Tổng hợp 10 sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024
Năm 2024, ngành công nghiệp blockchain không chỉ đối mặt với những thách thức an ninh ngày càng nghiêm trọng trong khi đổi mới công nghệ và mở rộng hệ sinh thái. Theo dữ liệu từ một nền tảng giám sát an ninh, tính đến thời điểm hiện tại, tổng thiệt hại trong lĩnh vực Web3 vào năm 2024 do các cuộc tấn công của hacker, lừa đảo qua phishing và các dự án bỏ trốn đã lên tới 24,91 tỷ đô la.
Những sự kiện này không chỉ phơi bày các thiếu sót kỹ thuật trong việc quản lý khóa riêng, hợp đồng thông minh, mà còn làm nổi bật các rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ xem xét mười sự kiện an ninh hàng đầu của Web3 trong năm 2024, nhằm rút ra bài học kinh nghiệm và cung cấp tham khảo cho việc đối phó với các mối đe dọa an ninh trong tương lai.
1. DMM Bitcoin
Số tiền thiệt hại: 304 triệu đô la MỹPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền mã hóa nổi tiếng của Nhật Bản DMM Bitcoin đã遭遇 một cuộc tấn công nghiêm trọng. Hacker đã sử dụng các khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu USD Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến hơn 10 địa chỉ khác nhau. Sự kiện này đã phơi bày những lỗ hổng nghiêm trọng trong quản lý khóa riêng và bảo mật đa lớp của sàn giao dịch này. Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng tài sản, nhưng do Bitcoin bị đánh cắp đã được phân tán chuyển đi và rửa qua công cụ trộn coin, công việc theo dõi gặp phải những thách thức lớn.
Cần lưu ý rằng vào ngày 24 tháng 12, các cơ quan thực thi pháp luật Nhật Bản đã xác nhận rằng sự kiện tấn công này được thực hiện bởi một tổ chức hacker quốc tế.
2. PlayDapp
Số tiền tổn thất: 290 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Ngày 9 tháng 2 năm 2024, PlayDapp bị tấn công nặng nề. Hacker đã đánh cắp khóa riêng và đúc ra 2 tỷ token PLA, trị giá ban đầu 36,5 triệu đô la Mỹ. Do bên dự án không thể thương lượng với hacker, hacker đã đúc thêm 15,9 tỷ token PLA nữa, trị giá 253,9 triệu đô la Mỹ. Một phần token bị đánh cắp đã rơi vào một sàn giao dịch, PlayDapp buộc phải tạm ngừng hợp đồng PLA và chuyển sang hợp đồng token PDA mới. Sự kiện này làm nổi bật sự thiếu sót trong việc bảo vệ khóa riêng và xử lý khẩn cấp của các dự án blockchain.
3. Một sàn giao dịch tiền điện tử Ấn Độ
Số tiền lỗ: 2.35 triệu đô la MỹPhương thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký của Safe Wallet, sàn giao dịch tiền điện tử lớn nhất Ấn Độ, đã bị tấn công chính xác. Kẻ tấn công đã sử dụng kỹ thuật kỹ thuật xã hội để dụ dỗ những người ký đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví. Vụ việc này đã làm lộ ra những rủi ro tiềm ẩn về cấu hình quyền hạn và tính minh bạch trong hoạt động của ví đa chữ ký, đồng thời cũng đã gây ra sự suy ngẫm sâu sắc trong ngành về cơ chế kiểm soát và an ninh nội bộ của dự án.
4. Gala Games
Số tiền thiệt hại: 216 triệu USDPhương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị tin tặc tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng token, một lần đã tạo ra 5 tỷ GALA token. Sau đó, kẻ tấn công đã đổi những token phát hành thêm này thành ETH theo từng đợt, dẫn đến thiệt hại trực tiếp lên tới 216 triệu USD. Nhóm Gala Games đã nhanh chóng kích hoạt tính năng danh sách đen để chặn một số tài khoản của kẻ tấn công và đã thu hồi một phần thiệt hại thông qua con đường pháp lý.
5. Đồng sáng lập của một công ty tiền điện tử
Số tiền lỗ: 112 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của một trong những người đồng sáng lập của một công ty tiền điện tử nổi tiếng đã bị hacker tấn công, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ hai lớp thiết bị phần cứng. Sau sự cố, một sàn giao dịch lớn đã thành công trong việc đóng băng 4,2 triệu USD XRP và hỗ trợ theo dõi tài sản bị đánh cắp, nhưng phần lớn số tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables
Số tiền tổn thất: 62,5 triệu đô laPhương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast có tên Munchables đã chịu một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công đã giả dạng thành lập trình viên blockchain, qua một thời gian dài ẩn mình để lấy được mã nguồn và các khóa nhạy cảm. Mặc dù cuộc tấn công gây ra tổn thất lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển từ bên thứ ba.
7. Sàn giao dịch tiền điện tử tại Thổ Nhĩ Kỳ
Số tiền tổn thất: 55 triệu đô la MỹPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ đã遭遇 một cuộc tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu đô la Mỹ về tài sản tiền điện tử. Với sự hỗ trợ của một nền tảng giao dịch lớn, 5,3 triệu đô la Mỹ từ số tiền bị đánh cắp đã được đông lạnh thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm tăng lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Radiant Capital
Số tiền tổn thất: 53 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị tin tặc tấn công. Do áp dụng mô hình xác thực chữ ký 3/11 với ngưỡng thấp, tin tặc đã nắm giữ khóa riêng của 3 người ký để thực hiện chữ ký ngoại tuyến, chuyển quyền sở hữu hợp đồng ví đến địa chỉ độc hại, dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gợi lên sự suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng, Radiant Capital trước đây đã mất 4,5 triệu đô la do lỗ hổng hợp đồng, hơn 1900 ETH đã bị đánh cắp. Điều này một lần nữa nhấn mạnh rằng mức độ chú trọng đến an ninh của các dự án Web3 vẫn cần được nâng cao.
9. Hedgey Finance
Số tiền lỗ: 44,7 triệu USDPhương thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã遭遇 một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Kẻ tấn công đã lợi dụng lỗ hổng phê duyệt của hợp đồng ClaimCampaigns, thành công trong việc rút tiền mã hóa trên hai chuỗi Ethereum và Arbitrum, tổng số tiền thiệt hại lên tới 44,7 triệu đô la. Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của việc kiểm tra mã, đặc biệt là việc xác minh logic phê duyệt token một cách nghiêm ngặt.
10. Một nền tảng giao dịch tiền điện tử
Số tiền tổn thất: 44,7 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, một nền tảng giao dịch tiền điện tử nổi tiếng đã bị hacker xâm nhập vào ví nóng, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng kích hoạt cơ chế chuyển giao tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu USD. Cuộc tấn công này lại phản ánh tính rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, đồng thời thúc đẩy ngành công nghiệp khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện an ninh xảy ra thường xuyên trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo đảm an toàn. Từ việc rò rỉ khóa riêng tư đến lỗ hổng hợp đồng, từ sự chểnh mảng trong quản lý nội bộ đến sự nâng cấp của các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại những bài học sâu sắc. Để đối phó với các mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và kiểm soát rủi ro. Trong tương lai, chúng tôi hy vọng thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 thích
Phần thưởng
10
7
Đăng lại
Chia sẻ
Bình luận
0/400
MondayYoloFridayCry
· 33phút trước
Lại không có tiền để chơi nữa.
Xem bản gốcTrả lời0
TommyTeacher1
· 21giờ trước
25 tỷ đô la Mỹ đã mất, ai chịu trách nhiệm đây?
Xem bản gốcTrả lời0
MevHunter
· 08-14 18:20
Lại là rò rỉ khóa riêng? Người ngu tiền nhiều quá.
Xem bản gốcTrả lời0
FudVaccinator
· 08-14 18:19
Ôi, thế giới tiền điện tử một năm chơi đùa với mọi người một lần.
Xem bản gốcTrả lời0
NFTRegretter
· 08-14 18:13
Càng đen càng lỗ, mỗi năm càng hấp dẫn hơn.
Xem bản gốcTrả lời0
defi_detective
· 08-14 18:12
Thật là vô lý, lại trở thành một cuộc thi chơi đùa với mọi người.
10 sự kiện an ninh Web3 hàng đầu năm 2024: Thiệt hại gần 2,5 tỷ USD DMM Bitcoin遭遇 300 triệu USD Hacker tấn công
Tổng hợp 10 sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024
Năm 2024, ngành công nghiệp blockchain không chỉ đối mặt với những thách thức an ninh ngày càng nghiêm trọng trong khi đổi mới công nghệ và mở rộng hệ sinh thái. Theo dữ liệu từ một nền tảng giám sát an ninh, tính đến thời điểm hiện tại, tổng thiệt hại trong lĩnh vực Web3 vào năm 2024 do các cuộc tấn công của hacker, lừa đảo qua phishing và các dự án bỏ trốn đã lên tới 24,91 tỷ đô la.
Những sự kiện này không chỉ phơi bày các thiếu sót kỹ thuật trong việc quản lý khóa riêng, hợp đồng thông minh, mà còn làm nổi bật các rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ xem xét mười sự kiện an ninh hàng đầu của Web3 trong năm 2024, nhằm rút ra bài học kinh nghiệm và cung cấp tham khảo cho việc đối phó với các mối đe dọa an ninh trong tương lai.
1. DMM Bitcoin
Số tiền thiệt hại: 304 triệu đô la Mỹ Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền mã hóa nổi tiếng của Nhật Bản DMM Bitcoin đã遭遇 một cuộc tấn công nghiêm trọng. Hacker đã sử dụng các khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu USD Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến hơn 10 địa chỉ khác nhau. Sự kiện này đã phơi bày những lỗ hổng nghiêm trọng trong quản lý khóa riêng và bảo mật đa lớp của sàn giao dịch này. Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng tài sản, nhưng do Bitcoin bị đánh cắp đã được phân tán chuyển đi và rửa qua công cụ trộn coin, công việc theo dõi gặp phải những thách thức lớn.
Cần lưu ý rằng vào ngày 24 tháng 12, các cơ quan thực thi pháp luật Nhật Bản đã xác nhận rằng sự kiện tấn công này được thực hiện bởi một tổ chức hacker quốc tế.
2. PlayDapp
Số tiền tổn thất: 290 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Ngày 9 tháng 2 năm 2024, PlayDapp bị tấn công nặng nề. Hacker đã đánh cắp khóa riêng và đúc ra 2 tỷ token PLA, trị giá ban đầu 36,5 triệu đô la Mỹ. Do bên dự án không thể thương lượng với hacker, hacker đã đúc thêm 15,9 tỷ token PLA nữa, trị giá 253,9 triệu đô la Mỹ. Một phần token bị đánh cắp đã rơi vào một sàn giao dịch, PlayDapp buộc phải tạm ngừng hợp đồng PLA và chuyển sang hợp đồng token PDA mới. Sự kiện này làm nổi bật sự thiếu sót trong việc bảo vệ khóa riêng và xử lý khẩn cấp của các dự án blockchain.
3. Một sàn giao dịch tiền điện tử Ấn Độ
Số tiền lỗ: 2.35 triệu đô la Mỹ Phương thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký của Safe Wallet, sàn giao dịch tiền điện tử lớn nhất Ấn Độ, đã bị tấn công chính xác. Kẻ tấn công đã sử dụng kỹ thuật kỹ thuật xã hội để dụ dỗ những người ký đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví. Vụ việc này đã làm lộ ra những rủi ro tiềm ẩn về cấu hình quyền hạn và tính minh bạch trong hoạt động của ví đa chữ ký, đồng thời cũng đã gây ra sự suy ngẫm sâu sắc trong ngành về cơ chế kiểm soát và an ninh nội bộ của dự án.
4. Gala Games
Số tiền thiệt hại: 216 triệu USD Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị tin tặc tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng token, một lần đã tạo ra 5 tỷ GALA token. Sau đó, kẻ tấn công đã đổi những token phát hành thêm này thành ETH theo từng đợt, dẫn đến thiệt hại trực tiếp lên tới 216 triệu USD. Nhóm Gala Games đã nhanh chóng kích hoạt tính năng danh sách đen để chặn một số tài khoản của kẻ tấn công và đã thu hồi một phần thiệt hại thông qua con đường pháp lý.
5. Đồng sáng lập của một công ty tiền điện tử
Số tiền lỗ: 112 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của một trong những người đồng sáng lập của một công ty tiền điện tử nổi tiếng đã bị hacker tấn công, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ hai lớp thiết bị phần cứng. Sau sự cố, một sàn giao dịch lớn đã thành công trong việc đóng băng 4,2 triệu USD XRP và hỗ trợ theo dõi tài sản bị đánh cắp, nhưng phần lớn số tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables
Số tiền tổn thất: 62,5 triệu đô la Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast có tên Munchables đã chịu một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công đã giả dạng thành lập trình viên blockchain, qua một thời gian dài ẩn mình để lấy được mã nguồn và các khóa nhạy cảm. Mặc dù cuộc tấn công gây ra tổn thất lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển từ bên thứ ba.
7. Sàn giao dịch tiền điện tử tại Thổ Nhĩ Kỳ
Số tiền tổn thất: 55 triệu đô la Mỹ Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ đã遭遇 một cuộc tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu đô la Mỹ về tài sản tiền điện tử. Với sự hỗ trợ của một nền tảng giao dịch lớn, 5,3 triệu đô la Mỹ từ số tiền bị đánh cắp đã được đông lạnh thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm tăng lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Radiant Capital
Số tiền tổn thất: 53 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị tin tặc tấn công. Do áp dụng mô hình xác thực chữ ký 3/11 với ngưỡng thấp, tin tặc đã nắm giữ khóa riêng của 3 người ký để thực hiện chữ ký ngoại tuyến, chuyển quyền sở hữu hợp đồng ví đến địa chỉ độc hại, dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gợi lên sự suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng, Radiant Capital trước đây đã mất 4,5 triệu đô la do lỗ hổng hợp đồng, hơn 1900 ETH đã bị đánh cắp. Điều này một lần nữa nhấn mạnh rằng mức độ chú trọng đến an ninh của các dự án Web3 vẫn cần được nâng cao.
9. Hedgey Finance
Số tiền lỗ: 44,7 triệu USD Phương thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã遭遇 một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Kẻ tấn công đã lợi dụng lỗ hổng phê duyệt của hợp đồng ClaimCampaigns, thành công trong việc rút tiền mã hóa trên hai chuỗi Ethereum và Arbitrum, tổng số tiền thiệt hại lên tới 44,7 triệu đô la. Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của việc kiểm tra mã, đặc biệt là việc xác minh logic phê duyệt token một cách nghiêm ngặt.
10. Một nền tảng giao dịch tiền điện tử
Số tiền tổn thất: 44,7 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, một nền tảng giao dịch tiền điện tử nổi tiếng đã bị hacker xâm nhập vào ví nóng, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng kích hoạt cơ chế chuyển giao tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu USD. Cuộc tấn công này lại phản ánh tính rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, đồng thời thúc đẩy ngành công nghiệp khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện an ninh xảy ra thường xuyên trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo đảm an toàn. Từ việc rò rỉ khóa riêng tư đến lỗ hổng hợp đồng, từ sự chểnh mảng trong quản lý nội bộ đến sự nâng cấp của các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại những bài học sâu sắc. Để đối phó với các mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và kiểm soát rủi ro. Trong tương lai, chúng tôi hy vọng thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.