao dịch. Mặc dù sàn giao dịch đã cố gắng theo dõi tin tặc thông qua giám sát trên chuỗi và đóng băng tài sản, nhưng bitcoin bị đánh cắp đã được phân tán và chuyển đổi qua các công cụ trộn, gây ra những thách thức lớn cho công việc theo dõi.
Vào cuối năm, cảnh sát Nhật Bản xác nhận rằng cuộc tấn công lần này do tổ chức hacker Lazarus Group của Triều Tiên thực hiện.
2. PlayDapp gặp tổn thất nặng nề
Số tiền lỗ: 290 triệu USD
Phương thức tấn công: Lộ khóa riêng
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã gặp tổn thất lớn khi hacker đánh cắp khóa riêng và đúc ra 2 tỷ mã thông báo PLA, có giá trị ban đầu là 36,5 triệu USD. Do dự án không thể thương lượng thành công với hacker, hacker đã tiếp tục đúc thêm 15,9 tỷ mã thông báo PLA, có giá trị 253,9 triệu USD. Sau khi một phần mã thông báo được đưa vào sàn giao dịch, PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng mã thông báo mới. Sự kiện này làm nổi bật những thiếu sót trong việc bảo vệ khóa riêng và xử lý khẩn cấp của các dự án blockchain.
3. Sàn giao dịch tiền điện tử lớn nhất Ấn Độ bị tấn công
Số tiền thua lỗ: 2,35 triệu đô la Mỹ
Hình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác bởi hacker. Kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để lừa đảo những người ký chữ ký đa chữ ký ký vào một giao dịch nâng cấp hợp đồng, sau đó đã lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví. Vụ việc này nổi bật lên những rủi ro tiềm ẩn của ví đa chữ ký trong việc quản lý quyền truy cập và tính minh bạch trong hoạt động, đồng thời đã khơi dậy sự suy ngẫm sâu sắc trong ngành về cơ chế kiểm soát rủi ro và an ninh nội bộ của dự án.
4. Gala Games gặp tổn thất lớn
Số tiền lỗ: 216 triệu đô la Mỹ
Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công, kẻ tấn công đã gọi hàm mint trong hợp đồng token để đúc một lần 5 tỷ GALA token. Sau đó, hacker đã đổi từng phần token tăng thêm thành ETH, gây ra thiệt hại trực tiếp lên đến 216 triệu đô la. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã khôi phục một phần thiệt hại thông qua các phương tiện pháp lý.
5. Ví cá nhân của đồng sáng lập Ripple bị tấn công
Số tiền thua lỗ: 1.12 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị hacker tấn công, dẫn đến việc 112 triệu đô la XRP bị đánh cắp. Những ví này bị tấn công do thiếu bảo vệ gấp đôi bằng thiết bị phần cứng. Sau sự cố, một sàn giao dịch lớn đã thành công trong việc đóng băng 4,2 triệu đô la XRP và hỗ trợ theo dõi tài sản bị đánh cắp, nhưng phần lớn tiền đã bị rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables đã gặp phải cuộc tấn công xâm nhập nội bộ
Số tiền thiệt hại: 6250 triệu USD
Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng game Web3 dựa trên Blast là Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công là một hacker giả dạng là nhà phát triển blockchain, đã ẩn mình trong thời gian dài để thu thập mã nguồn và khóa nhạy cảm. Mặc dù cuộc tấn công đã gây ra tổn thất lớn, nhưng dưới áp lực của cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của bảo mật chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển của bên thứ ba.
7. Sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ bị tấn công
Số tiền thua lỗ: 55 triệu USD
Hình thức tấn công: Rò rỉ khóa riêng
Ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất của Thổ Nhĩ Kỳ đã bị tấn công rò rỉ khóa riêng, dẫn đến tổn thất hơn 55 triệu đô la tài sản tiền điện tử. Với sự hỗ trợ của một đội ngũ tại sàn giao dịch, 5,3 triệu đô la tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm sâu sắc thêm nỗi lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa ký Radiant Capital bị tấn công
Số tiền mất mát: 53 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị tin tặc tấn công. Do áp dụng mô hình xác thực ký 3/11 với ngưỡng thấp, tin tặc đã nắm giữ khóa riêng của 3 người ký và thực hiện ký ngoài chuỗi, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gây ra sự phản ánh trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng, Radiant Capital đã mất 4,5 triệu USD và hơn 1900 ETH do lỗ hổng hợp đồng trước cuộc tấn công này. Điều này cho thấy mức độ chú trọng của các dự án Web3 vào an toàn vẫn cần được nâng cao.
9. Hợp đồng Hedgey Finance bị tấn công
Số tiền tổn thất: 44.7 triệu USD
Phương thức tấn công: Lỗi hợp đồng
Ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhắm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt của hợp đồng ClaimCampaigns, thành công rút token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên đến 44,7 triệu USD. Sự kiện này cho thấy tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt token.
10. Ví nóng của một sàn giao dịch tiền điện tử bị xâm nhập
Số tiền tổn thất: 44,7 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, ví nóng của một sàn giao dịch tiền điện tử đã bị hacker tấn công, liên quan đến nhiều chuỗi công cộng như Ethereum, BNB Chain, Tron và nhiều chuỗi khác. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công này phản ánh tính rủi ro cao trong quản lý ví nóng của các sàn giao dịch tập trung, và thúc đẩy ngành công nghiệp tìm kiếm các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện tấn công an ninh thường xuyên xảy ra vào năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo đảm an toàn. Từ việc rò rỉ khóa riêng đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến sự nâng cấp của các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại bài học sâu sắc. Để đối phó với các mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và kiểm soát rủi ro. Trong tương lai, chúng ta hy vọng thông qua hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.
Xem bản gốc
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Điểm danh 10 sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024, thiệt hại lên tới 24,91 tỷ USD.
Điểm lại 10 sự kiện an toàn hàng đầu trong lĩnh vực Web3 năm 2024
Năm 2024, ngành Web3 trong khi phát triển đổi mới cũng phải đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo thống kê, tính đến cuối năm, tổng thiệt hại trong lĩnh vực Web3 do tấn công của hacker, lừa đảo và các dự án bỏ trốn đã lên tới 24,91 tỷ USD.
Các sự kiện an ninh này không chỉ phơi bày những khiếm khuyết kỹ thuật trong việc quản lý khóa riêng, hợp đồng thông minh và các khía cạnh khác, mà còn làm nổi bật những rủi ro tiềm ẩn từ tấn công kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ tổng hợp mười sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024, nhằm giúp ngành học hỏi từ những bài học, để ứng phó tốt hơn với các mối đe dọa an ninh trong tương lai.
1. Một sàn giao dịch Nhật Bản bị tấn công nghiêm trọng
Số tiền lỗ: 3.04 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, một sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản đã gặp phải một cuộc tấn công lịch sử. Tin tặc đã sử dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu USD bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến hơn 10 địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng trong quản lý khóa riêng và bảo mật đa lớp của sàn giao dịch. Mặc dù sàn giao dịch đã cố gắng theo dõi tin tặc thông qua giám sát trên chuỗi và đóng băng tài sản, nhưng bitcoin bị đánh cắp đã được phân tán và chuyển đổi qua các công cụ trộn, gây ra những thách thức lớn cho công việc theo dõi.
Vào cuối năm, cảnh sát Nhật Bản xác nhận rằng cuộc tấn công lần này do tổ chức hacker Lazarus Group của Triều Tiên thực hiện.
2. PlayDapp gặp tổn thất nặng nề
Số tiền lỗ: 290 triệu USD Phương thức tấn công: Lộ khóa riêng
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã gặp tổn thất lớn khi hacker đánh cắp khóa riêng và đúc ra 2 tỷ mã thông báo PLA, có giá trị ban đầu là 36,5 triệu USD. Do dự án không thể thương lượng thành công với hacker, hacker đã tiếp tục đúc thêm 15,9 tỷ mã thông báo PLA, có giá trị 253,9 triệu USD. Sau khi một phần mã thông báo được đưa vào sàn giao dịch, PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng mã thông báo mới. Sự kiện này làm nổi bật những thiếu sót trong việc bảo vệ khóa riêng và xử lý khẩn cấp của các dự án blockchain.
3. Sàn giao dịch tiền điện tử lớn nhất Ấn Độ bị tấn công
Số tiền thua lỗ: 2,35 triệu đô la Mỹ Hình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác bởi hacker. Kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để lừa đảo những người ký chữ ký đa chữ ký ký vào một giao dịch nâng cấp hợp đồng, sau đó đã lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví. Vụ việc này nổi bật lên những rủi ro tiềm ẩn của ví đa chữ ký trong việc quản lý quyền truy cập và tính minh bạch trong hoạt động, đồng thời đã khơi dậy sự suy ngẫm sâu sắc trong ngành về cơ chế kiểm soát rủi ro và an ninh nội bộ của dự án.
4. Gala Games gặp tổn thất lớn
Số tiền lỗ: 216 triệu đô la Mỹ Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công, kẻ tấn công đã gọi hàm mint trong hợp đồng token để đúc một lần 5 tỷ GALA token. Sau đó, hacker đã đổi từng phần token tăng thêm thành ETH, gây ra thiệt hại trực tiếp lên đến 216 triệu đô la. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã khôi phục một phần thiệt hại thông qua các phương tiện pháp lý.
5. Ví cá nhân của đồng sáng lập Ripple bị tấn công
Số tiền thua lỗ: 1.12 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị hacker tấn công, dẫn đến việc 112 triệu đô la XRP bị đánh cắp. Những ví này bị tấn công do thiếu bảo vệ gấp đôi bằng thiết bị phần cứng. Sau sự cố, một sàn giao dịch lớn đã thành công trong việc đóng băng 4,2 triệu đô la XRP và hỗ trợ theo dõi tài sản bị đánh cắp, nhưng phần lớn tiền đã bị rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables đã gặp phải cuộc tấn công xâm nhập nội bộ
Số tiền thiệt hại: 6250 triệu USD Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng game Web3 dựa trên Blast là Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công là một hacker giả dạng là nhà phát triển blockchain, đã ẩn mình trong thời gian dài để thu thập mã nguồn và khóa nhạy cảm. Mặc dù cuộc tấn công đã gây ra tổn thất lớn, nhưng dưới áp lực của cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của bảo mật chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển của bên thứ ba.
7. Sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ bị tấn công
Số tiền thua lỗ: 55 triệu USD Hình thức tấn công: Rò rỉ khóa riêng
Ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất của Thổ Nhĩ Kỳ đã bị tấn công rò rỉ khóa riêng, dẫn đến tổn thất hơn 55 triệu đô la tài sản tiền điện tử. Với sự hỗ trợ của một đội ngũ tại sàn giao dịch, 5,3 triệu đô la tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm sâu sắc thêm nỗi lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa ký Radiant Capital bị tấn công
Số tiền mất mát: 53 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị tin tặc tấn công. Do áp dụng mô hình xác thực ký 3/11 với ngưỡng thấp, tin tặc đã nắm giữ khóa riêng của 3 người ký và thực hiện ký ngoài chuỗi, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gây ra sự phản ánh trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng, Radiant Capital đã mất 4,5 triệu USD và hơn 1900 ETH do lỗ hổng hợp đồng trước cuộc tấn công này. Điều này cho thấy mức độ chú trọng của các dự án Web3 vào an toàn vẫn cần được nâng cao.
9. Hợp đồng Hedgey Finance bị tấn công
Số tiền tổn thất: 44.7 triệu USD Phương thức tấn công: Lỗi hợp đồng
Ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhắm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt của hợp đồng ClaimCampaigns, thành công rút token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên đến 44,7 triệu USD. Sự kiện này cho thấy tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt token.
10. Ví nóng của một sàn giao dịch tiền điện tử bị xâm nhập
Số tiền tổn thất: 44,7 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, ví nóng của một sàn giao dịch tiền điện tử đã bị hacker tấn công, liên quan đến nhiều chuỗi công cộng như Ethereum, BNB Chain, Tron và nhiều chuỗi khác. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công này phản ánh tính rủi ro cao trong quản lý ví nóng của các sàn giao dịch tập trung, và thúc đẩy ngành công nghiệp tìm kiếm các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện tấn công an ninh thường xuyên xảy ra vào năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo đảm an toàn. Từ việc rò rỉ khóa riêng đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến sự nâng cấp của các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại bài học sâu sắc. Để đối phó với các mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và kiểm soát rủi ro. Trong tương lai, chúng ta hy vọng thông qua hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.