Tổng hợp 10 sự cố an ninh trong lĩnh vực Web3 năm 2024
Với sự phát triển không ngừng của công nghệ blockchain, ngành Web3 vào năm 2024 vừa đổi mới vừa mở rộng, đồng thời cũng phải đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo số liệu từ nền tảng dữ liệu, tính đến cuối năm, tổng thiệt hại trong lĩnh vực Web3 do tấn công của hacker, lừa đảo và các dự án bỏ trốn gây ra lên tới 2.491 triệu USD.
Các sự kiện này không chỉ phơi bày những khiếm khuyết kỹ thuật trong quản lý khóa riêng, hợp đồng thông minh mà còn làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ điểm lại mười sự kiện an ninh hàng đầu trong Web3 năm 2024, nhằm giúp ngành học hỏi từ những bài học này, để ứng phó tốt hơn với các mối đe dọa an ninh trong tương lai.
1. Một sàn giao dịch tiền điện tử của Nhật Bản đã gặp phải cuộc tấn công nghiêm trọng
Số tiền lỗ: 304 triệu đô la Mỹ
Hình thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, một sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản đã gặp phải một cuộc tấn công lịch sử. Tin tặc đã lợi dụng khóa riêng bị rò rỉ để trực tiếp chuyển hơn 300 triệu đô la Bitcoin và nhanh chóng phân tán số tiền bị đánh cắp vào hơn 10 địa chỉ khác nhau. Sự kiện này đã phơi bày sự thiếu hụt nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh đa lớp. Mặc dù sàn giao dịch đã cố gắng theo dõi tin tặc thông qua giám sát trên chuỗi và đóng băng tiền, nhưng Bitcoin bị đánh cắp đã được phân tán chuyển đổi và rửa bằng các công cụ trộn tiền, tạo ra thách thức lớn cho công việc truy dấu.
Vào cuối năm, cảnh sát Nhật Bản xác nhận rằng cuộc tấn công này được thực hiện bởi một tổ chức hacker nào đó của Triều Tiên.
2. PlayDapp bị tổn thất nặng nề
Số tiền mất mát: 290 triệu USD
Hình thức tấn công: Rò rỉ khóa riêng
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã遭 phải một cuộc tấn công nghiêm trọng. Tin tặc đã lấy cắp khóa riêng để đúc ra 2 tỷ PLA token, có giá trị ban đầu là 36.5 triệu USD. Do thương lượng với tin tặc thất bại, tin tặc sau đó đã đúc thêm 15.9 tỷ PLA token, có giá trị 253.9 triệu USD. Một phần token đã được đưa vào sàn giao dịch, PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng token mới. Sự kiện này đã làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và ứng phó khẩn cấp.
3. Một sàn giao dịch tiền điện tử Ấn Độ bị tấn công chính xác
Số tiền thiệt hại: 235 triệu USD
Phương thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác bởi tin tặc. Kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để dụ dỗ những người ký chữ ký đa chữ ký ký vào một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví. Vụ việc này đã làm lộ ra những rủi ro tiềm ẩn của ví đa chữ ký trong việc cấu hình quyền hạn và tính minh bạch trong hoạt động, cũng như đã khơi dậy những suy nghĩ sâu sắc trong ngành về nội bộ quản lý rủi ro và cơ chế an ninh của dự án.
4. Gala Games gặp phải cuộc tấn công phát hành token
Số tiền lỗ: 216 triệu USD
Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng mã thông báo, một lần đã đúc ra 5 tỷ GALA token. Hacker sau đó đã đổi những mã thông báo này lấy ETH theo từng đợt, gây ra thiệt hại trực tiếp 216 triệu USD. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một phần tài khoản của hacker và đã lấy lại một phần thiệt hại thông qua các biện pháp pháp lý.
5. Người sáng lập một dự án tiền điện tử nổi tiếng gặp phải cuộc tấn công vào ví cá nhân
Số tiền tổn thất: 112 triệu USD
Hình thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của một trong những người đồng sáng lập dự án tiền kỹ thuật số nổi tiếng đã bị hacker tấn công, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu sự bảo vệ kép bằng thiết bị phần cứng. Sau sự việc, một sàn giao dịch lớn đã thành công trong việc đóng băng 4.2 triệu USD XRP và hỗ trợ truy tìm tài sản bị đánh cắp, nhưng phần lớn số tiền đã bị rửa thông qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables gặp phải tấn công thâm nhập nội bộ
Số tiền lỗ: 62,5 triệu USD
Cách tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng Web3 dựa trên Blast là Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công là một hacker giả dạng nhà phát triển blockchain, đã thâm nhập lâu dài để lấy được mã lõi và khóa nhạy cảm. Mặc dù cuộc tấn công đã gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại tất cả các khoản tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển của bên thứ ba.
7. Một sàn giao dịch tiền điện tử ở Thổ Nhĩ Kỳ gặp phải sự rò rỉ khóa riêng
Số tiền thiệt hại: 55 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ đã bị tấn công do rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự hỗ trợ của một sàn giao dịch lớn, 5,3 triệu USD tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm sâu sắc thêm lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa chữ ký Radiant Capital bị tấn công
Số tiền tổn thất: 53 triệu USD
Hình thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa chữ ký của Radiant Capital đã bị hacker tấn công. Do áp dụng mô hình xác thực chữ ký 3/11 với ngưỡng thấp, hacker đã kiểm soát được khóa riêng của 3 người ký và thực hiện chữ ký ngoại tuyến, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, dẫn đến việc bị đánh cắp 53 triệu đô la. Cuộc tấn công này đã gây ra sự suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa chữ ký.
Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước cuộc tấn công này, hơn 1900 ETH đã bị đánh cắp. Điều này một lần nữa nhắc nhở các dự án Web3 cần chú trọng hơn đến vấn đề an ninh.
9. Hedgey Finance gặp phải cuộc tấn công hợp đồng đa chuỗi
Số tiền lỗ: 44,7 triệu đô la Mỹ
Hình thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút ra các token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44,7 triệu đô la. Sự kiện này làm nổi bật tầm quan trọng của việc kiểm tra mã, đặc biệt là việc xác minh chặt chẽ logic phê duyệt token.
10. Ví nóng của một sàn giao dịch tiền điện tử bị xâm nhập
Số tiền thua lỗ: 44,7 triệu USD
Hình thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, ví nóng của một sàn giao dịch tiền điện tử đã bị hacker xâm nhập, liên quan đến nhiều chuỗi công khai bao gồm Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển giao tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu USD. Cuộc tấn công này phản ánh tính rủi ro cao trong quản lý ví nóng của các sàn giao dịch tập trung, đồng thời thúc đẩy ngành công nghiệp khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Kết luận
Các sự kiện tấn công an ninh xảy ra thường xuyên vào năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể thiếu sự bảo vệ an toàn. Từ việc rò rỉ chìa khóa riêng đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến việc nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại những bài học sâu sắc. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần liên tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi mong muốn thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo vệ đáng tin cậy hơn cho người dùng và nhà đầu tư.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Mười sự kiện an ninh hàng đầu trong ngành Web3 năm 2024 với tổng thiệt hại lên tới 2,491 triệu USD
Tổng hợp 10 sự cố an ninh trong lĩnh vực Web3 năm 2024
Với sự phát triển không ngừng của công nghệ blockchain, ngành Web3 vào năm 2024 vừa đổi mới vừa mở rộng, đồng thời cũng phải đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo số liệu từ nền tảng dữ liệu, tính đến cuối năm, tổng thiệt hại trong lĩnh vực Web3 do tấn công của hacker, lừa đảo và các dự án bỏ trốn gây ra lên tới 2.491 triệu USD.
Các sự kiện này không chỉ phơi bày những khiếm khuyết kỹ thuật trong quản lý khóa riêng, hợp đồng thông minh mà còn làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ điểm lại mười sự kiện an ninh hàng đầu trong Web3 năm 2024, nhằm giúp ngành học hỏi từ những bài học này, để ứng phó tốt hơn với các mối đe dọa an ninh trong tương lai.
1. Một sàn giao dịch tiền điện tử của Nhật Bản đã gặp phải cuộc tấn công nghiêm trọng
Số tiền lỗ: 304 triệu đô la Mỹ Hình thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, một sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản đã gặp phải một cuộc tấn công lịch sử. Tin tặc đã lợi dụng khóa riêng bị rò rỉ để trực tiếp chuyển hơn 300 triệu đô la Bitcoin và nhanh chóng phân tán số tiền bị đánh cắp vào hơn 10 địa chỉ khác nhau. Sự kiện này đã phơi bày sự thiếu hụt nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh đa lớp. Mặc dù sàn giao dịch đã cố gắng theo dõi tin tặc thông qua giám sát trên chuỗi và đóng băng tiền, nhưng Bitcoin bị đánh cắp đã được phân tán chuyển đổi và rửa bằng các công cụ trộn tiền, tạo ra thách thức lớn cho công việc truy dấu.
Vào cuối năm, cảnh sát Nhật Bản xác nhận rằng cuộc tấn công này được thực hiện bởi một tổ chức hacker nào đó của Triều Tiên.
2. PlayDapp bị tổn thất nặng nề
Số tiền mất mát: 290 triệu USD Hình thức tấn công: Rò rỉ khóa riêng
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã遭 phải một cuộc tấn công nghiêm trọng. Tin tặc đã lấy cắp khóa riêng để đúc ra 2 tỷ PLA token, có giá trị ban đầu là 36.5 triệu USD. Do thương lượng với tin tặc thất bại, tin tặc sau đó đã đúc thêm 15.9 tỷ PLA token, có giá trị 253.9 triệu USD. Một phần token đã được đưa vào sàn giao dịch, PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng token mới. Sự kiện này đã làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và ứng phó khẩn cấp.
3. Một sàn giao dịch tiền điện tử Ấn Độ bị tấn công chính xác
Số tiền thiệt hại: 235 triệu USD Phương thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác bởi tin tặc. Kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để dụ dỗ những người ký chữ ký đa chữ ký ký vào một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví. Vụ việc này đã làm lộ ra những rủi ro tiềm ẩn của ví đa chữ ký trong việc cấu hình quyền hạn và tính minh bạch trong hoạt động, cũng như đã khơi dậy những suy nghĩ sâu sắc trong ngành về nội bộ quản lý rủi ro và cơ chế an ninh của dự án.
4. Gala Games gặp phải cuộc tấn công phát hành token
Số tiền lỗ: 216 triệu USD Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng mã thông báo, một lần đã đúc ra 5 tỷ GALA token. Hacker sau đó đã đổi những mã thông báo này lấy ETH theo từng đợt, gây ra thiệt hại trực tiếp 216 triệu USD. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một phần tài khoản của hacker và đã lấy lại một phần thiệt hại thông qua các biện pháp pháp lý.
5. Người sáng lập một dự án tiền điện tử nổi tiếng gặp phải cuộc tấn công vào ví cá nhân
Số tiền tổn thất: 112 triệu USD Hình thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của một trong những người đồng sáng lập dự án tiền kỹ thuật số nổi tiếng đã bị hacker tấn công, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu sự bảo vệ kép bằng thiết bị phần cứng. Sau sự việc, một sàn giao dịch lớn đã thành công trong việc đóng băng 4.2 triệu USD XRP và hỗ trợ truy tìm tài sản bị đánh cắp, nhưng phần lớn số tiền đã bị rửa thông qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables gặp phải tấn công thâm nhập nội bộ
Số tiền lỗ: 62,5 triệu USD Cách tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng Web3 dựa trên Blast là Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công là một hacker giả dạng nhà phát triển blockchain, đã thâm nhập lâu dài để lấy được mã lõi và khóa nhạy cảm. Mặc dù cuộc tấn công đã gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại tất cả các khoản tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển của bên thứ ba.
7. Một sàn giao dịch tiền điện tử ở Thổ Nhĩ Kỳ gặp phải sự rò rỉ khóa riêng
Số tiền thiệt hại: 55 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ đã bị tấn công do rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự hỗ trợ của một sàn giao dịch lớn, 5,3 triệu USD tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm sâu sắc thêm lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa chữ ký Radiant Capital bị tấn công
Số tiền tổn thất: 53 triệu USD Hình thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa chữ ký của Radiant Capital đã bị hacker tấn công. Do áp dụng mô hình xác thực chữ ký 3/11 với ngưỡng thấp, hacker đã kiểm soát được khóa riêng của 3 người ký và thực hiện chữ ký ngoại tuyến, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, dẫn đến việc bị đánh cắp 53 triệu đô la. Cuộc tấn công này đã gây ra sự suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa chữ ký.
Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước cuộc tấn công này, hơn 1900 ETH đã bị đánh cắp. Điều này một lần nữa nhắc nhở các dự án Web3 cần chú trọng hơn đến vấn đề an ninh.
9. Hedgey Finance gặp phải cuộc tấn công hợp đồng đa chuỗi
Số tiền lỗ: 44,7 triệu đô la Mỹ Hình thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút ra các token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44,7 triệu đô la. Sự kiện này làm nổi bật tầm quan trọng của việc kiểm tra mã, đặc biệt là việc xác minh chặt chẽ logic phê duyệt token.
10. Ví nóng của một sàn giao dịch tiền điện tử bị xâm nhập
Số tiền thua lỗ: 44,7 triệu USD Hình thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, ví nóng của một sàn giao dịch tiền điện tử đã bị hacker xâm nhập, liên quan đến nhiều chuỗi công khai bao gồm Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển giao tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu USD. Cuộc tấn công này phản ánh tính rủi ro cao trong quản lý ví nóng của các sàn giao dịch tập trung, đồng thời thúc đẩy ngành công nghiệp khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Kết luận
Các sự kiện tấn công an ninh xảy ra thường xuyên vào năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể thiếu sự bảo vệ an toàn. Từ việc rò rỉ chìa khóa riêng đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến việc nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại những bài học sâu sắc. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần liên tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi mong muốn thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo vệ đáng tin cậy hơn cho người dùng và nhà đầu tư.