Tổng kết 10 sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024
Năm 2024, ngành công nghiệp blockchain đang phải đối mặt với những thách thức an ninh ngày càng nghiêm trọng trong khi vẫn tiếp tục đổi mới công nghệ và mở rộng hệ sinh thái. Theo dữ liệu đáng tin cậy, tính đến thời điểm hiện tại, tổng thiệt hại trong lĩnh vực Web3 do các cuộc tấn công của hacker, lừa đảo qua phishing và các dự án bỏ trốn đã lên tới 2,491 triệu USD.
Những sự kiện này không chỉ phơi bày các khuyết điểm kỹ thuật như quản lý khóa riêng, lỗ hổng hợp đồng thông minh, mà còn làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ tổng hợp mười sự kiện an ninh hàng đầu của Web3 trong năm 2024, nhằm giúp ngành học hỏi từ những bài học, để đối phó tốt hơn với những mối đe dọa an ninh trong tương lai.
1. Một sàn giao dịch Nhật Bản gặp phải cuộc tấn công nghiêm trọng
Số tiền thua lỗ: 304 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, một sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản đã gặp phải một cuộc tấn công lịch sử. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu USD Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến nhiều địa chỉ khác nhau. Cuộc tấn công này đã phơi bày sự thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh đa lớp. Mặc dù sàn giao dịch cố gắng theo dõi hacker thông qua việc giám sát trên chuỗi và đóng băng quỹ, nhưng Bitcoin bị đánh cắp đã bị phân tán chuyển đi và sử dụng công cụ trộn coin để rửa tiền, mang lại rất nhiều thách thức cho công việc truy tìm.
Vào ngày 24 tháng 12, cảnh sát Nhật Bản xác định rằng vụ trộm của sàn giao dịch này là do tổ chức hacker Bắc Triều Tiên thực hiện.
2. PlayDapp bị thiệt hại nặng nề
Số tiền lỗ: 290 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Ngày 9 tháng 2 năm 2024, PlayDapp đã gặp phải một đòn giáng mạnh, hacker đã đánh cắp khóa riêng và đúc ra 2 tỷ đồng PLA, với giá trị ban đầu là 36,5 triệu đô la. Do cuộc đàm phán giữa nhóm dự án và hacker không thành công, hacker đã tiếp tục đúc thêm 15,9 tỷ đồng PLA trong thời gian ngắn, với giá trị 253,9 triệu đô la. Sau khi một phần của những đồng tiền này được đưa vào sàn giao dịch, PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng token PDA. Sự kiện này làm nổi bật những thiếu sót của dự án blockchain trong việc bảo vệ khóa riêng và xử lý khẩn cấp sự cố.
3. Ví đa chữ ký của một sàn giao dịch ở Ấn Độ bị tấn công
Số tiền lỗ: 235 triệu USDPhương thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác bởi hacker. Kẻ tấn công đã sử dụng kỹ thuật xã hội để dụ dỗ những người ký đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển hết tài sản trong ví. Vụ việc này làm nổi bật các rủi ro tiềm tàng trong việc quản lý cấu hình quyền hạn và tính minh bạch trong hoạt động của ví đa chữ ký, đồng thời gây ra những suy ngẫm sâu sắc trong ngành về cơ chế kiểm soát rủi ro và an ninh nội bộ của dự án.
4. Gala Games gặp phải cuộc tấn công đúc tiền quy mô lớn
Số tiền thua lỗ: 216 triệu USDPhương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công, kẻ tấn công đã gọi hàm mint trong hợp đồng token để đúc một lúc 5 tỷ GALA token. Sau đó, hacker đã đổi các token được phát hành thêm thành ETH theo từng đợt, gây ra thiệt hại trực tiếp lên tới 216 triệu USD. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để khóa một số tài khoản của hacker và đã thu hồi thiệt hại thông qua các biện pháp pháp lý.
5. Ví cá nhân của đồng sáng lập Ripple bị đánh cắp
Số tiền lỗ: 112 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị hacker tấn công, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này dường như đã trở thành mục tiêu tấn công do thiếu bảo vệ kép từ thiết bị phần cứng. Sau sự việc, một sàn giao dịch đã thành công trong việc đóng băng 4,2 triệu USD XRP và hỗ trợ Larsen theo dõi tài sản bị đánh cắp, nhưng phần lớn số tiền đã được rửa qua sàn giao dịch phi tập trung và dịch vụ trộn.
6. Munchables gặp phải sự xâm nhập nội bộ
Số tiền thiệt hại: 62,5 triệu đô la MỹPhương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng game Web3 dựa trên Blast có tên Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công là một hacker giả dạng nhà phát triển blockchain, đã thu thập được mã nguồn và khóa nhạy cảm thông qua việc ẩn náu trong một thời gian dài. Mặc dù cuộc tấn công gây ra thiệt hại lớn, nhưng do áp lực từ cộng đồng và đội ngũ, kẻ tấn công cuối cùng đã trả lại tất cả số tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển từ bên thứ ba.
7. Rò rỉ khóa riêng tại một sàn giao dịch ở Thổ Nhĩ Kỳ
Số tiền thiệt hại: 55 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất của Thổ Nhĩ Kỳ đã bị tấn công do rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự trợ giúp của các nền tảng khác, 5,3 triệu USD tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng lo ngại của thị trường về quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa chữ ký của Radiant Capital bị tấn công
Số tiền thua lỗ: 53 triệu đô la MỹPhương thức tấn công: Lộ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị tin tặc tấn công. Do áp dụng chế độ xác minh chữ ký 3/11 với ngưỡng thấp, tin tặc đã nắm giữ khóa riêng của 3 người ký để thực hiện chữ ký ngoài chuỗi, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, cuối cùng dẫn đến việc bị đánh cắp 53 triệu đô la. Cuộc tấn công này đã gây ra sự phản tỉnh trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng, Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước khi cuộc tấn công này xảy ra, hơn 1900 ETH đã bị đánh cắp. Điều này một lần nữa nhắc nhở các dự án Web3 cần chú trọng hơn đến vấn đề an ninh.
9. Lỗ hổng hợp đồng của Hedgey Finance đã bị khai thác
Số tiền tổn thất: 44,7 triệu đô la MỹPhương thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã遭遇 một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Kẻ tấn công đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút ra các token trên hai chuỗi Ethereum và Arbitrum, tổng số thiệt hại lên tới 44,7 triệu USD. Sự kiện này cho thấy tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác thực nghiêm ngặt logic phê duyệt token.
10. Ví nóng của một sàn giao dịch bị xâm nhập
Số tiền lỗ: 44,7 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, một sàn giao dịch nổi tiếng đã bị hacker xâm nhập vào ví nóng, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển giao tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu USD. Cuộc tấn công này phản ánh sự rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung và thúc đẩy ngành công nghiệp tìm kiếm các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện tấn công an ninh xảy ra thường xuyên vào năm 2024, một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo vệ an toàn. Từ việc rò rỉ khóa riêng tư đến lỗ hổng hợp đồng, từ sự lơ là trong quản lý nội bộ đến sự nâng cấp các phương thức tấn công từ bên ngoài, mỗi sự kiện đều mang lại bài học sâu sắc. Để ứng phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi mong đợi rằng thông qua hợp tác trong ngành và đổi mới công nghệ, chúng ta có thể cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
12 thích
Phần thưởng
12
5
Chia sẻ
Bình luận
0/400
ImpermanentLossEnjoyer
· 07-24 23:00
Lại bị cắt rồi, nằm chờ đến năm sau.
Xem bản gốcTrả lời0
SundayDegen
· 07-24 21:15
Còn tưởng rằng bán lẻ được chơi cho Suckers, ai ngờ lại là đội nhóm chơi đùa với mọi người.
Xem bản gốcTrả lời0
ZKProofster
· 07-22 00:00
về mặt kỹ thuật mà nói... những sai lầm cũ, những tổn thất cũ. thật thất vọng với những sai lầm của SEC mới vào nghề này
Tổng hợp 10 sự kiện an ninh Web3 lớn nhất năm 2024: Thiệt hại lên tới 24,91 tỷ USD
Tổng kết 10 sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024
Năm 2024, ngành công nghiệp blockchain đang phải đối mặt với những thách thức an ninh ngày càng nghiêm trọng trong khi vẫn tiếp tục đổi mới công nghệ và mở rộng hệ sinh thái. Theo dữ liệu đáng tin cậy, tính đến thời điểm hiện tại, tổng thiệt hại trong lĩnh vực Web3 do các cuộc tấn công của hacker, lừa đảo qua phishing và các dự án bỏ trốn đã lên tới 2,491 triệu USD.
Những sự kiện này không chỉ phơi bày các khuyết điểm kỹ thuật như quản lý khóa riêng, lỗ hổng hợp đồng thông minh, mà còn làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ tổng hợp mười sự kiện an ninh hàng đầu của Web3 trong năm 2024, nhằm giúp ngành học hỏi từ những bài học, để đối phó tốt hơn với những mối đe dọa an ninh trong tương lai.
1. Một sàn giao dịch Nhật Bản gặp phải cuộc tấn công nghiêm trọng
Số tiền thua lỗ: 304 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, một sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản đã gặp phải một cuộc tấn công lịch sử. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu USD Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến nhiều địa chỉ khác nhau. Cuộc tấn công này đã phơi bày sự thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh đa lớp. Mặc dù sàn giao dịch cố gắng theo dõi hacker thông qua việc giám sát trên chuỗi và đóng băng quỹ, nhưng Bitcoin bị đánh cắp đã bị phân tán chuyển đi và sử dụng công cụ trộn coin để rửa tiền, mang lại rất nhiều thách thức cho công việc truy tìm.
Vào ngày 24 tháng 12, cảnh sát Nhật Bản xác định rằng vụ trộm của sàn giao dịch này là do tổ chức hacker Bắc Triều Tiên thực hiện.
2. PlayDapp bị thiệt hại nặng nề
Số tiền lỗ: 290 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Ngày 9 tháng 2 năm 2024, PlayDapp đã gặp phải một đòn giáng mạnh, hacker đã đánh cắp khóa riêng và đúc ra 2 tỷ đồng PLA, với giá trị ban đầu là 36,5 triệu đô la. Do cuộc đàm phán giữa nhóm dự án và hacker không thành công, hacker đã tiếp tục đúc thêm 15,9 tỷ đồng PLA trong thời gian ngắn, với giá trị 253,9 triệu đô la. Sau khi một phần của những đồng tiền này được đưa vào sàn giao dịch, PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng token PDA. Sự kiện này làm nổi bật những thiếu sót của dự án blockchain trong việc bảo vệ khóa riêng và xử lý khẩn cấp sự cố.
3. Ví đa chữ ký của một sàn giao dịch ở Ấn Độ bị tấn công
Số tiền lỗ: 235 triệu USD Phương thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác bởi hacker. Kẻ tấn công đã sử dụng kỹ thuật xã hội để dụ dỗ những người ký đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển hết tài sản trong ví. Vụ việc này làm nổi bật các rủi ro tiềm tàng trong việc quản lý cấu hình quyền hạn và tính minh bạch trong hoạt động của ví đa chữ ký, đồng thời gây ra những suy ngẫm sâu sắc trong ngành về cơ chế kiểm soát rủi ro và an ninh nội bộ của dự án.
4. Gala Games gặp phải cuộc tấn công đúc tiền quy mô lớn
Số tiền thua lỗ: 216 triệu USD Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công, kẻ tấn công đã gọi hàm mint trong hợp đồng token để đúc một lúc 5 tỷ GALA token. Sau đó, hacker đã đổi các token được phát hành thêm thành ETH theo từng đợt, gây ra thiệt hại trực tiếp lên tới 216 triệu USD. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để khóa một số tài khoản của hacker và đã thu hồi thiệt hại thông qua các biện pháp pháp lý.
5. Ví cá nhân của đồng sáng lập Ripple bị đánh cắp
Số tiền lỗ: 112 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị hacker tấn công, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này dường như đã trở thành mục tiêu tấn công do thiếu bảo vệ kép từ thiết bị phần cứng. Sau sự việc, một sàn giao dịch đã thành công trong việc đóng băng 4,2 triệu USD XRP và hỗ trợ Larsen theo dõi tài sản bị đánh cắp, nhưng phần lớn số tiền đã được rửa qua sàn giao dịch phi tập trung và dịch vụ trộn.
6. Munchables gặp phải sự xâm nhập nội bộ
Số tiền thiệt hại: 62,5 triệu đô la Mỹ Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng game Web3 dựa trên Blast có tên Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công là một hacker giả dạng nhà phát triển blockchain, đã thu thập được mã nguồn và khóa nhạy cảm thông qua việc ẩn náu trong một thời gian dài. Mặc dù cuộc tấn công gây ra thiệt hại lớn, nhưng do áp lực từ cộng đồng và đội ngũ, kẻ tấn công cuối cùng đã trả lại tất cả số tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển từ bên thứ ba.
7. Rò rỉ khóa riêng tại một sàn giao dịch ở Thổ Nhĩ Kỳ
Số tiền thiệt hại: 55 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất của Thổ Nhĩ Kỳ đã bị tấn công do rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự trợ giúp của các nền tảng khác, 5,3 triệu USD tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng lo ngại của thị trường về quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa chữ ký của Radiant Capital bị tấn công
Số tiền thua lỗ: 53 triệu đô la Mỹ Phương thức tấn công: Lộ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị tin tặc tấn công. Do áp dụng chế độ xác minh chữ ký 3/11 với ngưỡng thấp, tin tặc đã nắm giữ khóa riêng của 3 người ký để thực hiện chữ ký ngoài chuỗi, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, cuối cùng dẫn đến việc bị đánh cắp 53 triệu đô la. Cuộc tấn công này đã gây ra sự phản tỉnh trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng, Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước khi cuộc tấn công này xảy ra, hơn 1900 ETH đã bị đánh cắp. Điều này một lần nữa nhắc nhở các dự án Web3 cần chú trọng hơn đến vấn đề an ninh.
9. Lỗ hổng hợp đồng của Hedgey Finance đã bị khai thác
Số tiền tổn thất: 44,7 triệu đô la Mỹ Phương thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã遭遇 một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Kẻ tấn công đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút ra các token trên hai chuỗi Ethereum và Arbitrum, tổng số thiệt hại lên tới 44,7 triệu USD. Sự kiện này cho thấy tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác thực nghiêm ngặt logic phê duyệt token.
10. Ví nóng của một sàn giao dịch bị xâm nhập
Số tiền lỗ: 44,7 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, một sàn giao dịch nổi tiếng đã bị hacker xâm nhập vào ví nóng, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển giao tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu USD. Cuộc tấn công này phản ánh sự rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung và thúc đẩy ngành công nghiệp tìm kiếm các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện tấn công an ninh xảy ra thường xuyên vào năm 2024, một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo vệ an toàn. Từ việc rò rỉ khóa riêng tư đến lỗ hổng hợp đồng, từ sự lơ là trong quản lý nội bộ đến sự nâng cấp các phương thức tấn công từ bên ngoài, mỗi sự kiện đều mang lại bài học sâu sắc. Để ứng phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi mong đợi rằng thông qua hợp tác trong ngành và đổi mới công nghệ, chúng ta có thể cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.