Năm 2024 đã xảy ra 410 vụ việc an ninh, với tổng thiệt hại lên đến 2,013 triệu USD.
Tác giả: Đội ngũ AML của SlowMist, đội ngũ an ninh của SlowMist
Tuần trước, chúng tôi đã công bố Báo cáo an ninh và chống rửa tiền của blockchain năm 2024 do SlowMist thực hiện, và bây giờ chúng tôi sẽ chia báo cáo thành bốn bài viết để giải thích và phân tích nội dung chính, giúp độc giả hiểu toàn diện và sâu sắc hơn về các thách thức và cơ hội an ninh chính trong hệ sinh thái blockchain hiện tại. Bài viết này sẽ tập trung vào tình hình an ninh của hệ sinh thái blockchain.
Trong lĩnh vực an ninh, năm 2024 tiếp tục diễn ra tình hình nghiêm trọng. Các vụ tấn công của hacker xảy ra thường xuyên, đặc biệt là các cuộc tấn công nhắm vào các nền tảng tập trung. Đồng thời, lỗ hổng hợp đồng thông minh và các cuộc tấn công kỹ thuật xã hội vẫn là những phương thức chính mà hacker lợi dụng, trong khi các cuộc tấn công lừa đảo trở nên tinh vi hơn và phức tạp hơn, việc bảo vệ tài sản của người dùng vẫn đối mặt với thách thức lớn. Vấn đề an ninh chuỗi cung ứng cũng nhận được nhiều sự quan tâm hơn trong năm 2024, khi nhiều dự án nổi tiếng bị tấn công tiêm mã độc, dẫn đến mất mát tài sản lớn của người dùng.
Theo thống kê từ kho lưu trữ các vụ việc bị hack của SlowMist (SlowMist Hacked), năm 2024 đã xảy ra 410 vụ việc an ninh, với tổng thiệt hại lên đến 2,013 triệu USD. So với năm 2023 (464 vụ, khoảng 2,486 triệu USD), thiệt hại đã giảm 19,02%.
Lưu ý: Dữ liệu trong báo cáo này dựa trên giá trị token tại thời điểm xảy ra sự kiện, do biến động giá cả và một số sự kiện chưa được công bố, nên thiệt hại thực tế có thể cao hơn số liệu thống kê.
Các vụ tấn công điển hình
DMM Bitcoin
Ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử DMM Bitcoin của Nhật Bản cho biết, 4.502,9 BTC trong ví chính thức của họ đã bị chuyển đi bất hợp pháp, gây thiệt hại khoảng 48,2 tỷ Yên. Được biết, vụ việc an ninh của DMM Bitcoin là vụ lớn thứ 7 trong lịch sử tấn công tiền điện tử, và là vụ lớn nhất kể từ tháng 12 năm 2022. Trước đó, Nhật Bản đã xảy ra hai vụ tấn công tiền điện tử lớn, là vụ Mt.Gox vào năm 2014 và vụ Coincheck vào năm 2018, với số tiền bị đánh cắp lần lượt là 450 triệu USD và 534 triệu USD. Vụ tấn công DMM Bitcoin này trở thành vụ thứ ba lớn nhất tại Nhật Bản. Ngày 23 tháng 12, theo thông báo của Cục Điều tra Liên bang Hoa Kỳ (FBI), FBI, Trung tâm Tội phạm Mạng Bộ Quốc phòng (DC3) và Cảnh sát Quốc gia Nhật Bản (NPA) đã cảnh báo công chúng rằng vụ trộm cắp này liên quan đến hoạt động của nhóm TraderTraitor, còn được gọi là Jade Sleet, UNC4899 và Slow Pisces. Các hoạt động của TraderTraitor thường có đặc điểm là các cuộc tấn công kỹ thuật xã hội nhắm vào nhiều nhân viên của cùng một công ty.
Được biết, vào cuối tháng 3 năm 2024, một hacker giả danh là nhân viên tuyển dụng trên LinkedIn đã liên hệ với nhân viên của công ty Ginco, một công ty phần mềm ví tiền điện tử doanh nghiệp có trụ sở tại Nhật Bản. Hacker đã gửi cho nhân viên mục tiêu một đường dẫn đến một đoạn mã Python độc hại được lưu trữ trên GitHub, với lý do là một bài kiểm tra nhập việc. Nhân viên mục tiêu đã sao chép mã Python này vào trang GitHub của mình, và bị xâm nhập. Vào giữa tháng 5, nhóm hacker TraderTraitor đã lợi dụng thông tin cookie phiên để giả mạo nhân viên bị tấn công, thành công truy cập vào hệ thống liên lạc không được mã hóa của công ty Ginco. Cuối tháng 5, các hacker có thể đã lợi dụng quyền truy cập này để sửa đổi các yêu cầu giao dịch hợp pháp của nhân viên DMM Bitcoin, dẫn đến việc 4.502,9 BTC bị đánh cắp. Cuối cùng, số tiền đánh cắp đã được chuyển đến các ví do TraderTraitor kiểm soát.
PlayDapp
Vào ngày 9 tháng 2 năm 2024, nền tảng game blockchain PlayDapp đã bị tấn công, hacker đã xâm nhập hợp đồng thông minh của token PLA của PlayDapp. Hacker đã bất hợp pháp lấy được private key, từ đó thay đổi quyền sở hữu và quyền đúc của hợp đồng thông minh, chuyển chúng sang tài khoản của chính họ. Hacker đã gỡ bỏ quyền của các quản trị viên hiện tại và bất hợp pháp đúc 200 triệu token PLA. Không lâu sau đó, PlayDapp đã gửi tin nhắn qua giao dịch trên chuỗi yêu cầu hacker trả lại số tiền đã đánh cắp và cung cấp phần thưởng 1 triệu USD cho người đội mũ trắng, nhưng cuối cùng đàm phán đã thất bại. Vào ngày 12 tháng 2, hacker một lần nữa bất hợp pháp đúc 1,59 tỷ token PLA, nhưng do các sàn giao dịch đã áp dụng các biện pháp đóng băng, nên chúng không thể lưu thông trên thị trường. Vào ngày 1 tháng 4, theo công bố của PlayDapp, vào ngày 16 tháng 1 năm 2024, đội ngũ PlayDapp đã nhận được một email giả mạo từ hacker, email này được thiết kế tinh vi, có tiêu đề, địa chỉ email người gửi (bao gồm cả tên người dùng và tên miền) và nội dung hoàn toàn giống với các yêu cầu thông tin thường xuyên nhận được từ các sàn giao dịch hợp tác chính. Phân tích cho thấy, khi thực thi mã độc trong tệp đính kèm của email, máy tính của nạn nhân đã cài đặt một công cụ truy cập từ xa bị sửa đổi, sau đó bị hacker kiểm soát từ xa, dẫn đến private key của quản trị viên bị đánh cắp.
WazirX
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký của sàn giao dịch tiền điện tử Ấn Độ WazirX đã bị phát hiện có nhiều giao dịch đáng ngờ. Vào ngày 19 tháng 7, theo kết quả điều tra ban đầu về cuộc tấn công mạng được WazirX công bố trên nền tảng X, một trong những ví đa chữ ký của họ đã bị tấn công mạng, với thiệt hại hơn 230 triệu USD. Ví này có 6 người ký - 5 thành viên từ đội ngũ WazirX và 1 thành viên từ Liminal, chịu trách nhiệm xác minh giao dịch. Mỗi giao dịch thường cần được 3 thành viên từ đội ngũ WazirX (sử dụng ví Ledger để đảm bảo an toàn) phê duyệt trước khi được thành viên của Liminal phê duyệt cuối cùng. Cuộc tấn công mạng này phát sinh từ sự khác biệt giữa dữ liệu hiển thị trên giao diện Liminal và nội dung giao dịch thực tế được ký. Khi cuộc tấn công xảy ra, thông tin giao dịch trên giao diện Liminal không khớp với nội dung được ký. WazirX nghi ngờ hacker đã thay đổi tải trọng để chuyển quyền kiểm soát ví sang chính họ.
BtcTurk
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử của Thổ Nhĩ Kỳ BtcTurk đã bị tấn công, với thiệt hại khoảng 90 triệu USD. BtcTurk trong thông cáo ngày 22 tháng 6 cho biết: "Cuộc tấn công mạng này ảnh hưởng đến một phần số dư của 10 loại tiền điện tử trong ví nóng của chúng tôi, phần lớn tài sản được lưu trữ an toàn trong ví lạnh." Theo tiết lộ của Giám đốc điều hành Binance Richard Teng, Binance đã đóng băng tài sản trị giá 5,3 triệu USD trong số những tài sản bị đánh cắp.
Munchables
Vào ngày 27 tháng 3 năm 2024, dự án sinh thái Blast Munchables đã bị tấn công, với thiệt hại khoảng 62,5 triệu USD. Cùng ngày, nhà sáng lập Blast Pacman đã đăng trên Twitter rằng: "Các thành viên cốt lõi của Blast đã giành được 97 triệu USD thông qua đa chữ ký. Cảm ơn các nhà phát triển Munchables trước đây đã chọn hoàn trả lại tất cả các khoản tiền mà không cần bất kỳ khoản chuộc lợi nào."
Radiant Capital
Vào ngày 17 tháng 10 năm 2024, Radiant Capital đã đăng trên X rằng họ nhận thức được các vấn đề trong thị trường cho vay của Radiant trên BNB Chain và Arbitrum, và đã tạm dừng giao dịch trên thị trường cơ sở và mainnet. Theo phân tích của đội an ninh SlowMist, sự kiện này là do hacker của Radiant bất hợp pháp kiểm soát 3 quyền đa chữ ký, sau đó nâng cấp hợp đồng độc hại để đánh cắp tiền. Vào ngày 18 tháng 10, Radiant đã công bố báo cáo phân tích sự kiện, cho biết sự kiện này đã gây ra khoảng 50 triệu USD thiệt hại, hacker đã thành công xâm nhập các thiết bị của ít nhất ba thành viên cốt lõi thông qua kỹ thuật tiêm mã độc phức tạp, những thiết bị bị xâm nhập sau đó được sử dụng để ký các giao dịch độc hại. Vào ngày 6 tháng 12, Radiant đã công bố các diễn biến mới nhất về sự kiện bị tấn công, công ty an ninh Mandiant được Radiant thuê đã quy trách nhiệm cho nhóm UNC4736, thường được gọi là AppleJeus hoặc Citrine Sleet. Mandiant tin rằng UNC4736 có liên quan đến Cộng hòa Dân chủ Nhân dân Triều Tiên (CHDCND Triều Tiên).
BingX
Vào ngày 20 tháng 9 năm 2024, theo thông báo của sàn giao dịch tiền điện tử BingX, vào khoảng 4 giờ sáng theo giờ Singapore ngày 20 tháng 9, hệ thống an ninh của BingX đã phát hiện một vụ xâm nhập trái phép vào một ví nóng. Theo thống kê của đội an ninh SlowMist, sự kiện này đã gây ra khoảng 45 triệu USD thiệt hại. Dựa trên phân tích của MistTrack, có dấu hiệu cho thấy có liên kết giữa hacker Indodax và hacker BingX, hai vụ tấn công này đều sử dụng cùng một địa chỉ để rửa tiền, và cả hai đều trỏ về nhóm hacker Lazarus của Triều Tiên.
Hedgey Finance
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã bị tấn công, hacker thực hiện một loạt các giao dịch độc hại, dẫn đến tổng thiệt hại khoảng 44,7 triệu USD trên cả Ethereum và Arbitrum. Nguyên nhân cốt lõi của sự kiện này là do thiếu kiểm tra đầu vào tham số người dùng, cho phép hacker thao túng và nhận được quyền phê duyệt token không được ủy quyền.
Penpie
Vào ngày 4 tháng 9 năm 2024, dự án sinh lời thanh khoản phi tập trung Penpie đã bị tấn công, hacker thu lợi khoảng 27,35 triệu USD. Theo phân tích của đội an ninh SlowMist, lõi của sự kiện này là Penpie đã sai lầm khi giả định rằng tất cả các thị trường được tạo bởi Pendle Finance đều hợp pháp khi đăng ký thị trường Pendle mới. Tuy nhiên, quy trình tạo thị trường của Pendle Finance là mở, cho phép bất kỳ ai cũng có thể tạo thị trường, và các tham số quan trọng như địa chỉ hợp đồng SY có thể do người dùng tự định nghĩa. Lợi dụng điều này, hacker đã tạo một hợp đồng thị trường có chứa hợp đồng SY độc hại, và sử dụng cơ chế gọi hợp đồng SY bên ngoài khi nhận thưởng từ bể Penpie, kết hợp với khoản vay nhanh để tăng lượng thanh khoản và phóng đại số tiền thưởng, từ đó thu lợi.
FixedFloat
Vào ngày 16 tháng 2 năm 2024, dựa trên dữ liệu trên chuỗi, nền tảng giao dịch tiền điện tử FixedFloat đã bị tấn công, với thiệt hại khoảng 409 BTC (khoảng 21,17 triệu USD) và 1.728 ETH (khoảng 4,85 triệu USD). FixedFloat về sự kiện tấn công này cho biết: Cuộc tấn công hacker này là do lỗ hổng trong cấu trúc bảo mật, không phải do nhân viên thực hiện, và tiền của người dùng không bị ảnh hưởng. Vào ngày 2 tháng 4, FixedFloat đã đăng trên nền tảng X rằng họ một lần nữa bị hacker trong sự kiện tấn công ngày 16 tháng 2 tấn công lại. Hacker đã tìm cách lợi dụng lỗ hổng trong dịch vụ bên thứ ba mà FixedFloat sử dụng. Hai sự kiện tấn công này đã gây ra tổng thiệt hại khoảng 29 triệu USD cho FixedFloat.
Rug Pull
Rug Pull là một kiểu lừa đảo, bản chất là dự án độc ác thu hút người dùng đầu tư, sau đó khi cơ hội chín muồi thì "kéo tấm thảm" và bỏ trốn cùng số tiền. Theo thống kê của kho lưu trữ sự kiện bị hack của SlowMist, trong năm 2024 đã xảy ra 58 sự kiện Rug Pull, gây ra tổng thiệt hại khoảng 106 triệu USD.
Cùng với sự bùng nổ của làn sóng Meme coin, nhiều người dùng bị thúc đẩy bởi tâm lý đầu cơ và Hội chứng sợ bỏ lỡ (FOMO), bỏ qua các rủi ro tiềm ẩn. Thậm chí một số đội ngũ phát hành coin không cần mô tả tầm nhìn hoặc cung cấp sách trắng, chỉ cần một khái niệm hoặc khẩu hiệu, cũng có thể thổi phồng lên thành cơn sốt và thu hút người dù
- Quảng cáo sai sự thật và tạo sức ép: Thông qua việc phóng đại năng lực kỹ thuật hoặc tiềm năng thị trường, cũng như các biện pháp hợp tác giả hoặc chứng thực của người nổi tiếng, để thu hút người dùng đầu tư.
- Điều khiển giá Bit: Thường thì dự án sẽ nắm giữ số lượng lớn Bit trước, thông qua việc điều khiển giá thị trường để tạo ra vẻ ngoài thịnh vượng, nhằm thu hút thêm vốn.
- Lỗ hổng trong hợp đồng Bit: Thông qua việc để lại lỗ hổng trong hợp đồng thông minh, dự án có thể rút vốn hoặc phá hủy Vốn pool bất cứ lúc nào.
- Biến mất không dấu vết: Trước khi bỏ trốn, dự án thường sẽ đóng trang web chính thức, tài khoản truyền thông hoặc giải tán cộng đồng, cắt đứt liên lạc với nhà đầu tư.
Sau khi hiểu được các thủ đoạn hoạt động của các dự án xấu, chúng ta có thể thấy rằng những ván bạc này thường lợi dụng tâm lý đầu cơ và khao khát lợi nhuận cao của người dùng. Để tránh trở thành nạn nhân của những ván bạc này, điều then chốt là phải luôn cảnh giác, tăng cường khả năng phòng vệ và xác minh, các biện pháp sau đây có thể giúp người dùng tránh tham gia vào các dự án sẽ bỏ trốn:
- Kiểm tra thông tin dự án: Chú ý đến tính xác thực và lịch sử của các thành viên trong nhóm, xem xem họ có từng tham gia các dự án có tiền lệ xấu không.
- Kiểm tra việc kiểm toán: Xem xem dự án có được kiểm toán an ninh chuyên nghiệp không.
- Chú ý phản hồi từ cộng đồng: Tham gia các phương tiện truyền thông xã hội hoặc diễn đàn của dự án, quan sát mức độ hoạt động của cộng đồng và nội dung thảo luận, cảnh giác với những lời ca ngợi quá mức hoặc những lời hứa không hợp lý.
- Phân tán đầu tư: Không đầu tư toàn bộ số vốn vào một dự án, tránh thiệt hại lớn do một dự án duy nhất.
- Cảnh giác với lời hứa lợi nhuận cao: Không có gì rơi từ trên trời xuống, lợi nhuận cao thường đi kèm với rủi ro cao, cần hết sức thận trọng với những lời hứa "tăng gấp đôi nhanh chóng", "không rủi ro" v.v.
Bạn có thể xem toàn bộ báo cáo tại các liên kết sau, hoặc nhấp vào để đọc ngay:
Tiếng Trung: https://www.slowmist.com/report/2024-Blockchain-Security-and-AML-Annual-Report(CN).pdf
Tiếng Anh: https://www.slowmist.com/report/2024-Blockchain-Security-and-AML-Annual-Report(EN).pdf
Tuyên bố miễn trách nhiệm: Với tư cách là một nền tảng thông tin Blockchain, các bài viết được đăng tải trên trang web này chỉ thể hiện quan điểm cá nhân của tác giả và khách mời, không liên quan đến lập trường của Web3Caff. Thông tin trong bài viết chỉ nhằm mục đích tham khảo, không cấu thành bất kỳ lời khuyên đầu tư hay đề nghị nào, vui lòng tuân thủ các luật và quy định pháp lý của quốc gia hoặc khu vực của bạn.
