Tổng hợp 10 sự kiện an ninh trong lĩnh vực Web3 năm 2024
Năm 2024, ngành công nghiệp blockchain đang đối mặt với những thách thức về an ninh ngày càng nghiêm trọng trong bối cảnh đổi mới công nghệ và mở rộng hệ sinh thái. Theo theo dõi từ các nền tảng dữ liệu, tính đến cuối năm, tổng thiệt hại trong lĩnh vực Web3 do các cuộc tấn công của hacker, lừa đảo và các dự án bỏ trốn lên tới 2,491 triệu USD.
Những sự kiện này đã phơi bày những thiếu sót kỹ thuật như quản lý khóa riêng, lỗ hổng hợp đồng thông minh, đồng thời cũng làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Hãy cùng chúng tôi điểm lại mười sự kiện an ninh Web3 hàng đầu năm 2024 để rút ra bài học và chuẩn bị tốt hơn cho những mối đe dọa an ninh trong tương lai.
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã chịu một cuộc tấn công nghiêm trọng. Tin tặc đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin, và nhanh chóng phân tán số tiền này đến nhiều địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh nhiều lớp.
Mặc dù sàn giao dịch đã cố gắng theo dõi các hacker thông qua giám sát trên chuỗi và đóng băng tài sản, nhưng Bitcoin bị đánh cắp đã được chuyển giao phân tán và rửa tiền thông qua các công cụ trộn, làm tăng đáng kể độ khó trong việc theo dõi. Cuối năm, cảnh sát Nhật Bản xác nhận vụ việc do tổ chức hacker Triều Tiên Lazarus Group thực hiện.
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã遭 phải một cuộc tấn công nghiêm trọng. Tin tặc đã đánh cắp khóa riêng và tạo ra 2 tỷ đồng PLA token, có giá trị ban đầu là 36,5 triệu đô la. Do không đạt được thỏa thuận trong cuộc đàm phán với tin tặc, họ đã tiếp tục tạo ra 15,9 tỷ đồng PLA token, có giá trị 253,9 triệu đô la. Một phần token đã được chuyển vào sàn giao dịch, sau đó PlayDapp buộc phải tạm ngừng hợp đồng PLA và chuyển sang hợp đồng token PDA mới. Sự kiện này đã làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và phản ứng khẩn cấp.
3. Một sàn giao dịch tiền điện tử Ấn Độ: Tấn công mạng và lừa đảo đã gây ra tổn thất 235 triệu đô la.
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác. Kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để lừa đảo những người ký chữ ký đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã nâng cấp để chuyển toàn bộ tài sản trong ví. Vụ việc này đã làm lộ ra những rủi ro tiềm ẩn trong việc cấu hình quyền hạn và tính minh bạch trong hoạt động của ví đa chữ ký, kích thích sự suy nghĩ sâu sắc về cơ chế kiểm soát rủi ro và an ninh nội bộ của các dự án trong ngành.
4. Gala Games: Lỗi kiểm soát truy cập dẫn đến tổn thất 216 triệu USD
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị tin tặc tấn công. Kẻ tấn công đã gọi hàm mint của hợp đồng mã thông báo để đúc 5 tỷ GALA mã thông báo trong một lần. Sau đó, tin tặc đã đổi từng phần số mã thông báo này thành ETH, gây ra thiệt hại trực tiếp là 216 triệu đô la. Nhóm Gala Games đã khẩn cấp kích hoạt chức năng danh sách đen để chặn một số tài khoản của tin tặc và đã thu hồi một phần thiệt hại thông qua các thủ tục pháp lý.
5. Đồng sáng lập của một dự án blockchain nổi tiếng: Việc rò rỉ khóa riêng đã gây ra thiệt hại 112 triệu đô la.
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của một đồng sáng lập dự án blockchain nổi tiếng đã bị hacker tấn công, dẫn đến việc 112 triệu USD tiền điện tử bị đánh cắp. Những ví này được cho là đã trở thành mục tiêu tấn công do thiếu bảo vệ kép từ thiết bị phần cứng. Sau đó, một nền tảng giao dịch đã thành công trong việc đóng băng tài sản trị giá 4,2 triệu USD và hỗ trợ theo dõi số tiền bị đánh cắp, nhưng phần lớn tiền đã bị rửa trôi qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables: Tấn công kỹ thuật xã hội gây thiệt hại 62,5 triệu đô la
Vào ngày 26 tháng 3 năm 2024, nền tảng game Web3 dựa trên Blast là Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công là một hacker ngụy trang thành nhà phát triển blockchain, đã lấy được mã nguồn và khóa nhạy cảm thông qua việc ẩn náu lâu dài. Mặc dù gây ra thiệt hại lớn, nhưng dưới áp lực của cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển bên thứ ba.
7. Một sàn giao dịch tiền điện tử ở Thổ Nhĩ Kỳ: Rò rỉ khóa riêng dẫn đến thiệt hại 55 triệu USD
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu đô la Mỹ tài sản tiền điện tử. Với sự hỗ trợ của một nền tảng giao dịch, 5,3 triệu đô la Mỹ tài sản bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được khôi phục. Sự kiện này đã làm sâu sắc thêm mối lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Radiant Capital: Rò rỉ khóa riêng gây thiệt hại 53 triệu đô la
Vào ngày 17 tháng 10 năm 2024, ví đa chữ ký của Radiant Capital đã bị hacker tấn công. Do áp dụng mô hình xác thực chữ ký 3/11 với ngưỡng thấp, hacker đã chiếm quyền kiểm soát 3 khóa cá nhân của các người ký và thực hiện chữ ký ngoài chuỗi, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, dẫn đến việc mất 53 triệu USD. Cuộc tấn công này đã thúc đẩy một sự suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa chữ ký.
Cần lưu ý rằng, Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước cuộc tấn công này, với hơn 1900 ETH bị đánh cắp. Điều này lại cho thấy rằng, các dự án Web3 vẫn cần nâng cao mức độ chú trọng đến an toàn.
9. Hedgey Finance: Lỗ hổng hợp đồng dẫn đến thiệt hại 44,7 triệu USD
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút ra các đồng token trên hai chuỗi Ethereum và Arbitrum, với tổng thiệt hại lên tới 44,7 triệu đô la. Sự kiện này nổi bật tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh chặt chẽ logic phê duyệt token.
10. Nền tảng giao dịch tiền điện tử: Rò rỉ khóa riêng gây thiệt hại 44,7 triệu đô la
Vào ngày 19 tháng 9 năm 2024, một nền tảng giao dịch tiền điện tử đã bị tin tặc tấn công vào ví nóng, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng tin tặc đã thành công trong việc rút 44,7 triệu USD tài sản. Cuộc tấn công lần này lại một lần nữa phản ánh tính rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành công nghiệp tìm kiếm các giải pháp lưu trữ tài sản an toàn hơn.
Kết luận
Các sự kiện tấn công an ninh xảy ra thường xuyên trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể thiếu bảo đảm an ninh. Từ việc rò rỉ khóa riêng đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến việc nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại những bài học sâu sắc. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi kỳ vọng thông qua hợp tác ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 thích
Phần thưởng
10
3
Đăng lại
Chia sẻ
Bình luận
0/400
rugpull_ptsd
· 19giờ trước
Loại tổn thất này còn không bằng việc bơm chơi đùa với mọi người.
Xem bản gốcTrả lời0
DegenWhisperer
· 20giờ trước
Lỗ 24,91 tỷ mỗi ngày, không hổ danh là đêm không ngủ của giới Blockchain
Tổng hợp 10 sự kiện an ninh Web3 năm 2024: Tổng thiệt hại lên tới 2.491 triệu USD
Tổng hợp 10 sự kiện an ninh trong lĩnh vực Web3 năm 2024
Năm 2024, ngành công nghiệp blockchain đang đối mặt với những thách thức về an ninh ngày càng nghiêm trọng trong bối cảnh đổi mới công nghệ và mở rộng hệ sinh thái. Theo theo dõi từ các nền tảng dữ liệu, tính đến cuối năm, tổng thiệt hại trong lĩnh vực Web3 do các cuộc tấn công của hacker, lừa đảo và các dự án bỏ trốn lên tới 2,491 triệu USD.
Những sự kiện này đã phơi bày những thiếu sót kỹ thuật như quản lý khóa riêng, lỗ hổng hợp đồng thông minh, đồng thời cũng làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Hãy cùng chúng tôi điểm lại mười sự kiện an ninh Web3 hàng đầu năm 2024 để rút ra bài học và chuẩn bị tốt hơn cho những mối đe dọa an ninh trong tương lai.
1. DMM Bitcoin: Rò rỉ khóa riêng dẫn đến thiệt hại 304 triệu USD
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản DMM Bitcoin đã chịu một cuộc tấn công nghiêm trọng. Tin tặc đã lợi dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin, và nhanh chóng phân tán số tiền này đến nhiều địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh nhiều lớp.
Mặc dù sàn giao dịch đã cố gắng theo dõi các hacker thông qua giám sát trên chuỗi và đóng băng tài sản, nhưng Bitcoin bị đánh cắp đã được chuyển giao phân tán và rửa tiền thông qua các công cụ trộn, làm tăng đáng kể độ khó trong việc theo dõi. Cuối năm, cảnh sát Nhật Bản xác nhận vụ việc do tổ chức hacker Triều Tiên Lazarus Group thực hiện.
2. PlayDapp: Lỗ hổng bảo mật khóa riêng gây thiệt hại 2.90 tỷ USD
Vào ngày 9 tháng 2 năm 2024, PlayDapp đã遭 phải một cuộc tấn công nghiêm trọng. Tin tặc đã đánh cắp khóa riêng và tạo ra 2 tỷ đồng PLA token, có giá trị ban đầu là 36,5 triệu đô la. Do không đạt được thỏa thuận trong cuộc đàm phán với tin tặc, họ đã tiếp tục tạo ra 15,9 tỷ đồng PLA token, có giá trị 253,9 triệu đô la. Một phần token đã được chuyển vào sàn giao dịch, sau đó PlayDapp buộc phải tạm ngừng hợp đồng PLA và chuyển sang hợp đồng token PDA mới. Sự kiện này đã làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và phản ứng khẩn cấp.
3. Một sàn giao dịch tiền điện tử Ấn Độ: Tấn công mạng và lừa đảo đã gây ra tổn thất 235 triệu đô la.
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác. Kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để lừa đảo những người ký chữ ký đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã nâng cấp để chuyển toàn bộ tài sản trong ví. Vụ việc này đã làm lộ ra những rủi ro tiềm ẩn trong việc cấu hình quyền hạn và tính minh bạch trong hoạt động của ví đa chữ ký, kích thích sự suy nghĩ sâu sắc về cơ chế kiểm soát rủi ro và an ninh nội bộ của các dự án trong ngành.
4. Gala Games: Lỗi kiểm soát truy cập dẫn đến tổn thất 216 triệu USD
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị tin tặc tấn công. Kẻ tấn công đã gọi hàm mint của hợp đồng mã thông báo để đúc 5 tỷ GALA mã thông báo trong một lần. Sau đó, tin tặc đã đổi từng phần số mã thông báo này thành ETH, gây ra thiệt hại trực tiếp là 216 triệu đô la. Nhóm Gala Games đã khẩn cấp kích hoạt chức năng danh sách đen để chặn một số tài khoản của tin tặc và đã thu hồi một phần thiệt hại thông qua các thủ tục pháp lý.
5. Đồng sáng lập của một dự án blockchain nổi tiếng: Việc rò rỉ khóa riêng đã gây ra thiệt hại 112 triệu đô la.
Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của một đồng sáng lập dự án blockchain nổi tiếng đã bị hacker tấn công, dẫn đến việc 112 triệu USD tiền điện tử bị đánh cắp. Những ví này được cho là đã trở thành mục tiêu tấn công do thiếu bảo vệ kép từ thiết bị phần cứng. Sau đó, một nền tảng giao dịch đã thành công trong việc đóng băng tài sản trị giá 4,2 triệu USD và hỗ trợ theo dõi số tiền bị đánh cắp, nhưng phần lớn tiền đã bị rửa trôi qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.
6. Munchables: Tấn công kỹ thuật xã hội gây thiệt hại 62,5 triệu đô la
Vào ngày 26 tháng 3 năm 2024, nền tảng game Web3 dựa trên Blast là Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công là một hacker ngụy trang thành nhà phát triển blockchain, đã lấy được mã nguồn và khóa nhạy cảm thông qua việc ẩn náu lâu dài. Mặc dù gây ra thiệt hại lớn, nhưng dưới áp lực của cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển bên thứ ba.
7. Một sàn giao dịch tiền điện tử ở Thổ Nhĩ Kỳ: Rò rỉ khóa riêng dẫn đến thiệt hại 55 triệu USD
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ đã bị tấn công rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu đô la Mỹ tài sản tiền điện tử. Với sự hỗ trợ của một nền tảng giao dịch, 5,3 triệu đô la Mỹ tài sản bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được khôi phục. Sự kiện này đã làm sâu sắc thêm mối lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.
8. Radiant Capital: Rò rỉ khóa riêng gây thiệt hại 53 triệu đô la
Vào ngày 17 tháng 10 năm 2024, ví đa chữ ký của Radiant Capital đã bị hacker tấn công. Do áp dụng mô hình xác thực chữ ký 3/11 với ngưỡng thấp, hacker đã chiếm quyền kiểm soát 3 khóa cá nhân của các người ký và thực hiện chữ ký ngoài chuỗi, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, dẫn đến việc mất 53 triệu USD. Cuộc tấn công này đã thúc đẩy một sự suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa chữ ký.
Cần lưu ý rằng, Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước cuộc tấn công này, với hơn 1900 ETH bị đánh cắp. Điều này lại cho thấy rằng, các dự án Web3 vẫn cần nâng cao mức độ chú trọng đến an toàn.
9. Hedgey Finance: Lỗ hổng hợp đồng dẫn đến thiệt hại 44,7 triệu USD
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút ra các đồng token trên hai chuỗi Ethereum và Arbitrum, với tổng thiệt hại lên tới 44,7 triệu đô la. Sự kiện này nổi bật tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh chặt chẽ logic phê duyệt token.
10. Nền tảng giao dịch tiền điện tử: Rò rỉ khóa riêng gây thiệt hại 44,7 triệu đô la
Vào ngày 19 tháng 9 năm 2024, một nền tảng giao dịch tiền điện tử đã bị tin tặc tấn công vào ví nóng, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng tin tặc đã thành công trong việc rút 44,7 triệu USD tài sản. Cuộc tấn công lần này lại một lần nữa phản ánh tính rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành công nghiệp tìm kiếm các giải pháp lưu trữ tài sản an toàn hơn.
Kết luận
Các sự kiện tấn công an ninh xảy ra thường xuyên trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể thiếu bảo đảm an ninh. Từ việc rò rỉ khóa riêng đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến việc nâng cấp các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại những bài học sâu sắc. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi kỳ vọng thông qua hợp tác ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.