Điểm lại 10 sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024
Trong năm 2024, ngành Web3 không chỉ đối mặt với những thách thức an ninh ngày càng nghiêm trọng mà còn phát triển đổi mới. Theo dữ liệu từ nền tảng giám sát, tính đến cuối năm, tổng thiệt hại do các cuộc tấn công và lừa đảo trong lĩnh vực Web3 lên tới 2.491 triệu USD. Những sự kiện này không chỉ phơi bày lỗ hổng ở cấp độ công nghệ mà còn làm nổi bật những rủi ro tiềm ẩn trong quản lý nội bộ và tấn công xã hội. Bài viết này sẽ tổng hợp mười sự kiện an ninh hàng đầu của Web3 trong năm 2024, nhằm rút ra bài học kinh nghiệm để cung cấp tham khảo cho công tác bảo vệ an ninh trong tương lai.
1. Sự kiện DMM Bitcoin
Thiệt hại: 304 triệu đô laPhương pháp tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp phải một sự cố bảo mật nghiêm trọng. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin, và nhanh chóng phân tán số tiền này đến nhiều địa chỉ khác nhau. Sự việc này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an toàn đa lớp. Mặc dù sàn giao dịch đã thực hiện các biện pháp như giám sát trên chuỗi và đóng băng tài sản, nhưng do số tiền bị đánh cắp đã được rửa qua công cụ trộn, công tác thu hồi gặp nhiều thách thức lớn.
Cuối năm, các cơ quan thực thi pháp luật Nhật Bản xác nhận cuộc tấn công này được thực hiện bởi một tổ chức hacker cụ thể.
Vào ngày 9 tháng 2, PlayDapp đã gặp phải một lỗ hổng bảo mật nghiêm trọng. Tin tặc đã sử dụng khóa riêng bị đánh cắp để bất hợp pháp đúc ra một lượng lớn token PLA, có giá trị ban đầu là 36.5 triệu USD. Do cuộc đàm phán với tin tặc không thành công, kẻ tấn công sau đó đã đúc ra token trị giá 253.9 triệu USD. Sự kiện này đã buộc PlayDapp phải tạm dừng hợp đồng ban đầu và chuyển sang hợp đồng token mới, làm nổi bật sự thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý tình huống khẩn cấp.
3. Sự kiện tại một sàn giao dịch Ấn Độ
Thiệt hại: 235 triệu đô la MỹPhương thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7, một ví đa chữ ký của một sàn giao dịch tiền điện tử lớn ở Ấn Độ đã bị tấn công chính xác. Kẻ tấn công đã sử dụng phương pháp kỹ thuật xã hội để dụ dỗ những người nắm giữ ví đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó đã lợi dụng quyền hạn nâng cấp để chuyển toàn bộ tài sản trong ví. Sự kiện này đã phơi bày những rủi ro tiềm ẩn trong quản lý quyền hạn và tính minh bạch trong hoạt động của ví đa chữ ký, gây ra những suy nghĩ sâu sắc trong ngành về cơ chế kiểm soát rủi ro nội bộ của các dự án.
Vào ngày 20 tháng 5, một địa chỉ đặc quyền của Gala Games đã bị xâm phạm. Tin tặc đã sử dụng chức năng mint trong hợp đồng để đúc 5 tỷ token GALA trong một lần và gây ra khoản lỗ 216 triệu đô la bằng cách đổi chúng lấy ETH theo lô. Sau đó, nhóm dự án đã kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và thu hồi một số tổn thất thông qua các kênh pháp lý.
5. Người sáng lập dự án tiền điện tử nào đó bị tấn công
Mất mát: 1,12 triệu đô la MỹKỹ thuật tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1, bốn ví cá nhân của một đồng sáng lập dự án tiền điện tử nổi tiếng đã bị hacker xâm nhập, dẫn đến việc 112 triệu đô la tiền điện tử bị đánh cắp. Những ví này có khả năng đã trở thành mục tiêu tấn công do thiếu sự bảo vệ gấp đôi bằng thiết bị phần cứng. Mặc dù một sàn giao dịch đã thành công trong việc đóng băng một phần số tiền bị đánh cắp, nhưng phần lớn số tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn tiền.
6. Sự kiện Munchables
Thua lỗ: 62.5 triệu đô laKỹ thuật tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3, nền tảng trò chơi Web3 dựa trên Blast là Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ. Kẻ tấn công đã ngụy trang thành nhà phát triển blockchain, thông qua việc ẩn nấp lâu dài để lấy được mã nguồn và khóa nhạy cảm. Mặc dù đã gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển bên thứ ba.
7. Sự kiện của một sàn giao dịch ở Thổ Nhĩ Kỳ
Thiệt hại: 55 triệu đô laPhương pháp tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6, một sàn giao dịch tiền điện tử lớn ở Thổ Nhĩ Kỳ đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự hỗ trợ của một nền tảng giao dịch, 5,3 triệu USD số tiền bị đánh cắp đã được đóng băng thành công, nhưng phần lớn tài sản vẫn chưa được lấy lại. Sự kiện này đã làm gia tăng lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Sự kiện Radiant Capital
Mất mát: 53 triệu đô la MỹPhương pháp tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10, ví đa ký của Radiant Capital đã bị tấn công bởi hacker. Do sử dụng chế độ xác thực chữ ký với ngưỡng thấp 3/11, hacker đã kiểm soát 3 khóa riêng của người ký và thực hiện chữ ký ngoại tuyến, chuyển quyền sở hữu của hợp đồng ví sang địa chỉ ác ý, cuối cùng dẫn đến việc bị đánh cắp 53 triệu đô la. Cuộc tấn công này đã tạo ra sự phản ánh trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng Radiant Capital đã từng mất 4,5 triệu đô la do lỗ hổng hợp đồng, hơn 1900 ETH đã bị đánh cắp, phản ánh rằng mức độ chú trọng đến an toàn của nhóm dự án vẫn còn có không gian để cải thiện.
9. Sự kiện Hedgey Finance
Thiệt hại: 44,7 triệu USDPhương pháp tấn công: Lỗi hợp đồng
Vào ngày 19 tháng 4, Hedgey Finance đã bị tấn công nhắm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt của hợp đồng ClaimCampaigns để thành công rút tiền mã hóa trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44,7 triệu USD. Sự kiện này nhấn mạnh tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh chặt chẽ logic phê duyệt mã thông báo.
10. Ví nóng của một nền tảng giao dịch bị đánh cắp
Vào ngày 19 tháng 9, một sàn giao dịch đã bị hacker tấn công ví nóng, liên quan đến nhiều blockchain công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển giao tài sản và đóng băng rút tiền, nhưng hacker vẫn thành công rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công này lại một lần nữa phơi bày rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành công nghiệp tìm kiếm các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện an ninh xảy ra thường xuyên trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển khỏe mạnh của ngành công nghiệp blockchain không thể thiếu sự bảo đảm an ninh mạnh mẽ. Từ quản lý khóa riêng đến thiết kế hợp đồng, từ kiểm soát nội bộ đến phòng thủ bên ngoài, mỗi sự kiện đều cung cấp cho ngành những bài học kinh nghiệm quý giá. Đối mặt với những mối đe dọa tấn công ngày càng phức tạp, ngành công nghiệp cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy chuẩn quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi hy vọng thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn và đáng tin cậy hơn, cung cấp sự bảo vệ tốt hơn cho người dùng và các nhà đầu tư.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
18 thích
Phần thưởng
18
5
Chia sẻ
Bình luận
0/400
SelfStaking
· 07-25 18:21
Sự thấu hiểu vô hạn, nằm phẳng có đạo.
Xem bản gốcTrả lời0
GateUser-9ad11037
· 07-25 03:07
Lại phải giữ gìn ví lạnh.
Xem bản gốcTrả lời0
MEV_Whisperer
· 07-22 19:47
gm! Vừa xem xong, rơi 2.5B dao, lại là một năm có chuyện.
Xem bản gốcTrả lời0
CrashHotline
· 07-22 19:45
Có nhiều tiền bị đánh cắp như vậy, không ngạc nhiên khi ví tiền của tôi ngày nào cũng gầy đi.
Thiệt hại an ninh trong lĩnh vực Web3 năm 2024 gần 2,5 tỷ USD, điểm lại 10 sự kiện nổi bật.
Điểm lại 10 sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024
Trong năm 2024, ngành Web3 không chỉ đối mặt với những thách thức an ninh ngày càng nghiêm trọng mà còn phát triển đổi mới. Theo dữ liệu từ nền tảng giám sát, tính đến cuối năm, tổng thiệt hại do các cuộc tấn công và lừa đảo trong lĩnh vực Web3 lên tới 2.491 triệu USD. Những sự kiện này không chỉ phơi bày lỗ hổng ở cấp độ công nghệ mà còn làm nổi bật những rủi ro tiềm ẩn trong quản lý nội bộ và tấn công xã hội. Bài viết này sẽ tổng hợp mười sự kiện an ninh hàng đầu của Web3 trong năm 2024, nhằm rút ra bài học kinh nghiệm để cung cấp tham khảo cho công tác bảo vệ an ninh trong tương lai.
1. Sự kiện DMM Bitcoin
Thiệt hại: 304 triệu đô la Phương pháp tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp phải một sự cố bảo mật nghiêm trọng. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin, và nhanh chóng phân tán số tiền này đến nhiều địa chỉ khác nhau. Sự việc này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an toàn đa lớp. Mặc dù sàn giao dịch đã thực hiện các biện pháp như giám sát trên chuỗi và đóng băng tài sản, nhưng do số tiền bị đánh cắp đã được rửa qua công cụ trộn, công tác thu hồi gặp nhiều thách thức lớn.
Cuối năm, các cơ quan thực thi pháp luật Nhật Bản xác nhận cuộc tấn công này được thực hiện bởi một tổ chức hacker cụ thể.
2. Sự kiện PlayDapp
Thiệt hại: 290 triệu USD Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 9 tháng 2, PlayDapp đã gặp phải một lỗ hổng bảo mật nghiêm trọng. Tin tặc đã sử dụng khóa riêng bị đánh cắp để bất hợp pháp đúc ra một lượng lớn token PLA, có giá trị ban đầu là 36.5 triệu USD. Do cuộc đàm phán với tin tặc không thành công, kẻ tấn công sau đó đã đúc ra token trị giá 253.9 triệu USD. Sự kiện này đã buộc PlayDapp phải tạm dừng hợp đồng ban đầu và chuyển sang hợp đồng token mới, làm nổi bật sự thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý tình huống khẩn cấp.
3. Sự kiện tại một sàn giao dịch Ấn Độ
Thiệt hại: 235 triệu đô la Mỹ Phương thức tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7, một ví đa chữ ký của một sàn giao dịch tiền điện tử lớn ở Ấn Độ đã bị tấn công chính xác. Kẻ tấn công đã sử dụng phương pháp kỹ thuật xã hội để dụ dỗ những người nắm giữ ví đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó đã lợi dụng quyền hạn nâng cấp để chuyển toàn bộ tài sản trong ví. Sự kiện này đã phơi bày những rủi ro tiềm ẩn trong quản lý quyền hạn và tính minh bạch trong hoạt động của ví đa chữ ký, gây ra những suy nghĩ sâu sắc trong ngành về cơ chế kiểm soát rủi ro nội bộ của các dự án.
4. Sự kiện Gala Games
Thiệt hại: 216 triệu USD Kỹ thuật tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5, một địa chỉ đặc quyền của Gala Games đã bị xâm phạm. Tin tặc đã sử dụng chức năng mint trong hợp đồng để đúc 5 tỷ token GALA trong một lần và gây ra khoản lỗ 216 triệu đô la bằng cách đổi chúng lấy ETH theo lô. Sau đó, nhóm dự án đã kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và thu hồi một số tổn thất thông qua các kênh pháp lý.
5. Người sáng lập dự án tiền điện tử nào đó bị tấn công
Mất mát: 1,12 triệu đô la Mỹ Kỹ thuật tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1, bốn ví cá nhân của một đồng sáng lập dự án tiền điện tử nổi tiếng đã bị hacker xâm nhập, dẫn đến việc 112 triệu đô la tiền điện tử bị đánh cắp. Những ví này có khả năng đã trở thành mục tiêu tấn công do thiếu sự bảo vệ gấp đôi bằng thiết bị phần cứng. Mặc dù một sàn giao dịch đã thành công trong việc đóng băng một phần số tiền bị đánh cắp, nhưng phần lớn số tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn tiền.
6. Sự kiện Munchables
Thua lỗ: 62.5 triệu đô la Kỹ thuật tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3, nền tảng trò chơi Web3 dựa trên Blast là Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ. Kẻ tấn công đã ngụy trang thành nhà phát triển blockchain, thông qua việc ẩn nấp lâu dài để lấy được mã nguồn và khóa nhạy cảm. Mặc dù đã gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển bên thứ ba.
7. Sự kiện của một sàn giao dịch ở Thổ Nhĩ Kỳ
Thiệt hại: 55 triệu đô la Phương pháp tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6, một sàn giao dịch tiền điện tử lớn ở Thổ Nhĩ Kỳ đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự hỗ trợ của một nền tảng giao dịch, 5,3 triệu USD số tiền bị đánh cắp đã được đóng băng thành công, nhưng phần lớn tài sản vẫn chưa được lấy lại. Sự kiện này đã làm gia tăng lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Sự kiện Radiant Capital
Mất mát: 53 triệu đô la Mỹ Phương pháp tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10, ví đa ký của Radiant Capital đã bị tấn công bởi hacker. Do sử dụng chế độ xác thực chữ ký với ngưỡng thấp 3/11, hacker đã kiểm soát 3 khóa riêng của người ký và thực hiện chữ ký ngoại tuyến, chuyển quyền sở hữu của hợp đồng ví sang địa chỉ ác ý, cuối cùng dẫn đến việc bị đánh cắp 53 triệu đô la. Cuộc tấn công này đã tạo ra sự phản ánh trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng Radiant Capital đã từng mất 4,5 triệu đô la do lỗ hổng hợp đồng, hơn 1900 ETH đã bị đánh cắp, phản ánh rằng mức độ chú trọng đến an toàn của nhóm dự án vẫn còn có không gian để cải thiện.
9. Sự kiện Hedgey Finance
Thiệt hại: 44,7 triệu USD Phương pháp tấn công: Lỗi hợp đồng
Vào ngày 19 tháng 4, Hedgey Finance đã bị tấn công nhắm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt của hợp đồng ClaimCampaigns để thành công rút tiền mã hóa trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44,7 triệu USD. Sự kiện này nhấn mạnh tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh chặt chẽ logic phê duyệt mã thông báo.
10. Ví nóng của một nền tảng giao dịch bị đánh cắp
Thiệt hại: 44,7 triệu USD Phương pháp tấn công: Rò rỉ khóa riêng
Vào ngày 19 tháng 9, một sàn giao dịch đã bị hacker tấn công ví nóng, liên quan đến nhiều blockchain công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển giao tài sản và đóng băng rút tiền, nhưng hacker vẫn thành công rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công này lại một lần nữa phơi bày rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành công nghiệp tìm kiếm các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện an ninh xảy ra thường xuyên trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển khỏe mạnh của ngành công nghiệp blockchain không thể thiếu sự bảo đảm an ninh mạnh mẽ. Từ quản lý khóa riêng đến thiết kế hợp đồng, từ kiểm soát nội bộ đến phòng thủ bên ngoài, mỗi sự kiện đều cung cấp cho ngành những bài học kinh nghiệm quý giá. Đối mặt với những mối đe dọa tấn công ngày càng phức tạp, ngành công nghiệp cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy chuẩn quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi hy vọng thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn và đáng tin cậy hơn, cung cấp sự bảo vệ tốt hơn cho người dùng và các nhà đầu tư.