Tổng hợp sự kiện an ninh Web3 năm 2024: Mười trường hợp cảnh báo rủi ro trong ngành
Với sự đổi mới không ngừng của công nghệ blockchain và sự mở rộng của hệ sinh thái, lĩnh vực Web3 năm 2024 đang đối mặt với những thách thức an ninh chưa từng có. Theo dữ liệu từ các nền tảng giám sát, tính đến cuối năm, tổng thiệt hại trong lĩnh vực Web3 do các cuộc tấn công của hacker, lừa đảo qua phishing và các dự án bỏ trốn lên tới 2,491 triệu USD. Những sự kiện này không chỉ phơi bày những lỗ hổng ở cấp độ công nghệ, như quản lý khóa riêng không đúng cách và lỗi hợp đồng thông minh, mà còn làm nổi bật tính nghiêm trọng của các cuộc tấn công kỹ thuật xã hội và rủi ro quản lý nội bộ.
Bài viết này sẽ điểm lại mười sự kiện an ninh nổi bật nhất trong lĩnh vực Web3 năm 2024, nhằm giúp ngành học hỏi từ những bài học và cung cấp tham khảo cho việc bảo vệ an ninh trong tương lai.
1. Sự kiện DMM Bitcoin
Số tiền thua lỗ: 304 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp phải một vụ vi phạm bảo mật lớn. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Mỹ Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến hơn mười địa chỉ khác nhau. Sự việc này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh nhiều lớp. Mặc dù sàn giao dịch đã thực hiện các biện pháp như giám sát trên chuỗi và đóng băng tài sản sau đó, nhưng do hacker đã sử dụng công cụ trộn tiền để rửa tiền, công tác truy dấu gặp phải thách thức lớn.
Cuối năm, cảnh sát Nhật Bản xác nhận cuộc tấn công này được thực hiện bởi một tổ chức hacker nổi tiếng.
2. PlayDapp gặp phải lạm phát token
Số tiền bị mất: 290 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Ngày 9 tháng 2 năm 2024, dự án PlayDapp đã bị tấn công nghiêm trọng. Tin tặc đã thành công trong việc đánh cắp khóa riêng và đúc ra 2 tỷ token PLA, có giá trị ban đầu là 36,5 triệu đô la. Do dự án không thể đàm phán thành công với tin tặc, họ đã đúc thêm 15,9 tỷ token PLA trong thời gian ngắn, có giá trị 253,9 triệu đô la. Một phần token bị đánh cắp đã được đưa vào sàn giao dịch, buộc PlayDapp phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng token PDA mới. Sự kiện này đã làm nổi bật những thiếu sót trong việc bảo vệ khóa riêng và cơ chế phản ứng khẩn cấp của các dự án blockchain.
3. Ví đa chữ ký WazirX bị tấn công
Số tiền thua lỗ: 235 triệu USD
Hình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ, WazirX, đã bị tấn công chính xác. Kẻ tấn công đã sử dụng kỹ thuật kỹ thuật xã hội để dụ dỗ người ký đa chữ ký phê duyệt một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển hết tài sản trong ví. Vụ việc này đã phơi bày những rủi ro tiềm ẩn của ví đa chữ ký trong quản lý quyền hạn và độ minh bạch của hoạt động, gây ra sự phản ánh sâu sắc trong ngành về cơ chế kiểm soát rủi ro nội bộ của dự án.
4. Lỗ hổng phát hành thêm token Gala Games
Số tiền thua lỗ: 216 triệu USD
Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng token, một lần đã đúc ra 5 tỷ GALA token. Sau đó, hacker đã đổi từng phần những token mới này sang ETH, gây ra thiệt hại trực tiếp lên tới 216 triệu USD. Đội ngũ Gala Games đã khẩn cấp kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã thu hồi một phần thiệt hại thông qua các biện pháp pháp lý.
5. Ví cá nhân của đồng sáng lập Ripple bị đánh cắp
Số tiền thiệt hại: 112 triệu USD
Phương thức tấn công: Lộ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của người đồng sáng lập Ripple đã bị hacker tấn công, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Các ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ kép ở cấp độ phần cứng. Sau sự kiện, một sàn giao dịch đã thành công trong việc đóng băng 4,2 triệu USD XRP và hỗ trợ theo dõi tài sản bị đánh cắp, nhưng hầu hết số tiền đã bị rửa thông qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables gặp phải sự xâm nhập nội bộ
Số tiền lỗ: 62,5 triệu USD
Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast là Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công đã ngụy trang thành nhà phát triển blockchain và đã thu thập được mã nguồn và khóa nhạy cảm thông qua việc ẩn nấp lâu dài. Mặc dù gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển của bên thứ ba.
7. Sự kiện rò rỉ khóa riêng BtcTurk
Số tiền thua lỗ: 55 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất của Thổ Nhĩ Kỳ BtcTurk đã遭遇 cuộc tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu đô la tài sản tiền điện tử. Với sự hỗ trợ của một đội ngũ từ một sàn giao dịch khác, 5,3 triệu đô la tiền bị đánh cắp đã được đông lạnh thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng mối lo ngại của thị trường về khả năng quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa chữ ký Radiant Capital bị tấn công
Số tiền thua lỗ: 53 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị hacker xâm nhập. Do áp dụng mô hình xác thực chữ ký 3/11 với mức độ thấp, hacker đã nắm giữ khóa riêng của 3 người ký và thực hiện chữ ký ngoài chuỗi, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, cuối cùng dẫn đến việc mất trộm 53 triệu đô la. Cuộc tấn công này đã gây ra sự suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la và hơn 1900 ETH do lỗ hổng hợp đồng trước cuộc tấn công này. Điều này một lần nữa nhấn mạnh tầm quan trọng của việc nâng cao nhận thức về an ninh của các dự án Web3.
9. Lỗ hổng hợp đồng của Hedgey Finance bị khai thác
Số tiền mất mát: 44,7 triệu đô la Mỹ
Hình thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ để thành công rút ra các token trên hai chuỗi Ethereum và Arbitrum, tổng số tiền thiệt hại lên tới 44,7 triệu USD. Sự kiện này làm nổi bật tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt token.
10. Ví nóng BingX bị xâm nhập
Số tiền thua lỗ: 44,7 triệu đô la Mỹ
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, ví nóng của một sàn giao dịch đã bị hacker xâm nhập, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút tài sản trị giá 44,7 triệu đô la. Cuộc tấn công lần này lại một lần nữa phơi bày tính rủi ro cao trong quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện an ninh xảy ra thường xuyên trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển khỏe mạnh của ngành công nghiệp blockchain không thể thiếu sự bảo đảm an ninh mạnh mẽ. Từ việc rò rỉ khóa riêng đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến việc nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều gióng lên hồi chuông cảnh báo cho ngành. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, ngành công nghiệp cần tiếp tục đầu tư mạnh mẽ vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi hy vọng thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn và đáng tin cậy hơn, cung cấp sự bảo vệ vững chắc hơn cho người dùng và nhà đầu tư.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
18 thích
Phần thưởng
18
9
Chia sẻ
Bình luận
0/400
retroactive_airdrop
· 07-19 19:47
Nghe nói đồ ngốc đều lỗ nặng khó chịu.
Xem bản gốcTrả lời0
Ramen_Until_Rich
· 07-19 07:26
呵 Lỗ hổng an ninh năm nào cũng có đồ ngốc chơi đùa với mọi người tiếp tục chơi đùa.
Xem bản gốcTrả lời0
SmartContractPhobia
· 07-18 21:24
Chuyện này thật đáng sợ, hợp đồng cũng không dám động vào.
Xem bản gốcTrả lời0
0xInsomnia
· 07-17 17:13
Thật thảm hại, lại là câu chuyện đau thương của đồ ngốc.
Xem bản gốcTrả lời0
not_your_keys
· 07-16 21:06
Ngành công nghiệp đang trong tình trạng tồi tệ.
Xem bản gốcTrả lời0
SchroedingersFrontrun
· 07-16 21:01
Ôi, vẫn đang được chơi cho Suckers, hãy làm người đi.
Tổng quan sự kiện an ninh Web3 năm 2024: Mười trường hợp thiệt hại gần 2,5 tỷ đô la
Tổng hợp sự kiện an ninh Web3 năm 2024: Mười trường hợp cảnh báo rủi ro trong ngành
Với sự đổi mới không ngừng của công nghệ blockchain và sự mở rộng của hệ sinh thái, lĩnh vực Web3 năm 2024 đang đối mặt với những thách thức an ninh chưa từng có. Theo dữ liệu từ các nền tảng giám sát, tính đến cuối năm, tổng thiệt hại trong lĩnh vực Web3 do các cuộc tấn công của hacker, lừa đảo qua phishing và các dự án bỏ trốn lên tới 2,491 triệu USD. Những sự kiện này không chỉ phơi bày những lỗ hổng ở cấp độ công nghệ, như quản lý khóa riêng không đúng cách và lỗi hợp đồng thông minh, mà còn làm nổi bật tính nghiêm trọng của các cuộc tấn công kỹ thuật xã hội và rủi ro quản lý nội bộ.
Bài viết này sẽ điểm lại mười sự kiện an ninh nổi bật nhất trong lĩnh vực Web3 năm 2024, nhằm giúp ngành học hỏi từ những bài học và cung cấp tham khảo cho việc bảo vệ an ninh trong tương lai.
1. Sự kiện DMM Bitcoin
Số tiền thua lỗ: 304 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp phải một vụ vi phạm bảo mật lớn. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Mỹ Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến hơn mười địa chỉ khác nhau. Sự việc này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh nhiều lớp. Mặc dù sàn giao dịch đã thực hiện các biện pháp như giám sát trên chuỗi và đóng băng tài sản sau đó, nhưng do hacker đã sử dụng công cụ trộn tiền để rửa tiền, công tác truy dấu gặp phải thách thức lớn.
Cuối năm, cảnh sát Nhật Bản xác nhận cuộc tấn công này được thực hiện bởi một tổ chức hacker nổi tiếng.
2. PlayDapp gặp phải lạm phát token
Số tiền bị mất: 290 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Ngày 9 tháng 2 năm 2024, dự án PlayDapp đã bị tấn công nghiêm trọng. Tin tặc đã thành công trong việc đánh cắp khóa riêng và đúc ra 2 tỷ token PLA, có giá trị ban đầu là 36,5 triệu đô la. Do dự án không thể đàm phán thành công với tin tặc, họ đã đúc thêm 15,9 tỷ token PLA trong thời gian ngắn, có giá trị 253,9 triệu đô la. Một phần token bị đánh cắp đã được đưa vào sàn giao dịch, buộc PlayDapp phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng token PDA mới. Sự kiện này đã làm nổi bật những thiếu sót trong việc bảo vệ khóa riêng và cơ chế phản ứng khẩn cấp của các dự án blockchain.
3. Ví đa chữ ký WazirX bị tấn công
Số tiền thua lỗ: 235 triệu USD Hình thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ, WazirX, đã bị tấn công chính xác. Kẻ tấn công đã sử dụng kỹ thuật kỹ thuật xã hội để dụ dỗ người ký đa chữ ký phê duyệt một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển hết tài sản trong ví. Vụ việc này đã phơi bày những rủi ro tiềm ẩn của ví đa chữ ký trong quản lý quyền hạn và độ minh bạch của hoạt động, gây ra sự phản ánh sâu sắc trong ngành về cơ chế kiểm soát rủi ro nội bộ của dự án.
4. Lỗ hổng phát hành thêm token Gala Games
Số tiền thua lỗ: 216 triệu USD Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng token, một lần đã đúc ra 5 tỷ GALA token. Sau đó, hacker đã đổi từng phần những token mới này sang ETH, gây ra thiệt hại trực tiếp lên tới 216 triệu USD. Đội ngũ Gala Games đã khẩn cấp kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã thu hồi một phần thiệt hại thông qua các biện pháp pháp lý.
5. Ví cá nhân của đồng sáng lập Ripple bị đánh cắp
Số tiền thiệt hại: 112 triệu USD Phương thức tấn công: Lộ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của người đồng sáng lập Ripple đã bị hacker tấn công, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Các ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ kép ở cấp độ phần cứng. Sau sự kiện, một sàn giao dịch đã thành công trong việc đóng băng 4,2 triệu USD XRP và hỗ trợ theo dõi tài sản bị đánh cắp, nhưng hầu hết số tiền đã bị rửa thông qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables gặp phải sự xâm nhập nội bộ
Số tiền lỗ: 62,5 triệu USD Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast là Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công đã ngụy trang thành nhà phát triển blockchain và đã thu thập được mã nguồn và khóa nhạy cảm thông qua việc ẩn nấp lâu dài. Mặc dù gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển của bên thứ ba.
7. Sự kiện rò rỉ khóa riêng BtcTurk
Số tiền thua lỗ: 55 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất của Thổ Nhĩ Kỳ BtcTurk đã遭遇 cuộc tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu đô la tài sản tiền điện tử. Với sự hỗ trợ của một đội ngũ từ một sàn giao dịch khác, 5,3 triệu đô la tiền bị đánh cắp đã được đông lạnh thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng mối lo ngại của thị trường về khả năng quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa chữ ký Radiant Capital bị tấn công
Số tiền thua lỗ: 53 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị hacker xâm nhập. Do áp dụng mô hình xác thực chữ ký 3/11 với mức độ thấp, hacker đã nắm giữ khóa riêng của 3 người ký và thực hiện chữ ký ngoài chuỗi, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, cuối cùng dẫn đến việc mất trộm 53 triệu đô la. Cuộc tấn công này đã gây ra sự suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la và hơn 1900 ETH do lỗ hổng hợp đồng trước cuộc tấn công này. Điều này một lần nữa nhấn mạnh tầm quan trọng của việc nâng cao nhận thức về an ninh của các dự án Web3.
9. Lỗ hổng hợp đồng của Hedgey Finance bị khai thác
Số tiền mất mát: 44,7 triệu đô la Mỹ Hình thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ để thành công rút ra các token trên hai chuỗi Ethereum và Arbitrum, tổng số tiền thiệt hại lên tới 44,7 triệu USD. Sự kiện này làm nổi bật tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt token.
10. Ví nóng BingX bị xâm nhập
Số tiền thua lỗ: 44,7 triệu đô la Mỹ Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, ví nóng của một sàn giao dịch đã bị hacker xâm nhập, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút tài sản trị giá 44,7 triệu đô la. Cuộc tấn công lần này lại một lần nữa phơi bày tính rủi ro cao trong quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện an ninh xảy ra thường xuyên trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển khỏe mạnh của ngành công nghiệp blockchain không thể thiếu sự bảo đảm an ninh mạnh mẽ. Từ việc rò rỉ khóa riêng đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến việc nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều gióng lên hồi chuông cảnh báo cho ngành. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, ngành công nghiệp cần tiếp tục đầu tư mạnh mẽ vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi hy vọng thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn và đáng tin cậy hơn, cung cấp sự bảo vệ vững chắc hơn cho người dùng và nhà đầu tư.