Tổng hợp 10 sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024
Năm 2024, ngành công nghiệp blockchain trong khi phát triển đổi mới cũng phải đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo dữ liệu từ nền tảng giám sát, tính đến hiện tại, tổng thiệt hại trong lĩnh vực Web3 do tấn công của hacker, lừa đảo và các bên dự án bỏ trốn lên tới 2,491 triệu USD.
Những sự kiện này không chỉ phơi bày những thiếu sót về mặt kỹ thuật, chẳng hạn như quản lý khóa riêng và lỗ hổng hợp đồng thông minh, mà còn làm nổi bật những rủi ro tiềm ẩn trong kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ điểm lại mười sự kiện an ninh hàng đầu trong Web3 năm 2024, nhằm giúp ngành học hỏi từ những bài học, tốt hơn trong việc đối phó với những mối đe dọa an ninh trong tương lai.
1. DMM Bitcoin
Số tiền tổn thất: 3.04 triệu đô la MỹPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp một cuộc tấn công nghiêm trọng. Tin tặc đã lợi dụng khóa riêng bị rò rỉ để chuyển thẳng hơn 300 triệu USD Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến hơn 10 địa chỉ khác nhau. Sự cố này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo mật đa lớp. Mặc dù sàn giao dịch đã cố gắng theo dõi tin tặc thông qua giám sát trên chuỗi và đóng băng tài sản, nhưng việc theo dõi gặp nhiều thách thức lớn do số tiền đã bị phân tán và sử dụng công cụ trộn tiền để rửa.
Ngày 24 tháng 12, cảnh sát Nhật Bản xác nhận cuộc tấn công này được thực hiện bởi một tổ chức hacker nào đó.
2. PlayDapp
Số tiền lỗ: 290 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã bị tấn công nặng nề. Kẻ tấn công đã đánh cắp khóa riêng và đúc ra 2 tỷ token PLA, có giá trị ban đầu là 36,5 triệu đô la Mỹ. Do thương lượng với hacker không thành công, hacker đã tiếp tục đúc thêm 15,9 tỷ token PLA, có giá trị 253,9 triệu đô la Mỹ. Một phần token bị đánh cắp đã chảy vào sàn giao dịch, buộc PlayDapp phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng token PDA mới. Sự kiện này làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý sự cố.
3. WazirX
Số tiền lỗ: 235 triệu USDHình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa ký của sàn giao dịch tiền điện tử lớn nhất Ấn Độ WazirX đã bị tấn công chính xác. Kẻ tấn công đã sử dụng phương pháp kỹ thuật xã hội để lừa những người ký đa ký ký một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví. Vụ việc này đã vạch trần những rủi ro tiềm ẩn trong việc quản lý cấu hình quyền hạn và tính minh bạch trong hoạt động của ví đa ký, đồng thời kích thích sự suy nghĩ sâu sắc trong ngành về cơ chế kiểm soát rủi ro và an ninh nội bộ của các dự án.
4. Gala Games
Số tiền tổn thất: 216 triệu USDPhương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị tin tặc tấn công. Kẻ tấn công đã gọi hàm mint của hợp đồng token để đúc một lần 5 tỷ GALA token. Sau đó, những token tăng thêm này đã được đổi thành ETH theo từng đợt, dẫn đến thiệt hại trực tiếp 216 triệu đô la. Đội ngũ Gala Games đã khẩn cấp kích hoạt chức năng danh sách đen để khóa một số tài khoản của tin tặc và đã khôi phục được một phần thiệt hại thông qua các biện pháp pháp lý.
5. Đồng sáng lập Ripple bị tấn công
Số tiền thua lỗ: 112 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của người đồng sáng lập Ripple đã bị tin tặc tấn công, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu sự bảo vệ kép của thiết bị phần cứng. Sau sự kiện, một sàn giao dịch đã thành công trong việc đóng băng 4,2 triệu USD XRP và hỗ trợ theo dõi tài sản bị đánh cắp, nhưng phần lớn số tiền đã được rửa thông qua sàn giao dịch phi tập trung và dịch vụ trộn tiền.
6. Munchables
Số tiền mất mát: 62,5 triệu đô la MỹPhương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast có tên Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công đã giả mạo thành một nhà phát triển blockchain, thông qua việc ẩn nấp trong thời gian dài để lấy được mã nguồn và khóa nhạy cảm. Mặc dù đã gây ra tổn thất lớn, nhưng dưới áp lực của cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển của bên thứ ba.
7. BtcTurk
Số tiền lỗ: 55 triệu đô la MỹPhương thức tấn công: Rò rỉ khóa bí mật
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ BtcTurk đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự hỗ trợ của một đội ngũ từ một sàn giao dịch khác, 5,3 triệu USD quỹ bị đánh cắp đã được phong tỏa thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Radiant Capital
Số tiền mất mát: 53 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị tin tặc tấn công. Do áp dụng mô hình xác thực chữ ký với ngưỡng thấp 3/11, tin tặc đã nắm giữ khóa riêng của 3 người ký và thực hiện chữ ký ngoại tuyến, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, dẫn đến việc đánh cắp 53 triệu đô la. Cuộc tấn công này đã gây ra sự suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước khi cuộc tấn công này xảy ra, với hơn 1900 ETH bị đánh cắp, cho thấy mức độ chú trọng của các dự án Web3 đối với an ninh vẫn cần được cải thiện.
9. Hedgey Finance
Số tiền mất mát: 44,7 triệu USDPhương thức tấn công: Lỗi hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã遭遇 một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Hacker đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên đến 44,7 triệu USD. Sự kiện này đã nhấn mạnh tầm quan trọng của việc kiểm tra mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt token.
10. BingX
Số tiền tổn thất: 44,7 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, ví nóng của một sàn giao dịch đã bị hacker xâm nhập, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển giao tài sản và đóng băng rút tiền, hacker vẫn thành công trong việc rút ra tài sản trị giá 44,7 triệu USD. Cuộc tấn công này phản ánh tính rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung và thúc đẩy ngành công nghiệp tìm kiếm các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện tấn công an ninh xảy ra thường xuyên trong năm 2024 lại một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi bảo đảm an ninh. Từ việc rò rỉ khóa riêng đến lỗ hổng hợp đồng, từ sự sơ suất trong quản lý nội bộ đến việc nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại những bài học sâu sắc. Để đối phó với các mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần liên tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi mong đợi thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
12 thích
Phần thưởng
12
5
Chia sẻ
Bình luận
0/400
OnchainUndercover
· 6phút trước
Lại là lỗi của người khác do khóa riêng~
Xem bản gốcTrả lời0
RugpullTherapist
· 07-26 05:26
Lại thấy con số lỗ, lỗ hổng hợp đồng sẽ mãi không sửa xong.
Xem bản gốcTrả lời0
GateUser-a180694b
· 07-26 05:24
Mất mát cũng quá vô lý rồi.
Xem bản gốcTrả lời0
MetadataExplorer
· 07-26 05:20
Lỗ hổng thật sự nhiều quá đi.
Xem bản gốcTrả lời0
RugPullAlarm
· 07-26 05:07
Dữ liệu đường cong cũ đã quen thuộc, lại một năm lịch sử nước mắt và máu của đồ ngốc.
Tổng hợp 10 sự kiện an ninh Web3 năm 2024, thiệt hại 2.491 triệu USD
Tổng hợp 10 sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024
Năm 2024, ngành công nghiệp blockchain trong khi phát triển đổi mới cũng phải đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo dữ liệu từ nền tảng giám sát, tính đến hiện tại, tổng thiệt hại trong lĩnh vực Web3 do tấn công của hacker, lừa đảo và các bên dự án bỏ trốn lên tới 2,491 triệu USD.
Những sự kiện này không chỉ phơi bày những thiếu sót về mặt kỹ thuật, chẳng hạn như quản lý khóa riêng và lỗ hổng hợp đồng thông minh, mà còn làm nổi bật những rủi ro tiềm ẩn trong kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ điểm lại mười sự kiện an ninh hàng đầu trong Web3 năm 2024, nhằm giúp ngành học hỏi từ những bài học, tốt hơn trong việc đối phó với những mối đe dọa an ninh trong tương lai.
1. DMM Bitcoin
Số tiền tổn thất: 3.04 triệu đô la Mỹ Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp một cuộc tấn công nghiêm trọng. Tin tặc đã lợi dụng khóa riêng bị rò rỉ để chuyển thẳng hơn 300 triệu USD Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến hơn 10 địa chỉ khác nhau. Sự cố này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo mật đa lớp. Mặc dù sàn giao dịch đã cố gắng theo dõi tin tặc thông qua giám sát trên chuỗi và đóng băng tài sản, nhưng việc theo dõi gặp nhiều thách thức lớn do số tiền đã bị phân tán và sử dụng công cụ trộn tiền để rửa.
Ngày 24 tháng 12, cảnh sát Nhật Bản xác nhận cuộc tấn công này được thực hiện bởi một tổ chức hacker nào đó.
2. PlayDapp
Số tiền lỗ: 290 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã bị tấn công nặng nề. Kẻ tấn công đã đánh cắp khóa riêng và đúc ra 2 tỷ token PLA, có giá trị ban đầu là 36,5 triệu đô la Mỹ. Do thương lượng với hacker không thành công, hacker đã tiếp tục đúc thêm 15,9 tỷ token PLA, có giá trị 253,9 triệu đô la Mỹ. Một phần token bị đánh cắp đã chảy vào sàn giao dịch, buộc PlayDapp phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng token PDA mới. Sự kiện này làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý sự cố.
3. WazirX
Số tiền lỗ: 235 triệu USD Hình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa ký của sàn giao dịch tiền điện tử lớn nhất Ấn Độ WazirX đã bị tấn công chính xác. Kẻ tấn công đã sử dụng phương pháp kỹ thuật xã hội để lừa những người ký đa ký ký một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví. Vụ việc này đã vạch trần những rủi ro tiềm ẩn trong việc quản lý cấu hình quyền hạn và tính minh bạch trong hoạt động của ví đa ký, đồng thời kích thích sự suy nghĩ sâu sắc trong ngành về cơ chế kiểm soát rủi ro và an ninh nội bộ của các dự án.
4. Gala Games
Số tiền tổn thất: 216 triệu USD Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị tin tặc tấn công. Kẻ tấn công đã gọi hàm mint của hợp đồng token để đúc một lần 5 tỷ GALA token. Sau đó, những token tăng thêm này đã được đổi thành ETH theo từng đợt, dẫn đến thiệt hại trực tiếp 216 triệu đô la. Đội ngũ Gala Games đã khẩn cấp kích hoạt chức năng danh sách đen để khóa một số tài khoản của tin tặc và đã khôi phục được một phần thiệt hại thông qua các biện pháp pháp lý.
5. Đồng sáng lập Ripple bị tấn công
Số tiền thua lỗ: 112 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của người đồng sáng lập Ripple đã bị tin tặc tấn công, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu sự bảo vệ kép của thiết bị phần cứng. Sau sự kiện, một sàn giao dịch đã thành công trong việc đóng băng 4,2 triệu USD XRP và hỗ trợ theo dõi tài sản bị đánh cắp, nhưng phần lớn số tiền đã được rửa thông qua sàn giao dịch phi tập trung và dịch vụ trộn tiền.
6. Munchables
Số tiền mất mát: 62,5 triệu đô la Mỹ Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast có tên Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công đã giả mạo thành một nhà phát triển blockchain, thông qua việc ẩn nấp trong thời gian dài để lấy được mã nguồn và khóa nhạy cảm. Mặc dù đã gây ra tổn thất lớn, nhưng dưới áp lực của cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển của bên thứ ba.
7. BtcTurk
Số tiền lỗ: 55 triệu đô la Mỹ Phương thức tấn công: Rò rỉ khóa bí mật
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ BtcTurk đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự hỗ trợ của một đội ngũ từ một sàn giao dịch khác, 5,3 triệu USD quỹ bị đánh cắp đã được phong tỏa thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Radiant Capital
Số tiền mất mát: 53 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị tin tặc tấn công. Do áp dụng mô hình xác thực chữ ký với ngưỡng thấp 3/11, tin tặc đã nắm giữ khóa riêng của 3 người ký và thực hiện chữ ký ngoại tuyến, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, dẫn đến việc đánh cắp 53 triệu đô la. Cuộc tấn công này đã gây ra sự suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước khi cuộc tấn công này xảy ra, với hơn 1900 ETH bị đánh cắp, cho thấy mức độ chú trọng của các dự án Web3 đối với an ninh vẫn cần được cải thiện.
9. Hedgey Finance
Số tiền mất mát: 44,7 triệu USD Phương thức tấn công: Lỗi hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã遭遇 một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Hacker đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên đến 44,7 triệu USD. Sự kiện này đã nhấn mạnh tầm quan trọng của việc kiểm tra mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt token.
10. BingX
Số tiền tổn thất: 44,7 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, ví nóng của một sàn giao dịch đã bị hacker xâm nhập, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển giao tài sản và đóng băng rút tiền, hacker vẫn thành công trong việc rút ra tài sản trị giá 44,7 triệu USD. Cuộc tấn công này phản ánh tính rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung và thúc đẩy ngành công nghiệp tìm kiếm các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện tấn công an ninh xảy ra thường xuyên trong năm 2024 lại một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi bảo đảm an ninh. Từ việc rò rỉ khóa riêng đến lỗ hổng hợp đồng, từ sự sơ suất trong quản lý nội bộ đến việc nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại những bài học sâu sắc. Để đối phó với các mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần liên tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi mong đợi thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.