Nguồn gốc: Beosin
Vào năm 2024, trong khi ngành công nghiệp blockchain đang trải qua quá trình đổi mới công nghệ và mở rộng hệ sinh thái, nó cũng sẽ phải đối mặt với những thách thức bảo mật ngày càng nghiêm trọng. Theo giám sát của nền tảng Alert của công ty kiểm toán bảo mật Beosin, tính đến thời điểm viết bài, tổng thiệt hại trong lĩnh vực Web3 do các cuộc tấn công của hacker, lừa đảo lừa đảo và Rug Pulls của các bên dự án vào năm 2024 đã lên tới 2,491 tỷ đô la Mỹ.
Những sự cố này không chỉ bộc lộ những sai sót kỹ thuật như lỗ hổng quản lý khóa riêng và hợp đồng thông minh mà còn nêu bật những rủi ro tiềm ẩn của kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ tổng hợp 10 sự cố bảo mật Web3 hàng đầu vào năm 2024 để giúp ngành học hỏi từ chúng và ứng phó tốt hơn với các mối đe dọa bảo mật trong tương lai.
Bitcoin DMM số 1
Lỗ: 304 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, DMM Bitcoin, một sàn giao dịch tiền điện tử lâu đời của Nhật Bản, đã phải hứng chịu một cuộc tấn công lịch sử. Những kẻ tấn công đã sử dụng các khóa riêng bị rò rỉ để chuyển trực tiếp số Bitcoin trị giá hơn 300 triệu USD và nhanh chóng phân tán số tiền bị đánh cắp đến hơn 10 địa chỉ khác nhau. Cuộc tấn công này đã bộc lộ những thiếu sót nghiêm trọng trong việc quản lý khóa riêng của DMM Bitcoin và bảo vệ bảo mật nhiều lớp. Mặc dù sàn giao dịch đã cố gắng theo dõi tin tặc thông qua giám sát trên chuỗi và đóng băng quỹ, nhưng số Bitcoin bị đánh cắp đã bị phân tán, chuyển giao và làm sạch bằng các công cụ trộn tiền tệ, điều này mang lại những thách thức lớn cho công việc theo dõi.
Vào ngày 24/12, cảnh sát Nhật Bản xác định vụ trộm Bitcoin DMM là do tổ chức hacker Lazarus Group của Triều Tiên gây ra. Để có phân tích chi tiết về các cuộc tấn công và rửa tiền trong quá khứ của Tập đoàn Lazarus, bạn có thể đọc Phân tích hoạt động rửa tiền của Tập đoàn Lazarus, Nhóm trộm tiền điện tử táo bạo nhất trong lịch sử .
PlayDapp số 2
Lỗ: 290 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã phải chịu một đòn nặng nề. Tin tặc đã đúc được 2 tỷ mã thông báo PLA với giá trị ban đầu là 36,5 triệu USD bằng cách đánh cắp khóa riêng tư . Khi các cuộc đàm phán giữa bên dự án và hacker không thành công, hacker đã đúc thêm 15,9 tỷ token PLA trị giá 253,9 triệu USD trong một khoảng thời gian ngắn. Sau khi một số mã thông báo này chảy vào sàn giao dịch Gate, PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng mã thông báo PDA. Sự cố này nêu bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và ứng phó khẩn cấp .
Số 3 WazirX
Số tiền thiệt hại: 235 triệu USD
Phương thức tấn công: tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của WazirX, sàn giao dịch tiền điện tử lớn nhất Ấn Độ, đã bị tin tặc tấn công chính xác. Kẻ tấn công đã xúi giục người ký tên nhiều người ký giao dịch nâng cấp hợp đồng thông qua kỹ thuật xã hội, sau đó sử dụng quyền hợp đồng được nâng cấp để chuyển tất cả tài sản trong ví. Trường hợp này nêu bật những rủi ro tiềm ẩn trong cấu hình cấp phép quản lý và tính minh bạch trong hoạt động của ví đa chữ ký, đồng thời gây ra sự phản ánh sâu sắc trong ngành về cơ chế bảo mật và kiểm soát rủi ro nội bộ của các dự án.
Để phân tích chi tiết và theo dõi quỹ của vụ việc này, bạn có thể đọc Beosin | Phân tích 235 triệu USD bị đánh cắp từ Sàn giao dịch Ấn Độ WazirX .
Trò chơi Gala số 4
Lỗ: 216 triệu USD
Phương thức tấn công: lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker xâm nhập. Kẻ tấn công đã đúc 5 tỷ mã thông báo GALA cùng một lúc bằng cách gọi chức năng đúc tiền trong hợp đồng mã thông báo. Sau đó, hacker đã chuyển đổi các token mới phát hành thành ETH theo đợt, trực tiếp gây ra khoản lỗ 216 triệu USD. Sau sự việc, đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một số tài khoản hacker và thu hồi tổn thất thông qua các kênh tư pháp.
Số 5 Chris Larsen (đồng sáng lập Ripple)
Số tiền thiệt hại: 112 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của người đồng sáng lập Ripple Chris Larsen đã bị hack, dẫn đến vụ trộm 112 triệu đô la XRP. Những ví này bị nghi ngờ là mục tiêu do thiếu cơ chế bảo vệ kép cho các thiết bị phần cứng. Sau sự cố, Binance đã đóng băng thành công XRP trị giá 4,2 triệu USD và hỗ trợ Larsen theo dõi các tài sản bị đánh cắp, nhưng hầu hết số tiền đã được rửa thông qua các sàn giao dịch phi tập trung và dịch vụ trộn tiền tệ.
Đồ ăn vặt số 6
Số tiền thiệt hại: 62,5 triệu USD
Phương pháp tấn công: tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast là Munchables đã phải hứng chịu một cuộc tấn công xâm nhập nội bộ hiếm gặp. Kẻ tấn công là một hacker người Triều Tiên cải trang thành một nhà phát triển blockchain. Anh ta đã lấy được mã lõi và các khóa nhạy cảm thông qua việc ẩn nấp lâu dài. Mặc dù cuộc tấn công gây ra tổn thất lớn nhưng cuối cùng các hacker đã trả lại toàn bộ số tiền bị đánh cắp do áp lực từ cộng đồng và nhóm. Sự cố này cho thấy tầm quan trọng của bảo mật chuỗi cung ứng, đặc biệt đối với các dự án blockchain dựa vào sự phát triển của bên thứ ba.
Số 7 BtcTurk
Số tiền thiệt hại: 55 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ BtcTurk đã hứng chịu một cuộc tấn công rò rỉ khóa riêng, khiến tài sản tiền điện tử bị mất hơn 55 triệu USD. Với sự hỗ trợ của nhóm Binance, 5,3 triệu USD số tiền bị đánh cắp đã được phong tỏa thành công nhưng các tài sản khác vẫn chưa được thu hồi. Sự cố này làm sâu sắc thêm mối lo ngại của thị trường về việc quản lý khóa riêng trên các sàn giao dịch tập trung.
Thông báo chính thức của BtcTurk về việc bị tấn công
Vốn rạng ngời số 8
Số tiền thiệt hại: 53 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa chữ ký của Radiant Capital đã bị tin tặc xâm nhập. Do chế độ xác minh chữ ký 3/11 ngưỡng thấp, tin tặc đã bắt đầu tạo chữ ký ngoài chuỗi bằng cách nắm vững khóa riêng của ba người ký, chuyển quyền sở hữu hợp đồng ví sang một địa chỉ độc hại, cuối cùng dẫn đến hành vi trộm cắp 53 triệu USD. Cuộc tấn công đã khiến ngành phải suy nghĩ lại về cơ chế quản trị và thiết kế ví đa chữ ký.
Trước cuộc tấn công này, Radiant Capital đã mất 4,5 triệu USD do lỗ hổng hợp đồng và hơn 1.900 ETH đã bị đánh cắp. Các bên dự án Web3 vẫn cần chú ý hơn đến vấn đề bảo mật.
Tài chính phòng hộ số 9
Số tiền thiệt hại: 44,7 triệu USD
Phương thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã bị tấn công vào nhiều hợp đồng trên chuỗi. Tin tặc đã khai thác lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns và rút thành công mã thông báo trên cả chuỗi Ethereum và Arbitrum, dẫn đến tổng thiệt hại 44,7 triệu USD. Sự cố này cho thấy tầm quan trọng của việc kiểm tra mã, đặc biệt là xác minh nghiêm ngặt logic phê duyệt mã thông báo.
Số 10 BingX
Số tiền thiệt hại: 44,7 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, ví nóng của sàn giao dịch BingX đã bị hack và các chuỗi liên quan bao gồm Ethereum, Chuỗi BNB, Tron và các chuỗi công khai khác. Mặc dù sàn giao dịch đã nhanh chóng bắt đầu cơ chế đóng băng chuyển giao và rút tiền tài sản, nhưng tin tặc vẫn có thể rút thành công tài sản trị giá 44,7 triệu USD. Cuộc tấn công này phản ánh tính chất rủi ro cao của việc quản lý ví nóng trên các sàn giao dịch tập trung và tiếp tục thúc đẩy ngành khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Sự xuất hiện thường xuyên của các cuộc tấn công bảo mật vào năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời việc bảo vệ an ninh. Từ rò rỉ khóa riêng đến lỗ hổng hợp đồng, từ giám sát quản lý nội bộ đến nâng cấp các phương thức tấn công bên ngoài, mọi sự cố đều mang lại những bài học sâu sắc. Để đối phó với các mối đe dọa tấn công ngày càng phức tạp, tất cả các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu và phát triển công nghệ, các quy định quản lý cũng như phòng ngừa và kiểm soát rủi ro. Trong tương lai, chúng tôi mong muốn cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn thông qua hợp tác trong ngành và đổi mới công nghệ để cung cấp cho người dùng và nhà đầu tư sự bảo vệ đáng tin cậy hơn.