Điểm lại 10 sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024
Năm 2024, ngành công nghiệp blockchain không chỉ phát triển nhanh chóng mà còn phải đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo thống kê, tính đến nay, tổng thiệt hại do các sự kiện an ninh khác nhau trong lĩnh vực Web3 đã lên tới 2,491 triệu USD. Những sự kiện này không chỉ phơi bày những lỗ hổng ở cấp độ kỹ thuật mà còn làm nổi bật những rủi ro tiềm ẩn ở khía cạnh quản lý và kỹ thuật xã hội. Bài viết này sẽ tổng hợp mười sự kiện an ninh có ảnh hưởng nhất trong lĩnh vực Web3 năm 2024, nhằm rút ra bài học từ đó, cung cấp tham khảo cho việc bảo vệ an ninh trong tương lai.
1. DMM Bitcoin bị tấn công nặng nề
Số tiền thua lỗ: 304 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã遭遇 một cuộc tấn công chưa từng có. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin và nhanh chóng phân tán số tiền vào nhiều địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch về quản lý khóa riêng và bảo mật đa lớp. Mặc dù sàn giao dịch đã thực hiện các biện pháp như giám sát trên chuỗi và đông lạnh tài sản, nhưng do hacker sử dụng công cụ trộn coin để rửa tiền, việc thu hồi gặp phải thách thức lớn.
Đáng chú ý là, vào ngày 24 tháng 12, cảnh sát Nhật Bản đã xác nhận rằng cuộc tấn công này được thực hiện bởi tổ chức hacker Bắc Triều Tiên Lazarus Group.
2. PlayDapp gặp phải rò rỉ khóa riêng
Số tiền tổn thất: 290 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 9 tháng 2 năm 2024, dự án PlayDapp đã bị tấn công nặng nề. Tin tặc đã đánh cắp khóa riêng và đúc ra một lượng lớn mã thông báo PLA, gây thiệt hại ban đầu lên tới 36,5 triệu đô la. Do thương lượng không thành công, tin tặc sau đó đã tiếp tục đúc ra 15,9 tỷ mã thông báo PLA, khiến tổng thiệt hại tăng vọt lên tới 253,9 triệu đô la. Sự kiện này đã buộc PlayDapp phải tạm ngừng hợp đồng PLA và di chuyển sang hợp đồng mã thông báo PDA mới, làm nổi bật sự thiếu sót trong việc bảo vệ khóa riêng và ứng phó khẩn cấp trong các dự án blockchain.
3. Sàn giao dịch Ấn Độ WazirX gặp phải đòn tấn công chính xác
Số tiền lỗ: 235 triệu USDHình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền mã hóa lớn nhất Ấn Độ WazirX đã bị tấn công bởi một kế hoạch tấn công tinh vi do hacker thực hiện. Kẻ tấn công đã sử dụng kỹ thuật kỹ thuật xã hội để lừa đảo những người ký đa chữ ký phê duyệt một giao dịch nâng cấp hợp đồng, sau đó đã lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví. Sự kiện này đã làm lộ ra những rủi ro tiềm tàng của ví đa chữ ký trong việc quản lý quyền hạn và tính minh bạch trong hoạt động, đồng thời đã gợi lên những suy nghĩ sâu sắc trong ngành về cơ chế kiểm soát rủi ro nội bộ của các dự án.
4. Gala Games phải đối mặt với tổn thất lớn
Số tiền lỗ: 216 triệu USDPhương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint của hợp đồng token để đúc một lần 5 tỷ GALA token. Sau đó, những token này đã được đổi thành ETH theo từng đợt, dẫn đến thiệt hại trực tiếp 216 triệu USD. Đội ngũ Gala Games đã nhanh chóng kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã thu hồi một phần thiệt hại thông qua các biện pháp pháp lý.
5. Người đồng sáng lập Ripple bị đánh cắp ví cá nhân
Số tiền tổn thất: 112 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị tin tặc xâm nhập, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ bằng thiết bị phần cứng kép. Một sàn giao dịch đã thành công trong việc đóng băng 4,2 triệu USD XRP và hỗ trợ theo dõi, nhưng phần lớn số tiền đã bị rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn tiền.
6. Munchables gặp phải sự thâm nhập nội bộ
Số tiền lỗ: 62,5 triệu USDPhương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast là Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công đã cải trang thành nhà phát triển blockchain, thông qua việc ẩn mình trong thời gian dài để lấy được mã nguồn cốt lõi và các khóa nhạy cảm. Mặc dù gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển của bên thứ ba.
7. Sàn giao dịch BtcTurk tại Thổ Nhĩ Kỳ bị tấn công
Số tiền lỗ: 55 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất của Thổ Nhĩ Kỳ, BtcTurk, đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự hỗ trợ của một nền tảng giao dịch, 5,3 triệu USD tiền bị đánh cắp đã được đóng băng thành công, nhưng phần lớn tài sản vẫn chưa được thu hồi. Sự kiện này đã làm sâu sắc thêm nỗi lo ngại của thị trường về quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa chữ ký Radiant Capital bị tấn công
Số tiền lỗ: 53 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa chữ ký của Radiant Capital đã bị tấn công bởi hacker. Do áp dụng mô hình xác thực chữ ký với ngưỡng thấp 3/11, hacker đã nắm giữ khóa riêng của 3 người ký để thực hiện ký ngoại tuyến, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gây ra sự suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa chữ ký.
Cần lưu ý rằng, Radiant Capital đã mất 4,5 triệu USD trước cuộc tấn công này do lỗ hổng hợp đồng, hơn 1900 ETH đã bị đánh cắp, phản ánh mức độ chú trọng đến an toàn của các dự án Web3 vẫn cần được cải thiện.
9. Hedgey Finance gặp phải cuộc tấn công lỗ hổng hợp đồng
Số tiền thiệt hại: 44,7 triệu USDPhương thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, nhiều hợp đồng trên chuỗi của Hedgey Finance đã bị tấn công. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ để thành công rút các token trên hai chuỗi Ethereum và Arbitrum, với tổng thiệt hại lên tới 44,7 triệu đô la. Sự kiện này làm nổi bật tầm quan trọng của việc kiểm toán mã nguồn, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt token.
10. Ví nóng của một sàn giao dịch đã bị xâm nhập
Số tiền tổn thất: 44.7 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, ví nóng của một sàn giao dịch đã bị hacker xâm nhập, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển nhượng tài sản và đóng băng rút tiền, nhưng hacker đã thành công rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công lần này lại phản ánh tính rủi ro cao trong quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện an ninh thường xuyên xảy ra trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển lành mạnh của ngành công nghiệp blockchain không thể thiếu sự đảm bảo an toàn. Từ quản lý khóa riêng đến lỗ hổng hợp đồng, từ quản trị nội bộ đến việc nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều vang lên hồi chuông cảnh báo cho ngành. Để đối phó với những mối đe dọa an ninh ngày càng phức tạp, ngành công nghiệp cần tiếp tục đầu tư mạnh mẽ vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi hy vọng thông qua hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn và đáng tin cậy hơn, cung cấp sự bảo vệ tốt hơn cho người dùng và nhà đầu tư.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 thích
Phần thưởng
10
5
Đăng lại
Chia sẻ
Bình luận
0/400
FlyingLeek
· 1giờ trước
Một năm chơi đùa với mọi người, đồ ngốc năm nào cũng xanh.
Xem bản gốcTrả lời0
LiquidityHunter
· 19giờ trước
Đêm khuya, tôi đã tính toán, khoảng cách thanh khoản do tai nạn an toàn gây ra lên tới 2.491 triệu đô la, hiệu suất thị trường rõ ràng bị ảnh hưởng.
Xem bản gốcTrả lời0
LiquidityOracle
· 19giờ trước
giảm về 0 đếm ngược ba hai một! Người bên cạnh không phải đã thua hết 24 giao dịch rồi sao?
Mười sự kiện an ninh lớn nhất trong lĩnh vực Web3 năm 2024 đã gây thiệt hại lên đến 2.491 triệu USD, DMM Bitcoin bị ảnh hưởng nặng nề nhất.
Điểm lại 10 sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024
Năm 2024, ngành công nghiệp blockchain không chỉ phát triển nhanh chóng mà còn phải đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo thống kê, tính đến nay, tổng thiệt hại do các sự kiện an ninh khác nhau trong lĩnh vực Web3 đã lên tới 2,491 triệu USD. Những sự kiện này không chỉ phơi bày những lỗ hổng ở cấp độ kỹ thuật mà còn làm nổi bật những rủi ro tiềm ẩn ở khía cạnh quản lý và kỹ thuật xã hội. Bài viết này sẽ tổng hợp mười sự kiện an ninh có ảnh hưởng nhất trong lĩnh vực Web3 năm 2024, nhằm rút ra bài học từ đó, cung cấp tham khảo cho việc bảo vệ an ninh trong tương lai.
1. DMM Bitcoin bị tấn công nặng nề
Số tiền thua lỗ: 304 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã遭遇 một cuộc tấn công chưa từng có. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin và nhanh chóng phân tán số tiền vào nhiều địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch về quản lý khóa riêng và bảo mật đa lớp. Mặc dù sàn giao dịch đã thực hiện các biện pháp như giám sát trên chuỗi và đông lạnh tài sản, nhưng do hacker sử dụng công cụ trộn coin để rửa tiền, việc thu hồi gặp phải thách thức lớn.
Đáng chú ý là, vào ngày 24 tháng 12, cảnh sát Nhật Bản đã xác nhận rằng cuộc tấn công này được thực hiện bởi tổ chức hacker Bắc Triều Tiên Lazarus Group.
2. PlayDapp gặp phải rò rỉ khóa riêng
Số tiền tổn thất: 290 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 9 tháng 2 năm 2024, dự án PlayDapp đã bị tấn công nặng nề. Tin tặc đã đánh cắp khóa riêng và đúc ra một lượng lớn mã thông báo PLA, gây thiệt hại ban đầu lên tới 36,5 triệu đô la. Do thương lượng không thành công, tin tặc sau đó đã tiếp tục đúc ra 15,9 tỷ mã thông báo PLA, khiến tổng thiệt hại tăng vọt lên tới 253,9 triệu đô la. Sự kiện này đã buộc PlayDapp phải tạm ngừng hợp đồng PLA và di chuyển sang hợp đồng mã thông báo PDA mới, làm nổi bật sự thiếu sót trong việc bảo vệ khóa riêng và ứng phó khẩn cấp trong các dự án blockchain.
3. Sàn giao dịch Ấn Độ WazirX gặp phải đòn tấn công chính xác
Số tiền lỗ: 235 triệu USD Hình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền mã hóa lớn nhất Ấn Độ WazirX đã bị tấn công bởi một kế hoạch tấn công tinh vi do hacker thực hiện. Kẻ tấn công đã sử dụng kỹ thuật kỹ thuật xã hội để lừa đảo những người ký đa chữ ký phê duyệt một giao dịch nâng cấp hợp đồng, sau đó đã lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví. Sự kiện này đã làm lộ ra những rủi ro tiềm tàng của ví đa chữ ký trong việc quản lý quyền hạn và tính minh bạch trong hoạt động, đồng thời đã gợi lên những suy nghĩ sâu sắc trong ngành về cơ chế kiểm soát rủi ro nội bộ của các dự án.
4. Gala Games phải đối mặt với tổn thất lớn
Số tiền lỗ: 216 triệu USD Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint của hợp đồng token để đúc một lần 5 tỷ GALA token. Sau đó, những token này đã được đổi thành ETH theo từng đợt, dẫn đến thiệt hại trực tiếp 216 triệu USD. Đội ngũ Gala Games đã nhanh chóng kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã thu hồi một phần thiệt hại thông qua các biện pháp pháp lý.
5. Người đồng sáng lập Ripple bị đánh cắp ví cá nhân
Số tiền tổn thất: 112 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị tin tặc xâm nhập, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ bằng thiết bị phần cứng kép. Một sàn giao dịch đã thành công trong việc đóng băng 4,2 triệu USD XRP và hỗ trợ theo dõi, nhưng phần lớn số tiền đã bị rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn tiền.
6. Munchables gặp phải sự thâm nhập nội bộ
Số tiền lỗ: 62,5 triệu USD Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast là Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công đã cải trang thành nhà phát triển blockchain, thông qua việc ẩn mình trong thời gian dài để lấy được mã nguồn cốt lõi và các khóa nhạy cảm. Mặc dù gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển của bên thứ ba.
7. Sàn giao dịch BtcTurk tại Thổ Nhĩ Kỳ bị tấn công
Số tiền lỗ: 55 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất của Thổ Nhĩ Kỳ, BtcTurk, đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự hỗ trợ của một nền tảng giao dịch, 5,3 triệu USD tiền bị đánh cắp đã được đóng băng thành công, nhưng phần lớn tài sản vẫn chưa được thu hồi. Sự kiện này đã làm sâu sắc thêm nỗi lo ngại của thị trường về quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa chữ ký Radiant Capital bị tấn công
Số tiền lỗ: 53 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa chữ ký của Radiant Capital đã bị tấn công bởi hacker. Do áp dụng mô hình xác thực chữ ký với ngưỡng thấp 3/11, hacker đã nắm giữ khóa riêng của 3 người ký để thực hiện ký ngoại tuyến, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gây ra sự suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa chữ ký.
Cần lưu ý rằng, Radiant Capital đã mất 4,5 triệu USD trước cuộc tấn công này do lỗ hổng hợp đồng, hơn 1900 ETH đã bị đánh cắp, phản ánh mức độ chú trọng đến an toàn của các dự án Web3 vẫn cần được cải thiện.
9. Hedgey Finance gặp phải cuộc tấn công lỗ hổng hợp đồng
Số tiền thiệt hại: 44,7 triệu USD Phương thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, nhiều hợp đồng trên chuỗi của Hedgey Finance đã bị tấn công. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ để thành công rút các token trên hai chuỗi Ethereum và Arbitrum, với tổng thiệt hại lên tới 44,7 triệu đô la. Sự kiện này làm nổi bật tầm quan trọng của việc kiểm toán mã nguồn, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt token.
10. Ví nóng của một sàn giao dịch đã bị xâm nhập
Số tiền tổn thất: 44.7 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, ví nóng của một sàn giao dịch đã bị hacker xâm nhập, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển nhượng tài sản và đóng băng rút tiền, nhưng hacker đã thành công rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công lần này lại phản ánh tính rủi ro cao trong quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện an ninh thường xuyên xảy ra trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển lành mạnh của ngành công nghiệp blockchain không thể thiếu sự đảm bảo an toàn. Từ quản lý khóa riêng đến lỗ hổng hợp đồng, từ quản trị nội bộ đến việc nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều vang lên hồi chuông cảnh báo cho ngành. Để đối phó với những mối đe dọa an ninh ngày càng phức tạp, ngành công nghiệp cần tiếp tục đầu tư mạnh mẽ vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi hy vọng thông qua hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn và đáng tin cậy hơn, cung cấp sự bảo vệ tốt hơn cho người dùng và nhà đầu tư.