Điểm danh 10 sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024

Năm 2024, ngành công nghiệp blockchain đối mặt với những thách thức an ninh ngày càng nghiêm trọng, bên cạnh việc đổi mới công nghệ và mở rộng hệ sinh thái. Theo dữ liệu từ nền tảng giám sát, tính đến thời điểm hiện tại, tổng thiệt hại trong lĩnh vực Web3 do các cuộc tấn công của hacker, lừa đảo qua email và các dự án bỏ trốn đã lên tới 2,491 triệu USD.

Những sự kiện này không chỉ làm lộ ra những thiếu sót kỹ thuật như quản lý khóa riêng, lỗ hổng hợp đồng thông minh, mà còn làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ xem xét mười sự kiện an ninh hàng đầu của Web3 trong năm 2024, nhằm giúp ngành học hỏi từ những bài học, để ứng phó tốt hơn với những mối đe dọa an ninh trong tương lai.

1. DMM Bitcoin

Số tiền thiệt hại: 3.04 triệu đô la Mỹ Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã bị tấn công nghiêm trọng. Tin tặc đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến hơn 10 địa chỉ khác nhau. Sự kiện này đã phơi bày sự thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh đa lớp. Mặc dù sàn giao dịch đã cố gắng theo dõi tin tặc thông qua giám sát trên chuỗi và đóng băng tài sản, nhưng việc phân tán chuyển giao Bitcoin bị đánh cắp và việc sử dụng công cụ trộn tiền đã làm tăng đáng kể độ khó trong việc truy tìm.

Vào ngày 24 tháng 12, cảnh sát Nhật Bản xác nhận cuộc tấn công này được thực hiện bởi tổ chức hacker Lazarus Group của Triều Tiên.

2. PlayDapp

Số tiền thiệt hại: 290 triệu USD Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 9 tháng 2 năm 2024, PlayDapp đã bị tổn thất nặng nề. Hacker đã đánh cắp khóa riêng và đúc ra 2 tỷ token PLA, có giá trị ban đầu là 36,5 triệu đô la. Do dự án không thể thương lượng thành công với hacker, hacker sau đó đã đúc thêm 15,9 tỷ token PLA, trị giá 253,9 triệu đô la. Một phần token đã được đưa vào sàn giao dịch, PlayDapp buộc phải tạm ngừng hợp đồng PLA và chuyển sang hợp đồng token PDA. Sự kiện này làm nổi bật sự thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý khẩn cấp.

3. Một sàn giao dịch Ấn Độ

Số tiền mất mát: 2.35 triệu đô la Mỹ Hình thức tấn công: Tấn công mạng và lừa đảo

Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác. Kẻ tấn công đã sử dụng kỹ thuật kỹ thuật xã hội để dụ dỗ những người ký đa chữ ký ký vào một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển tất cả tài sản trong ví. Vụ việc này đã phơi bày những rủi ro tiềm ẩn trong việc quản lý cấu hình quyền hạn và độ minh bạch trong hoạt động của ví đa chữ ký, đồng thời kích thích suy nghĩ sâu sắc trong ngành về cơ chế kiểm soát rủi ro nội bộ và an ninh của dự án.

4. Gala Games

Số tiền tổn thất: 216 triệu USD Phương thức tấn công: Lỗ hổng kiểm soát truy cập

Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint của hợp đồng token để đúc một lần 5 tỷ GALA token. Sau đó, hacker đã đổi các token mới được đúc này thành ETH theo từng đợt, gây thiệt hại trực tiếp lên tới 216 triệu USD. Đội ngũ Gala Games đã khẩn trương kích hoạt tính năng danh sách đen để khóa một số tài khoản của hacker và đã khôi phục một phần thiệt hại thông qua các biện pháp pháp lý.

5. Ví cá nhân của đồng sáng lập Ripple

Số tiền lỗ: 112 triệu USD Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của người đồng sáng lập Ripple đã bị hacker xâm nhập, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ kép bằng thiết bị phần cứng. Sau sự cố, một nền tảng giao dịch đã thành công trong việc phong tỏa 4,2 triệu USD XRP và hỗ trợ truy tìm tài sản bị đánh cắp, nhưng phần lớn số tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.

6. Munchables

Số tiền lỗ: 62,5 triệu đô la Mỹ Hình thức tấn công: Tấn công kỹ thuật xã hội

Vào ngày 26 tháng 3 năm 2024, nền tảng game Web3 dựa trên Blast là Munchables đã gặp phải một cuộc tấn công thâm nhập nội bộ hiếm gặp. Kẻ tấn công là một hacker ngụy trang thành nhà phát triển blockchain, đã thu thập mã nguồn và khóa nhạy cảm thông qua việc ẩn nấp trong thời gian dài. Mặc dù cuộc tấn công gây ra tổn thất lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại tất cả số tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển của bên thứ ba.

7. Một sàn giao dịch Thổ Nhĩ Kỳ

Số tiền tổn thất: 55 triệu USD Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ đã bị tấn công do rò rỉ khóa riêng, dẫn đến thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự hỗ trợ của một nền tảng giao dịch, 5,3 triệu USD tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm sâu sắc thêm lo ngại của thị trường về quản lý khóa riêng của các sàn giao dịch tập trung.

8. Radiant Capital

Số tiền lỗ: 53 triệu USD Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 17 tháng 10 năm 2024, ví đa chữ ký của Radiant Capital đã bị hacker tấn công. Do sử dụng mô hình xác thực chữ ký 3/11 với ngưỡng thấp, hacker đã nắm giữ khóa riêng của 3 người ký và thực hiện chữ ký ngoại tuyến, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gây ra sự phản ánh trong ngành về thiết kế và cơ chế quản trị của ví đa chữ ký.

Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước cuộc tấn công lần này, với hơn 1900 ETH bị đánh cắp. Điều này lại một lần nữa cho thấy mức độ chú trọng đến an toàn của các dự án Web3 vẫn cần được nâng cao.

9. Hedgey Finance

Số tiền mất mát: 44,7 triệu đô la Mỹ Hình thức tấn công: Lỗi hợp đồng

Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã遭遇 một cuộc tấn công vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt của hợp đồng ClaimCampaigns, thành công rút ra các token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên đến 44,7 triệu đô la. Sự kiện này làm nổi bật tầm quan trọng của việc kiểm toán mã, đặc biệt là sự xác minh nghiêm ngặt đối với logic phê duyệt token.

10. Một sàn giao dịch tập trung

Số tiền thiệt hại: 44,7 triệu USD Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 19 tháng 9 năm 2024, ví nóng của một sàn giao dịch đã bị hacker xâm nhập, liên quan đến nhiều chuỗi công khai bao gồm Ethereum, BNB Chain, Tron, v.v. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu USD. Cuộc tấn công này lại phản ánh tính rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, và thúc đẩy ngành công nghiệp khám phá các giải pháp lưu trữ tài sản an toàn hơn.

Các sự kiện tấn công an ninh xảy ra thường xuyên vào năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể thiếu sự bảo vệ an toàn. Từ việc rò rỉ khóa riêng đến lỗ hổng hợp đồng, từ sự sơ suất trong quản lý nội bộ đến sự nâng cấp của các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại bài học sâu sắc. Để đối phó với các mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần phải tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và kiểm soát rủi ro. Trong tương lai, chúng ta hy vọng thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.