Điểm lại sự kiện an ninh Web3 năm 2024: Mười cuộc tấn công gây thiệt hại gần 2,5 tỷ đô la
Năm 2024, lĩnh vực Web3 đối mặt với những thách thức an ninh nghiêm trọng. Theo dữ liệu từ nền tảng giám sát, đến nay, tổng thiệt hại do tấn công của hacker, lừa đảo qua phishing và việc các dự án bỏ trốn đã lên tới 2,491 triệu đô la Mỹ. Những sự kiện này không chỉ phơi bày những khiếm khuyết về công nghệ mà còn làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ xem xét mười sự kiện an ninh hàng đầu của Web3 trong năm 2024 để rút ra bài học, nhằm chuẩn bị tốt hơn cho những mối đe dọa an ninh trong tương lai.
1. DMM Bitcoin
Số tiền lỗ: 304 triệu đô la MỹPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp phải một cuộc tấn công lớn. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu USD Bitcoin và nhanh chóng phân tán số tiền bị đánh cắp đến nhiều địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng trong quản lý khóa riêng và bảo mật đa lớp của sàn giao dịch này. Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua việc giám sát trên chuỗi và đóng băng quỹ, nhưng việc phân tán và rửa tiền của Bitcoin bị đánh cắp đã đặt ra những thách thức lớn cho công việc theo dõi.
Ngày 24 tháng 12, cảnh sát Nhật Bản xác nhận cuộc tấn công này do tổ chức hacker Triều Tiên Lazarus Group thực hiện.
2. PlayDapp
Số tiền mất mát: 2.90 triệu USDPhương thức tấn công: Rò rỉ chìa khóa riêng
Ngày 9 tháng 2 năm 2024, PlayDapp đã bị tổn thất nặng nề. Hacker đã đánh cắp khóa riêng và đúc ra 2 tỷ đồng token PLA, giá trị ban đầu là 36,5 triệu USD. Do thất bại trong việc thương lượng với hacker, hacker đã tiếp tục đúc ra 15,9 tỷ đồng token PLA, trị giá 253,9 triệu USD. Một phần token đã được đưa vào các nền tảng giao dịch, PlayDapp buộc phải tạm ngừng hợp đồng PLA và chuyển sang hợp đồng token PDA. Sự kiện này làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý khẩn cấp.
3. WazirX
Số tiền tổn thất: 235 triệu USDHình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ WazirX đã bị tấn công chính xác. Kẻ tấn công đã sử dụng kỹ thuật xã hội để dụ dỗ những người ký đa chữ ký phê duyệt một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví. Sự kiện này làm nổi bật những rủi ro tiềm ẩn của ví đa chữ ký trong việc quản lý cấu hình quyền hạn và tính minh bạch trong hoạt động, đồng thời đã kích thích sự suy nghĩ sâu sắc về cơ chế kiểm soát và an ninh nội bộ của các dự án trong ngành.
4. Gala Games
Số tiền thiệt hại: 216 triệu USDPhương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị tin tặc tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng token, một lần đã đúc ra 5 tỷ GALA token. Sau đó, tin tặc đã đổi từng phần của số token tăng thêm thành ETH, gây ra thiệt hại trực tiếp 216 triệu USD. Đội ngũ Gala Games đã khẩn trương kích hoạt tính năng danh sách đen để chặn một số tài khoản của tin tặc và đã thu hồi thiệt hại thông qua các biện pháp pháp lý.
5. Sự kiện Chris Larsen
Số tiền thua lỗ: 1.12 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị hacker tấn công, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ hai lớp bằng thiết bị phần cứng. Sau khi sự việc xảy ra, một nền tảng giao dịch đã thành công trong việc đóng băng 4,2 triệu USD XRP và hỗ trợ theo dõi tài sản bị đánh cắp, nhưng phần lớn số tiền đã bị rửa thông qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables
Số tiền thiệt hại: 62,5 triệu đô la MỹPhương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 Munchables dựa trên Blast đã gặp phải một cuộc tấn công xâm nhập hiếm gặp từ bên trong. Kẻ tấn công là một hacker Bắc Triều Tiên giả mạo thành lập viên phát triển blockchain, đã thu thập mã nguồn và khóa nhạy cảm thông qua một thời gian dài ẩn nấp. Mặc dù gây ra tổn thất lớn, nhưng dưới sức ép từ cộng đồng và đội ngũ, kẻ tấn công cuối cùng đã trả lại toàn bộ số tiền đã đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển từ bên thứ ba.
7. BtcTurk
Số tiền tổn thất: 55 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ BtcTurk đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Nhờ sự hỗ trợ từ một nền tảng giao dịch, 5,3 triệu USD tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm sâu sắc thêm mối lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Radiant Capital
Số tiền thua lỗ: 53 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị tin tặc tấn công. Do áp dụng mô hình xác thực chữ ký 3/11 với mức độ thấp, tin tặc đã nắm giữ khóa riêng của 3 người ký và thực hiện chữ ký ngoài chuỗi, chuyển quyền sở hữu hợp đồng ví đến địa chỉ độc hại, dẫn đến việc bị đánh cắp 53 triệu đô la. Cuộc tấn công này đã gây ra sự phản tư trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la Mỹ và hơn 1900 ETH do lỗ hổng hợp đồng trước khi cuộc tấn công này xảy ra. Điều này lại một lần nữa cho thấy rằng mức độ coi trọng an ninh của các dự án Web3 vẫn cần được cải thiện.
9. Hedgey Finance
Số tiền lỗ: 44,7 triệu USDPhương thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã遭遇 một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút ra các token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44,7 triệu đô la Mỹ. Sự kiện này cho thấy tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh chặt chẽ logic phê duyệt token.
Vào ngày 19 tháng 9 năm 2024, ví nóng của sàn giao dịch BingX đã bị tin tặc xâm nhập, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng tin tặc đã thành công trong việc rút ra tài sản trị giá 44,7 triệu USD. Cuộc tấn công này phản ánh sự rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung và thúc đẩy ngành công nghiệp tìm kiếm các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện tấn công an ninh thường xuyên xảy ra trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể thiếu sự bảo đảm an ninh. Từ việc rò rỉ khóa riêng đến lỗ hổng hợp đồng, từ sự quản lý nội bộ lỏng lẻo đến sự nâng cấp của các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại bài học sâu sắc. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần liên tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi hy vọng thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
21 thích
Phần thưởng
21
3
Đăng lại
Chia sẻ
Bình luận
0/400
TokenCreatorOP
· 21giờ trước
Mỗi ngày vẫn đang rơi tiền lẻ.
Xem bản gốcTrả lời0
GasFeeCrying
· 08-14 03:44
Lại lỗ nữa rồi
Xem bản gốcTrả lời0
FastLeaver
· 08-14 03:24
Haha lại là khóa riêng bị rò rỉ, một năm không ít lần xảy ra tình huống như vậy.
10 sự kiện an ninh Web3 lớn nhất năm 2024 đã gây ra thiệt hại gần 2.5 tỷ đô la
Điểm lại sự kiện an ninh Web3 năm 2024: Mười cuộc tấn công gây thiệt hại gần 2,5 tỷ đô la
Năm 2024, lĩnh vực Web3 đối mặt với những thách thức an ninh nghiêm trọng. Theo dữ liệu từ nền tảng giám sát, đến nay, tổng thiệt hại do tấn công của hacker, lừa đảo qua phishing và việc các dự án bỏ trốn đã lên tới 2,491 triệu đô la Mỹ. Những sự kiện này không chỉ phơi bày những khiếm khuyết về công nghệ mà còn làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ xem xét mười sự kiện an ninh hàng đầu của Web3 trong năm 2024 để rút ra bài học, nhằm chuẩn bị tốt hơn cho những mối đe dọa an ninh trong tương lai.
1. DMM Bitcoin
Số tiền lỗ: 304 triệu đô la Mỹ Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp phải một cuộc tấn công lớn. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu USD Bitcoin và nhanh chóng phân tán số tiền bị đánh cắp đến nhiều địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng trong quản lý khóa riêng và bảo mật đa lớp của sàn giao dịch này. Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua việc giám sát trên chuỗi và đóng băng quỹ, nhưng việc phân tán và rửa tiền của Bitcoin bị đánh cắp đã đặt ra những thách thức lớn cho công việc theo dõi.
Ngày 24 tháng 12, cảnh sát Nhật Bản xác nhận cuộc tấn công này do tổ chức hacker Triều Tiên Lazarus Group thực hiện.
2. PlayDapp
Số tiền mất mát: 2.90 triệu USD Phương thức tấn công: Rò rỉ chìa khóa riêng
Ngày 9 tháng 2 năm 2024, PlayDapp đã bị tổn thất nặng nề. Hacker đã đánh cắp khóa riêng và đúc ra 2 tỷ đồng token PLA, giá trị ban đầu là 36,5 triệu USD. Do thất bại trong việc thương lượng với hacker, hacker đã tiếp tục đúc ra 15,9 tỷ đồng token PLA, trị giá 253,9 triệu USD. Một phần token đã được đưa vào các nền tảng giao dịch, PlayDapp buộc phải tạm ngừng hợp đồng PLA và chuyển sang hợp đồng token PDA. Sự kiện này làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý khẩn cấp.
3. WazirX
Số tiền tổn thất: 235 triệu USD Hình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ WazirX đã bị tấn công chính xác. Kẻ tấn công đã sử dụng kỹ thuật xã hội để dụ dỗ những người ký đa chữ ký phê duyệt một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví. Sự kiện này làm nổi bật những rủi ro tiềm ẩn của ví đa chữ ký trong việc quản lý cấu hình quyền hạn và tính minh bạch trong hoạt động, đồng thời đã kích thích sự suy nghĩ sâu sắc về cơ chế kiểm soát và an ninh nội bộ của các dự án trong ngành.
4. Gala Games
Số tiền thiệt hại: 216 triệu USD Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị tin tặc tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng token, một lần đã đúc ra 5 tỷ GALA token. Sau đó, tin tặc đã đổi từng phần của số token tăng thêm thành ETH, gây ra thiệt hại trực tiếp 216 triệu USD. Đội ngũ Gala Games đã khẩn trương kích hoạt tính năng danh sách đen để chặn một số tài khoản của tin tặc và đã thu hồi thiệt hại thông qua các biện pháp pháp lý.
5. Sự kiện Chris Larsen
Số tiền thua lỗ: 1.12 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị hacker tấn công, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ hai lớp bằng thiết bị phần cứng. Sau khi sự việc xảy ra, một nền tảng giao dịch đã thành công trong việc đóng băng 4,2 triệu USD XRP và hỗ trợ theo dõi tài sản bị đánh cắp, nhưng phần lớn số tiền đã bị rửa thông qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables
Số tiền thiệt hại: 62,5 triệu đô la Mỹ Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 Munchables dựa trên Blast đã gặp phải một cuộc tấn công xâm nhập hiếm gặp từ bên trong. Kẻ tấn công là một hacker Bắc Triều Tiên giả mạo thành lập viên phát triển blockchain, đã thu thập mã nguồn và khóa nhạy cảm thông qua một thời gian dài ẩn nấp. Mặc dù gây ra tổn thất lớn, nhưng dưới sức ép từ cộng đồng và đội ngũ, kẻ tấn công cuối cùng đã trả lại toàn bộ số tiền đã đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển từ bên thứ ba.
7. BtcTurk
Số tiền tổn thất: 55 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ BtcTurk đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Nhờ sự hỗ trợ từ một nền tảng giao dịch, 5,3 triệu USD tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm sâu sắc thêm mối lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Radiant Capital
Số tiền thua lỗ: 53 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị tin tặc tấn công. Do áp dụng mô hình xác thực chữ ký 3/11 với mức độ thấp, tin tặc đã nắm giữ khóa riêng của 3 người ký và thực hiện chữ ký ngoài chuỗi, chuyển quyền sở hữu hợp đồng ví đến địa chỉ độc hại, dẫn đến việc bị đánh cắp 53 triệu đô la. Cuộc tấn công này đã gây ra sự phản tư trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la Mỹ và hơn 1900 ETH do lỗ hổng hợp đồng trước khi cuộc tấn công này xảy ra. Điều này lại một lần nữa cho thấy rằng mức độ coi trọng an ninh của các dự án Web3 vẫn cần được cải thiện.
9. Hedgey Finance
Số tiền lỗ: 44,7 triệu USD Phương thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã遭遇 một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút ra các token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44,7 triệu đô la Mỹ. Sự kiện này cho thấy tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh chặt chẽ logic phê duyệt token.
10. BingX
Số tiền lỗ: 44,7 triệu USD Cách tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, ví nóng của sàn giao dịch BingX đã bị tin tặc xâm nhập, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng tin tặc đã thành công trong việc rút ra tài sản trị giá 44,7 triệu USD. Cuộc tấn công này phản ánh sự rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung và thúc đẩy ngành công nghiệp tìm kiếm các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện tấn công an ninh thường xuyên xảy ra trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể thiếu sự bảo đảm an ninh. Từ việc rò rỉ khóa riêng đến lỗ hổng hợp đồng, từ sự quản lý nội bộ lỏng lẻo đến sự nâng cấp của các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại bài học sâu sắc. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần liên tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi hy vọng thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.