Điểm lại mười sự kiện an ninh hàng đầu trong ngành Web3 năm 2024
Với sự đổi mới không ngừng của công nghệ blockchain và sự mở rộng của hệ sinh thái, ngành Web3 vào năm 2024 đang phải đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo dữ liệu từ nền tảng giám sát, tính đến cuối năm, tổng thiệt hại trong lĩnh vực Web3 do tấn công của hacker, lừa đảo qua phishing và các dự án bỏ trốn lên tới 2,491 triệu USD. Những sự kiện này không chỉ phơi bày những thiếu sót kỹ thuật trong quản lý khóa riêng và hợp đồng thông minh mà còn làm nổi bật tầm quan trọng của các cuộc tấn công kỹ thuật xã hội và rủi ro quản lý nội bộ.
Bài viết này sẽ điểm lại mười sự kiện an ninh có ảnh hưởng nhất trong lĩnh vực Web3 năm 2024, để ngành có thể rút ra bài học và ứng phó tốt hơn với các mối đe dọa an ninh trong tương lai.
1. DMM Bitcoin: Rò rỉ khóa riêng dẫn đến thiệt hại 304 triệu đô la
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền mã hóa nổi tiếng Nhật Bản DMM Bitcoin đã gặp phải một sự cố an ninh nghiêm trọng. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu USD Bitcoin và nhanh chóng phân tán số tiền bị đánh cắp vào hơn 10 địa chỉ khác nhau. Sự kiện này đã phơi bày những lỗ hổng nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh nhiều lớp.
Mặc dù sàn giao dịch cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng quỹ, nhưng do Bitcoin bị đánh cắp nhanh chóng bị phân tán và chuyển đi cũng như được rửa qua các công cụ trộn, công việc thu hồi gặp rất nhiều thách thức. Đến cuối năm, cảnh sát Nhật Bản xác nhận sự kiện này do nhóm hacker Lazarus của Triều Tiên thực hiện.
2. PlayDapp: Rò rỉ khóa riêng gây thiệt hại 2.90 triệu đô la Mỹ
Ngày 9 tháng 2 năm 2024, PlayDapp đã遭 phải một cuộc tấn công nghiêm trọng. Tin tặc đã đánh cắp khóa riêng và khai thác 2 tỷ token PLA, với giá trị ban đầu là 36,5 triệu USD. Do việc đàm phán giữa nhóm dự án và tin tặc không thành công, tin tặc đã tiếp tục khai thác thêm 15,9 tỷ token PLA, có giá trị 253,9 triệu USD. Một phần token bị đánh cắp đã tràn vào các nền tảng giao dịch, buộc PlayDapp phải tạm ngừng hợp đồng PLA và chuyển sang hợp đồng token PDA mới. Sự kiện này đã làm nổi bật những thiếu sót nghiêm trọng của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý khẩn cấp.
3. WazirX: Tấn công mạng và lừa đảo gây thiệt hại 235 triệu đô la
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ WazirX đã bị tấn công chính xác. Kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để dụ dỗ những người ký đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó đã tận dụng quyền hạn của hợp đồng đã nâng cấp để chuyển toàn bộ tài sản trong ví. Sự kiện này đã làm nổi bật những rủi ro tiềm ẩn của ví đa chữ ký trong việc quản lý cấu hình quyền hạn và độ minh bạch trong các hoạt động, đồng thời cũng đã khơi dậy sự suy ngẫm sâu sắc về cơ chế kiểm soát rủi ro và an ninh nội bộ của các dự án trong ngành.
4. Gala Games: Lỗ hổng kiểm soát truy cập dẫn đến tổn thất 216 triệu USD
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị tin tặc tấn công. Kẻ tấn công đã gọi hàm mint của hợp đồng token và một lần đã đúc ra 5 tỷ GALA token. Sau đó, những token được phát hành này đã được đổi thành ETH theo từng đợt, gây ra thiệt hại trực tiếp lên tới 216 triệu USD. Đội ngũ Gala Games đã khẩn cấp kích hoạt chức năng danh sách đen để chặn một số tài khoản của tin tặc và đã thu hồi được một phần thiệt hại thông qua các biện pháp pháp lý.
5. Đồng sáng lập Ripple Chris Larsen: Lỗ hổng khóa riêng gây thiệt hại 112 triệu đô la
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị hacker xâm nhập, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Các ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ kép bằng thiết bị phần cứng. Sau sự cố, một nền tảng giao dịch đã thành công trong việc đóng băng XRP trị giá 4,2 triệu USD và hỗ trợ Larsen theo dõi tài sản bị đánh cắp, nhưng phần lớn số tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables: Thiệt hại 62,5 triệu đô la do tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng Web3 dựa trên Blast mang tên Munchables đã遭遇 một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công là một hacker giả dạng nhà phát triển blockchain, đã xâm nhập vào hệ thống trong thời gian dài để lấy được mã nguồn và các khóa nhạy cảm. Mặc dù cuộc tấn công đã gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển bên thứ ba.
7. BtcTurk: Rò rỉ khóa riêng dẫn đến thiệt hại 55 triệu đô la
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất của Thổ Nhĩ Kỳ BtcTurk đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Nhờ sự hỗ trợ từ một đội ngũ của một nền tảng giao dịch, 5,3 triệu USD tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
Vào ngày 17 tháng 10 năm 2024, ví đa chữ ký của Radiant Capital đã bị tin tặc tấn công. Do sử dụng mô hình xác thực chữ ký 3/11 với ngưỡng thấp, tin tặc đã nắm giữ khóa riêng của 3 người ký và thực hiện ký ngoài chuỗi, chuyển quyền sở hữu của hợp đồng ví đến địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu USD bị đánh cắp. Cuộc tấn công này đã gây ra sự suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa chữ ký.
Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu USD do lỗ hổng hợp đồng trước khi cuộc tấn công này diễn ra, với hơn 1900 ETH bị đánh cắp. Điều này một lần nữa nhấn mạnh tầm quan trọng của việc nâng cao nhận thức về an ninh đối với các dự án Web3.
9. Hedgey Finance: Lỗ hổng hợp đồng gây thiệt hại 44,7 triệu USD
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhắm vào nhiều hợp đồng trên chuỗi. Hacker đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên đến 44,7 triệu đô la. Sự kiện này nhấn mạnh tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt token.
10. Một nền tảng giao dịch: Rò rỉ khóa riêng dẫn đến tổn thất 44,7 triệu USD
Vào ngày 19 tháng 9 năm 2024, ví nóng của một nền tảng giao dịch đã bị hacker xâm nhập, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công này một lần nữa phơi bày sự rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành công nghiệp khám phá thêm các giải pháp lưu trữ tài sản an toàn hơn.
Kết luận
Các sự kiện an ninh xảy ra thường xuyên trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể thiếu sự bảo vệ an ninh. Từ quản lý khóa riêng đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến việc nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại bài học sâu sắc cho ngành. Để đối phó với các mối đe dọa an ninh ngày càng phức tạp, các bên trong ngành cần tiếp tục đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng ta mong muốn thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn và đáng tin cậy hơn, mang lại sự bảo vệ mạnh mẽ hơn cho người dùng và nhà đầu tư.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
8 thích
Phần thưởng
8
4
Chia sẻ
Bình luận
0/400
AltcoinHunter
· 20giờ trước
Blockchain đồ ngốc xem khách Cá voi rơi vào giấc mơ
Xem bản gốcTrả lời0
LiquidationAlert
· 20giờ trước
chơi đùa với mọi người năm này qua năm khác
Xem bản gốcTrả lời0
StakeOrRegret
· 20giờ trước
Một năm nữa Rekt kết thúc. Khi nào Web3 mới có thể được cải thiện về an ninh?
Xem bản gốcTrả lời0
ProofOfNothing
· 21giờ trước
Hacker rút tiền xong thì thôi, không đủ khả năng chi trả thì dọn đồ đi.
Tổng hợp 10 sự kiện an ninh Web3 năm 2024: Thiệt hại lên tới 2,491 triệu USD
Điểm lại mười sự kiện an ninh hàng đầu trong ngành Web3 năm 2024
Với sự đổi mới không ngừng của công nghệ blockchain và sự mở rộng của hệ sinh thái, ngành Web3 vào năm 2024 đang phải đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo dữ liệu từ nền tảng giám sát, tính đến cuối năm, tổng thiệt hại trong lĩnh vực Web3 do tấn công của hacker, lừa đảo qua phishing và các dự án bỏ trốn lên tới 2,491 triệu USD. Những sự kiện này không chỉ phơi bày những thiếu sót kỹ thuật trong quản lý khóa riêng và hợp đồng thông minh mà còn làm nổi bật tầm quan trọng của các cuộc tấn công kỹ thuật xã hội và rủi ro quản lý nội bộ.
Bài viết này sẽ điểm lại mười sự kiện an ninh có ảnh hưởng nhất trong lĩnh vực Web3 năm 2024, để ngành có thể rút ra bài học và ứng phó tốt hơn với các mối đe dọa an ninh trong tương lai.
1. DMM Bitcoin: Rò rỉ khóa riêng dẫn đến thiệt hại 304 triệu đô la
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền mã hóa nổi tiếng Nhật Bản DMM Bitcoin đã gặp phải một sự cố an ninh nghiêm trọng. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu USD Bitcoin và nhanh chóng phân tán số tiền bị đánh cắp vào hơn 10 địa chỉ khác nhau. Sự kiện này đã phơi bày những lỗ hổng nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh nhiều lớp.
Mặc dù sàn giao dịch cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng quỹ, nhưng do Bitcoin bị đánh cắp nhanh chóng bị phân tán và chuyển đi cũng như được rửa qua các công cụ trộn, công việc thu hồi gặp rất nhiều thách thức. Đến cuối năm, cảnh sát Nhật Bản xác nhận sự kiện này do nhóm hacker Lazarus của Triều Tiên thực hiện.
2. PlayDapp: Rò rỉ khóa riêng gây thiệt hại 2.90 triệu đô la Mỹ
Ngày 9 tháng 2 năm 2024, PlayDapp đã遭 phải một cuộc tấn công nghiêm trọng. Tin tặc đã đánh cắp khóa riêng và khai thác 2 tỷ token PLA, với giá trị ban đầu là 36,5 triệu USD. Do việc đàm phán giữa nhóm dự án và tin tặc không thành công, tin tặc đã tiếp tục khai thác thêm 15,9 tỷ token PLA, có giá trị 253,9 triệu USD. Một phần token bị đánh cắp đã tràn vào các nền tảng giao dịch, buộc PlayDapp phải tạm ngừng hợp đồng PLA và chuyển sang hợp đồng token PDA mới. Sự kiện này đã làm nổi bật những thiếu sót nghiêm trọng của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý khẩn cấp.
3. WazirX: Tấn công mạng và lừa đảo gây thiệt hại 235 triệu đô la
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ WazirX đã bị tấn công chính xác. Kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để dụ dỗ những người ký đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó đã tận dụng quyền hạn của hợp đồng đã nâng cấp để chuyển toàn bộ tài sản trong ví. Sự kiện này đã làm nổi bật những rủi ro tiềm ẩn của ví đa chữ ký trong việc quản lý cấu hình quyền hạn và độ minh bạch trong các hoạt động, đồng thời cũng đã khơi dậy sự suy ngẫm sâu sắc về cơ chế kiểm soát rủi ro và an ninh nội bộ của các dự án trong ngành.
4. Gala Games: Lỗ hổng kiểm soát truy cập dẫn đến tổn thất 216 triệu USD
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị tin tặc tấn công. Kẻ tấn công đã gọi hàm mint của hợp đồng token và một lần đã đúc ra 5 tỷ GALA token. Sau đó, những token được phát hành này đã được đổi thành ETH theo từng đợt, gây ra thiệt hại trực tiếp lên tới 216 triệu USD. Đội ngũ Gala Games đã khẩn cấp kích hoạt chức năng danh sách đen để chặn một số tài khoản của tin tặc và đã thu hồi được một phần thiệt hại thông qua các biện pháp pháp lý.
5. Đồng sáng lập Ripple Chris Larsen: Lỗ hổng khóa riêng gây thiệt hại 112 triệu đô la
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị hacker xâm nhập, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Các ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ kép bằng thiết bị phần cứng. Sau sự cố, một nền tảng giao dịch đã thành công trong việc đóng băng XRP trị giá 4,2 triệu USD và hỗ trợ Larsen theo dõi tài sản bị đánh cắp, nhưng phần lớn số tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables: Thiệt hại 62,5 triệu đô la do tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng Web3 dựa trên Blast mang tên Munchables đã遭遇 một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công là một hacker giả dạng nhà phát triển blockchain, đã xâm nhập vào hệ thống trong thời gian dài để lấy được mã nguồn và các khóa nhạy cảm. Mặc dù cuộc tấn công đã gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển bên thứ ba.
7. BtcTurk: Rò rỉ khóa riêng dẫn đến thiệt hại 55 triệu đô la
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất của Thổ Nhĩ Kỳ BtcTurk đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Nhờ sự hỗ trợ từ một đội ngũ của một nền tảng giao dịch, 5,3 triệu USD tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Radiant Capital: Lỗ hổng khóa riêng dẫn đến thiệt hại 53 triệu USD
Vào ngày 17 tháng 10 năm 2024, ví đa chữ ký của Radiant Capital đã bị tin tặc tấn công. Do sử dụng mô hình xác thực chữ ký 3/11 với ngưỡng thấp, tin tặc đã nắm giữ khóa riêng của 3 người ký và thực hiện ký ngoài chuỗi, chuyển quyền sở hữu của hợp đồng ví đến địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu USD bị đánh cắp. Cuộc tấn công này đã gây ra sự suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa chữ ký.
Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu USD do lỗ hổng hợp đồng trước khi cuộc tấn công này diễn ra, với hơn 1900 ETH bị đánh cắp. Điều này một lần nữa nhấn mạnh tầm quan trọng của việc nâng cao nhận thức về an ninh đối với các dự án Web3.
9. Hedgey Finance: Lỗ hổng hợp đồng gây thiệt hại 44,7 triệu USD
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhắm vào nhiều hợp đồng trên chuỗi. Hacker đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên đến 44,7 triệu đô la. Sự kiện này nhấn mạnh tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt token.
10. Một nền tảng giao dịch: Rò rỉ khóa riêng dẫn đến tổn thất 44,7 triệu USD
Vào ngày 19 tháng 9 năm 2024, ví nóng của một nền tảng giao dịch đã bị hacker xâm nhập, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công này một lần nữa phơi bày sự rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành công nghiệp khám phá thêm các giải pháp lưu trữ tài sản an toàn hơn.
Kết luận
Các sự kiện an ninh xảy ra thường xuyên trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể thiếu sự bảo vệ an ninh. Từ quản lý khóa riêng đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến việc nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại bài học sâu sắc cho ngành. Để đối phó với các mối đe dọa an ninh ngày càng phức tạp, các bên trong ngành cần tiếp tục đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng ta mong muốn thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn và đáng tin cậy hơn, mang lại sự bảo vệ mạnh mẽ hơn cho người dùng và nhà đầu tư.