Năm 2024, ngành công nghiệp blockchain không chỉ đối mặt với những thách thức về an ninh ngày càng nghiêm trọng mà còn đang tiến hành đổi mới công nghệ và mở rộng hệ sinh thái. Theo dữ liệu liên quan, tính đến hiện tại, tổng thiệt hại trong lĩnh vực Web3 vào năm 2024 do các cuộc tấn công hacker, lừa đảo qua email và các dự án bỏ trốn đạt tới 2,491 triệu USD.
Những sự kiện này không chỉ phơi bày những thiếu sót về mặt kỹ thuật như quản lý khóa riêng, lỗ hổng hợp đồng thông minh, mà còn làm nổi bật những rủi ro tiềm ẩn trong kỹ thuật xã hội và quản lý nội bộ. Hãy cùng nhau điểm lại mười sự kiện an ninh có ảnh hưởng nhất trong lĩnh vực Web3 năm 2024, với hy vọng rút ra bài học kinh nghiệm, chuẩn bị tốt hơn cho việc đối phó với các mối đe dọa an ninh trong tương lai.
1. Một sàn giao dịch tiền điện tử của Nhật Bản gặp phải cuộc tấn công lớn
Số tiền thua lỗ: 304 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, một sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản đã phải đối mặt với một cuộc tấn công lịch sử. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin và nhanh chóng phân tán số tiền bị đánh cắp vào hơn 10 địa chỉ khác nhau. Cuộc tấn công này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh nhiều lớp. Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng tài sản, nhưng Bitcoin bị đánh cắp đã được phân tán chuyển đi và sử dụng công cụ trộn tiền để rửa, gây ra thách thức lớn cho công việc theo dõi.
Vào ngày 24 tháng 12, cảnh sát Nhật Bản xác định rằng sự cố bị đánh cắp tại sàn giao dịch này là do một tổ chức hacker quốc tế thực hiện.
2. PlayDapp bị thiệt hại nặng nề
Số tiền lỗ: 290 triệu USDHình thức tấn công: Rò rỉ khóa riêng
Vào ngày 9 tháng 2 năm 2024, PlayDapp bị ảnh hưởng nghiêm trọng khi một hacker đã đánh cắp khóa riêng và đúc ra 2 tỷ PLA token, có giá trị ban đầu là 36.5 triệu USD. Do cuộc đàm phán giữa dự án và hacker không thành công, hacker đã đúc thêm 15.9 tỷ PLA token trong thời gian ngắn, có giá trị 253.9 triệu USD. Sau khi một phần các token này được đưa vào một sàn giao dịch, PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng token PDA. Sự kiện này làm nổi bật những thiếu sót trong việc bảo vệ khóa riêng và xử lý sự cố của các dự án blockchain.
3. Sàn giao dịch tiền điện tử lớn nhất Ấn Độ bị tấn công chính xác
Số tiền tổn thất: 235 triệu USDHình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác bởi tin tặc. Kẻ tấn công đã sử dụng kỹ thuật xã hội để dụ những người ký đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví đi. Vụ việc này làm nổi bật những rủi ro tiềm ẩn trong việc quản lý cấu hình quyền hạn và tính minh bạch trong hoạt động của ví đa chữ ký, đồng thời gợi lên những suy nghĩ sâu sắc trong ngành về cơ chế kiểm soát nội bộ và an ninh của dự án.
4. Gala Games遭遇特权地址攻击
Số tiền lỗ: 216 triệu USDPhương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị tin tặc tấn công, kẻ tấn công đã gọi hàm mint trong hợp đồng token để đúc ra 5 tỷ GALA token chỉ trong một lần. Sau đó, tin tặc đã đổi các token tăng thêm thành ETH theo từng đợt, gây ra thiệt hại trực tiếp lên tới 216 triệu USD. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để khóa một số tài khoản của tin tặc và đã khôi phục được thiệt hại thông qua con đường tư pháp.
5. Ví cá nhân của đồng sáng lập Ripple bị hacker tấn công
Số tiền lỗ: 112 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị tin tặc tấn công, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu sự bảo vệ kép bằng thiết bị phần cứng. Sau sự việc, một sàn giao dịch lớn đã thành công trong việc đóng băng 4,2 triệu USD XRP và hỗ trợ Larsen truy tìm tài sản bị đánh cắp, nhưng phần lớn số tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables gặp phải cuộc tấn công xâm nhập nội bộ
Số tiền tổn thất: 62,5 triệu USDPhương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng game Web3 Munchables dựa trên Blast đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm thấy. Kẻ tấn công là một hacker giả dạng nhà phát triển blockchain, đã thu thập được mã nguồn và khóa nhạy cảm thông qua việc ẩn nấp lâu dài. Mặc dù cuộc tấn công gây ra thiệt hại lớn, nhưng do áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển bên thứ ba.
7. Sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ bị tấn công
Số tiền lỗ: 55 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ đã bị tấn công rò rỉ khóa riêng, dẫn đến tổn thất hơn 55 triệu đô la tài sản tiền điện tử. Với sự hỗ trợ của một đội ngũ từ sàn giao dịch khác, 5,3 triệu đô la tiền bị đánh cắp đã được đông lạnh thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
Vào ngày 17 tháng 10 năm 2024, ví đa chữ ký của Radiant Capital đã bị hacker tấn công. Do sử dụng chế độ xác nhận chữ ký 3/11 với mức ngưỡng thấp, hacker đã nắm giữ khóa riêng của 3 ký giả để thực hiện chữ ký ngoài chuỗi, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gợi mở sự phản tư trong ngành về thiết kế và cơ chế quản trị của ví đa chữ ký.
Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước cuộc tấn công này, hơn 1900 ETH đã bị đánh cắp. Điều này nhấn mạnh rằng các dự án Web3 cần nâng cao mức độ chú trọng đến an ninh.
9. Hedgey Finance gặp phải cuộc tấn công hợp đồng đa chuỗi
Số tiền mất mát: 44,7 triệu USDHình thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhắm vào nhiều hợp đồng trên chuỗi. Những kẻ hacker đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút ra các token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44,7 triệu đô la. Sự kiện này cho thấy tầm quan trọng của việc kiểm tra mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt token.
10. Ví nóng của một sàn giao dịch nổi tiếng bị xâm nhập
Số tiền lỗ: 44.7 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, một sàn giao dịch nổi tiếng đã bị hacker tấn công vào ví nóng, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công này phản ánh tính rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung và thúc đẩy ngành khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện tấn công an ninh thường xuyên xảy ra trong năm 2024, một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo vệ an toàn. Từ việc rò rỉ khóa riêng tư đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến sự nâng cấp của các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại bài học sâu sắc. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần liên tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và kiểm soát rủi ro. Trong tương lai, chúng tôi hy vọng thông qua sự hợp tác trong ngành và đổi mới công nghệ, sẽ cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Bảng tổng kết 10 sự kiện an ninh Web3 năm 2024: Thiệt hại gần 2,5 tỷ USD
Tổng hợp 10 sự kiện an ninh Web3 năm 2024
Năm 2024, ngành công nghiệp blockchain không chỉ đối mặt với những thách thức về an ninh ngày càng nghiêm trọng mà còn đang tiến hành đổi mới công nghệ và mở rộng hệ sinh thái. Theo dữ liệu liên quan, tính đến hiện tại, tổng thiệt hại trong lĩnh vực Web3 vào năm 2024 do các cuộc tấn công hacker, lừa đảo qua email và các dự án bỏ trốn đạt tới 2,491 triệu USD.
Những sự kiện này không chỉ phơi bày những thiếu sót về mặt kỹ thuật như quản lý khóa riêng, lỗ hổng hợp đồng thông minh, mà còn làm nổi bật những rủi ro tiềm ẩn trong kỹ thuật xã hội và quản lý nội bộ. Hãy cùng nhau điểm lại mười sự kiện an ninh có ảnh hưởng nhất trong lĩnh vực Web3 năm 2024, với hy vọng rút ra bài học kinh nghiệm, chuẩn bị tốt hơn cho việc đối phó với các mối đe dọa an ninh trong tương lai.
1. Một sàn giao dịch tiền điện tử của Nhật Bản gặp phải cuộc tấn công lớn
Số tiền thua lỗ: 304 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, một sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản đã phải đối mặt với một cuộc tấn công lịch sử. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin và nhanh chóng phân tán số tiền bị đánh cắp vào hơn 10 địa chỉ khác nhau. Cuộc tấn công này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh nhiều lớp. Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng tài sản, nhưng Bitcoin bị đánh cắp đã được phân tán chuyển đi và sử dụng công cụ trộn tiền để rửa, gây ra thách thức lớn cho công việc theo dõi.
Vào ngày 24 tháng 12, cảnh sát Nhật Bản xác định rằng sự cố bị đánh cắp tại sàn giao dịch này là do một tổ chức hacker quốc tế thực hiện.
2. PlayDapp bị thiệt hại nặng nề
Số tiền lỗ: 290 triệu USD Hình thức tấn công: Rò rỉ khóa riêng
Vào ngày 9 tháng 2 năm 2024, PlayDapp bị ảnh hưởng nghiêm trọng khi một hacker đã đánh cắp khóa riêng và đúc ra 2 tỷ PLA token, có giá trị ban đầu là 36.5 triệu USD. Do cuộc đàm phán giữa dự án và hacker không thành công, hacker đã đúc thêm 15.9 tỷ PLA token trong thời gian ngắn, có giá trị 253.9 triệu USD. Sau khi một phần các token này được đưa vào một sàn giao dịch, PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng token PDA. Sự kiện này làm nổi bật những thiếu sót trong việc bảo vệ khóa riêng và xử lý sự cố của các dự án blockchain.
3. Sàn giao dịch tiền điện tử lớn nhất Ấn Độ bị tấn công chính xác
Số tiền tổn thất: 235 triệu USD Hình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác bởi tin tặc. Kẻ tấn công đã sử dụng kỹ thuật xã hội để dụ những người ký đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví đi. Vụ việc này làm nổi bật những rủi ro tiềm ẩn trong việc quản lý cấu hình quyền hạn và tính minh bạch trong hoạt động của ví đa chữ ký, đồng thời gợi lên những suy nghĩ sâu sắc trong ngành về cơ chế kiểm soát nội bộ và an ninh của dự án.
4. Gala Games遭遇特权地址攻击
Số tiền lỗ: 216 triệu USD Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị tin tặc tấn công, kẻ tấn công đã gọi hàm mint trong hợp đồng token để đúc ra 5 tỷ GALA token chỉ trong một lần. Sau đó, tin tặc đã đổi các token tăng thêm thành ETH theo từng đợt, gây ra thiệt hại trực tiếp lên tới 216 triệu USD. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để khóa một số tài khoản của tin tặc và đã khôi phục được thiệt hại thông qua con đường tư pháp.
5. Ví cá nhân của đồng sáng lập Ripple bị hacker tấn công
Số tiền lỗ: 112 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị tin tặc tấn công, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu sự bảo vệ kép bằng thiết bị phần cứng. Sau sự việc, một sàn giao dịch lớn đã thành công trong việc đóng băng 4,2 triệu USD XRP và hỗ trợ Larsen truy tìm tài sản bị đánh cắp, nhưng phần lớn số tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables gặp phải cuộc tấn công xâm nhập nội bộ
Số tiền tổn thất: 62,5 triệu USD Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng game Web3 Munchables dựa trên Blast đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm thấy. Kẻ tấn công là một hacker giả dạng nhà phát triển blockchain, đã thu thập được mã nguồn và khóa nhạy cảm thông qua việc ẩn nấp lâu dài. Mặc dù cuộc tấn công gây ra thiệt hại lớn, nhưng do áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển bên thứ ba.
7. Sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ bị tấn công
Số tiền lỗ: 55 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ đã bị tấn công rò rỉ khóa riêng, dẫn đến tổn thất hơn 55 triệu đô la tài sản tiền điện tử. Với sự hỗ trợ của một đội ngũ từ sàn giao dịch khác, 5,3 triệu đô la tiền bị đánh cắp đã được đông lạnh thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa chữ ký Radiant Capital bị tấn công
Số tiền lỗ: 53 triệu USD Cách tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa chữ ký của Radiant Capital đã bị hacker tấn công. Do sử dụng chế độ xác nhận chữ ký 3/11 với mức ngưỡng thấp, hacker đã nắm giữ khóa riêng của 3 ký giả để thực hiện chữ ký ngoài chuỗi, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gợi mở sự phản tư trong ngành về thiết kế và cơ chế quản trị của ví đa chữ ký.
Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước cuộc tấn công này, hơn 1900 ETH đã bị đánh cắp. Điều này nhấn mạnh rằng các dự án Web3 cần nâng cao mức độ chú trọng đến an ninh.
9. Hedgey Finance gặp phải cuộc tấn công hợp đồng đa chuỗi
Số tiền mất mát: 44,7 triệu USD Hình thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhắm vào nhiều hợp đồng trên chuỗi. Những kẻ hacker đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút ra các token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44,7 triệu đô la. Sự kiện này cho thấy tầm quan trọng của việc kiểm tra mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt token.
10. Ví nóng của một sàn giao dịch nổi tiếng bị xâm nhập
Số tiền lỗ: 44.7 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, một sàn giao dịch nổi tiếng đã bị hacker tấn công vào ví nóng, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công này phản ánh tính rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung và thúc đẩy ngành khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện tấn công an ninh thường xuyên xảy ra trong năm 2024, một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo vệ an toàn. Từ việc rò rỉ khóa riêng tư đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến sự nâng cấp của các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại bài học sâu sắc. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần liên tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và kiểm soát rủi ro. Trong tương lai, chúng tôi hy vọng thông qua sự hợp tác trong ngành và đổi mới công nghệ, sẽ cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.