Báo cáo thường niên về tình hình bảo mật chuỗi khối Web3 năm 2024

Lời nói đầu

Báo cáo nghiên cứu này được khởi xướng bởiLiên minh bảo mật chuỗi khối và được đồng sáng tạo bởi các thành viên liên minh Beosin và Footprint Analytics. Báo cáo này nhằm mục đích khám phá toàn diện sự phát triển của tình hình an ninh chuỗi khối toàn cầu vào năm 2024. Thông qua phân tích và đánh giá hiện trạng bảo mật blockchain toàn cầu, báo cáo sẽ tiết lộ những thách thức và mối đe dọa bảo mật hiện tại, đồng thời cung cấp các giải pháp và phương pháp hay nhất.

Thông qua báo cáo này, người đọc sẽ có thể hiểu một cách toàn diện hơn về diễn biến năng động của tình hình bảo mật chuỗi khối Web3. Điều này sẽ giúp người đọc đánh giá và giải quyết các thách thức bảo mật mà không gian blockchain phải đối mặt. Ngoài ra, người đọc cũng có thể nhận được những gợi ý hữu ích về các biện pháp an ninh và định hướng phát triển ngành từ báo cáo để giúp họ đưa ra những quyết định và hành động sáng suốt trong lĩnh vực mới nổi này. Bảo mật và giám sát chuỗi khối là vấn đề then chốt cho sự phát triển của kỷ nguyên Web3. Thông qua nghiên cứu và thảo luận chuyên sâu, chúng ta có thể hiểu rõ hơn và ứng phó với những thách thức này, đồng thời thúc đẩy tính bảo mật và phát triển bền vững của công nghệ blockchain.

1. Tổng quan về năm 2024 về tình hình bảo mật chuỗi khối Web3

Theo giám sát của nền tảng Alert của công ty kiểm toán bảo mật Beosin, tổng thiệt hại trong lĩnh vực Web3 do các cuộc tấn công của hacker, lừa đảo lừa đảo và Rug Pull của các bên dự án vào năm 2024 đạt 2,513 tỷ USD mạnh>. Trong số đó, có 131 sự cố tấn công lớn, với tổng thiệt hại khoảng 1,792 tỷ USD; 68 sự cố dự án Rug Pull, với tổng thiệt hại khoảng 148 triệu USD; và các vụ lừa đảo lừa đảo, với tổng thiệt hại khoảng 574 triệu USD.

Năm 2024, số vụ hacker tấn công và lừa đảo lừa đảo sẽ tăng đáng kể so với năm 2023, trong đó lừa đảo lừa đảo tăng 140,66% so với năm 2023. Số tiền thiệt hại của bên dự án trong sự cố Rug Pull đã giảm đáng kể, khoảng 61,94%.

Các loại dự án bị tấn côngvào năm 2024 bao gồm DeFi, CEX, DEX, chuỗi công cộng, cầu nối chuỗi, ví, nền tảng thanh toán, nền tảng cờ bạc, nhà môi giới tiền điện tử, cơ sở hạ tầng, trình quản lý mật khẩu, công cụ phát triển, MEV Robot, robot TG và nhiều loại khác. DeFi là loại dự án bị tấn công thường xuyên nhất, với 75 cuộc tấn công vào DeFi gây thiệt hại tổng cộng khoảng 390 triệu USD. CEX là loại dự án có tổng thiệt hại cao nhất. 10 cuộc tấn công nhằm vào CEX đã gây ra tổng thiệt hại khoảng 724 triệu USD.

Sẽ có nhiều loại chuỗi công khai bị tấn công hơn vào năm 2024 và sẽ có nhiều sự cố bảo mật liên quan đến hành vi trộm cắp trên nhiều chuỗi. Ethereum vẫn là chuỗi công khai có số tổn thất cao nhất. 66 cuộc tấn công vào Ethereum đã gây ra thiệt hại khoảng 844 triệu USD, chiếm 33,57% tổng thiệt hại trong năm.

Từ góc độ kỹ thuật tấn công,35 vụ rò rỉ khóa riêng đã gây ra tổng thiệt hại khoảng 1,306 tỷ USD, chiếm 51,96% tổng thiệt hại. Cuộc tấn công tốn kém nhất.

Khai thác lỗ hổng theo hợp đồng là phương thức tấn công thường xuyên nhất Trong số 131 cuộc tấn công, có 76 cuộc tấn công đến từ việc khai thác lỗ hổng theo hợp đồng. Tỷ lệ đạt 58,02. %.

Khoảng 531 triệu USD tiền bị đánh cắp đã được thu hồi trong năm, chiếm khoảng 21,13%. Khoảng 109 triệu USD số tiền bị đánh cắp đã được chuyển sang máy trộn tiền xu trong suốt cả năm, chiếm khoảng 4,34% tổng số tiền bị đánh cắp, giảm khoảng 66,97% so với năm 2023.

2, 2024  Mười sự cố bảo mật hàng đầu trong hệ sinh thái Web3

Tổng cộng có 5 cuộc tấn công với thiệt hại vượt quá 100 triệu xảy ra trong 2024: Bitcoin DMM (3.04 tỷ USD), PlayDapp (290 triệu USD), WazirX (235 triệu USD), Gala Games (216 triệu USD) và Chris Larsen (112 triệu USD). Tổng thiệt hại của 10 sự cố bảo mật hàng đầu là khoảng 1,417 tỷ USD, chiếm khoảng 79,07% tổng số tiền sự cố tấn công hàng năm.

Bitcoin DMM số 1

Mất Số tiền: 304 triệu USD

Phương thức tấn công: Rò rỉ khóa riêng

Ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử DMM của Nhật Bản Bitcoin đã bị tấn công và số Bitcoin trị giá hơn 300 triệu USD đã bị đánh cắp. Các tin tặc đã phân tán số tiền bị đánh cắp đến hơn 10 địa chỉ nhằm cố gắng làm sạch chúng.

PlayDapp số 2

Số lượng tổn thất: 290 triệu USD

Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 9 tháng 2 năm 2024, nền tảng trò chơi blockchain PlayDapp đã bị tấn công và tin tặc đã đúc 2 tỷ mã thông báo PLA trị giá 36,5 triệu đô la Mỹ. Sau khi đàm phán với PlayDapp thất bại, vào ngày 12 tháng 2, tin tặc đã đúc thêm 15,9 tỷ token PLA trị giá 253,9 triệu USD và gửi một số tiền đến sàn giao dịch Gate. Nhóm dự án PlayDapp sau đó đã đình chỉ hợp đồng PLA và chuyển mã thông báo PLA sang mã thông báo PDA.

WazirX số 3

Số lượng tổn thất : 235 triệu USD

Phương thức tấn công: Tấn công mạng và lừa đảo

Ngày 18 tháng 7 năm 2024, sàn giao dịch tiền điện tử Ấn Độ Hơn 230 triệu USD đã bị đánh cắp từ ví đa chữ ký WazirX. Ví đa chữ ký này là ví hợp đồng thông minh Ví an toàn. Kẻ tấn công đã xúi giục những người ký nhiều chữ ký ký giao dịch nâng cấp hợp đồng. Kẻ tấn công trực tiếp chuyển tài sản trong ví thông qua hợp đồng được nâng cấp, và cuối cùng chuyển toàn bộ tài sản trị giá hơn 230 triệu đô la Mỹ.

Trò chơi Gala số 4

Thua Số tiền: 216 triệu USD

Tấn công: Lỗ hổng kiểm soát truy cập

Ngày 20 tháng 5 năm 2024, Gala Một địa chỉ đặc quyền trong Trò chơi đã được kiểm soát và kẻ tấn công đã sử dụng địa chỉ này để gọi chức năng đúc tiền của mã thông báo để trực tiếp đúc 5 tỷ mã thông báo GALA, trị giá khoảng 216 triệu đô la Mỹ và chuyển đổi các mã thông báo bổ sung thành ETH theo đợt. Sau đó, nhóm Gala Games đã sử dụng chức năng danh sách đen để ngăn chặn hacker và phục hồi tổn thất.

Chris Larsen số 5 (đồng sáng lập của Ripple)

Số tiền thiệt hại: 112 triệu USD

Phương thức tấn công: Rò rỉ khóa riêng

< p style="văn bản-căn chỉnh: left;">Vào ngày 31 tháng 1 năm 2024, Chris Larsen, người đồng sáng lập Ripple, cho biết bốn ví của ông đã bị xâm phạm, dẫn đến tổng thiệt hại khoảng 112 triệu USD. Đội ngũ Binance đã đóng băng thành công số token XRP bị đánh cắp trị giá 4,2 triệu USD.

Munchables số 6

Số lượng tổn thất: 62,5 triệu USD

Phương thức tấn công: Tấn công kỹ thuật xã hội

Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast là Munchables đã bị tấn công, gây thiệt hại khoảng 62,5 triệu USD. Dự án bị tấn công vì hacker Triều Tiên được thuê làm nhà phát triển. Tất cả số tiền bị đánh cắp cuối cùng đã được tin tặc trả lại.

BTCTurk số 7

Số lượng tổn thất : 55 triệu USD

Phương thức tấn công: rò rỉ khóa riêng

Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử BTCTurk của Thổ Nhĩ Kỳ đã bị tấn công, dẫn đến thiệt hại khoảng 55 triệu USD. Binance đã giúp đóng băng hơn 5,3 triệu USD số tiền bị đánh cắp.

Vốn tỏa sáng số 8

Mất Số tiền: 53 triệu USD

Phương thức tấn công: Rò rỉ khóa riêng

Ngày 17 tháng 10 năm 2024, giao thức cho vay đa chuỗi Radiant Capital đã bị tấn công và kẻ tấn công đã lấy được quyền của ba chủ sở hữu một cách bất hợp pháp trong ví đa chữ ký Radiant Capital. Do ví đa chữ ký áp dụng chế độ xác minh chữ ký 3/11, kẻ tấn công sử dụng 3 khóa riêng này để thực hiện chữ ký ngoài chuỗi, sau đó bắt đầu giao dịch trên chuỗi để chuyển quyền sở hữu hợp đồng Radiant Capital sang hợp đồng độc hại do kẻ tấn công kiểm soát, gây thiệt hại hơn 53 triệu USD.

Tài chính phòng hộ số 9

Mất mát Số tiền: 44,7 triệu USD

Phương thức tấn công: Lỗ hổng hợp đồng

Ngày 19 tháng 4 năm 2024, Hedgey Finance Kẻ tấn công đã phát động nhiều cuộc tấn công. Kẻ tấn công đã khai thác lỗ hổng phê duyệt mã thông báo để đánh cắp một số lượng lớn mã thông báo trong hợp đồng ClaimCampaigns. Các mã thông báo bị đánh cắp từ chuỗi Ethereum có giá trị hơn 2,1 triệu USD và các mã thông báo bị đánh cắp từ chuỗi Arbitrum có giá trị khoảng 42,6 triệu USD.

BingX số 10

Số lượng tổn thất: 44,7 triệu USD

Phương thức tấn công: Rò rỉ khóa riêng

Ngày 19 tháng 9 năm 2024, ví nóng trao đổi BingX đã bị hack. Mặc dù BingX đã đưa ra kế hoạch khẩn cấp, bao gồm chuyển tài sản khẩn cấp và tạm dừng rút tiền, nhưng theo thống kê của Beosin, tổng thiệt hại do dòng tài sản chảy ra bất thường từ ví nóng lên tới 44,7 triệu đô la Mỹ. Chuỗi BNB, Tron, Polygon, Avalanche, Base Chờ nhiều chuỗi khối.

3. Loại dự án

2024 Ngoài các loại phổ biến như DeFi, CEX, DEX, chuỗi công cộng, cầu nối chuỗi và ví, các loại dự án bị tấn công năm 2018 còn xuất hiện trong nền tảng thanh toán, nền tảng cờ bạc, môi giới tiền điện tử, cơ sở hạ tầng, trình quản lý mật khẩu, công cụ phát triển , MEV trên nhiều loại dự án khác nhau như robot và robot TG.

Các dự án DeFi đã bị tấn công 75 lần vào năm 2024, khiến nó trở thành loại dự án có nhiều cuộc tấn công nhất (khoảng 50,70%). Tổng thiệt hại từ các cuộc tấn công DeFi là khoảng 390 triệu USD, chiếm khoảng 15,50% tổng thiệt hại và là loại dự án có tổn thất lớn thứ tư.

Số tiền thiệt hại số 1 là CEX (sàn giao dịch tập trung). 10 cuộc tấn công đã gây ra tổng thiệt hại khoảng 724 triệu USD, khiến đây trở thành loại dự án có tổn thất lớn nhất. Tổng hợp lại, các loại sàn giao dịch sẽ gặp sự cố bảo mật thường xuyên vào năm 2024 và bảo mật sàn giao dịch vẫn là thách thức lớn nhất đối với hệ sinh thái Web3.

Khoản lỗ lớn thứ hai là từ ví cá nhân, với tổng thiệt hại khoảng 445 triệu USD. Mười hai cuộc tấn công chống lại cá voi tiền điện tử và một số lượng lớn các cuộc tấn công lừa đảo và tấn công kỹ thuật xã hội nhằm vào người dùng thông thường đã khiến tổng số ví cá nhân bị mất tăng 464,72% so với năm 2023, trở thành thách thức lớn thứ hai sau bảo mật sàn giao dịch.

Mỗi chuỗi. Số tiền thiệt hại

So với năm 2023, các loại chuỗi công khai nơi xảy ra các cuộc tấn công vào năm 2024 cũng vậy rộng rãi hơn. Top 5 về số tiền thua lỗ là Ethereum, Bitcoin, Arbitrum, Ripple và Blast:

Sáu người đứng đầu theo số lượng sự cố tấn công là

Ethereum, Chuỗi BNB, Arbitrum, Khác, Base, Solana:

Tương tự như năm 2023, Ethereum vẫn là chuỗi công khai có tổn thất cao nhất. 66 cuộc tấn công vào Ethereum đã gây ra thiệt hại khoảng 844 triệu USD, chiếm 33,59% tổng thiệt hại trong năm.

Lưu ý: Tổng dữ liệu tổn thất không bao gồm tổn thất do lừa đảo trên chuỗi và một số tổn thất trong ví nóng CEX

Tổn thất trên mạng Bitcoin xếp thứ hai, mức độ an toàn duy nhất Sự kiện mất mát đạt đến 238 triệu USD. Đứng thứ ba là Arbitrum với tổng thiệt hại khoảng 114 triệu USD.

5. Phân tích

Các phương thức tấn công vào năm 2024 rất đa dạng, ngoài các cuộc tấn công vào lỗ hổng hợp đồng thông thường còn có rất nhiều. Các phương thức tấn công, bao gồm:Tấn công chuỗi cung ứng, tấn công nhà cung cấp dịch vụ bên thứ ba, tấn công trung gian, DNS Các cuộc tấn công, tấn công từ phía trước, v.v.

Vào năm 2024, 35 sự cố rò rỉ khóa riêng đã gây ra tổng thiệt hại 1,306 tỷ USD, chiếm 51,96% tổng thiệt hại. %, là phương thức tấn công gây tổn thất nhiều nhất. Các vụ rò rỉ khóa riêng gây ra tổn thất lớn bao gồm: DMM Bitcoin (304 triệu USD), PlayDapp (290 triệu USD), đồng sáng lập Ripple Chris Larson (112 triệu USD), BTCTurk (55 triệu USD), Radiant Capital (53 triệu USD), BingX (44,7 triệu USD) ), DEXX (21 triệu USD).

Khai thác lỗ hổng theo hợp đồng là phương thức tấn công thường xuyên nhất Trong số 131 cuộc tấn công, có 76 cuộc đến từ việc khai thác lỗ hổng theo hợp đồng. Tỷ lệ đạt 58,02. %. Tổng thiệt hại do sơ hở hợp đồng gây ra là khoảng 321 triệu USD, đứng thứ ba về số tiền thiệt hại.

Theo phân tích các lỗ hổng bảo mật, những lỗ hổng xảy ra thường xuyên nhất và gây thiệt hại nhiều nhất là các lỗ hổng logic nghiệp vụ, khoảng 53,95% về các sự cố lỗ hổng hợp đồng Số tiền thiệt hại đến từ các lỗ hổng logic kinh doanh, gây ra tổng thiệt hại khoảng 158 triệu USD.

6. Phân tích các sự cố chống rửa tiền điển hình

6.1  Polter Sự cố an ninh tài chính

Tóm tắt sự cố

< p style="text-align: left;">Vào ngày 17 tháng 11 năm 2024, theo giám sát và cảnh báo của Beosin Alert, người ta phát hiện ra rằng thỏa thuận cho vay Polter Finance trên chuỗi FTM đã bị tấn công. Kẻ tấn công đã thao túng giá token trong chuỗi. hợp đồng dự án thông qua các khoản vay nhanh để kiếm lợi nhuận.

Phân tích lỗ hổng và nguồn vốn

Hợp đồng LendingPool (0xd47ae558623638f676c1e38dad71b53054f54273) đã bị tấn công trong sự cố này sử dụng 0x6808b5ce79d44e89 883c5393b487c4296abb69fe đóng vai trò là nhà tiên tri, sử dụng hợp đồng nguồn cấp dữ liệu giá được triển khai gần đây (0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe). Hợp đồng nguồn cấp dữ liệu giá này sử dụng dự trữ mã thông báo trong hợp đồng uniswapV2_pair (0xEc71) mà kẻ tấn công có thể sử dụng cho các khoản vay nhanh để tính giá, vì vậy hợp đồng này dễ bị tấn công thao túng giá.

Kẻ tấn công đã sử dụng các khoản vay nhanh để nâng giá trị của mã thông báo $BOO một cách sai trái và cho vay các tài sản tiền điện tử khác. Sau đó, số tiền bị đánh cắp đã được kẻ tấn công chuyển đổi thành mã thông báo FTM, sau đó được liên kết chéo với chuỗi ETH, lưu trữ tất cả số tiền trên chuỗi ETH. Sau đây là sơ đồ về quy trình dòng vốn trên chuỗi ARB và chuỗi ETH:

Vào ngày 20 tháng 11, kẻ tấn công tiếp tục chuyển hơn 2.625 ETH sang Tornado Cash, như trong hình bên dưới:

6.2 Sự cố bảo mật BitForex

Tóm tắt sự cố

Vào ngày 23 tháng 2 năm 2024, thám tử nổi tiếng trên chuỗi ZachXBT đã tiết lộ thông qua các công cụ phân tích của mình rằng ví nóng của BitForex đã trải qua một đợt rút tiền khoảng 56,5 triệu USD và trong quá trình đó, nền tảng này đã tạm dừng các dịch vụ rút tiền.

Phân tích quỹ

Nhóm bảo mật Beosin sử dụng Trace để phân tích BitForex Sự kiện này đã được theo dõi và phân tích chuyên sâu:

Ethereum

Sàn giao dịch BitForx vào ngày 24 tháng 2 năm 2024 lúc 6:11 (UTC+8) bắt đầu chuyển 40.771 USDT, 258.700 USDC, 148,01 ETH và 471.405 TRB đến địa chỉ thoát Ethereum (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f).

Sau đó vào ngày 9 tháng 8, giờ Bắc Kinh, địa chỉ đang chạy đã chuyển tất cả các token ngoại trừ TRB (bao gồm 147,9 ETH, 40.771 USDT và 258.700 USDC) trở lại tài khoản Bitforex Exchange ( 0xcce7300829f49b8f2e4aee6123b12da64662a8b8).

Sau đó, từ ngày 9 tháng 11 đến ngày 10 tháng 11, giờ Bắc Kinh, địa chỉ đang hoạt động đã chuyển 355.000 TRB cho bốn người dùng sàn OKX khác nhau thông qua 7 giao dịch.

0x274c481bf400c2abfd2b5e648a0056ef34970b0a

0x45798ca76a589647acc21040c50562dcc33cf6bf

0x712d2fd67fe65510c5fad49d5a9181514d94183d

0xe8ec263ad9ee6947bf773837a2c86dff3a737bba

Sau đó, địa chỉ đang chạy đã chuyển tất cả 116.414,93 TRB còn lại sang một địa chỉ chuyển (0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e), sau đó địa chỉ đó đã chuyển tất cả TRB sang hai người dùng sàn giao dịch Binance khác nhau trong hai giao dịch:

< p style="text- căn chỉnh: trái;">0x431c916ef45e660dae7cd7184e3226a72fa50c0c

0xe7b1fb77baaa3bba9326af2af3cd5857256519df

Chuỗi BNB

Vào ngày 24 tháng 2, sàn Bitforex đã rút 166 ETH, 46.905 USDT và 57.810 USDC về BNB. Địa chỉ Chuỗi (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f) cho đến nay đã được giải quyết.

Polygon

Vào ngày 24 tháng 2, giờ Bắc Kinh, sàn Bitforex đã rút 99.000 MATIC, 20.300 USDT và Địa chỉ chuỗi 1.700 USDC đến POL: 0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f.

Trong số đó, 99000 MATIC đã được chuyển đến địa chỉ 0xcce7300829f49b8f2e4aee6123b12da64662a8b8 vào ngày 9 tháng 8 và đã được kết tủa cho đến nay, các mã thông báo USDT và USDC còn lại cũng đã được kết tủa cho đến nay .

TRON

Rút 44.000 TRX và 657.698 xu từ sàn giao dịch Bitforex vào ngày 24 tháng 2 Địa chỉ chuỗi USDT đến TRON TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o. Vào ngày 9 tháng 8, tất cả các token trên sẽ được chuyển trở lại địa chỉ người dùng sàn giao dịch Bitforex: TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo.

Bitcoin

Bắt đầu từ ngày 24 tháng 2, 16 địa chỉ Bitforex đã chuyển tổng cộng 5,7 BTC sang địa chỉ chuỗi BTC 3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2. Địa chỉ này đã chuyển toàn bộ 5,7 BTC trở lại địa chỉ trao đổi Bitforex vào ngày 9 tháng 8: 11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz.

Tóm lại, sàn Bitforex đã trao đổi 40.771 USDT, 258.700 USDC, 148,01 ETH và 471.405 vào ngày 24 tháng 2 TRB đã được chuyển sang chuỗi ETH; 44.000 TRX và 657.698 USDT đã được chuyển sang chuỗi TRON; 5,7 BTC đã được chuyển sang chuỗi BTC; 166 ETH, 46.905 USDT và 57.810 USDC đã được chuyển sang Chuỗi BNB; 1.700 USDC đã được chuyển sang chuỗi Polygon. Vào ngày 9 tháng 8, tất cả token của chuỗi BTC, tất cả token của chuỗi TRON và chuỗi ETH ngoại trừ token TRB đã được chuyển trở lại sàn giao dịch Bitforex. Vào ngày 9 và 10 tháng 11, tất cả 471.405 TRB đã được chuyển sang 4 tài khoản OKX và 2 Binance. tài khoản. Cho đến nay, tất cả các mã thông báo trong chuỗi ETH, chuỗi TRON và chuỗi BTC đã được chuyển Có 166 ETH, 46.905 USDT và 57.810 USDC được gửi trên BSC và 99.000 MATIC, 20.300 USDT và 1.700 USDC đã được gửi. trên POL.

Địa chỉ trao đổi TRB gửi tiền đính kèm:

7. Phân tích dòng tiền của tài sản bị đánh cắp

Bị đánh cắp trong suốt năm 2024 Trong số tiền, Khoảng 1,312 tỷ USD vẫn còn trong địa chỉ của hacker (bao gồm chuyển tiền qua chuỗi chéo và phân tán đến nhiều địa chỉ), chiếm 52,20% tổng số tiền bị đánh cắp. So với năm ngoái, năm nay tin tặc có nhiều khả năng sử dụng nhiều chuỗi chéo để rửa tiền và truyền bá số tiền bị đánh cắp đến nhiều địa chỉ, thay vì sử dụng máy trộn tiền trực tiếp. Sự gia tăng địa chỉ và sự phức tạp của các con đường rửa tiền chắc chắn sẽ khiến việc điều tra trở nên khó khăn hơn đối với các bên tham gia dự án và các cơ quan quản lý.

Khoảng 531 triệu USD số tiền bị đánh cắp đã được thu hồi, chiếm khoảng 21,13%. Và vào năm 2023, khoảng 295 triệu USD sẽ được thu hồi.

Khoảng 109 triệu USD tiền bị đánh cắp đã được chuyển đến các máy trộn tiền xu trong suốt cả năm, chiếm khoảng 4,34% tổng số tiền bị đánh cắp. Kể từ khi OFAC của Hoa Kỳ xử phạt Tornado Cash vào tháng 8 năm 2022, số tiền bị đánh cắp được chuyển vào Tornado Cash đã giảm đáng kể.

Kiểm tra dự án Phân tích tình hình

Trong số 131 sự cố tấn công, các bên dự án trong 42 sự cố chưa được kiểm toán và 78 sự cố Các bên dự án liên quan đến sự cố đã được kiểm toán và không thể xác nhận tình trạng kiểm toán của các bên dự án liên quan đến 11 sự cố.

Trong số 42 dự án chưa được kiểm toán, sự cố lỗ hổng hợp đồng chiếm tới 30 trường hợp (xấp xỉ 71,43%). Điều này cho thấy các dự án không có kiểm toán sẽ dễ gặp rủi ro bảo mật tiềm ẩn hơn. So sánh, các sự cố về lỗ hổng bảo mật trong hợp đồng chiếm 49 (khoảng 62,82%) trong số 78 dự án được kiểm toán. Điều này cho thấy việc kiểm toán có thể cải thiện tính bảo mật của dự án ở một mức độ nhất định.

Tuy nhiên, do thiếu các tiêu chuẩn quản lý hoàn chỉnh trên thị trường Web3 nên chất lượng kiểm tra không đồng đều và kết quả cuối cùng không như mong đợi. Để bảo vệ an ninh tài sản một cách hiệu quả, nên kiểm toán một công ty bảo mật chuyên nghiệp trước khi dự án đi vào hoạt động.

9. Phân tích Pull 

Vào năm 2024, nền tảng Beosin Alert đã phát hiện tổng cộng 68 sự kiện Rug Pull lớn trong Hệ sinh thái Web3. Bắt đầu từ năm 2023, tổng số tiền liên quan là khoảng 148 triệu USD, giảm đáng kể so với 388 triệu USD vào năm 2023.

Xét về số tiền, trong số 68 sự cố Rug Pull, tổng cộng có 9 dự án có số tiền hơn một triệu đô la Mỹ là Essence Finance (20 triệu đô la Mỹ), Shido Global (2,4 triệu USD), ETHTrustFund (2,2 triệu USD), Nexera (1,8 triệu USD), Grand Base (1,7 triệu USD), SAGA Token (1,6 triệu USD), OrdiZK (1,4 triệu USD), MangoFarmSOL (1,29 triệu USD) và RiskOnBlast (1,25 triệu USD), với tổng thiệt hại là 33,64 triệu USD, chiếm toàn bộ Rug 22,73% số tiền bị mất trong sự kiện Kéo.

Các dự án Rug Pull trên Ethereum và BNB Chain chiếm 82,35% tổng số, lần lượt là 24 và 32, còn Scroll Có một chiếc Rug Pull trị giá hơn 20 triệu USD. Một số ít sự kiện Rug Pull đã xảy ra trong các chuỗi công khai khác, bao gồm: Polygon, BASE, Solana, v.v.

Ngày 10 tháng 10 năm 2024 Web3 Tóm tắt tình hình bảo mật Blockchain

Năm 2024,các hoạt động tấn công của hacker trên chuỗi, các bên tham gia dự ánRug The số lượng sự kiện kéo cao hơn năm 2023 Đã có sự sụt giảm đáng kể trong năm qua nhưng số lượng tổn thất vẫn ngày càng tăng và các cuộc tấn công lừa đảo ngày càng tràn lan. Phương thức tấn công tốn kém nhất vẫn là rò rỉ khóa riêng. Những lý do chính cho sự thay đổi này bao gồm:

Sau hoạt động tràn lan của hacker năm ngoái, toàn bộ hệ sinh thái Web3 đã chú ý hơn đến vấn đề bảo mật trong năm nay, từ các bên dự án đến bảo mật các công ty đã nỗ lực ở nhiều khía cạnh khác nhau, chẳng hạn như giám sát trên chuỗi theo thời gian thực, chú ý hơn đến kiểm toán bảo mật và tích cực học hỏi từ các sự cố khai thác lỗ hổng trong hợp đồng trong quá khứ, khiến tin tặc khó lấy cắp tiền thông qua các lỗ hổng trong hợp đồng hơn. năm ngoái. Tuy nhiên, các bên tham gia dự án cũng cần tăng cường nhận thức về bảo mật về quyền lưu ký khóa riêng và bảo mật vận hành dự án.

Với sự tích hợp của thị trường mã hóa và thị trường truyền thống, tin tặc không còn bị giới hạn trong việc tấn công DeFi, cầu nối chuỗi, sàn giao dịch, v.v. mà còn chuyển sang tấn công các nền tảng thanh toán, nền tảng cờ bạc, nhà môi giới tiền điện tử, cơ sở hạ tầng, trình quản lý mật khẩu, công cụ phát triển, bot MEV, bot TG và nhiều mục tiêu khác.

2024-2025, thị trường mã hóa sẽ bước vào thị trường giá lên và các quỹ trên chuỗi sẽ hoạt động, điều này sẽ thu hút nhiều cuộc tấn công của hacker hơn vào một mức độ nhất định . Ngoài ra, các chính sách quản lý đối với tài sản tiền điện tử ở các khu vực khác nhau đang dần được cải thiện để chống lại các hoạt động tội phạm khác nhau sử dụng tài sản tiền điện tử. Với xu hướng như vậy, các hoạt động tấn công của hacker dự kiến ​​sẽ vẫn ở mức cao vào năm 2025, đồng thời các cơ quan thực thi pháp luật và cơ quan quản lý toàn cầu vẫn phải đối mặt với những thách thức nghiêm trọng.