Tổng hợp sự kiện an ninh ngành Web3 năm 2024: Phân tích mười trường hợp tấn công
Năm 2024, ngành Web3 đang phát triển mạnh mẽ nhưng cũng đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo thống kê, tính đến cuối năm, tổng thiệt hại trong lĩnh vực này lên tới 2,491 triệu USD do các vụ tấn công của hacker, lừa đảo và các dự án bỏ trốn. Những sự kiện này không chỉ phơi bày các lỗ hổng về mặt kỹ thuật, chẳng hạn như quản lý khóa riêng và vấn đề hợp đồng thông minh, mà còn làm nổi bật tầm quan trọng của các cuộc tấn công kỹ thuật xã hội và rủi ro quản lý nội bộ.
Bài viết này sẽ xem xét mười sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024, nhằm rút ra bài học kinh nghiệm và cung cấp tài liệu tham khảo cho các biện pháp bảo vệ an ninh trong tương lai.
1. Một sàn giao dịch Nhật Bản gặp phải cuộc tấn công nghiêm trọng
Vào ngày 31 tháng 5 năm 2024, một sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản đã bị tấn công lịch sử. Hacker đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin và nhanh chóng phân tán số tiền này đến nhiều địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh đa lớp. Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng tài sản, nhưng việc thu hồi rất khó khăn do số tiền bị đánh cắp đã được phân tán nhanh chóng và rửa thông qua các công cụ trộn.
Vào cuối năm, cảnh sát Nhật Bản xác định cuộc tấn công này được thực hiện bởi một tổ chức hacker cụ thể.
2. PlayDapp bị tổn thất nặng nề
Thiệt hại: 290 triệu đô laPhương pháp tấn công: Rò rỉ khóa bí mật
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã gặp phải một sự cố an ninh nghiêm trọng. Hacker đã đánh cắp khóa riêng và đúc ra một lượng lớn token PLA, có giá trị ban đầu là 36,5 triệu đô la. Do cuộc đàm phán với hacker thất bại, kẻ tấn công sau đó đã đúc thêm nhiều token hơn, khiến tổng thiệt hại tăng vọt lên 253,9 triệu đô la. PlayDapp buộc phải tạm ngừng hợp đồng ban đầu và chuyển sang hợp đồng token mới. Sự kiện này đã làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và phản ứng khẩn cấp.
3. Sàn giao dịch tiền mã hóa lớn nhất Ấn Độ gặp phải đòn đánh chính xác
Thiệt hại: 235 triệu USDKỹ thuật tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị hack tấn công chính xác. Kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để dụ dỗ những người ký đa chữ ký phê duyệt một giao dịch nâng cấp hợp đồng, sau đó đã lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển tất cả tài sản trong ví. Vụ việc này đã tiết lộ những rủi ro tiềm ẩn về quản lý quyền hạn và tính minh bạch trong hoạt động của ví đa chữ ký, gây ra sự suy ngẫm sâu sắc trong ngành về cơ chế kiểm soát rủi ro nội bộ của các dự án.
4. Gala Games gặp phải cuộc tấn công phát hành token
Thiệt hại: 216 triệu đô la MỹKỹ thuật tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint của hợp đồng token, tạo ra 5 tỷ GALA token một lần. Sau đó, những token này đã được đổi thành ETH theo từng đợt, gây thiệt hại trực tiếp 216 triệu đô la. Đội ngũ Gala Games sau đó đã kích hoạt chức năng danh sách đen để chặn một phần tài khoản của hacker và đã thu hồi một phần thiệt hại thông qua các biện pháp pháp lý.
5. Ví cá nhân của người sáng lập một dự án tiền điện tử nổi tiếng bị đánh cắp
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của một trong những người đồng sáng lập dự án tiền điện tử nổi tiếng đã bị tin tặc xâm nhập, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này bị tấn công do thiếu bảo vệ hai lớp phần cứng. Mặc dù một sàn giao dịch đã thành công trong việc đóng băng một phần số tiền bị đánh cắp và hỗ trợ theo dõi, nhưng phần lớn số tiền đã bị rửa thông qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables gặp phải sự thâm nhập nội bộ
Thua lỗ: 62,5 triệu đô la MỹPhương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng Web3 Munchables dựa trên Blast đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công đã giả mạo thành một nhà phát triển blockchain và thông qua việc ẩn mình trong thời gian dài đã lấy được mã nguồn cốt lõi và khóa nhạy cảm. Mặc dù đã gây ra tổn thất lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, tin tặc cuối cùng đã trả lại tất cả số tiền bị đánh cắp. Sự kiện này làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển từ bên thứ ba.
7. Sàn giao dịch chính của Thổ Nhĩ Kỳ gặp sự cố rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, một sàn giao dịch tiền điện tử lớn ở Thổ Nhĩ Kỳ đã gặp phải một cuộc tấn công rò rỉ khóa riêng, dẫn đến thiệt hại hơn 55 triệu đô la tài sản tiền điện tử. Với sự hỗ trợ của một sàn giao dịch lớn khác, 5,3 triệu đô la tiền bị đánh cắp đã được đông lạnh thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng lo ngại của thị trường về khả năng quản lý khóa riêng của các sàn giao dịch tập trung.
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị tấn công bởi các hacker. Do sử dụng chế độ xác minh chữ ký 3/11 với ngưỡng thấp, hacker đã có được khóa riêng của 3 người ký và thực hiện chữ ký ngoại tuyến, chuyển quyền sở hữu hợp đồng ví đến địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gây ra một sự phản ánh trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng cách đây không lâu, điều này phản ánh rằng nhóm dự án vẫn còn không gian để nâng cao mức độ chú trọng đến an toàn.
9. Hedgey Finance gặp phải cuộc tấn công đa chuỗi
Thiệt hại: 44,7 triệu đô la MỹChiến thuật tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, nhiều hợp đồng trên chuỗi của Hedgey Finance đã bị tấn công. Kẻ tấn công đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ để thành công rút tiền mã hóa trên hai chuỗi Ethereum và Arbitrum, với tổng thiệt hại lên tới 44,7 triệu đô la. Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt mã hóa.
Ngày 19 tháng 9 năm 2024, một sàn giao dịch đã bị hacker xâm nhập vào ví nóng, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu USD. Cuộc tấn công này một lần nữa làm dấy lên mối quan tâm trong ngành về rủi ro quản lý ví nóng của sàn giao dịch tập trung, thúc đẩy ngành khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện an ninh thường xuyên xảy ra vào năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển lành mạnh của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo đảm an ninh mạnh mẽ. Từ quản lý khóa riêng đến an toàn hợp đồng, từ kiểm soát nội bộ đến phòng thủ bên ngoài, mỗi sự kiện đều vang lên hồi chuông cảnh báo cho ngành. Trong tương lai, chúng tôi mong đợi thông qua đổi mới công nghệ và hợp tác trong ngành, cùng nhau xây dựng một hệ sinh thái blockchain an toàn và đáng tin cậy hơn, cung cấp sự bảo vệ tốt hơn cho người dùng và nhà đầu tư.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
14 thích
Phần thưởng
14
3
Đăng lại
Chia sẻ
Bình luận
0/400
ThatsNotARugPull
· 08-11 09:01
Lại thấy khóa riêng bị lộ.. Ra ngoài dự kiến
Xem bản gốcTrả lời0
RegenRestorer
· 08-11 08:57
Thật là kỳ quặc, lại là khóa riêng bị rò rỉ.
Xem bản gốcTrả lời0
New_Ser_Ngmi
· 08-11 08:38
Thật sự có coin thì đừng tiếp xúc với web3 nữa nhé.
10 sự kiện an ninh lớn trong Web3 năm 2024 gây thiệt hại gần 2,5 tỷ đô la, khóa riêng bị lộ là nguyên nhân chính.
Tổng hợp sự kiện an ninh ngành Web3 năm 2024: Phân tích mười trường hợp tấn công
Năm 2024, ngành Web3 đang phát triển mạnh mẽ nhưng cũng đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo thống kê, tính đến cuối năm, tổng thiệt hại trong lĩnh vực này lên tới 2,491 triệu USD do các vụ tấn công của hacker, lừa đảo và các dự án bỏ trốn. Những sự kiện này không chỉ phơi bày các lỗ hổng về mặt kỹ thuật, chẳng hạn như quản lý khóa riêng và vấn đề hợp đồng thông minh, mà còn làm nổi bật tầm quan trọng của các cuộc tấn công kỹ thuật xã hội và rủi ro quản lý nội bộ.
Bài viết này sẽ xem xét mười sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024, nhằm rút ra bài học kinh nghiệm và cung cấp tài liệu tham khảo cho các biện pháp bảo vệ an ninh trong tương lai.
1. Một sàn giao dịch Nhật Bản gặp phải cuộc tấn công nghiêm trọng
Thiệt hại: 304 triệu USD Phương pháp tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 5 năm 2024, một sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản đã bị tấn công lịch sử. Hacker đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin và nhanh chóng phân tán số tiền này đến nhiều địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh đa lớp. Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng tài sản, nhưng việc thu hồi rất khó khăn do số tiền bị đánh cắp đã được phân tán nhanh chóng và rửa thông qua các công cụ trộn.
Vào cuối năm, cảnh sát Nhật Bản xác định cuộc tấn công này được thực hiện bởi một tổ chức hacker cụ thể.
2. PlayDapp bị tổn thất nặng nề
Thiệt hại: 290 triệu đô la Phương pháp tấn công: Rò rỉ khóa bí mật
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã gặp phải một sự cố an ninh nghiêm trọng. Hacker đã đánh cắp khóa riêng và đúc ra một lượng lớn token PLA, có giá trị ban đầu là 36,5 triệu đô la. Do cuộc đàm phán với hacker thất bại, kẻ tấn công sau đó đã đúc thêm nhiều token hơn, khiến tổng thiệt hại tăng vọt lên 253,9 triệu đô la. PlayDapp buộc phải tạm ngừng hợp đồng ban đầu và chuyển sang hợp đồng token mới. Sự kiện này đã làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và phản ứng khẩn cấp.
3. Sàn giao dịch tiền mã hóa lớn nhất Ấn Độ gặp phải đòn đánh chính xác
Thiệt hại: 235 triệu USD Kỹ thuật tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị hack tấn công chính xác. Kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để dụ dỗ những người ký đa chữ ký phê duyệt một giao dịch nâng cấp hợp đồng, sau đó đã lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển tất cả tài sản trong ví. Vụ việc này đã tiết lộ những rủi ro tiềm ẩn về quản lý quyền hạn và tính minh bạch trong hoạt động của ví đa chữ ký, gây ra sự suy ngẫm sâu sắc trong ngành về cơ chế kiểm soát rủi ro nội bộ của các dự án.
4. Gala Games gặp phải cuộc tấn công phát hành token
Thiệt hại: 216 triệu đô la Mỹ Kỹ thuật tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker tấn công. Kẻ tấn công đã gọi hàm mint của hợp đồng token, tạo ra 5 tỷ GALA token một lần. Sau đó, những token này đã được đổi thành ETH theo từng đợt, gây thiệt hại trực tiếp 216 triệu đô la. Đội ngũ Gala Games sau đó đã kích hoạt chức năng danh sách đen để chặn một phần tài khoản của hacker và đã thu hồi một phần thiệt hại thông qua các biện pháp pháp lý.
5. Ví cá nhân của người sáng lập một dự án tiền điện tử nổi tiếng bị đánh cắp
Thua lỗ: 112 triệu USD Phương pháp tấn công: Rò rỉ khóa riêng
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của một trong những người đồng sáng lập dự án tiền điện tử nổi tiếng đã bị tin tặc xâm nhập, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này bị tấn công do thiếu bảo vệ hai lớp phần cứng. Mặc dù một sàn giao dịch đã thành công trong việc đóng băng một phần số tiền bị đánh cắp và hỗ trợ theo dõi, nhưng phần lớn số tiền đã bị rửa thông qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables gặp phải sự thâm nhập nội bộ
Thua lỗ: 62,5 triệu đô la Mỹ Phương thức tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng Web3 Munchables dựa trên Blast đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công đã giả mạo thành một nhà phát triển blockchain và thông qua việc ẩn mình trong thời gian dài đã lấy được mã nguồn cốt lõi và khóa nhạy cảm. Mặc dù đã gây ra tổn thất lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, tin tặc cuối cùng đã trả lại tất cả số tiền bị đánh cắp. Sự kiện này làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển từ bên thứ ba.
7. Sàn giao dịch chính của Thổ Nhĩ Kỳ gặp sự cố rò rỉ khóa riêng
Thiệt hại: 55 triệu USD Kỹ thuật tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 6 năm 2024, một sàn giao dịch tiền điện tử lớn ở Thổ Nhĩ Kỳ đã gặp phải một cuộc tấn công rò rỉ khóa riêng, dẫn đến thiệt hại hơn 55 triệu đô la tài sản tiền điện tử. Với sự hỗ trợ của một sàn giao dịch lớn khác, 5,3 triệu đô la tiền bị đánh cắp đã được đông lạnh thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng lo ngại của thị trường về khả năng quản lý khóa riêng của các sàn giao dịch tập trung.
8. Ví đa chữ ký Radiant Capital bị tấn công
Tổn thất: 53 triệu USD Phương pháp tấn công: Rò rỉ khóa riêng
Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị tấn công bởi các hacker. Do sử dụng chế độ xác minh chữ ký 3/11 với ngưỡng thấp, hacker đã có được khóa riêng của 3 người ký và thực hiện chữ ký ngoại tuyến, chuyển quyền sở hữu hợp đồng ví đến địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gây ra một sự phản ánh trong ngành về thiết kế và cơ chế quản trị của ví đa ký.
Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng cách đây không lâu, điều này phản ánh rằng nhóm dự án vẫn còn không gian để nâng cao mức độ chú trọng đến an toàn.
9. Hedgey Finance gặp phải cuộc tấn công đa chuỗi
Thiệt hại: 44,7 triệu đô la Mỹ Chiến thuật tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, nhiều hợp đồng trên chuỗi của Hedgey Finance đã bị tấn công. Kẻ tấn công đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ để thành công rút tiền mã hóa trên hai chuỗi Ethereum và Arbitrum, với tổng thiệt hại lên tới 44,7 triệu đô la. Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt mã hóa.
10. Ví nóng của một sàn giao dịch bị xâm nhập
Thiệt hại: 44,7 triệu USD Phương pháp tấn công: Rò rỉ khóa riêng
Ngày 19 tháng 9 năm 2024, một sàn giao dịch đã bị hacker xâm nhập vào ví nóng, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng hacker đã thành công trong việc rút ra tài sản trị giá 44,7 triệu USD. Cuộc tấn công này một lần nữa làm dấy lên mối quan tâm trong ngành về rủi ro quản lý ví nóng của sàn giao dịch tập trung, thúc đẩy ngành khám phá các giải pháp lưu trữ tài sản an toàn hơn.
Các sự kiện an ninh thường xuyên xảy ra vào năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển lành mạnh của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo đảm an ninh mạnh mẽ. Từ quản lý khóa riêng đến an toàn hợp đồng, từ kiểm soát nội bộ đến phòng thủ bên ngoài, mỗi sự kiện đều vang lên hồi chuông cảnh báo cho ngành. Trong tương lai, chúng tôi mong đợi thông qua đổi mới công nghệ và hợp tác trong ngành, cùng nhau xây dựng một hệ sinh thái blockchain an toàn và đáng tin cậy hơn, cung cấp sự bảo vệ tốt hơn cho người dùng và nhà đầu tư.