Tổng quan về các sự kiện an ninh quan trọng trong lĩnh vực Web3 năm 2024
Năm 2024, ngành công nghiệp blockchain không chỉ đối mặt với những thách thức về an ninh ngày càng nghiêm trọng trong khi phát triển đổi mới công nghệ và mở rộng hệ sinh thái. Theo dữ liệu từ một nền tảng giám sát an ninh, tính đến cuối năm, tổng thiệt hại trong lĩnh vực Web3 do tấn công của hacker, lừa đảo qua phishing và các dự án bỏ trốn lên tới 2,491 triệu USD.
Những sự kiện này không chỉ phơi bày những thiếu sót kỹ thuật trong quản lý khóa riêng, hợp đồng thông minh mà còn làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ xem xét 10 sự kiện an ninh hàng đầu trong Web3 năm 2024, để ngành công nghiệp có thể rút ra bài học và ứng phó tốt hơn với những mối đe dọa an ninh trong tương lai.
1. Một sàn giao dịch của Nhật Bản gặp phải cuộc tấn công nghiêm trọng
Số tiền lỗ: 304 triệu đô la Mỹ
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, một sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản đã gặp phải một cuộc tấn công lịch sử. Kẻ tấn công đã sử dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến nhiều địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo mật đa lớp. Mặc dù sàn giao dịch cố gắng theo dõi hacker thông qua việc giám sát trên chuỗi và đóng băng tài sản, nhưng Bitcoin bị đánh cắp đã được phân tán và chuyển nhượng bằng công cụ trộn, gây ra rất nhiều thách thức cho công việc theo dõi.
Cuối năm, cảnh sát địa phương xác định sự kiện này là do một tổ chức hacker quốc tế thực hiện.
2. PlayDapp gặp tổn thất nghiêm trọng
Số tiền lỗ: 290 triệu USD
Cách tấn công: Rò rỉ khóa riêng
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã gặp phải một cú sốc lớn khi hacker đã đánh cắp khóa riêng và đúc ra 2 tỷ mã thông báo PLA, có giá trị ban đầu là 36,5 triệu đô la. Do việc thương lượng giữa nhóm dự án và hacker không thành công, hacker đã tiếp tục đúc ra 15,9 tỷ mã thông báo PLA trong thời gian ngắn, có giá trị 253,9 triệu đô la. Sau khi một phần của các mã thông báo này được đưa vào sàn giao dịch, PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng mã thông báo PDA. Sự kiện này làm nổi bật sự thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý sự cố.
3. Sàn giao dịch tiền điện tử lớn nhất Ấn Độ bị tấn công
Số tiền thiệt hại: 235 triệu USD
Hình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa ký của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác bởi hacker. Kẻ tấn công đã sử dụng kỹ thuật social engineering để dụ các ký giả đa ký ký một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví. Vụ việc này làm nổi bật những rủi ro tiềm ẩn của ví đa ký trong việc quản lý cấu hình quyền hạn và tính minh bạch trong hoạt động, đồng thời đã gây ra những suy nghĩ sâu sắc trong ngành về cơ chế kiểm soát và an ninh nội bộ của dự án.
4. Gala Games gặp phải cuộc tấn công phát hành token
Số tiền mất mát: 216 triệu USD
Hình thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công, kẻ tấn công đã gọi hàm mint trong hợp đồng token để đúc một lần 5 tỷ GALA token. Sau đó, hacker đã đổi một phần token tăng thêm thành ETH, trực tiếp gây ra thiệt hại 216 triệu USD. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã thu hồi được một phần thiệt hại thông qua các phương tiện pháp lý.
5. Ví cá nhân của người đồng sáng lập Ripple bị tấn công
Số tiền thiệt hại: 112 triệu USD
Phương thức tấn công: Rò rỉ khóa bí mật
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị hacker tấn công, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này đã trở thành mục tiêu tấn công do thiếu bảo vệ bằng thiết bị phần cứng hai lớp. Sau sự cố, một sàn giao dịch đã thành công trong việc đóng băng 4,2 triệu USD XRP và hỗ trợ theo dõi tài sản bị đánh cắp, nhưng phần lớn số tiền đã bị rửa thông qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables gặp phải sự thẩm thấu nội bộ
Số tiền lỗ: 62.5 triệu USD
Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast là Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công là một hacker giả mạo thành lập viên phát triển blockchain, đã thâm nhập lâu dài để chiếm đoạt mã nguồn và khóa nhạy cảm. Mặc dù cuộc tấn công đã gây ra tổn thất lớn, nhưng do áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển bên thứ ba.
7. Sàn giao dịch lớn ở Thổ Nhĩ Kỳ gặp sự cố rò rỉ khóa riêng
Số tiền lỗ: 55 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu đô la tài sản tiền điện tử. Với sự hỗ trợ từ đội ngũ của một sàn giao dịch, 5,3 triệu đô la quỹ bị đánh cắp đã được đông lạnh thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng mối lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa chữ ký của Radiant Capital bị tấn công
Số tiền mất mát: 53 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị tin tặc tấn công. Do áp dụng mô hình xác thực chữ ký 3/11 với ngưỡng thấp, tin tặc đã kiểm soát được khóa riêng của 3 người ký và thực hiện ký ngoài chuỗi, chuyển quyền sở hữu của hợp đồng ví sang địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gây ra sự phản ánh trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước cuộc tấn công này, với hơn 1900 ETH bị đánh cắp. Điều này một lần nữa cho thấy mức độ chú trọng của các dự án Web3 đối với an ninh vẫn cần được nâng cao.
9. Hedgey Finance hợp đồng đa chuỗi bị tấn công
Số tiền tổn thất: 44,7 triệu đô la Mỹ
Phương thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt của hợp đồng ClaimCampaigns của họ, thành công rút ra các token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44,7 triệu USD. Sự kiện này cho thấy tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh chặt chẽ logic phê duyệt token.
10. Ví nóng của một sàn giao dịch bị xâm nhập
Số tiền lỗ: 44,7 triệu đô la Mỹ
Cách tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, ví nóng của một sàn giao dịch đã bị hacker xâm nhập, liên quan đến nhiều chuỗi công khai bao gồm Ethereum, BNB Chain, Tron, và nhiều chuỗi khác. Mặc dù sàn giao dịch đã nhanh chóng kích hoạt cơ chế chuyển tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công này phản ánh tính rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, và thúc đẩy ngành công nghiệp khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Kết luận
Các sự kiện tấn công an ninh xảy ra thường xuyên vào năm 2024, một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo vệ an toàn. Từ việc rò rỉ khóa riêng tư đến lỗ hổng hợp đồng, từ sự lơ là trong quản lý nội bộ đến sự nâng cấp của các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại những bài học sâu sắc. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần liên tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và kiểm soát rủi ro. Trong tương lai, chúng tôi mong đợi thông qua sự hợp tác ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo vệ đáng tin cậy hơn cho người dùng và nhà đầu tư.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
11 thích
Phần thưởng
11
6
Đăng lại
Chia sẻ
Bình luận
0/400
NoodlesOrTokens
· 08-12 16:27
Lại một lần nữa diễn ra cuộc sống và cái chết.
Xem bản gốcTrả lời0
Ramen_Until_Rich
· 08-12 11:14
25 tỷ đô la? chơi đùa với mọi người chỉ là một từ
Xem bản gốcTrả lời0
EntryPositionAnalyst
· 08-11 23:38
Ví tiền này bảo quản như thế nào, có chút vô lý.
Xem bản gốcTrả lời0
BoredWatcher
· 08-11 23:28
Lại một năm nữa chỉ làm việc vô ích sao?
Xem bản gốcTrả lời0
ShadowStaker
· 08-11 23:27
hmm... câu chuyện cũ lại diễn ra - thêm một năm nữa các sàn giao dịch tập trung chứng minh rằng chúng chỉ là hũ mật ong với giao diện đẹp. khả năng phục hồi mạng không có ý nghĩa gì khi khóa riêng của bạn được xử lý bởi một thực tập sinh thiếu ngủ, thật lòng mà nói.
Xem bản gốcTrả lời0
CryptoNomics
· 08-11 23:16
*thở dài* thống kê có thể dự đoán được... Tính tương quan giữa việc quản lý khóa yếu và tổn thất thảm khốc chính là lý do tôi đã ủng hộ việc tính toán đa bên kể từ năm 2019
Tổng quan về sự kiện an ninh Web3 năm 2024: 10 trường hợp thiệt hại gần 2,5 tỷ USD
Tổng quan về các sự kiện an ninh quan trọng trong lĩnh vực Web3 năm 2024
Năm 2024, ngành công nghiệp blockchain không chỉ đối mặt với những thách thức về an ninh ngày càng nghiêm trọng trong khi phát triển đổi mới công nghệ và mở rộng hệ sinh thái. Theo dữ liệu từ một nền tảng giám sát an ninh, tính đến cuối năm, tổng thiệt hại trong lĩnh vực Web3 do tấn công của hacker, lừa đảo qua phishing và các dự án bỏ trốn lên tới 2,491 triệu USD.
Những sự kiện này không chỉ phơi bày những thiếu sót kỹ thuật trong quản lý khóa riêng, hợp đồng thông minh mà còn làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ xem xét 10 sự kiện an ninh hàng đầu trong Web3 năm 2024, để ngành công nghiệp có thể rút ra bài học và ứng phó tốt hơn với những mối đe dọa an ninh trong tương lai.
1. Một sàn giao dịch của Nhật Bản gặp phải cuộc tấn công nghiêm trọng
Số tiền lỗ: 304 triệu đô la Mỹ Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, một sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản đã gặp phải một cuộc tấn công lịch sử. Kẻ tấn công đã sử dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến nhiều địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo mật đa lớp. Mặc dù sàn giao dịch cố gắng theo dõi hacker thông qua việc giám sát trên chuỗi và đóng băng tài sản, nhưng Bitcoin bị đánh cắp đã được phân tán và chuyển nhượng bằng công cụ trộn, gây ra rất nhiều thách thức cho công việc theo dõi.
Cuối năm, cảnh sát địa phương xác định sự kiện này là do một tổ chức hacker quốc tế thực hiện.
2. PlayDapp gặp tổn thất nghiêm trọng
Số tiền lỗ: 290 triệu USD Cách tấn công: Rò rỉ khóa riêng
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã gặp phải một cú sốc lớn khi hacker đã đánh cắp khóa riêng và đúc ra 2 tỷ mã thông báo PLA, có giá trị ban đầu là 36,5 triệu đô la. Do việc thương lượng giữa nhóm dự án và hacker không thành công, hacker đã tiếp tục đúc ra 15,9 tỷ mã thông báo PLA trong thời gian ngắn, có giá trị 253,9 triệu đô la. Sau khi một phần của các mã thông báo này được đưa vào sàn giao dịch, PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng mã thông báo PDA. Sự kiện này làm nổi bật sự thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý sự cố.
3. Sàn giao dịch tiền điện tử lớn nhất Ấn Độ bị tấn công
Số tiền thiệt hại: 235 triệu USD Hình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa ký của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác bởi hacker. Kẻ tấn công đã sử dụng kỹ thuật social engineering để dụ các ký giả đa ký ký một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví. Vụ việc này làm nổi bật những rủi ro tiềm ẩn của ví đa ký trong việc quản lý cấu hình quyền hạn và tính minh bạch trong hoạt động, đồng thời đã gây ra những suy nghĩ sâu sắc trong ngành về cơ chế kiểm soát và an ninh nội bộ của dự án.
4. Gala Games gặp phải cuộc tấn công phát hành token
Số tiền mất mát: 216 triệu USD Hình thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công, kẻ tấn công đã gọi hàm mint trong hợp đồng token để đúc một lần 5 tỷ GALA token. Sau đó, hacker đã đổi một phần token tăng thêm thành ETH, trực tiếp gây ra thiệt hại 216 triệu USD. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã thu hồi được một phần thiệt hại thông qua các phương tiện pháp lý.
5. Ví cá nhân của người đồng sáng lập Ripple bị tấn công
Số tiền thiệt hại: 112 triệu USD Phương thức tấn công: Rò rỉ khóa bí mật
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị hacker tấn công, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này đã trở thành mục tiêu tấn công do thiếu bảo vệ bằng thiết bị phần cứng hai lớp. Sau sự cố, một sàn giao dịch đã thành công trong việc đóng băng 4,2 triệu USD XRP và hỗ trợ theo dõi tài sản bị đánh cắp, nhưng phần lớn số tiền đã bị rửa thông qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables gặp phải sự thẩm thấu nội bộ
Số tiền lỗ: 62.5 triệu USD Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast là Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công là một hacker giả mạo thành lập viên phát triển blockchain, đã thâm nhập lâu dài để chiếm đoạt mã nguồn và khóa nhạy cảm. Mặc dù cuộc tấn công đã gây ra tổn thất lớn, nhưng do áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển bên thứ ba.
7. Sàn giao dịch lớn ở Thổ Nhĩ Kỳ gặp sự cố rò rỉ khóa riêng
Số tiền lỗ: 55 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu đô la tài sản tiền điện tử. Với sự hỗ trợ từ đội ngũ của một sàn giao dịch, 5,3 triệu đô la quỹ bị đánh cắp đã được đông lạnh thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng mối lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa chữ ký của Radiant Capital bị tấn công
Số tiền mất mát: 53 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị tin tặc tấn công. Do áp dụng mô hình xác thực chữ ký 3/11 với ngưỡng thấp, tin tặc đã kiểm soát được khóa riêng của 3 người ký và thực hiện ký ngoài chuỗi, chuyển quyền sở hữu của hợp đồng ví sang địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gây ra sự phản ánh trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước cuộc tấn công này, với hơn 1900 ETH bị đánh cắp. Điều này một lần nữa cho thấy mức độ chú trọng của các dự án Web3 đối với an ninh vẫn cần được nâng cao.
9. Hedgey Finance hợp đồng đa chuỗi bị tấn công
Số tiền tổn thất: 44,7 triệu đô la Mỹ Phương thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt của hợp đồng ClaimCampaigns của họ, thành công rút ra các token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44,7 triệu USD. Sự kiện này cho thấy tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh chặt chẽ logic phê duyệt token.
10. Ví nóng của một sàn giao dịch bị xâm nhập
Số tiền lỗ: 44,7 triệu đô la Mỹ Cách tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, ví nóng của một sàn giao dịch đã bị hacker xâm nhập, liên quan đến nhiều chuỗi công khai bao gồm Ethereum, BNB Chain, Tron, và nhiều chuỗi khác. Mặc dù sàn giao dịch đã nhanh chóng kích hoạt cơ chế chuyển tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công này phản ánh tính rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, và thúc đẩy ngành công nghiệp khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Kết luận
Các sự kiện tấn công an ninh xảy ra thường xuyên vào năm 2024, một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo vệ an toàn. Từ việc rò rỉ khóa riêng tư đến lỗ hổng hợp đồng, từ sự lơ là trong quản lý nội bộ đến sự nâng cấp của các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại những bài học sâu sắc. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần liên tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và kiểm soát rủi ro. Trong tương lai, chúng tôi mong đợi thông qua sự hợp tác ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo vệ đáng tin cậy hơn cho người dùng và nhà đầu tư.