Nguồn gốc: Beosin
Vào năm 2024, trong khi ngành công nghiệp blockchain đang đối mặt với những thách thức an ninh ngày càng nghiêm trọng, ngành này vẫn tiếp tục đổi mới công nghệ và mở rộng hệ sinh thái. Theo dữ liệu từ nền tảng Alert của công ty kiểm toán an ninh Beosin, tổng thiệt hại do các vụ tấn công hacker, lừa đảo Phishing và Rug Pull trong lĩnh vực Web3 tính đến thời điểm viết bài đã lên tới 2,491 tỷ USD vào năm 2024.
Những sự kiện này không chỉ phơi bày các khuyết điểm kỹ thuật như quản lý private key, lỗ hổng hợp đồng thông minh, mà còn nổi bật các rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ điểm lại 10 sự kiện an ninh lớn nhất trong lĩnh vực Web3 năm 2024, giúp ngành học hỏi kinh nghiệm và ứng phó tốt hơn với các mối đe dọa an ninh trong tương lai.
No.1 DMM Bitcoin
Thiệt hại: 304 triệu USD
Phương thức tấn công: Rò rỉ private key
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử lâu đời của Nhật Bản DMM Bitcoin đã bị tấn công lịch sử. Kẻ tấn công đã sử dụng private key bị rò rỉ để trực tiếp chuyển đi hơn 300 triệu USD Bitcoin, và nhanh chóng phân tán số tiền đánh cắp vào hơn 10 địa chỉ khác nhau. Vụ tấn công này đã phơi bày những thiếu sót nghiêm trọng của DMM Bitcoin trong việc quản lý private key và các lớp bảo vệ an ninh. Mặc dù sàn giao dịch đã cố gắng theo dõi trên chuỗi khối và đóng băng các khoản tiền, nhưng việc phân tán và sử dụng các công cụ trộn tiền đã gây ra nhiều thách thức lớn cho công tác truy tìm.
Vào ngày 24 tháng 12, cảnh sát Nhật Bản xác định rằng vụ trộm tại DMM Bitcoin là do nhóm hacker Lazarus của Triều Tiên thực hiện. Để biết thêm chi tiết về các cuộc tấn công và rửa tiền của Lazarus Group trong quá khứ, vui lòng đọc bài viết《Phân tích nhóm hacker táo bạo nhất lịch sử đánh cắp tiền điện tử, Lazarus Group》.
No.2 PlayDapp
Thiệt hại: 290 triệu USD
Phương thức tấn công: Rò rỉ private key
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã gặp phải một đòn tấn công nặng nề, khi hacker đã đánh cắp private key và đúc 2 tỷ token PLA, trị giá ban đầu 365 triệu USD. Do không đạt được thỏa thuận với hacker, họ đã tiếp tục đúc thêm 15,9 tỷ token PLA, trị giá 253,9 triệu USD. Một phần số token này đã được chuyển vào sàn Gate, buộc PlayDapp phải tạm dừng hợp đồng PLA và chuyển sang token PDA. Sự kiện này nổi bật những thiếu sót của các dự án blockchain trong bảo vệ private key và xử lý sự cố khẩn cấp.
No.3 WazirX
Thiệt hại: 235 triệu USD
Phương thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví Safe Wallet đa chữ ký của sàn giao dịch tiền điện tử lớn nhất Ấn Độ, WazirX, đã bị hacker tấn công chính xác. Kẻ tấn công đã lợi dụng kỹ thuật kỹ thuật xã hội để thuyết phục các chủ sở hữu chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví. Vụ việc này nổi bật những rủi ro tiềm ẩn trong cấu hình quyền hạn và minh bạch hoạt động của ví đa chữ ký, đồng thời thúc đẩy ngành suy ngẫm sâu sắc về cơ chế kiểm soát nội bộ và an ninh của các dự án.
Để biết thêm chi tiết về phân tích sự kiện này và theo dõi dòng tiền, vui lòng đọc bài viết《Beosin | Phân tích vụ đánh cắp 235 triệu USD tại sàn giao dịch WazirX của Ấn Độ》.
No.4 Gala Games
Thiệt hại: 216 triệu USD
Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games bị hacker tấn công, kẻ tấn công đã sử dụng chức năng Mint trong hợp đồng token để đúc 5 tỷ token GALA một lần. Sau đó, hacker đã dần dần quy đổi số token tăng thêm này thành ETH, gây ra thiệt hại 216 triệu USD. Sau khi sự kiện xảy ra, Gala Games đã khẩn cấp kích hoạt chức năng danh sách đen để phong tỏa một số tài khoản hacker và thông qua các biện pháp pháp lý để thu hồi thiệt hại.
No.5 Chris Larsen (Đồng sáng lập Ripple)
Thiệt hại: 112 triệu USD
Phương thức tấn công: Rò rỉ private key
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của đồng sáng lập Ripple, Chris Larsen, bị hacker tấn công, dẫn đến mất trộm 112 triệu USD XRP. Những ví này có vẻ đã không được bảo vệ kép bằng thiết bị phần cứng, trở thành mục tiêu tấn công. Sau sự kiện, Binance đã thành công đóng băng 4,2 triệu USD XRP và hỗ trợ Larsen truy tìm tài sản bị đánh cắp, nhưng phần lớn số tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn tiền.
No.6 Munchables
Thiệt hại: 62,5 triệu USD
Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng game Web3 dựa trên Blast, Munchables, đã gặp phải một vụ tấn công xâm nhập nội bộ hiếm gặp. Kẻ tấn công là hacker Triều Tiên giả danh là nhà phát triển blockchain, đã lén lút thu thập được mã nguồn cốt lõi và các khóa bí mật nhạy cảm. Mặc dù vụ tấn công gây ra thiệt hại lớn, nhưng cuối cùng hacker đã trả lại toàn bộ số tiền đánh cắp do áp lực từ cộng đồng và nhóm phát triển. Sự kiện này làm lộ tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào bên thứ ba.
No.7 BtcTurk
Thiệt hại: 55 triệu USD
Phương thức tấn công: Rò rỉ private key
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ, BtcTurk, đã bị tấn công do rò rỉ private key, mất trộm tài sản tiền điện tử trị giá hơn 55 triệu USD. Với sự hỗ trợ của nhóm Binance, 5,3 triệu USD trong số tiền bị đánh cắp đã được đóng băng, nhưng phần còn lại vẫn chưa được thu hồi. Sự kiện này làm gia tăng lo ngại của thị trường về việc quản lý private key tại các sàn giao dịch tập trung.
Thông báo của BtcTurk về vụ tấn công
No.8 Radiant Capital
Thiệt hại: 53 triệu USD
Phương thức tấn công: Rò rỉ private key
Vào ngày 17 tháng 10 năm 2024, ví đa chữ ký của Radiant Capital bị hacker tấn công. Do họ sử dụng cơ chế xác minh 3/11 với ngưỡng thấp, hacker đã chiếm được private key của 3 chủ sở hữu chữ ký để khởi tạo giao dịch ngoài chuỗi, chuyển quyền sở hữu hợp đồng ví đến địa chỉ độc hại, cuối cùng dẫn đến mất trộm 53 triệu USD. Vụ tấn công này đã thúc đẩy ngành suy ngẫm về thiết kế ví đa chữ ký và cơ chế quản trị.
Trước khi bị tấn công, Radiant Capital đã bị mất 4,5 triệu USD do lỗ hổng hợp đồng, hơn 1.900 ETH bị đánh cắp. Mức độ quan tâm đến an ninh của các dự án Web3 vẫn cần được nâng cao.
No.9 Hedgey Finance
Vào ngày 19 tháng 9 năm 2024, sàn giao dịch BingX đã bị hacker tấn công vào ví nóng của họ, bao gồm các chuỗi công khai như Ethereum, BNB Chain, Tron và nhiều chuỗi khác. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng hacker đã thành công rút được tài sản trị giá 47 triệu USD. Vụ tấn công này phản ánh rủi ro cao trong quản lý ví nóng của các sàn giao dịch tập trung và tiếp tục thúc đẩy ngành tìm kiếm các giải pháp lưu trữ tài sản an toàn hơn.
Các vụ tấn công an ninh ngày càng gia tăng trong năm 2024, một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành blockchain không thể thiếu sự bảo vệ an toàn. Từ rò rỉ private key đến lỗ hổng hợp đồng, từ sơ suất quản lý nội bộ đến nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại những bài học sâu sắc. Để đối phó với các mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu và phát triển công nghệ, chuẩn hóa quản lý và kiểm soát rủi ro. Trong tương lai, chúng tôi mong muốn thông qua hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.
