Tác giả: Daniel Phillips, coinmarketcap Dịch: Shan Oppa, Golden Finance< /p>
Khi năm 2023 sắp kết thúc, Bitcoin và thị trường tiền điện tử nói chung trỗi dậy mạnh mẽ hơn sau một thị trường giá xuống tàn khốc. sẽ được ghi nhớ như một năm biểu tượng. Tuy nhiên, các vụ trộm tiền điện tử vẫn còn phổ biến, vớigần 2,4 tỷ USD bị đánh cắp chỉ riêng trong năm nay.
Theo báo cáo của công ty phân tích và bảo mật blockchain Certik, quý 3 năm nay là thời kỳ trộm cắp tiền điện tử tràn lan nhất, với 184 trường hợp được biết đến. Tổng thiệt hại đã gây ra gần 700 triệu USD. Chỉ riêng trong quý 3, số tiền bị đánh cắp đã vượt quá quý 1 và quý 2 cộng lại.
Mặc dù những con số này thật đáng kinh ngạc nhưng chúng thể hiện sự sụt giảm so với tổng số hơn 3,5 tỷ USD của năm ngoái.
Theo dữ liệu từ SlowMist, 450 vụ trộm tiền điện tử đã được xác nhận cho đến năm 2023, trong đó các giao thức phi tập trung trên chuỗi thông minh Ethereum và BNB trở thành mục tiêu phổ biến nhất.
Nhiều nền tảng blockchain được xây dựng trên phần mềm nguồn mở và trong khi làm như vậy giúp thúc đẩy tính minh bạch và hợp tác cộng đồng, nó cũng có thể bộc lộ những lỗ hổng có thể bị những kẻ có mục đích xấu khai thác.
Trong nhiều trường hợp, hình phạt pháp lý là tối thiểu và thậm chí còn có khả năng được thưởng sau sự việc, khiến những người có kiến thức kỹ thuật có nhiều khả năng sử dụng kỹ năng của mình cho mục đích bất hợp pháp.
Thật không may, tình huống này khiến các sàn giao dịch, nền tảng, giao thức dễ bị tổn thương và những người dùng cuối cùng phải chịu hậu quả của những cuộc tấn công này trở thành mục tiêu rõ ràng. Trên thực tế, trong các vụ trộm cắp được liệt kê dưới đây, rất có thể phần lớn số tiền bị đánh cắp sẽ không bao giờ lấy lại được.
Hãy cùng xem xét kỹ hơn những vụ hack tồi tệ nhất năm 2023.
Mạng Kyber: 54,7 triệu USD
2023-11 A Sự cố bảo mật xảy ra vào tháng 3 đã ảnh hưởng đến Kyber Network. Những kẻ tấn công đã khai thác các lỗ hổng liên quan đến thanh khoản và đánh cắp thành công khoảng 54,7 triệu USD từ KyberSwap Elastic.
Vụ rò rỉ nhắm vào nhóm thanh khoản của KyberSwap trên nhiều mạng blockchain, bao gồm Arbitrum, Ethereum, Optimism và Polygon. Tin tặc đã khai thác lỗ hổng reentrancy trong chức năng đúc token mới, dẫn đến thất thoát tiền đáng kể và giảm 90% tổng giá trị bị khóa (TVL) của nền tảng.
Thật bất ngờ, hacker đề nghị trả lại số tiền bị đánh cắp nếu đáp ứng một loạt yêu cầu. Trong số đó, kẻ tấn công yêu cầu kiểm soát hoàn toàn công ty Kyber Network và bàn giao hoàn toàn tất cả tài sản của công ty trên chuỗi và ngoài chuỗi.
Các hacker đã cho họ thời hạn đến ngày 10 tháng 12 để đáp ứng yêu cầu của họ nếu không các điều kiện sẽ vô hiệu.
p> p>
Nguồn: Etherscan
Có vẻ như đội đứng đằng sau Kyber không nhượng bộ những kẻ tấn công, thay vào đó họ tiến tới kế hoạch bồi thường bao gồm các khoản trợ cấp tài chính cho những người dùng bị ảnh hưởng.
Curve: 73,5 triệu USD
Curve không còn xa lạ với việc hack, Curve 2023-7 đã lại bị khai thác vào tháng 3 khi những kẻ tấn công khai thác các khóa đệ quy bị lỗi trong nhiều nhóm stablecoin Vyper 0,02,15 của nó để rút tiền.
Các giao thức và nhóm chính bị ảnh hưởng bởi cuộc tấn công là Alchemix, JPEG'd, MetronomeDAO, deBridge, Ellipsis và nhóm CRV/ETH.
Mọi thứ đang trở nên tốt đẹp hơn, với phần lớn số tiền bị đánh cắp sẽ được trả lại cho Curve Finance sau khi tin tặc chấp nhận khoản tiền thưởng mũ trắng có hiệu lực hồi tố 10%. Trong khi đó, Metronome và Alchemix lần lượt thu hồi được 6 triệu USD và 13 triệu USD nhờ nỗ lực của nhiều hacker mũ trắng.
Gần hai tuần sau vụ hack, Curve hứa sẽ bồi thường cho những người vẫn bị ảnh hưởng sau khi đánh giá thiệt hại để đảm bảo tài nguyên được phân bổ công bằng.
Euler Finance: 197 triệu USD
Vào tháng 3 năm nay, Euler Finance đã phải hứng chịu một cuộc khủng hoảng 197 triệu USD. Cuộc tấn công của hacker đã trở thành một trong những sự kiện kỳ lạ nhất trong thế giới tiền điện tử trong năm.
Kẻ tấn công đã lợi dụng lỗ hổng trong hợp đồng thông minh Euler và khéo léo thực hiện một cuộc tấn công flash loan. Bằng cách này, những kẻ tấn công đã đánh cắp nhiều loại tiền điện tử trị giá 197 triệu đô la, bao gồm DAI, wBTC, stETH và USDC, gần như xóa sạch tiền của giao thức.
Tuy nhiên, nhóm Euler Finance đã theo dõi thành công kẻ tấn công và thiết lập một kênh liên lạc. Điều này dường như khiến những kẻ tấn công sợ hãi đưa ra lựa chọn đúng đắn và nhanh chóng trả lại "tất cả số tiền có thể thu hồi được" vào kho tiền của Giao thức Euler.
Nhóm Euler đã mở chức năng đổi quà cho công chúng, cho phép người dùng lấy lại số tiền bị mất trong cuộc tấn công. Giao thức Euler hiện vẫn chưa hoạt động, nhưng nhóm đã gợi ý về việc sắp ra mắt một giải pháp cho vay mở mô-đun mới.
Mạng Mixin: 200 triệu USD
Mạng Mixin là mạng phi tập trung nhằm mục đích Quảng cáo giao dịch xuyên chuỗi hiệu quả của tài sản kỹ thuật số.
Vào tháng 9 năm 2023, công ty đã hứng chịu một cuộc tấn công thảm khốc vào dịch vụ đám mây của mình, dẫn đến việc tài sản của khách hàng trị giá khoảng 200 triệu USD bị đánh cắp. Mạng Mixin đã bị đình chỉ ngay sau cuộc tấn công.
Theo thông báo chính thức, nhóm Mixin có kế hoạch cố gắng hết sức để giảm thiểu những tổn thất này.
Trong buổi phát sóng trực tiếp tiếp theo, người sáng lập Mixin Network, Feng Xiaodong nói rằng nền tảng này chỉ có thể trả lại tối đa 50% tài sản bị đánh cắp và phần còn lại cuối cùng sẽ được trả lại thông qua các "đại lý" Để kiếm tiền từ các khiếu nại trách nhiệm pháp lý, Mixin sẽ cố gắng sử dụng lợi nhuận trong tương lai của mình.
Như thường lệ sau các vụ hack quy mô này, Mixin ban đầu đề nghị cho tin tặc một khoản tiền thưởng trị giá 20 triệu USD cho lỗ hổng có hiệu lực hồi tố nếu họ trả lại số tiền còn lại. Thật không may, điều này đã bị bỏ qua vì những kẻ tấn công đã đổi USDT bị đánh cắp lấy DAI để ngăn nó bị đóng băng trên chuỗi.
Multichain: 126 triệu USD
Multichain là một trong những giao thức bắc cầu chuỗi chéo phổ biến nhất Một chiếc đã bị hack vào ngày 7 tháng 7 năm 2023, dẫn đến vụ trộm nhiều loại tiền điện tử trị giá 126 triệu đô la.
Một trong những vụ hack tiền điện tử lớn nhất được ghi nhận, cuộc tấn công liên quan đến nhiều mạng blockchain, bao gồm Fantom, Moonriver và Dogechain, cũng như nhiều tài sản tiền điện tử.
Cho đến nay, nguồn gốc của vụ hack vẫn chưa được xác định, nhưng có thể tin tặc đã giành quyền kiểm soát khóa MPC của Multichain. Một số người nghi ngờ vụ hack có thể là do người trong cuộc thực hiện (còn được gọi là "kéo thảm").
Một phần lý do cho sự nghi ngờ này là sự biến mất của Giám đốc điều hành Multichain Zhao Jun vào tháng 5 năm 2023 và sau đó nhóm không thể thực hiện bảo trì kỹ thuật cần thiết trên nền tảng.
Thật ngạc nhiên là giao diện người dùng đa chuỗi vẫn đang chạy cho đến ngày nay. Người dùng có thể khởi tạo một cầu nối cho nội dung của mình nhưng quá trình chuyển giao này không bao giờ hoàn tất. Nhóm đằng sau nền tảng này đã công khai tuyên bố rằng họ không thể đóng cửa trang web hoặc dịch vụ vì họ không có quyền truy cập vào tài khoản miền đa chuỗi và cảnh báo không nên sử dụng dịch vụ.
Ví nguyên tử: hơn 100 triệu USD
Tháng 6 năm 2023, phổ biến vào thời điểm đó. Ví nguyên tử, một ví tiền điện tử tự lưu trữ đã bị vi phạm bảo mật nghiêm trọng, khiến khoảng 0,1% người dùng của nó bị thiệt hại hơn 100 triệu USD.
Vụ tấn công được cho là bắt nguồn từ nhóm hacker khét tiếng Lazarus của Triều Tiên, khiến nó trở thành một trong những sự cố bảo mật bất ngờ nhất trong năm nay vì việc tự lưu trữ thường xuyên được thực hiện. Được coi là an toàn hơn so với lưu trữ của bên thứ ba.
Mặc dù nguyên nhân cụ thể của lỗ hổng vẫn chưa rõ ràng nhưng một số khả năng đã được nêu ra, bao gồm cả việc không đủ entropy được sử dụng để tạo khóa riêng tư (tức là khóa riêng tư có thể bị phá hoại nghiêm trọng). -cưỡng bức bẻ khóa) và các cuộc tấn công vào chuỗi cung ứng.
Sau đó, ít nhất ba vụ kiện đã được đệ trình chống lại Atomic Wallet, công ty phát triển Atomic Systems và chủ sở hữu Konstantin Gladych. Công ty đã tỏ ra dè dặt về kế hoạch giúp đỡ những người dùng bị ảnh hưởng và mô tả việc điều tra nguyên nhân cốt lõi của vụ vi phạm là “phức tạp”.
Stake: 41 triệu USD
Vào tháng 9 năm 2023, nền tảng cờ bạc tiền điện tử nổi tiếng Stake phải chịu một "sự xâm nhập được dàn dựng tốt" đã dẫn đến việc mất tài sản trị giá tổng cộng 41 triệu USD trên các nền tảng chuỗi thông minh Ethereum, Polygon và BNB.
Số tiền bị đánh cắp bao gồm 6.001 ETH, 3,9 triệu USDT, 1,1 triệu USDC và 900.000 DAI. Ngay sau cuộc tấn công, những kẻ tấn công bắt đầu chuyển số tiền này qua các chuỗi, phần lớn cuối cùng được đổi lấy Bitcoin gốc (BTC).
Cuộc tấn công này một lần nữa bị nghi ngờ được thực hiện bởi nhóm hacker khét tiếng Lazarus. Không giống như các sự cố khác, nó không trực tiếp xâm nhập vào quyền riêng tư của ví nóng của Stake. chìa khóa. Theo người sáng lập Stake Edward Craven, tin tặc đã giành được quyền truy cập vào hệ thống phê duyệt giao dịch nội bộ của Stake và có thể xử lý các giao dịch trái phép.
Không giống như nhiều cuộc tấn công khác trong danh sách này, cuộc tấn công vào Stake này không ảnh hưởng đến tiền của khách hàng. Thay vào đó, tin tặc đã xâm nhập vào một ví nóng chuyên dùng để trả số tiền thắng cược khổng lồ.
Kết luận
Là một lĩnh vực tài chính phi tập trung, ngành công nghiệp tiền điện tử thiếu một thực thể trung tâm để thực thi Do đó, trách nhiệm tài chính của người dùng chủ yếu dựa vào các giải pháp tự quản lý và kiến thức về các biện pháp bảo mật mật mã mới nhất để bảo vệ tài sản của họ.
Đáng buồn là vẫn còn một số lượng lớn người dùng tiền điện tử, bao gồm cả một số người am hiểu công nghệ, đã trở thành nạn nhân của nhiều vụ hack và lừa đảo khác nhau.