Tổng hợp 10 sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024
Năm 2024, khi ngành Web3 phát triển mạnh mẽ, vấn đề an ninh cũng trở nên nổi bật hơn bao giờ hết. Theo thống kê, tính đến cuối năm, tổng thiệt hại do các cuộc tấn công của hacker, lừa đảo và các dự án bỏ trốn lên tới 2.491 triệu đô la. Những sự kiện này không chỉ phơi bày những lỗ hổng về mặt công nghệ mà còn làm nổi bật những rủi ro tiềm ẩn về quản lý và vận hành. Bài viết này sẽ tổng hợp mười sự kiện an ninh có ảnh hưởng nhất trong lĩnh vực Web3 năm 2024, nhằm cảnh tỉnh và suy ngẫm cho ngành.
1. Một sàn giao dịch Nhật Bản bị tấn công nghiêm trọng
Số tiền thiệt hại: 304 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5, một sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản đã gặp phải một sự cố an ninh nghiêm trọng. Kẻ tấn công đã sử dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến nhiều địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo mật đa lớp. Mặc dù sàn giao dịch đã thực hiện các biện pháp như giám sát trên chuỗi và đóng băng tài sản, nhưng do hacker đã sử dụng công cụ trộn coin, công việc truy dấu gặp rất nhiều thách thức.
Cuối năm, cảnh sát Nhật Bản xác nhận cuộc tấn công này do một tổ chức hacker quốc tế thực hiện.
2. PlayDapp bị tấn công phát hành token quá mức
Số tiền thua lỗ: 290 triệu đô la MỹPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 9 tháng 2, dự án PlayDapp đã bị tổn thất nặng nề. Hacker đã đánh cắp khóa riêng và đúc ra một số lượng lớn token PLA, có giá trị ban đầu là 36,5 triệu USD. Do việc thương lượng với hacker thất bại, kẻ tấn công đã tiếp tục đúc ra nhiều token hơn, tổng giá trị lên tới 253,9 triệu USD. Một phần các token này đã chảy vào sàn giao dịch, PlayDapp buộc phải ngừng hợp đồng cũ và chuyển sang hợp đồng token mới. Sự kiện này đã làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý khẩn cấp.
3. Sàn giao dịch tiền điện tử lớn nhất Ấn Độ bị tấn công ví đa chữ ký
Số tiền lỗ: 235 triệu USDHình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7, ví đa ký an toàn của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác. Kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để dụ dỗ những người ký đa ký ký vào một giao dịch nâng cấp hợp đồng, sau đó đã lợi dụng quyền hạn của hợp đồng đã nâng cấp để chuyển tất cả tài sản trong ví. Vụ việc này đã làm lộ ra những rủi ro tiềm ẩn trong việc cấu hình quyền hạn và tính minh bạch trong hoạt động của ví đa ký, đồng thời đã kích thích một cuộc suy ngẫm sâu sắc trong ngành về cơ chế kiểm soát rủi ro nội bộ của các dự án.
4. Gala Games gặp phải tấn công phát hành token
Số tiền mất mát: 216 triệu USDPhương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng token, lần lượt đúc ra 5 tỷ GALA token. Sau đó, những token được phát hành này đã được đổi thành ETH theo từng đợt, gây ra thiệt hại trực tiếp lên tới 216 triệu USD. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã thu hồi được một phần thiệt hại thông qua các biện pháp pháp lý.
5. Ví cá nhân của người sáng lập một dự án tiền điện tử nổi tiếng bị đánh cắp
Số tiền tổn thất: 112 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1, bốn ví cá nhân của một đồng sáng lập dự án tiền điện tử nổi tiếng đã bị tấn công bởi hacker, dẫn đến việc 112 triệu đô la tiền điện tử bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ kép từ thiết bị phần cứng. Sau sự cố, một sàn giao dịch lớn đã thành công trong việc đóng băng 4,2 triệu đô la tài sản bị đánh cắp, nhưng phần lớn số tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn tiền.
6. Munchables gặp phải cuộc tấn công thâm nhập nội bộ
Số tiền lỗ: 6250 triệu đô la MỹPhương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3, nền tảng trò chơi Web3 Munchables dựa trên Blast đã trải qua một cuộc tấn công xâm nhập nội bộ hiếm thấy. Kẻ tấn công đã ngụy trang thành nhà phát triển blockchain, thông qua việc ẩn nấp lâu dài để lấy được mã lõi và các khóa nhạy cảm. Mặc dù đã gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại tất cả số tiền bị đánh cắp. Sự kiện này làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển của bên thứ ba.
7. Sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ gặp sự cố rò rỉ khóa riêng
Số tiền thiệt hại: 55 triệu USDHình thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6, sàn giao dịch tiền điện tử lớn nhất của Thổ Nhĩ Kỳ đã bị tấn công rò rỉ khóa riêng, dẫn đến thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự hỗ trợ của một sàn giao dịch lớn, 5,3 triệu USD tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa chữ ký Radiant Capital bị tấn công
Số tiền tổn thất: 53 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10, ví đa chữ ký của Radiant Capital đã bị tấn công bởi hacker. Do sử dụng chế độ xác thực chữ ký 3/11 với mức độ thấp, hacker đã nắm giữ khóa riêng của 3 người ký, thực hiện chữ ký ngoài chuỗi và chuyển quyền sở hữu hợp đồng ví đến địa chỉ độc hại, dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gợi mở một sự suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa chữ ký.
Cần lưu ý rằng, Radiant Capital đã mất 4,5 triệu USD và hơn 1900 ETH do lỗ hổng hợp đồng trước khi cuộc tấn công này diễn ra. Điều này lại một lần nữa cho thấy rằng các dự án Web3 cần phải nâng cao mức độ chú trọng đến an ninh.
9. Hedgey Finance đa chuỗi hợp đồng bị tấn công
Số tiền mất mát: 44,7 triệu đô la MỹPhương thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4, Hedgey Finance đã gặp phải một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Tin tặc đã tận dụng lỗ hổng phê duyệt của hợp đồng ClaimCampaigns, thành công rút ra các mã thông báo trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44.7 triệu đô la. Sự kiện này làm nổi bật tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt mã thông báo.
10. Ví nóng của một sàn giao dịch bị tin tặc xâm nhập
Số tiền mất mát: 44,7 triệu đô la MỹPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9, một sàn giao dịch đã bị hacker xâm nhập vào ví nóng, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu đô la Mỹ. Cuộc tấn công này lại một lần nữa phản ánh tính rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành công nghiệp tìm kiếm những giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện an ninh xảy ra thường xuyên trong năm 2024 một lần nữa cảnh báo chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể thiếu sự bảo đảm an ninh. Từ quản lý khóa riêng đến lỗ hổng hợp đồng, từ quản lý nội bộ đến sự nâng cấp của các phương thức tấn công bên ngoài, mỗi sự kiện đều gióng lên hồi chuông cảnh tỉnh cho ngành. Để đối phó với các mối đe dọa an ninh ngày càng phức tạp, ngành công nghiệp cần tiếp tục đầu tư mạnh mẽ vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi mong đợi thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn và đáng tin cậy hơn.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 sự cố an ninh hàng đầu trong lĩnh vực Web3 năm 2024 gây thiệt hại 2,491 triệu USD
Tổng hợp 10 sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024
Năm 2024, khi ngành Web3 phát triển mạnh mẽ, vấn đề an ninh cũng trở nên nổi bật hơn bao giờ hết. Theo thống kê, tính đến cuối năm, tổng thiệt hại do các cuộc tấn công của hacker, lừa đảo và các dự án bỏ trốn lên tới 2.491 triệu đô la. Những sự kiện này không chỉ phơi bày những lỗ hổng về mặt công nghệ mà còn làm nổi bật những rủi ro tiềm ẩn về quản lý và vận hành. Bài viết này sẽ tổng hợp mười sự kiện an ninh có ảnh hưởng nhất trong lĩnh vực Web3 năm 2024, nhằm cảnh tỉnh và suy ngẫm cho ngành.
1. Một sàn giao dịch Nhật Bản bị tấn công nghiêm trọng
Số tiền thiệt hại: 304 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5, một sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản đã gặp phải một sự cố an ninh nghiêm trọng. Kẻ tấn công đã sử dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến nhiều địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo mật đa lớp. Mặc dù sàn giao dịch đã thực hiện các biện pháp như giám sát trên chuỗi và đóng băng tài sản, nhưng do hacker đã sử dụng công cụ trộn coin, công việc truy dấu gặp rất nhiều thách thức.
Cuối năm, cảnh sát Nhật Bản xác nhận cuộc tấn công này do một tổ chức hacker quốc tế thực hiện.
2. PlayDapp bị tấn công phát hành token quá mức
Số tiền thua lỗ: 290 triệu đô la Mỹ Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 9 tháng 2, dự án PlayDapp đã bị tổn thất nặng nề. Hacker đã đánh cắp khóa riêng và đúc ra một số lượng lớn token PLA, có giá trị ban đầu là 36,5 triệu USD. Do việc thương lượng với hacker thất bại, kẻ tấn công đã tiếp tục đúc ra nhiều token hơn, tổng giá trị lên tới 253,9 triệu USD. Một phần các token này đã chảy vào sàn giao dịch, PlayDapp buộc phải ngừng hợp đồng cũ và chuyển sang hợp đồng token mới. Sự kiện này đã làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý khẩn cấp.
3. Sàn giao dịch tiền điện tử lớn nhất Ấn Độ bị tấn công ví đa chữ ký
Số tiền lỗ: 235 triệu USD Hình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7, ví đa ký an toàn của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác. Kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để dụ dỗ những người ký đa ký ký vào một giao dịch nâng cấp hợp đồng, sau đó đã lợi dụng quyền hạn của hợp đồng đã nâng cấp để chuyển tất cả tài sản trong ví. Vụ việc này đã làm lộ ra những rủi ro tiềm ẩn trong việc cấu hình quyền hạn và tính minh bạch trong hoạt động của ví đa ký, đồng thời đã kích thích một cuộc suy ngẫm sâu sắc trong ngành về cơ chế kiểm soát rủi ro nội bộ của các dự án.
4. Gala Games gặp phải tấn công phát hành token
Số tiền mất mát: 216 triệu USD Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng token, lần lượt đúc ra 5 tỷ GALA token. Sau đó, những token được phát hành này đã được đổi thành ETH theo từng đợt, gây ra thiệt hại trực tiếp lên tới 216 triệu USD. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã thu hồi được một phần thiệt hại thông qua các biện pháp pháp lý.
5. Ví cá nhân của người sáng lập một dự án tiền điện tử nổi tiếng bị đánh cắp
Số tiền tổn thất: 112 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1, bốn ví cá nhân của một đồng sáng lập dự án tiền điện tử nổi tiếng đã bị tấn công bởi hacker, dẫn đến việc 112 triệu đô la tiền điện tử bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ kép từ thiết bị phần cứng. Sau sự cố, một sàn giao dịch lớn đã thành công trong việc đóng băng 4,2 triệu đô la tài sản bị đánh cắp, nhưng phần lớn số tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn tiền.
6. Munchables gặp phải cuộc tấn công thâm nhập nội bộ
Số tiền lỗ: 6250 triệu đô la Mỹ Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3, nền tảng trò chơi Web3 Munchables dựa trên Blast đã trải qua một cuộc tấn công xâm nhập nội bộ hiếm thấy. Kẻ tấn công đã ngụy trang thành nhà phát triển blockchain, thông qua việc ẩn nấp lâu dài để lấy được mã lõi và các khóa nhạy cảm. Mặc dù đã gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại tất cả số tiền bị đánh cắp. Sự kiện này làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển của bên thứ ba.
7. Sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ gặp sự cố rò rỉ khóa riêng
Số tiền thiệt hại: 55 triệu USD Hình thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6, sàn giao dịch tiền điện tử lớn nhất của Thổ Nhĩ Kỳ đã bị tấn công rò rỉ khóa riêng, dẫn đến thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự hỗ trợ của một sàn giao dịch lớn, 5,3 triệu USD tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa chữ ký Radiant Capital bị tấn công
Số tiền tổn thất: 53 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10, ví đa chữ ký của Radiant Capital đã bị tấn công bởi hacker. Do sử dụng chế độ xác thực chữ ký 3/11 với mức độ thấp, hacker đã nắm giữ khóa riêng của 3 người ký, thực hiện chữ ký ngoài chuỗi và chuyển quyền sở hữu hợp đồng ví đến địa chỉ độc hại, dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gợi mở một sự suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa chữ ký.
Cần lưu ý rằng, Radiant Capital đã mất 4,5 triệu USD và hơn 1900 ETH do lỗ hổng hợp đồng trước khi cuộc tấn công này diễn ra. Điều này lại một lần nữa cho thấy rằng các dự án Web3 cần phải nâng cao mức độ chú trọng đến an ninh.
9. Hedgey Finance đa chuỗi hợp đồng bị tấn công
Số tiền mất mát: 44,7 triệu đô la Mỹ Phương thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4, Hedgey Finance đã gặp phải một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Tin tặc đã tận dụng lỗ hổng phê duyệt của hợp đồng ClaimCampaigns, thành công rút ra các mã thông báo trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44.7 triệu đô la. Sự kiện này làm nổi bật tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt mã thông báo.
10. Ví nóng của một sàn giao dịch bị tin tặc xâm nhập
Số tiền mất mát: 44,7 triệu đô la Mỹ Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9, một sàn giao dịch đã bị hacker xâm nhập vào ví nóng, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu đô la Mỹ. Cuộc tấn công này lại một lần nữa phản ánh tính rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành công nghiệp tìm kiếm những giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện an ninh xảy ra thường xuyên trong năm 2024 một lần nữa cảnh báo chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể thiếu sự bảo đảm an ninh. Từ quản lý khóa riêng đến lỗ hổng hợp đồng, từ quản lý nội bộ đến sự nâng cấp của các phương thức tấn công bên ngoài, mỗi sự kiện đều gióng lên hồi chuông cảnh tỉnh cho ngành. Để đối phó với các mối đe dọa an ninh ngày càng phức tạp, ngành công nghiệp cần tiếp tục đầu tư mạnh mẽ vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi mong đợi thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn và đáng tin cậy hơn.