Điểm lại mười sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024
Năm 2024, ngành công nghiệp blockchain đang phát triển mạnh mẽ nhưng cũng phải đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo thống kê dữ liệu, tính đến cuối năm 2024, tổng thiệt hại trong lĩnh vực Web3 do các cuộc tấn công của hacker, lừa đảo và các dự án bỏ trốn đã lên tới 2,491 triệu USD. Những sự kiện này không chỉ phơi bày các lỗ hổng ở cấp độ kỹ thuật, như quản lý khóa riêng và các vấn đề an ninh hợp đồng thông minh, mà còn làm nổi bật tầm quan trọng của các cuộc tấn công kỹ thuật xã hội và rủi ro quản lý nội bộ. Bài viết này sẽ điểm lại mười sự kiện an ninh Web3 có ảnh hưởng sâu rộng nhất trong năm 2024, với hy vọng cung cấp bài học và cảnh báo cho ngành.
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp sự cố an ninh nghiêm trọng. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Mỹ Bitcoin, và nhanh chóng phân tán số tiền này vào nhiều địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh đa lớp. Mặc dù sàn giao dịch đã thực hiện các biện pháp như giám sát trên chuỗi và đóng băng tài sản, nhưng do hacker đã sử dụng công cụ trộn coin, công tác thu hồi gặp nhiều thách thức lớn. Vào cuối năm, cảnh sát Nhật Bản xác nhận rằng cuộc tấn công này được thực hiện bởi một tổ chức hacker quốc tế.
2. PlayDapp: Thiệt hại 2.90 triệu đô la Mỹ do rò rỉ khóa riêng
Ngày 9 tháng 2 năm 2024, dự án PlayDapp đã chịu tổn thất nặng nề. Hacker đã đánh cắp khóa riêng và bất hợp pháp đúc ra một lượng lớn token PLA, gây thiệt hại ban đầu là 36,5 triệu đô la. Do thương lượng với hacker thất bại, kẻ tấn công đã tiếp tục đúc ra token trị giá 253,9 triệu đô la. Sự kiện này đã buộc PlayDapp phải tạm dừng hợp đồng ban đầu và chuyển sang hợp đồng token mới, làm nổi bật sự thiếu sót trong việc bảo vệ khóa riêng và phản ứng khẩn cấp của các dự án blockchain.
3. Một nền tảng giao dịch Ấn Độ: Tấn công mạng và lừa đảo dẫn đến thiệt hại 235 triệu đô la Mỹ
Vào ngày 18 tháng 7 năm 2024, nền tảng giao dịch tiền điện tử lớn nhất Ấn Độ đã遭遇 một cuộc tấn công chính xác. Những kẻ hacker đã sử dụng phương pháp kỹ thuật xã hội để dụ các người ký ví đa chữ ký phê duyệt một giao dịch nâng cấp hợp đồng, sau đó tận dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển tài sản trong ví. Sự kiện này đã làm rõ những rủi ro tiềm ẩn của ví đa chữ ký trong quản lý quyền hạn và tính minh bạch của hoạt động, dẫn đến những suy nghĩ sâu sắc trong ngành về cơ chế kiểm soát rủi ro nội bộ của dự án.
4. Gala Games: Lỗ hổng kiểm soát truy cập gây ra tổn thất 216 triệu đô la
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã sử dụng hàm mint trong hợp đồng mã thông báo để đúc một lần 5 tỷ GALA token và đổi thành ETH theo từng đợt, gây ra tổn thất trực tiếp 216 triệu đô la. Mặc dù đội ngũ dự án đã khẩn trương kích hoạt chức năng danh sách đen và thông qua các biện pháp pháp lý để thu hồi một phần tổn thất, nhưng sự kiện này vẫn phơi bày những lỗ hổng nghiêm trọng trong thiết kế hợp đồng và quản lý quyền.
5. Người sáng lập một loại tiền điện tử nổi tiếng: Ví cá nhân bị tấn công mất 112 triệu USD
Vào ngày 31 tháng 1 năm 2024, ví cá nhân của một đồng sáng lập nổi tiếng của một dự án tiền điện tử đã bị tin tặc xâm nhập, dẫn đến việc 112 triệu USD tiền điện tử bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ kép bằng thiết bị phần cứng. Mặc dù một nền tảng giao dịch lớn đã thành công trong việc đóng băng một phần số tiền bị đánh cắp và hỗ trợ truy tìm, nhưng phần lớn số tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn tiền.
6. Munchables: Tấn công xâm nhập nội bộ gây thiệt hại 62,5 triệu đô la
Vào ngày 26 tháng 3 năm 2024, nền tảng game Web3 dựa trên Blast có tên Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm thấy. Kẻ tấn công đã giả mạo thành một nhà phát triển blockchain, thông qua việc ẩn mình trong thời gian dài để có được mã nguồn và khóa nhạy cảm. Mặc dù cuối cùng đã trả lại tất cả số tiền bị đánh cắp dưới áp lực từ cộng đồng và đội ngũ, nhưng sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain dựa vào phát triển của bên thứ ba.
7. Một sàn giao dịch tại Thổ Nhĩ Kỳ: Rò rỉ khóa riêng dẫn đến thiệt hại 55 triệu USD
Vào ngày 22 tháng 6 năm 2024, nền tảng giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ đã gặp phải sự cố rò rỉ khóa riêng, dẫn đến thiệt hại hơn 55 triệu đô la tài sản tiền điện tử. Mặc dù một phần số tiền bị đánh cắp đã được đóng băng thành công nhờ sự hỗ trợ từ các sàn giao dịch khác, nhưng phần lớn tài sản vẫn chưa được thu hồi. Sự kiện này càng làm gia tăng lo ngại của thị trường về khả năng quản lý khóa riêng của các sàn giao dịch tập trung.
8. Radiant Capital: Ví đa chữ ký bị tấn công mất 53 triệu USD
Vào ngày 17 tháng 10 năm 2024, ví đa chữ ký của Radiant Capital đã bị hacker tấn công. Do áp dụng chế độ xác minh chữ ký 3/11 với ngưỡng thấp hơn, hacker đã chiếm được khóa riêng của 3 người ký và thực hiện chữ ký ngoại tuyến, thành công chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gây ra sự phản ánh trong ngành về thiết kế và cơ chế quản trị của ví đa chữ ký. Đáng chú ý là, Radiant Capital trước đó không lâu đã mất 4,5 triệu đô la do lỗ hổng hợp đồng, làm nổi bật mức độ quan tâm của dự án đối với an ninh.
9. Hedgey Finance: Lỗ hổng hợp đồng dẫn đến thiệt hại 44,7 triệu đô la
Ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhắm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns, thành công rút ra các token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên đến 44,7 triệu USD. Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh chặt chẽ logic phê duyệt token.
10. Một sàn giao dịch tiền điện tử: Ví nóng bị xâm nhập thiệt hại 44,7 triệu đô la
Vào ngày 19 tháng 9 năm 2024, một sàn giao dịch tiền điện tử nổi tiếng đã bị hacker tấn công vào ví nóng, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng hacker vẫn thành công rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công lần này lại phản ánh tính rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành tìm kiếm những giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện an ninh xảy ra thường xuyên vào năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển lành mạnh của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo đảm an ninh mạnh mẽ. Từ quản lý khóa riêng đến thiết kế hợp đồng, từ kiểm soát nội bộ đến phòng thủ bên ngoài, mỗi sự kiện đều gióng lên hồi chuông cảnh báo cho ngành. Đối mặt với các phương thức tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi hy vọng thông qua hợp tác ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn và đáng tin cậy hơn, cung cấp sự bảo đảm vững chắc hơn cho người dùng và nhà đầu tư.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 sự kiện an ninh Web3 hàng đầu năm 2024: Thiệt hại gần 2,5 tỷ USD do Khóa riêng và lỗ hổng hợp đồng là nguyên nhân chính
Điểm lại mười sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024
Năm 2024, ngành công nghiệp blockchain đang phát triển mạnh mẽ nhưng cũng phải đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo thống kê dữ liệu, tính đến cuối năm 2024, tổng thiệt hại trong lĩnh vực Web3 do các cuộc tấn công của hacker, lừa đảo và các dự án bỏ trốn đã lên tới 2,491 triệu USD. Những sự kiện này không chỉ phơi bày các lỗ hổng ở cấp độ kỹ thuật, như quản lý khóa riêng và các vấn đề an ninh hợp đồng thông minh, mà còn làm nổi bật tầm quan trọng của các cuộc tấn công kỹ thuật xã hội và rủi ro quản lý nội bộ. Bài viết này sẽ điểm lại mười sự kiện an ninh Web3 có ảnh hưởng sâu rộng nhất trong năm 2024, với hy vọng cung cấp bài học và cảnh báo cho ngành.
1. DMM Bitcoin: Rò rỉ khóa riêng gây ra thiệt hại 304 triệu USD
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp sự cố an ninh nghiêm trọng. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Mỹ Bitcoin, và nhanh chóng phân tán số tiền này vào nhiều địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh đa lớp. Mặc dù sàn giao dịch đã thực hiện các biện pháp như giám sát trên chuỗi và đóng băng tài sản, nhưng do hacker đã sử dụng công cụ trộn coin, công tác thu hồi gặp nhiều thách thức lớn. Vào cuối năm, cảnh sát Nhật Bản xác nhận rằng cuộc tấn công này được thực hiện bởi một tổ chức hacker quốc tế.
2. PlayDapp: Thiệt hại 2.90 triệu đô la Mỹ do rò rỉ khóa riêng
Ngày 9 tháng 2 năm 2024, dự án PlayDapp đã chịu tổn thất nặng nề. Hacker đã đánh cắp khóa riêng và bất hợp pháp đúc ra một lượng lớn token PLA, gây thiệt hại ban đầu là 36,5 triệu đô la. Do thương lượng với hacker thất bại, kẻ tấn công đã tiếp tục đúc ra token trị giá 253,9 triệu đô la. Sự kiện này đã buộc PlayDapp phải tạm dừng hợp đồng ban đầu và chuyển sang hợp đồng token mới, làm nổi bật sự thiếu sót trong việc bảo vệ khóa riêng và phản ứng khẩn cấp của các dự án blockchain.
3. Một nền tảng giao dịch Ấn Độ: Tấn công mạng và lừa đảo dẫn đến thiệt hại 235 triệu đô la Mỹ
Vào ngày 18 tháng 7 năm 2024, nền tảng giao dịch tiền điện tử lớn nhất Ấn Độ đã遭遇 một cuộc tấn công chính xác. Những kẻ hacker đã sử dụng phương pháp kỹ thuật xã hội để dụ các người ký ví đa chữ ký phê duyệt một giao dịch nâng cấp hợp đồng, sau đó tận dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển tài sản trong ví. Sự kiện này đã làm rõ những rủi ro tiềm ẩn của ví đa chữ ký trong quản lý quyền hạn và tính minh bạch của hoạt động, dẫn đến những suy nghĩ sâu sắc trong ngành về cơ chế kiểm soát rủi ro nội bộ của dự án.
4. Gala Games: Lỗ hổng kiểm soát truy cập gây ra tổn thất 216 triệu đô la
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã sử dụng hàm mint trong hợp đồng mã thông báo để đúc một lần 5 tỷ GALA token và đổi thành ETH theo từng đợt, gây ra tổn thất trực tiếp 216 triệu đô la. Mặc dù đội ngũ dự án đã khẩn trương kích hoạt chức năng danh sách đen và thông qua các biện pháp pháp lý để thu hồi một phần tổn thất, nhưng sự kiện này vẫn phơi bày những lỗ hổng nghiêm trọng trong thiết kế hợp đồng và quản lý quyền.
5. Người sáng lập một loại tiền điện tử nổi tiếng: Ví cá nhân bị tấn công mất 112 triệu USD
Vào ngày 31 tháng 1 năm 2024, ví cá nhân của một đồng sáng lập nổi tiếng của một dự án tiền điện tử đã bị tin tặc xâm nhập, dẫn đến việc 112 triệu USD tiền điện tử bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ kép bằng thiết bị phần cứng. Mặc dù một nền tảng giao dịch lớn đã thành công trong việc đóng băng một phần số tiền bị đánh cắp và hỗ trợ truy tìm, nhưng phần lớn số tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn tiền.
6. Munchables: Tấn công xâm nhập nội bộ gây thiệt hại 62,5 triệu đô la
Vào ngày 26 tháng 3 năm 2024, nền tảng game Web3 dựa trên Blast có tên Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm thấy. Kẻ tấn công đã giả mạo thành một nhà phát triển blockchain, thông qua việc ẩn mình trong thời gian dài để có được mã nguồn và khóa nhạy cảm. Mặc dù cuối cùng đã trả lại tất cả số tiền bị đánh cắp dưới áp lực từ cộng đồng và đội ngũ, nhưng sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain dựa vào phát triển của bên thứ ba.
7. Một sàn giao dịch tại Thổ Nhĩ Kỳ: Rò rỉ khóa riêng dẫn đến thiệt hại 55 triệu USD
Vào ngày 22 tháng 6 năm 2024, nền tảng giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ đã gặp phải sự cố rò rỉ khóa riêng, dẫn đến thiệt hại hơn 55 triệu đô la tài sản tiền điện tử. Mặc dù một phần số tiền bị đánh cắp đã được đóng băng thành công nhờ sự hỗ trợ từ các sàn giao dịch khác, nhưng phần lớn tài sản vẫn chưa được thu hồi. Sự kiện này càng làm gia tăng lo ngại của thị trường về khả năng quản lý khóa riêng của các sàn giao dịch tập trung.
8. Radiant Capital: Ví đa chữ ký bị tấn công mất 53 triệu USD
Vào ngày 17 tháng 10 năm 2024, ví đa chữ ký của Radiant Capital đã bị hacker tấn công. Do áp dụng chế độ xác minh chữ ký 3/11 với ngưỡng thấp hơn, hacker đã chiếm được khóa riêng của 3 người ký và thực hiện chữ ký ngoại tuyến, thành công chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gây ra sự phản ánh trong ngành về thiết kế và cơ chế quản trị của ví đa chữ ký. Đáng chú ý là, Radiant Capital trước đó không lâu đã mất 4,5 triệu đô la do lỗ hổng hợp đồng, làm nổi bật mức độ quan tâm của dự án đối với an ninh.
9. Hedgey Finance: Lỗ hổng hợp đồng dẫn đến thiệt hại 44,7 triệu đô la
Ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhắm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns, thành công rút ra các token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên đến 44,7 triệu USD. Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh chặt chẽ logic phê duyệt token.
10. Một sàn giao dịch tiền điện tử: Ví nóng bị xâm nhập thiệt hại 44,7 triệu đô la
Vào ngày 19 tháng 9 năm 2024, một sàn giao dịch tiền điện tử nổi tiếng đã bị hacker tấn công vào ví nóng, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng hacker vẫn thành công rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công lần này lại phản ánh tính rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành tìm kiếm những giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện an ninh xảy ra thường xuyên vào năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển lành mạnh của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo đảm an ninh mạnh mẽ. Từ quản lý khóa riêng đến thiết kế hợp đồng, từ kiểm soát nội bộ đến phòng thủ bên ngoài, mỗi sự kiện đều gióng lên hồi chuông cảnh báo cho ngành. Đối mặt với các phương thức tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi hy vọng thông qua hợp tác ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn và đáng tin cậy hơn, cung cấp sự bảo đảm vững chắc hơn cho người dùng và nhà đầu tư.