Tổng hợp 10 sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024

Năm 2024, ngành công nghiệp blockchain trong khi đổi mới công nghệ và mở rộng hệ sinh thái cũng phải đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo dữ liệu từ nền tảng giám sát an ninh, tính đến hiện tại, tổng thiệt hại trong lĩnh vực Web3 vào năm 2024 do các cuộc tấn công của hacker, lừa đảo qua email và dự án bỏ trốn đã lên tới 2.491 triệu USD.

Những sự kiện này không chỉ phơi bày những thiếu sót kỹ thuật trong quản lý khóa riêng, lỗ hổng hợp đồng thông minh mà còn làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ xem xét mười sự kiện an ninh hàng đầu của Web3 trong năm 2024, nhằm hy vọng ngành công nghiệp có thể rút ra bài học từ đó, để đối phó tốt hơn với những mối đe dọa an ninh trong tương lai.

1. DMM Bitcoin: Rò rỉ khóa riêng dẫn đến thiệt hại 304 triệu USD

Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã gặp phải một sự cố bảo mật nghiêm trọng. Kẻ tấn công đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến nhiều địa chỉ khác nhau. Cuộc tấn công này đã phơi bày những lỗ hổng nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh đa lớp. Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng tài sản, nhưng việc phân tán chuyển nhượng và hoạt động pha trộn Bitcoin bị đánh cắp đã mang lại những thách thức lớn cho công tác phục hồi.

Cần lưu ý rằng vào ngày 24 tháng 12, cảnh sát Nhật Bản xác nhận cuộc tấn công này được thực hiện bởi một tổ chức hacker quốc tế.

2. PlayDapp: Rò rỉ khóa riêng gây thiệt hại 2.90 triệu USD

Ngày 9 tháng 2 năm 2024, PlayDapp đã gặp phải một sự cố an ninh nghiêm trọng. Tin tặc đã đánh cắp khóa riêng và trái phép đúc ra 2 tỷ mã thông báo PLA, có giá trị ban đầu là 36,5 triệu USD. Do bên dự án đã thất bại trong việc thương lượng với tin tặc, sau đó tin tặc đã đúc thêm 15,9 tỷ mã thông báo PLA, trị giá 253,9 triệu USD. Một phần mã thông báo bị đánh cắp đã tràn vào sàn giao dịch, khiến PlayDapp buộc phải tạm ngừng hợp đồng PLA và chuyển sang hợp đồng mã thông báo mới. Sự kiện này làm nổi bật sự thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và ứng phó khẩn cấp.

3. Một sàn giao dịch Ấn Độ: Tấn công mạng và lừa đảo gây thiệt hại 235 triệu USD

Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác. Kẻ tấn công đã sử dụng kỹ thuật kỹ thuật xã hội để dụ dỗ người ký đa chữ ký phê duyệt một giao dịch nâng cấp hợp đồng, sau đó đã lợi dụng quyền hạn của hợp đồng đã nâng cấp để chuyển toàn bộ tài sản trong ví. Vụ việc này đã làm lộ ra những rủi ro tiềm ẩn của ví đa chữ ký về cấu hình quyền hạn và tính minh bạch trong hoạt động, đồng thời đã kích thích sự suy nghĩ sâu sắc trong ngành về cơ chế kiểm soát và an ninh nội bộ của các dự án.

4. Gala Games: Lỗ hổng kiểm soát truy cập dẫn đến thiệt hại 216 triệu USD

Vào ngày 20 tháng 5 năm 2024, một địa chỉ ưu tiên của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng token, một lần đã đúc ra 5 tỷ mã GALA. Sau đó, những mã token được phát hành bất hợp pháp này đã được đổi thành ETH theo từng đợt, gây ra thiệt hại trực tiếp lên đến 216 triệu USD. Đội ngũ Gala Games đã nhanh chóng kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã thu hồi được một phần thiệt hại thông qua các biện pháp pháp lý.

5. Người đồng sáng lập dự án tiền điện tử: Sự rò rỉ khóa riêng dẫn đến thiệt hại 112 triệu USD

Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của một trong những người đồng sáng lập dự án tiền điện tử nổi tiếng đã bị tin tặc tấn công, dẫn đến việc 112 triệu USD tiền điện tử bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ kép bằng thiết bị phần cứng. Sau sự cố, một sàn giao dịch lớn đã thành công trong việc đóng băng tài sản bị đánh cắp trị giá 4,2 triệu USD và hỗ trợ trong việc truy tìm, nhưng phần lớn số tiền đã được rửa thông qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.

6. Munchables: Tấn công kỹ thuật xã hội gây thiệt hại 62,5 triệu đô la

Vào ngày 26 tháng 3 năm 2024, nền tảng game Web3 dựa trên Blast, Munchables, đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm thấy. Kẻ tấn công đã ngụy trang thành nhà phát triển blockchain, thông qua việc ẩn nấp lâu dài để lấy được mã nguồn và khóa nhạy cảm. Mặc dù cuộc tấn công gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã hoàn trả toàn bộ số tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển từ bên thứ ba.

7. Một sàn giao dịch ở Thổ Nhĩ Kỳ: Rò rỉ khóa riêng dẫn đến thiệt hại 55 triệu đô la

Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự hỗ trợ của một sàn giao dịch lớn, 5,3 triệu USD trong số tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng mối lo ngại của thị trường về khả năng quản lý khóa riêng của các sàn giao dịch tập trung.

8. Radiant Capital: Rò rỉ khóa riêng dẫn đến thiệt hại 53 triệu USD

Vào ngày 17 tháng 10 năm 2024, ví đa chữ ký của Radiant Capital đã bị hacker tấn công. Do áp dụng mô hình xác thực chữ ký 3/11 với ngưỡng thấp, hacker đã thông qua việc nắm giữ khóa riêng của 3 người ký để thực hiện chữ ký ngoại tuyến, chuyển quyền sở hữu hợp đồng ví đến địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu USD bị đánh cắp. Cuộc tấn công này đã gây ra sự phản ánh của ngành về thiết kế và cơ chế quản trị của ví đa chữ ký.

Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la vì lỗ hổng hợp đồng trước cuộc tấn công này, với hơn 1900 ETH bị đánh cắp. Điều này một lần nữa làm nổi bật mức độ chú trọng đến an toàn của các dự án Web3 vẫn cần được cải thiện.

9. Hedgey Finance: Lỗ hổng hợp đồng dẫn đến thiệt hại 44,7 triệu đô la

Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút tiền mã hóa trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44,7 triệu USD. Sự kiện này làm nổi bật tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh chặt chẽ logic phê duyệt mã hóa.

10. Sàn giao dịch tiền điện tử nào: Rò rỉ khóa riêng dẫn đến thiệt hại 44,7 triệu đô la

Vào ngày 19 tháng 9 năm 2024, một sàn giao dịch tiền điện tử nổi tiếng đã bị tin tặc xâm nhập vào ví nóng, liên quan đến nhiều chuỗi công khai bao gồm Ethereum, BNB Chain, Tron và nhiều chuỗi khác. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển giao tài sản và đóng băng rút tiền, nhưng tin tặc đã thành công trong việc rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công này lại một lần nữa phơi bày tính rủi ro cao trong quản lý ví nóng của các sàn giao dịch tập trung, và thúc đẩy ngành công nghiệp khám phá các giải pháp lưu trữ tài sản an toàn hơn.

Các sự cố tấn công an ninh xảy ra thường xuyên vào năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự đảm bảo an toàn. Từ việc rò rỉ khóa riêng đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến sự nâng cấp của các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại bài học sâu sắc cho ngành. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi hy vọng thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn và đáng tin cậy hơn, cung cấp sự bảo đảm mạnh mẽ hơn cho người dùng và nhà đầu tư.