Tổng hợp sự kiện an ninh Web3 năm 2024: Phân tích mười trường hợp tấn công hàng đầu

Năm 2024, ngành công nghiệp blockchain không chỉ đối mặt với những thách thức an ninh ngày càng nghiêm trọng trong bối cảnh đổi mới công nghệ và mở rộng hệ sinh thái. Theo thống kê, tính đến cuối năm, tổng thiệt hại trong lĩnh vực Web3 do các cuộc tấn công của hacker, lừa đảo qua phishing và dự án bỏ trốn lên tới 2,491 triệu USD. Những sự kiện này không chỉ phơi bày các thiếu sót kỹ thuật trong quản lý khóa riêng, hợp đồng thông minh mà còn làm nổi bật các rủi ro tiềm ẩn trong kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ tổng kết 10 sự kiện an ninh lớn nhất trong Web3 năm 2024, nhằm giúp ngành rút ra bài học và ứng phó tốt hơn với các mối đe dọa an ninh trong tương lai.

1. DMM Bitcoin

Số tiền thua lỗ: 3.04 triệu đô la Mỹ Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã bị tấn công nghiêm trọng. Tin tặc đã sử dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp tới hơn mười địa chỉ khác nhau. Sự việc này đã phơi bày những lỗ hổng nghiêm trọng trong quản lý khóa riêng và bảo vệ an toàn nhiều lớp của sàn giao dịch. Mặc dù sàn đã thực hiện các biện pháp giám sát trên chuỗi và đóng băng tài sản, nhưng do tin tặc đã sử dụng công cụ trộn tiền, công việc truy vết gặp rất nhiều thách thức.

Vào cuối năm, cảnh sát Nhật Bản xác nhận rằng vụ việc này được thực hiện bởi tổ chức hacker Bắc Triều Tiên Lazarus Group.

2. PlayDapp

Số tiền mất mát: 2,90 triệu USD Phương thức tấn công: Rò rỉ khóa bí mật

Vào ngày 9 tháng 2 năm 2024, PlayDapp đã bị tấn công nghiêm trọng. Tin tặc đã đánh cắp khóa riêng và đúc ra 2 tỷ mã thông báo PLA, có giá trị ban đầu là 36,5 triệu USD. Do không đạt được thỏa thuận với tin tặc, trong thời gian ngắn, tin tặc đã đúc thêm 15,9 tỷ mã thông báo PLA, có giá trị 253,9 triệu USD. Một phần mã thông báo đã chảy vào các sàn giao dịch, PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng mã thông báo mới. Sự kiện này làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý khẩn cấp.

3. Một sàn giao dịch tiền điện tử Ấn Độ

Số tiền thua lỗ: 2.35 triệu đô la Mỹ Hình thức tấn công: Tấn công mạng và lừa đảo

Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác. Kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để dụ dỗ những người ký chữ ký đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó tận dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển tài sản trong ví. Vụ việc này đã chỉ ra những rủi ro tiềm ẩn về cấu hình quyền quản lý và tính minh bạch trong hoạt động của ví đa chữ ký, đồng thời đã kích thích sự suy nghĩ sâu sắc trong ngành về cơ chế kiểm soát và an toàn nội bộ của các dự án.

4. Gala Games

Số tiền thua lỗ: 216 triệu USD Cách tấn công: Lỗ hổng kiểm soát truy cập

Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng token và một lần đã đúc ra 5 tỷ token GALA. Sau đó, hacker đã đổi từng đợt token tăng phát thành ETH, gây ra thiệt hại trực tiếp 216 triệu đô la. Đội ngũ Gala Games đã khẩn cấp kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã thu hồi một phần thiệt hại thông qua các biện pháp pháp lý.

5. Ví cá nhân của đồng sáng lập Ripple

Số tiền lỗ: 112 triệu USD Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, đã bị hacker tấn công, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ kép từ thiết bị phần cứng. Sau sự kiện, một sàn giao dịch đã thành công trong việc đóng băng 4,2 triệu USD XRP và hỗ trợ truy tìm tài sản bị đánh cắp, nhưng phần lớn tiền đã bị rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.

6. Munchables

Số tiền mất mát: 62,5 triệu đô la Mỹ Phương thức tấn công: Tấn công kỹ thuật xã hội

Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 Munchables dựa trên Blast đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công đã giả mạo thành nhà phát triển blockchain, thông qua việc ẩn náu lâu dài để lấy mã nguồn và khóa nhạy cảm. Mặc dù gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại tất cả số tiền bị đánh cắp. Sự kiện này đã tiết lộ tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển của bên thứ ba.

7. Một sàn giao dịch tiền điện tử của Thổ Nhĩ Kỳ

Số tiền thiệt hại: 55 triệu USD Phương thức tấn công: Rò rỉ chìa khóa riêng

Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất của Thổ Nhĩ Kỳ đã bị tấn công do rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự hỗ trợ của một nền tảng giao dịch, 5,3 triệu USD tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm tăng thêm mối lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.

8. Radiant Capital

Số tiền lỗ: 53 triệu đô la Mỹ Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị hacker tấn công. Do áp dụng chế độ xác minh chữ ký 3/11 với ngưỡng thấp, hacker đã nắm giữ khóa riêng của 3 người ký và thực hiện ký ngoài chuỗi, chuyển quyền sở hữu hợp đồng ví đến địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gây ra sự phản ánh trong ngành về thiết kế và cơ chế quản trị của ví đa ký.

Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la vì lỗ hổng hợp đồng, hơn 1900 ETH đã bị đánh cắp, cho thấy sự thiếu chú trọng đến vấn đề an toàn của đội ngũ dự án.

9. Hedgey Finance

Số tiền thua lỗ: 44,7 triệu USD Phương thức tấn công: Lỗ hổng hợp đồng

Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhắm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút tiền mã hóa trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên đến 44,7 triệu đô la. Sự kiện này cho thấy tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh chặt chẽ logic phê duyệt mã hóa.

10. Một nền tảng giao dịch tiền điện tử

Số tiền tổn thất: 44,7 triệu USD Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 19 tháng 9 năm 2024, ví nóng của một nền tảng giao dịch đã bị tin tặc xâm nhập, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển giao tài sản và đóng băng rút tiền, nhưng tin tặc đã thành công trong việc rút ra tài sản trị giá 44,7 triệu USD. Cuộc tấn công này phản ánh tính rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, và thúc đẩy ngành công nghiệp khám phá các giải pháp lưu trữ tài sản an toàn hơn.

Sự kiện an ninh xảy ra thường xuyên trong năm 2024 lại một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành blockchain không thể tách rời khỏi sự đảm bảo an toàn. Từ việc lộ khóa riêng đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến việc nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại bài học sâu sắc. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi kỳ vọng thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.