Vào năm 2024, ngành công nghiệp blockchain sẽ phải đối mặt với những thách thức bảo mật ngày càng nghiêm trọng trong quá trình đổi mới công nghệ và mở rộng hệ sinh thái. Theo giám sát của nền tảng Alert của công ty kiểm toán bảo mật Beosin, tính đến thời điểm viết bài, tổng thiệt hại do các cuộc tấn công của hacker, lừa đảo lừa đảo và Rug Pull của các bên dự án trong lĩnh vực Web3 vào năm 2024 đã lên tới 2,491 tỷ đô la Mỹ.
Những sự cố này không chỉ bộc lộ các lỗi kỹ thuật như quản lý khóa riêng và lỗ hổng hợp đồng thông minh mà còn nêu bật những rủi ro tiềm ẩn của kỹ thuật lừa đảo xã hội và quản lý nội bộ. Bài viết này sẽ tổng hợp mười sự cố bảo mật Web3 hàng đầu vào năm 2024 để giúp ngành học hỏi từ chúng và ứng phó tốt hơn với các mối đe dọa bảo mật trong tương lai.
Bitcoin DMM số 1
Số tiền bị mất: 304 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, DMM Bitcoin, một sàn giao dịch tiền điện tử lâu đời của Nhật Bản, đã hứng chịu một cuộc tấn công lịch sử. Những kẻ tấn công đã sử dụng các khóa riêng bị rò rỉ để chuyển trực tiếp số Bitcoin trị giá hơn 300 triệu USD và nhanh chóng phân tán số tiền bị đánh cắp đến hơn 10 địa chỉ khác nhau. Cuộc tấn công này đã bộc lộ những thiếu sót nghiêm trọng trong việc quản lý khóa riêng của DMM Bitcoin và bảo vệ bảo mật nhiều lớp. Mặc dù sàn giao dịch đã cố gắng theo dõi tin tặc thông qua giám sát trên chuỗi và đóng băng quỹ, nhưng số Bitcoin bị đánh cắp đã bị phân tán, chuyển giao và làm sạch bằng các công cụ trộn tiền tệ, điều này mang lại những thách thức lớn cho công việc theo dõi.
Vào ngày 24 tháng 12, Cảnh sát Nhật Bản xác định rằng vụ trộm DMM Bitcoin là do tổ chức hacker Lazarus Group của Triều Tiên gây ra.
PlayDapp số 2
Số tiền thiệt hại: 290 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Ngày 9 tháng 2 năm 2024, PlayDapp bị giáng một đòn nặng nề.Tin tặc đã kiếm được 2 tỷ USD bằng cách đánh cắp khóa riêng tư key. Mã thông báo PLAvới giá trị ban đầu là 36,5 triệu USD. Khi các cuộc đàm phán giữa nhóm dự án và hacker không thành công, hacker đã đúc thêm 15,9 tỷ token PLA trị giá 253,9 triệu USD trong một khoảng thời gian ngắn. Sau khi một số mã thông báo này chảy vào sàn giao dịch Gate, PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng mã thông báo PDA. Sự cố này nêu bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và ứng phó với sự cố khẩn cấp.
WazirX số 3
Số tiền thua: 235 triệu đô la Mỹ
Phương thức tấn công: tấn công mạng và lừa đảo
Ngày 18 tháng 7 năm 2024,< mạnh>Ví an toàn của WazirX, sàn giao dịch tiền điện tử lớn nhất Ấn Độ Ví đa chữ ký đã bị tin tặc nhắm tớimột cách chính xác. Kẻ tấn công đã xúi giục người ký tên nhiều người ký giao dịch nâng cấp hợp đồng thông qua kỹ thuật xã hội, sau đó sử dụng quyền hợp đồng được nâng cấp để chuyển tất cả tài sản trong ví. Trường hợp này nêu bật những rủi ro tiềm ẩn trong cấu hình cấp phép quản lý và tính minh bạch trong hoạt động của ví đa chữ ký, đồng thời tạo ra sự phản ánh sâu sắc trong ngành về cơ chế bảo mật và kiểm soát rủi ro nội bộ của dự án.
Trò chơi Gala số 4
Số tiền thiệt hại: 216 triệu USD
Phương thức tấn công: lỗ hổng kiểm soát truy cập
Ngày 20 tháng 5 năm 2024,Trò chơi Gala Một địa chỉ đặc quyền nhất định đã bị tin tặc xâm phạm. Kẻ tấn công đã đúc 5 tỷ mã thông báo GALA cùng một lúc bằng cách gọi chức năng đúc tiền trong hợp đồng mã thông báo. Sau đó, hacker đã chuyển đổi các token mới phát hành thành ETH theo đợt, trực tiếp gây thiệt hại 216 triệu USD. Sau sự việc, đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một số tài khoản hacker và thu hồi tổn thất thông qua các kênh tư pháp.
Số 5 Chris Larsen (đồng sáng lập của Ripple)
Số tiền thua lỗ: 112 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của người đồng sáng lập RippleChris Larsen đã bị hack Vi phạm< /strong>dẫn đến vụ trộm 112 triệu USD tiền XRP. Những ví này bị nghi ngờ là mục tiêu do thiếu cơ chế bảo vệ kép cho các thiết bị phần cứng. Sau sự cố, Binance đã đóng băng thành công XRP trị giá 4,2 triệu USD và hỗ trợ Larsen theo dõi các tài sản bị đánh cắp, nhưng hầu hết số tiền đã được rửa thông qua các sàn giao dịch phi tập trung và dịch vụ trộn tiền tệ.
Munchables số 6
Số tiền thua: 62,5 triệu USD
Phương thức tấn công: tấn công kỹ thuật xã hội
Ngày 26 tháng 3 năm 2024, dựa trên Blast's Nền tảng chơi game Web3 Munchables Gặp phải một cuộc tấn công thâm nhập nội bộ hiếm gặp. Kẻ tấn công là một hacker người Triều Tiên cải trang thành một nhà phát triển blockchain. Anh ta đã lấy được mã lõi và các khóa nhạy cảm thông qua việc ẩn nấp lâu dài. Mặc dù cuộc tấn công gây ra tổn thất lớn nhưng do áp lực từ cộng đồng và nhóm, cuối cùng tin tặc đã trả lại toàn bộ số tiền bị đánh cắp. Sự cố này cho thấy tầm quan trọng của bảo mật chuỗi cung ứng, đặc biệt đối với các dự án blockchain dựa vào sự phát triển của bên thứ ba.
BtcTurk số 7
Số tiền thua: 55 triệu USD
Phương thức tấn công: rò rỉ khóa riêng
Ngày 22 tháng 6 năm 2024BtcTurk , sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ Bị tấn công rò rỉ khóa riêngvà mất hơn 55 triệu đô la tài sản tiền điện tử. Với sự hỗ trợ của nhóm Binance, 5,3 triệu USD số tiền bị đánh cắp đã được phong tỏa thành công nhưng các tài sản khác vẫn chưa được thu hồi. Sự cố này làm sâu sắc thêm mối lo ngại của thị trường về việc quản lý khóa riêng trên các sàn giao dịch tập trung.
Thông báo chính thức về cuộc tấn công của BtcTurk
Radiant Capital số 8
Số tiền bị mất: 53 triệu USD
Phương thức tấn công: rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa chữ ký của Radiant Capital đã bị tin tặc xâm nhập. Do áp dụng ngưỡng thấp chế độ xác minh chữ ký 3/11, tin tặc đã bắt đầu tạo chữ ký ngoài chuỗi bằng cách nắm vững khóa riêng của ba người ký và chuyển quyền sở hữu ví hợp đồng với các địa chỉ độc hại cuối cùng đã dẫn đến vụ trộm 53 triệu USD. Cuộc tấn công đã khiến ngành phải suy nghĩ lại về cơ chế quản trị và thiết kế ví đa chữ ký.
Radiant Capital đã mất 4,5 triệu USD do lỗ hổng hợp đồng trước cuộc tấn công này và hơn 1.900 ETH đã bị đánh cắp. Các bên tham gia dự án Web3 vẫn cần chú ý hơn đến vấn đề bảo mật.
Tài chính phòng hộ số 9
Số tiền thua lỗ: 4470 Mười nghìn đô la Mỹ
Phương thức tấn công: Lỗ hổng hợp đồng
Ngày 19 tháng 4 năm 2024, Hedgey Tài chính Gặp phải các cuộc tấn công nhắm vào nhiều hợp đồng trên chuỗi. Tin tặc đã khai thác lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns và rút thành công mã thông báo trên cả chuỗi Ethereum và Arbitrum, với tổng thiệt hại là 44,7 triệu USD. Sự cố này cho thấy tầm quan trọng của việc kiểm tra mã, đặc biệt là xác minh nghiêm ngặt logic phê duyệt mã thông báo.
BingX số 10
Số tiền thiệt hại: 44,7 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, ví nóng của sàn giao dịch BingX đã bị hack , các chuỗi liên quan bao gồm Ethereum, Chuỗi BNB, Tron và nhiều chuỗi công khai khác. Mặc dù sàn giao dịch đã nhanh chóng bắt đầu cơ chế đóng băng chuyển giao và rút tiền tài sản, nhưng tin tặc đã rút thành công tài sản trị giá 44,7 triệu USD. Cuộc tấn công này phản ánh tính chất rủi ro cao của việc quản lý ví nóng trên các sàn giao dịch tập trung và tiếp tục thúc đẩy ngành khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Các cuộc tấn công bảo mật thường xuyên vào năm 2024 nhắc nhở chúng ta một lần nữa rằng sự phát triển của ngành blockchain không thể tách rời khỏi việc bảo vệ an ninh. Từ rò rỉ khóa riêng đến lỗ hổng hợp đồng, từ giám sát quản lý nội bộ đến nâng cấp các phương thức tấn công bên ngoài, mọi sự cố đều mang lại những bài học sâu sắc. Để đối phó với các mối đe dọa tấn công ngày càng phức tạp, tất cả các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu và phát triển công nghệ, các quy định quản lý cũng như phòng ngừa và kiểm soát rủi ro. Trong tương lai, chúng tôi mong muốn cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn thông qua hợp tác trong ngành và đổi mới công nghệ để cung cấp cho người dùng và nhà đầu tư sự bảo vệ đáng tin cậy hơn.