Tổng kết các sự kiện an ninh Web3 năm 2024: Mười trường hợp tấn công cảnh báo rủi ro ngành
Năm 2024, ngành công nghiệp blockchain đang phát triển nhanh chóng nhưng cũng phải đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo dữ liệu từ một nền tảng giám sát an ninh, tính đến nay, tổng thiệt hại trong lĩnh vực Web3 do tấn công của hacker, lừa đảo phishing và các dự án bỏ trốn đã lên đến 2,491 triệu đô la Mỹ.
Những sự kiện này không chỉ phơi bày các thiếu sót kỹ thuật trong quản lý khóa riêng, hợp đồng thông minh, mà còn làm nổi bật những rủi ro tiềm ẩn trong kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ điểm lại mười sự kiện an ninh hàng đầu trong Web3 năm 2024, nhằm hy vọng rằng ngành công nghiệp có thể rút ra bài học từ đó, để đối phó tốt hơn với những mối đe dọa an ninh trong tương lai.
1. Một sàn giao dịch Nhật Bản bị tấn công nghiêm trọng
Số tiền mất mát: 3,04 triệu USDHình thức tấn công: Rò rỉ khóa riêng
Ngày 31 tháng 5 năm 2024, một sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản đã phải đối mặt với một cuộc tấn công lịch sử. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp tới hơn 10 địa chỉ khác nhau. Sự cố này đã phơi bày những thiếu sót nghiêm trọng trong quản lý khóa riêng và bảo mật đa lớp của sàn giao dịch này. Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng tài sản, nhưng Bitcoin bị đánh cắp đã được phân tán chuyển nhượng và rửa tiền qua công cụ trộn, gây ra những thách thức lớn trong công tác theo dõi.
Vào ngày 24 tháng 12, cảnh sát Nhật Bản xác nhận rằng vụ việc này là do một tổ chức hacker quốc tế thực hiện.
2. PlayDapp gặp phải cuộc tấn công phát hành token quá mức
Số tiền mất mát: 290 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã bị tổn thất nặng nề khi tin tặc đã đánh cắp khóa riêng và đúc ra 2 tỷ mã thông báo PLA, có giá trị ban đầu là 36,5 triệu đô la. Do dự án không thể thương lượng thành công với tin tặc, sau đó tin tặc đã đúc thêm 15,9 tỷ mã thông báo PLA, có giá trị 253,9 triệu đô la. Một phần mã thông báo đã được đưa vào một sàn giao dịch nào đó, PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng mã thông báo mới. Sự kiện này đã làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và phản ứng khẩn cấp.
3. Ví đa chữ ký của sàn giao dịch tiền điện tử lớn nhất Ấn Độ bị tấn công
Số tiền thua lỗ: 235 triệu USDPhương thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác. Kẻ tấn công đã sử dụng kỹ thuật kỹ thuật xã hội để dụ các ký giả đa ký phê duyệt một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển tất cả tài sản trong ví. Vụ việc này đã phơi bày những rủi ro tiềm ẩn trong việc cấu hình quyền hạn và tính minh bạch trong hoạt động của ví đa ký, đồng thời đã dẫn đến một cuộc suy ngẫm sâu sắc trong ngành về cơ chế kiểm soát rủi ro và an ninh nội bộ của các dự án.
4. Địa chỉ đặc quyền của Gala Games bị tấn công
Số tiền lỗ: 216 triệu USDPhương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị tin tặc tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng token, một lần đã đúc ra 5 tỷ GALA token. Sau đó, tin tặc đã đổi số token mới đúc này thành ETH theo từng đợt, gây ra tổn thất trực tiếp lên tới 216 triệu USD. Nhóm Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để khóa một số tài khoản của tin tặc và đã thu hồi được một phần tổn thất thông qua các biện pháp pháp lý.
5. Ví cá nhân của người sáng lập dự án tiền điện tử nổi tiếng bị đánh cắp
Số tiền tổn thất: 1.12 triệu đô la MỹPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của một trong những người đồng sáng lập nổi tiếng của một dự án tiền điện tử đã bị hacker tấn công, dẫn đến việc 112 triệu đô la tài sản kỹ thuật số bị đánh cắp. Những ví này bị cho là mục tiêu tấn công do thiếu bảo vệ kép từ thiết bị phần cứng. Sau sự cố, một sàn giao dịch lớn đã thành công trong việc đóng băng tài sản trị giá 4,2 triệu đô la và hỗ trợ trong việc truy vết tiền bị đánh cắp, nhưng phần lớn số tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn tiền.
6. Munchables gặp phải sự thâm nhập nội bộ
Số tiền tổn thất: 6250 triệu USDPhương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 Munchables dựa trên Blast đã trải qua một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công đã ngụy trang thành nhà phát triển blockchain, thông qua việc ẩn nấp lâu dài để lấy được mã nguồn cốt lõi và khóa nhạy cảm. Mặc dù gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain dựa vào phát triển của bên thứ ba.
7. Một sàn giao dịch ở Thổ Nhĩ Kỳ gặp sự cố rò rỉ khóa riêng
Số tiền mất mát: 55 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, một sàn giao dịch tiền điện tử lớn ở Thổ Nhĩ Kỳ đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu đô la tài sản tiền điện tử. Với sự hỗ trợ của một sàn giao dịch lớn, 5,3 triệu đô la từ số tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được khôi phục. Sự kiện này đã làm gia tăng lo ngại của thị trường về khả năng quản lý khóa riêng của các sàn giao dịch tập trung.
Vào ngày 17 tháng 10 năm 2024, ví đa chữ ký của Radiant Capital đã bị hacker tấn công. Do áp dụng chế độ xác thực chữ ký 3/11 với ngưỡng thấp hơn, hacker đã kiểm soát được khóa riêng của 3 người ký và thực hiện chữ ký ngoài chuỗi, chuyển quyền sở hữu của hợp đồng ví sang địa chỉ độc hại, dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gây ra sự phản ánh trong ngành về thiết kế và cơ chế quản trị của ví đa chữ ký.
Cần lưu ý rằng, Radiant Capital trước cuộc tấn công này đã mất 4,5 triệu đô la do lỗ hổng hợp đồng, hơn 1900 ETH đã bị đánh cắp. Điều này một lần nữa nhắc nhở các dự án Web3 cần phải chú trọng hơn đến vấn đề an ninh.
9. Hedgey Finance hợp đồng đa chuỗi bị tấn công
Số tiền tổn thất: 44,7 triệu USDCách tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã遭遇 một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Kẻ tấn công đã tận dụng lỗ hổng ủy quyền trong hợp đồng ClaimCampaigns của họ, thành công rút ra token trên hai chuỗi Ethereum và Arbitrum, tổng tổn thất lên tới 44,7 triệu đô la. Sự kiện này làm nổi bật tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh chặt chẽ logic ủy quyền token.
10. Ví nóng của một sàn giao dịch nổi tiếng bị xâm nhập
Số tiền thua lỗ: 44,7 triệu USDPhương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, một sàn giao dịch nổi tiếng đã bị tấn công vào ví nóng bởi hacker, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công lần này lại một lần nữa phơi bày tính rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành tìm kiếm các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện an ninh xảy ra thường xuyên trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể thiếu sự đảm bảo an ninh. Từ việc rò rỉ khóa riêng tư đến lỗ hổng hợp đồng, từ sự lơ là trong quản lý nội bộ đến sự nâng cấp của các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại những bài học sâu sắc. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi hy vọng thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự đảm bảo đáng tin cậy hơn cho người dùng và nhà đầu tư.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
15 thích
Phần thưởng
15
4
Đăng lại
Chia sẻ
Bình luận
0/400
LightningPacketLoss
· 23giờ trước
Sao lại bị trộm lần nữa vậy, đã 24 năm rồi mà vẫn mắc phải lỗi ngớ ngẩn này.
Xem bản gốcTrả lời0
ponzi_poet
· 23giờ trước
Lại đến rồi, bẫy chơi đùa với mọi người mà không thay đổi.
Xem bản gốcTrả lời0
GasFeeCrier
· 23giờ trước
Lại đen lại đen, sao hợp đồng thông minh vẫn chưa được cải tiến vậy?
Xem bản gốcTrả lời0
SignatureAnxiety
· 23giờ trước
Lại là rò rỉ khóa riêng ? Ai còn dám sử dụng sàn giao dịch Nhật Bản nữa?
Tổng kết sự kiện an ninh Web3 năm 2024: Mười cuộc tấn công gây thiệt hại 2,5 tỷ đô la Mỹ
Tổng kết các sự kiện an ninh Web3 năm 2024: Mười trường hợp tấn công cảnh báo rủi ro ngành
Năm 2024, ngành công nghiệp blockchain đang phát triển nhanh chóng nhưng cũng phải đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo dữ liệu từ một nền tảng giám sát an ninh, tính đến nay, tổng thiệt hại trong lĩnh vực Web3 do tấn công của hacker, lừa đảo phishing và các dự án bỏ trốn đã lên đến 2,491 triệu đô la Mỹ.
Những sự kiện này không chỉ phơi bày các thiếu sót kỹ thuật trong quản lý khóa riêng, hợp đồng thông minh, mà còn làm nổi bật những rủi ro tiềm ẩn trong kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ điểm lại mười sự kiện an ninh hàng đầu trong Web3 năm 2024, nhằm hy vọng rằng ngành công nghiệp có thể rút ra bài học từ đó, để đối phó tốt hơn với những mối đe dọa an ninh trong tương lai.
1. Một sàn giao dịch Nhật Bản bị tấn công nghiêm trọng
Số tiền mất mát: 3,04 triệu USD Hình thức tấn công: Rò rỉ khóa riêng
Ngày 31 tháng 5 năm 2024, một sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản đã phải đối mặt với một cuộc tấn công lịch sử. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp tới hơn 10 địa chỉ khác nhau. Sự cố này đã phơi bày những thiếu sót nghiêm trọng trong quản lý khóa riêng và bảo mật đa lớp của sàn giao dịch này. Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng tài sản, nhưng Bitcoin bị đánh cắp đã được phân tán chuyển nhượng và rửa tiền qua công cụ trộn, gây ra những thách thức lớn trong công tác theo dõi.
Vào ngày 24 tháng 12, cảnh sát Nhật Bản xác nhận rằng vụ việc này là do một tổ chức hacker quốc tế thực hiện.
2. PlayDapp gặp phải cuộc tấn công phát hành token quá mức
Số tiền mất mát: 290 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã bị tổn thất nặng nề khi tin tặc đã đánh cắp khóa riêng và đúc ra 2 tỷ mã thông báo PLA, có giá trị ban đầu là 36,5 triệu đô la. Do dự án không thể thương lượng thành công với tin tặc, sau đó tin tặc đã đúc thêm 15,9 tỷ mã thông báo PLA, có giá trị 253,9 triệu đô la. Một phần mã thông báo đã được đưa vào một sàn giao dịch nào đó, PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng mã thông báo mới. Sự kiện này đã làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và phản ứng khẩn cấp.
3. Ví đa chữ ký của sàn giao dịch tiền điện tử lớn nhất Ấn Độ bị tấn công
Số tiền thua lỗ: 235 triệu USD Phương thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác. Kẻ tấn công đã sử dụng kỹ thuật kỹ thuật xã hội để dụ các ký giả đa ký phê duyệt một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển tất cả tài sản trong ví. Vụ việc này đã phơi bày những rủi ro tiềm ẩn trong việc cấu hình quyền hạn và tính minh bạch trong hoạt động của ví đa ký, đồng thời đã dẫn đến một cuộc suy ngẫm sâu sắc trong ngành về cơ chế kiểm soát rủi ro và an ninh nội bộ của các dự án.
4. Địa chỉ đặc quyền của Gala Games bị tấn công
Số tiền lỗ: 216 triệu USD Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị tin tặc tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng token, một lần đã đúc ra 5 tỷ GALA token. Sau đó, tin tặc đã đổi số token mới đúc này thành ETH theo từng đợt, gây ra tổn thất trực tiếp lên tới 216 triệu USD. Nhóm Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để khóa một số tài khoản của tin tặc và đã thu hồi được một phần tổn thất thông qua các biện pháp pháp lý.
5. Ví cá nhân của người sáng lập dự án tiền điện tử nổi tiếng bị đánh cắp
Số tiền tổn thất: 1.12 triệu đô la Mỹ Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của một trong những người đồng sáng lập nổi tiếng của một dự án tiền điện tử đã bị hacker tấn công, dẫn đến việc 112 triệu đô la tài sản kỹ thuật số bị đánh cắp. Những ví này bị cho là mục tiêu tấn công do thiếu bảo vệ kép từ thiết bị phần cứng. Sau sự cố, một sàn giao dịch lớn đã thành công trong việc đóng băng tài sản trị giá 4,2 triệu đô la và hỗ trợ trong việc truy vết tiền bị đánh cắp, nhưng phần lớn số tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn tiền.
6. Munchables gặp phải sự thâm nhập nội bộ
Số tiền tổn thất: 6250 triệu USD Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 Munchables dựa trên Blast đã trải qua một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công đã ngụy trang thành nhà phát triển blockchain, thông qua việc ẩn nấp lâu dài để lấy được mã nguồn cốt lõi và khóa nhạy cảm. Mặc dù gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain dựa vào phát triển của bên thứ ba.
7. Một sàn giao dịch ở Thổ Nhĩ Kỳ gặp sự cố rò rỉ khóa riêng
Số tiền mất mát: 55 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, một sàn giao dịch tiền điện tử lớn ở Thổ Nhĩ Kỳ đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu đô la tài sản tiền điện tử. Với sự hỗ trợ của một sàn giao dịch lớn, 5,3 triệu đô la từ số tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được khôi phục. Sự kiện này đã làm gia tăng lo ngại của thị trường về khả năng quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa chữ ký Radiant Capital bị tấn công
Số tiền lỗ: 53 triệu USD Cách tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa chữ ký của Radiant Capital đã bị hacker tấn công. Do áp dụng chế độ xác thực chữ ký 3/11 với ngưỡng thấp hơn, hacker đã kiểm soát được khóa riêng của 3 người ký và thực hiện chữ ký ngoài chuỗi, chuyển quyền sở hữu của hợp đồng ví sang địa chỉ độc hại, dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gây ra sự phản ánh trong ngành về thiết kế và cơ chế quản trị của ví đa chữ ký.
Cần lưu ý rằng, Radiant Capital trước cuộc tấn công này đã mất 4,5 triệu đô la do lỗ hổng hợp đồng, hơn 1900 ETH đã bị đánh cắp. Điều này một lần nữa nhắc nhở các dự án Web3 cần phải chú trọng hơn đến vấn đề an ninh.
9. Hedgey Finance hợp đồng đa chuỗi bị tấn công
Số tiền tổn thất: 44,7 triệu USD Cách tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã遭遇 một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Kẻ tấn công đã tận dụng lỗ hổng ủy quyền trong hợp đồng ClaimCampaigns của họ, thành công rút ra token trên hai chuỗi Ethereum và Arbitrum, tổng tổn thất lên tới 44,7 triệu đô la. Sự kiện này làm nổi bật tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh chặt chẽ logic ủy quyền token.
10. Ví nóng của một sàn giao dịch nổi tiếng bị xâm nhập
Số tiền thua lỗ: 44,7 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9 năm 2024, một sàn giao dịch nổi tiếng đã bị tấn công vào ví nóng bởi hacker, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công lần này lại một lần nữa phơi bày tính rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành tìm kiếm các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện an ninh xảy ra thường xuyên trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể thiếu sự đảm bảo an ninh. Từ việc rò rỉ khóa riêng tư đến lỗ hổng hợp đồng, từ sự lơ là trong quản lý nội bộ đến sự nâng cấp của các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại những bài học sâu sắc. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi hy vọng thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự đảm bảo đáng tin cậy hơn cho người dùng và nhà đầu tư.