Tổng hợp và suy ngẫm về 10 sự kiện an ninh hàng đầu của Web3 năm 2024
Năm 2024, ngành công nghiệp blockchain không chỉ đối mặt với những thách thức an ninh ngày càng nghiêm trọng mà còn phải đổi mới công nghệ và mở rộng hệ sinh thái. Theo dữ liệu giám sát an ninh, tổng thiệt hại trong lĩnh vực Web3 năm nay do tấn công của hacker, lừa đảo qua email và các dự án bỏ trốn lên tới 2,491 triệu USD.
Những sự kiện này không chỉ phơi bày ra những thiếu sót kỹ thuật như quản lý khóa riêng, lỗ hổng hợp đồng thông minh, mà còn làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ xem xét mười sự kiện an ninh hàng đầu của Web3 trong năm 2024, nhằm rút ra bài học từ đó, cung cấp tham khảo cho việc bảo vệ an ninh của ngành trong tương lai.
1. DMM Bitcoin: Rò rỉ khóa riêng dẫn đến thiệt hại 304 triệu đô la
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp phải một cuộc tấn công nghiêm trọng. Hacker đã sử dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến nhiều địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo mật đa lớp.
Mặc dù các sàn giao dịch cố gắng theo dõi hackers thông qua việc giám sát trên chuỗi và đóng băng tài sản, nhưng bitcoin bị đánh cắp đã nhanh chóng được chuyển giao và rửa qua các công cụ trộn, làm tăng đáng kể độ khó trong việc thu hồi. Đáng chú ý, cảnh sát Nhật Bản vào ngày 24 tháng 12 đã xác nhận rằng sự kiện này do tổ chức hacker Triều Tiên Lazarus Group thực hiện.
2. PlayDapp: Rò rỉ khóa riêng dẫn đến thiệt hại 2,90 tỷ USD
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã gặp tổn thất lớn. Tin tặc đã đánh cắp khóa riêng và tạo ra 2 tỷ PLA token, có giá trị ban đầu là 36,5 triệu USD. Do bên dự án không thể đàm phán với tin tặc thành công, tin tặc đã tiếp tục tạo ra 15,9 tỷ PLA token, có giá trị 253,9 triệu USD. Một phần token bị đánh cắp đã được đưa vào sàn giao dịch, khiến PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng token PDA mới. Sự kiện này làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý tình huống khẩn cấp.
3. Một sàn giao dịch tiền điện tử Ấn Độ: Tấn công mạng và lừa đảo gây thiệt hại 235 triệu USD
Vào ngày 18 tháng 7 năm 2024, ví đa ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác. Kẻ tấn công đã sử dụng kỹ thuật kỹ thuật xã hội để lừa những người ký đa ký ký một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã nâng cấp để chuyển toàn bộ tài sản trong ví. Trường hợp này làm nổi bật những rủi ro tiềm ẩn của ví đa ký trong quản lý quyền hạn và tính minh bạch trong hoạt động, cũng như đã gợi lên những suy nghĩ sâu sắc trong ngành về quản lý rủi ro nội bộ và cơ chế an ninh của dự án.
4. Gala Games: Lỗ hổng kiểm soát truy cập dẫn đến thiệt hại 216 triệu đô la
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị tin tặc tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng mã thông báo, một lần tạo ra 5 tỷ GALA. Sau đó, tin tặc đã đổi từng đợt những mã thông báo này lấy ETH, gây ra thiệt hại trực tiếp lên đến 216 triệu USD. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một phần tài khoản của tin tặc và đã thu hồi một phần thiệt hại thông qua các biện pháp pháp lý.
5. Ví cá nhân của đồng sáng lập Ripple bị tấn công: 112 triệu USD XRP bị đánh cắp
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị tin tặc tấn công, dẫn đến việc 112 triệu đô la XRP bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ kép từ thiết bị phần cứng. Sau sự cố, một sàn giao dịch đã thành công trong việc đóng băng 4,2 triệu đô la XRP và hỗ trợ Larsen theo dõi tài sản bị đánh cắp, nhưng phần lớn số tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn tiền.
6. Munchables: Tấn công kỹ thuật xã hội gây ra tổn thất 62.5 triệu đô la
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast là Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm thấy. Kẻ tấn công là một hacker giả danh nhà phát triển blockchain, đã thu thập được mã nguồn và chìa khóa nhạy cảm thông qua việc ẩn náu lâu dài. Mặc dù cuộc tấn công gây ra thiệt hại lớn, nhưng dưới áp lực của cộng đồng và đội ngũ, kẻ tấn công cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này đã tiết lộ tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển bên thứ ba.
7. Một sàn giao dịch tiền điện tử của Thổ Nhĩ Kỳ: Rò rỉ khóa riêng dẫn đến thiệt hại 55 triệu đô la
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ đã bị tấn công do rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự hỗ trợ của đội ngũ từ một sàn giao dịch khác, 5,3 triệu USD tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm sâu sắc thêm mối lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị tin tặc tấn công. Do sử dụng chế độ xác minh chữ ký 3/11 với ngưỡng thấp, tin tặc đã nắm giữ khóa riêng của 3 người ký và thực hiện chữ ký ngoại tuyến, chuyển quyền sở hữu hợp đồng ví đến địa chỉ độc hại, cuối cùng dẫn đến việc bị đánh cắp 53 triệu đô la. Cuộc tấn công này đã gây ra sự phản ánh trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước cuộc tấn công này, với hơn 1900 ETH bị đánh cắp. Điều này một lần nữa nhấn mạnh rằng các dự án Web3 vẫn còn không gian để nâng cao mức độ chú trọng đến an ninh.
9. Hedgey Finance: Lỗ hổng hợp đồng gây ra thiệt hại 44.7 triệu USD
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhắm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt của hợp đồng ClaimCampaigns của họ, thành công rút tiền mã hóa trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên đến 44,7 triệu đô la. Sự kiện này nhấn mạnh tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh chặt chẽ logic phê duyệt token.
10. Một sàn giao dịch tiền điện tử: Ví nóng bị xâm nhập gây thiệt hại 44,7 triệu đô la
Vào ngày 19 tháng 9 năm 2024, ví nóng của một sàn giao dịch tiền điện tử đã bị tin tặc xâm nhập, liên quan đến nhiều chuỗi công cộng như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển đổi tài sản và đóng băng rút tiền, nhưng tin tặc đã thành công trong việc rút ra tài sản trị giá 44,7 triệu USD. Cuộc tấn công này phản ánh mức độ rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, và thúc đẩy ngành công nghiệp tìm kiếm các giải pháp lưu trữ tài sản an toàn hơn.
Kết luận
Các sự kiện tấn công an ninh gia tăng vào năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo vệ an toàn. Từ việc rò rỉ khóa riêng đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến sự nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại những bài học sâu sắc. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi kỳ vọng thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo vệ đáng tin cậy hơn cho người dùng và nhà đầu tư.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
7 thích
Phần thưởng
7
3
Chia sẻ
Bình luận
0/400
SocialAnxietyStaker
· 7giờ trước
Khóa riêng của chuyên nghiệp đều có thể bị đánh cắp à
Tổng quan 10 sự kiện an ninh trong Web3: thiệt hại lên tới 2.491 triệu đô la Mỹ vào năm 2024
Tổng hợp và suy ngẫm về 10 sự kiện an ninh hàng đầu của Web3 năm 2024
Năm 2024, ngành công nghiệp blockchain không chỉ đối mặt với những thách thức an ninh ngày càng nghiêm trọng mà còn phải đổi mới công nghệ và mở rộng hệ sinh thái. Theo dữ liệu giám sát an ninh, tổng thiệt hại trong lĩnh vực Web3 năm nay do tấn công của hacker, lừa đảo qua email và các dự án bỏ trốn lên tới 2,491 triệu USD.
Những sự kiện này không chỉ phơi bày ra những thiếu sót kỹ thuật như quản lý khóa riêng, lỗ hổng hợp đồng thông minh, mà còn làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ xem xét mười sự kiện an ninh hàng đầu của Web3 trong năm 2024, nhằm rút ra bài học từ đó, cung cấp tham khảo cho việc bảo vệ an ninh của ngành trong tương lai.
1. DMM Bitcoin: Rò rỉ khóa riêng dẫn đến thiệt hại 304 triệu đô la
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp phải một cuộc tấn công nghiêm trọng. Hacker đã sử dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến nhiều địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo mật đa lớp.
Mặc dù các sàn giao dịch cố gắng theo dõi hackers thông qua việc giám sát trên chuỗi và đóng băng tài sản, nhưng bitcoin bị đánh cắp đã nhanh chóng được chuyển giao và rửa qua các công cụ trộn, làm tăng đáng kể độ khó trong việc thu hồi. Đáng chú ý, cảnh sát Nhật Bản vào ngày 24 tháng 12 đã xác nhận rằng sự kiện này do tổ chức hacker Triều Tiên Lazarus Group thực hiện.
2. PlayDapp: Rò rỉ khóa riêng dẫn đến thiệt hại 2,90 tỷ USD
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã gặp tổn thất lớn. Tin tặc đã đánh cắp khóa riêng và tạo ra 2 tỷ PLA token, có giá trị ban đầu là 36,5 triệu USD. Do bên dự án không thể đàm phán với tin tặc thành công, tin tặc đã tiếp tục tạo ra 15,9 tỷ PLA token, có giá trị 253,9 triệu USD. Một phần token bị đánh cắp đã được đưa vào sàn giao dịch, khiến PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng token PDA mới. Sự kiện này làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý tình huống khẩn cấp.
3. Một sàn giao dịch tiền điện tử Ấn Độ: Tấn công mạng và lừa đảo gây thiệt hại 235 triệu USD
Vào ngày 18 tháng 7 năm 2024, ví đa ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác. Kẻ tấn công đã sử dụng kỹ thuật kỹ thuật xã hội để lừa những người ký đa ký ký một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã nâng cấp để chuyển toàn bộ tài sản trong ví. Trường hợp này làm nổi bật những rủi ro tiềm ẩn của ví đa ký trong quản lý quyền hạn và tính minh bạch trong hoạt động, cũng như đã gợi lên những suy nghĩ sâu sắc trong ngành về quản lý rủi ro nội bộ và cơ chế an ninh của dự án.
4. Gala Games: Lỗ hổng kiểm soát truy cập dẫn đến thiệt hại 216 triệu đô la
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị tin tặc tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng mã thông báo, một lần tạo ra 5 tỷ GALA. Sau đó, tin tặc đã đổi từng đợt những mã thông báo này lấy ETH, gây ra thiệt hại trực tiếp lên đến 216 triệu USD. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một phần tài khoản của tin tặc và đã thu hồi một phần thiệt hại thông qua các biện pháp pháp lý.
5. Ví cá nhân của đồng sáng lập Ripple bị tấn công: 112 triệu USD XRP bị đánh cắp
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị tin tặc tấn công, dẫn đến việc 112 triệu đô la XRP bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ kép từ thiết bị phần cứng. Sau sự cố, một sàn giao dịch đã thành công trong việc đóng băng 4,2 triệu đô la XRP và hỗ trợ Larsen theo dõi tài sản bị đánh cắp, nhưng phần lớn số tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn tiền.
6. Munchables: Tấn công kỹ thuật xã hội gây ra tổn thất 62.5 triệu đô la
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast là Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm thấy. Kẻ tấn công là một hacker giả danh nhà phát triển blockchain, đã thu thập được mã nguồn và chìa khóa nhạy cảm thông qua việc ẩn náu lâu dài. Mặc dù cuộc tấn công gây ra thiệt hại lớn, nhưng dưới áp lực của cộng đồng và đội ngũ, kẻ tấn công cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này đã tiết lộ tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển bên thứ ba.
7. Một sàn giao dịch tiền điện tử của Thổ Nhĩ Kỳ: Rò rỉ khóa riêng dẫn đến thiệt hại 55 triệu đô la
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ đã bị tấn công do rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự hỗ trợ của đội ngũ từ một sàn giao dịch khác, 5,3 triệu USD tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm sâu sắc thêm mối lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Radiant Capital: Lỗ hổng ví đa chữ ký dẫn đến thiệt hại 53 triệu USD
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị tin tặc tấn công. Do sử dụng chế độ xác minh chữ ký 3/11 với ngưỡng thấp, tin tặc đã nắm giữ khóa riêng của 3 người ký và thực hiện chữ ký ngoại tuyến, chuyển quyền sở hữu hợp đồng ví đến địa chỉ độc hại, cuối cùng dẫn đến việc bị đánh cắp 53 triệu đô la. Cuộc tấn công này đã gây ra sự phản ánh trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước cuộc tấn công này, với hơn 1900 ETH bị đánh cắp. Điều này một lần nữa nhấn mạnh rằng các dự án Web3 vẫn còn không gian để nâng cao mức độ chú trọng đến an ninh.
9. Hedgey Finance: Lỗ hổng hợp đồng gây ra thiệt hại 44.7 triệu USD
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhắm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt của hợp đồng ClaimCampaigns của họ, thành công rút tiền mã hóa trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên đến 44,7 triệu đô la. Sự kiện này nhấn mạnh tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh chặt chẽ logic phê duyệt token.
10. Một sàn giao dịch tiền điện tử: Ví nóng bị xâm nhập gây thiệt hại 44,7 triệu đô la
Vào ngày 19 tháng 9 năm 2024, ví nóng của một sàn giao dịch tiền điện tử đã bị tin tặc xâm nhập, liên quan đến nhiều chuỗi công cộng như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển đổi tài sản và đóng băng rút tiền, nhưng tin tặc đã thành công trong việc rút ra tài sản trị giá 44,7 triệu USD. Cuộc tấn công này phản ánh mức độ rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, và thúc đẩy ngành công nghiệp tìm kiếm các giải pháp lưu trữ tài sản an toàn hơn.
Kết luận
Các sự kiện tấn công an ninh gia tăng vào năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo vệ an toàn. Từ việc rò rỉ khóa riêng đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến sự nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại những bài học sâu sắc. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi kỳ vọng thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo vệ đáng tin cậy hơn cho người dùng và nhà đầu tư.