
Phân tích tình hình an ninh blockchain Web3 và chống rửa tiền năm 2023
Tuyển chọn TechFlowTuyển chọn TechFlow

Phân tích tình hình an ninh blockchain Web3 và chống rửa tiền năm 2023
Năm 2023, các hoạt động tấn công trên chuỗi, lừa đảo钓鱼 và sự kiện dự án phương tiện rút tiền (Rug Pull) đều giảm rõ rệt so với năm 2022.
Tác giả: Đội nghiên cứu Beosin Mario, Điền Đại Hiệp Donny
Bài viết này là phần đầu tiên của báo cáo "Tình hình an ninh blockchain Web3 năm 2023, phân tích chống rửa tiền và tóm tắt các chính sách quản lý trọng điểm trong ngành tiền mã hóa", chỉ trình bày phần tình hình an ninh; các nội dung như chính sách quản lý có thể xem thêm tại "Quan sát chính sách và sự kiện quản lý tài sản ảo toàn cầu Web3 năm 2023".
Lời nói đầu
Báo cáo nghiên cứu này do Liên minh An ninh Blockchain khởi xướng, cùng sáng tác bởi các thành viên Beosin, Web3 Tiểu Luật, Elven trong liên minh, nhằm mục đích thảo luận toàn diện về tình hình an ninh blockchain toàn cầu và các chính sách quản lý trọng điểm trong ngành tiền mã hóa năm 2023. Thông qua phân tích và đánh giá hiện trạng an ninh blockchain toàn cầu, báo cáo sẽ vạch rõ những thách thức và mối đe dọa an ninh hiện tại, đồng thời đưa ra các giải pháp và thực hành tốt nhất. Đồng thời, báo cáo cũng sẽ xem xét lập trường và định hướng chính sách của các chính phủ và cơ quan quản lý trên toàn thế giới đối với lĩnh vực quản lý tiền mã hóa, giúp độc giả hiểu rõ sự thay đổi động thái của môi trường quản lý và những ảnh hưởng có thể xảy ra.
Thông qua báo cáo này, độc giả sẽ có thể hiểu rõ hơn về sự phát triển động thái của tình hình an ninh blockchain Web3 và các điểm then chốt của chính sách quản lý. Điều này sẽ giúp người đọc đánh giá và ứng phó với các thách thức an ninh trong lĩnh vực blockchain, thúc đẩy sự phát triển bền vững của ngành trong khuôn khổ tuân thủ quy định. Ngoài ra, độc giả còn có thể nhận được những đề xuất hữu ích từ báo cáo về các biện pháp an ninh, yêu cầu tuân thủ và định hướng phát triển ngành, để hỗ trợ họ đưa ra quyết định và hành động sáng suốt trong lĩnh vực mới nổi này. An ninh blockchain và quản lý là những vấn đề then chốt trong thời đại phát triển Web3. Thông qua nghiên cứu sâu sắc và thảo luận, chúng ta có thể hiểu và ứng phó tốt hơn với những thách thức này, thúc đẩy tính an toàn và phát triển bền vững của công nghệ blockchain.
1. Tổng quan tình hình an ninh blockchain Web3 năm 2023

Theo theo dõi của nền tảng EagleEye thuộc công ty kiểm toán an ninh blockchain Beosin, tổng thiệt hại do tấn công hacker, lừa đảo钓鱼 và dự án bỏ chạy (Rug Pull) trong lĩnh vực Web3 năm 2023 đã đạt 2,02 tỷ USD. Trong đó có 191 vụ tấn công, tổng thiệt hại khoảng 1,397 tỷ USD; 267 vụ Rug Pull, tổng thiệt hại khoảng 388 triệu USD; thiệt hại do lừa đảo钓鱼 khoảng 238 triệu USD.

Năm 2023, số lượng vụ tấn công hacker, lừa đảo钓鱼 và Rug Pull đều giảm đáng kể so với năm 2022, tổng mức giảm đạt 53,9%. Trong đó, vụ tấn công giảm mạnh nhất, từ 3,6 tỷ USD năm 2022 xuống còn 1,397 tỷ USD năm 2023, giảm khoảng 61,2%. Thiệt hại do lừa đảo钓鱼 giảm 33,2% so với năm 2022, thiệt hại do Rug Pull giảm 8,8% so với năm 2022.

Năm 2023 có 4 vụ tấn công gây thiệt hại trên 100 triệu USD, và 17 vụ có thiệt hại từ 10 triệu đến 100 triệu USD. Top 10 sự kiện an ninh lớn nhất gây thiệt hại khoảng 1 tỷ USD, chiếm 71,5% tổng thiệt hại do tấn công trong năm.
Các loại dự án bị tấn công năm 2023 đa dạng hơn so với năm 2022, bao gồm DeFi, CEX, DEX, chuỗi công cộng, cầu nối chéo chuỗi, ví, nền tảng thanh toán, nền tảng cờ bạc, nhà môi giới tiền mã hóa, hạ tầng, trình quản lý mật khẩu, công cụ phát triển, robot MEV, robot Telegram và nhiều loại khác. DeFi là loại dự án bị tấn công nhiều nhất cả về tần suất lẫn thiệt hại, với 130 vụ tấn công gây thiệt hại khoảng 408 triệu USD.
Năm 2023, các loại chuỗi công cộng bị tấn công ngày càng thường xuyên hơn, xuất hiện nhiều vụ việc bị đánh cắp trên nhiều chuỗi khác nhau. Ethereum vẫn là chuỗi có mức thiệt hại cao nhất, với 71 vụ tấn công gây thiệt hại 766 triệu USD, chiếm 54,9% tổng thiệt hại cả năm.
Xét về phương thức tấn công, 30 vụ rò rỉ khóa riêng tư gây thiệt hại khoảng 627 triệu USD, chiếm 44,9% tổng thiệt hại, là hình thức gây thiệt hại nhiều nhất. Khai thác lỗ hổng hợp đồng là phương thức phổ biến nhất, trong 191 vụ tấn công thì có 99 vụ (chiếm 51,8%) do khai thác lỗ hổng hợp đồng.
Cả năm, khoảng 295 triệu USD tài sản bị đánh cắp đã được thu hồi, chiếm khoảng 21,1%, tăng mạnh so với năm 2022. Khoảng 330 triệu USD tài sản bị đánh cắp đã được chuyển vào máy trộn tiền (mixer), chiếm 23,6% tổng số tiền bị đánh cắp.
Khác với tình hình giảm mạnh về số tiền bị mất do tấn công hacker trên chuỗi, lừa đảo钓鱼 và Rug Pull, dữ liệu tội phạm trong lĩnh vực tiền mã hóa ngoài chuỗi năm 2023 lại tăng mạnh. Năm 2023, tổng số tiền liên quan đến tội phạm trong ngành tiền mã hóa toàn cầu đạt con số kinh ngạc 65,688 tỷ USD, tăng khoảng 377% so với 13,76 tỷ USD năm 2022. Ba loại tội phạm có số tiền liên quan lớn nhất lần lượt là cờ bạc trực tuyến, rửa tiền và lừa đảo.

2. Mười sự kiện an ninh hàng đầu trong hệ sinh thái Web3 năm 2023
Năm 2023 có 4 vụ tấn công gây thiệt hại trên 100 triệu USD: Mixin Network (200 triệu USD), Euler Finance (197 triệu USD), Poloniex (126 triệu USD) và HTX & Heco Bridge (110 triệu USD). Top 10 sự kiện an ninh lớn nhất gây thiệt hại khoảng 1 tỷ USD, chiếm 71,5% tổng thiệt hại do tấn công trong năm.
No.1 Mixin Network
Thiệt hại: 200 triệu USD
Phương thức tấn công: Tấn công cơ sở dữ liệu nhà cung cấp dịch vụ đám mây
Rạng sáng ngày 23 tháng 9, cơ sở dữ liệu nhà cung cấp dịch vụ đám mây của Mixin Network bị hacker tấn công, dẫn đến một phần tài sản trên mạng chính bị mất, liên quan đến khoảng 200 triệu USD. Ngày 25 tháng 9, người sáng lập Mixin giải thích công khai trong buổi livestream rằng tài sản bị tổn thất chủ yếu là Bitcoin, các tài sản như BOX và XIN không bị đánh cắp nghiêm trọng, chi tiết cụ thể về vụ tấn công chưa thể tiết lộ.
No.2 Euler Finance
Thiệt hại: 197 triệu USD
Phương thức tấn công: Lỗ hổng hợp đồng - Vấn đề logic nghiệp vụ
Ngày 13 tháng 3, giao thức cho vay DeFi Euler Finance bị tấn công, thiệt hại khoảng 197 triệu USD. Nguyên nhân gốc rễ nằm ở chỗ hợp đồng không kiểm tra đúng số lượng token thực tế người dùng nắm giữ và trạng thái sức khỏe sổ sách sau khi quyên góp. Toàn bộ số tiền bị đánh cắp trong sự kiện này đã được kẻ tấn công hoàn trả.
No.3 Poloniex
Thiệt hại: 126 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng / Tấn công APT
Ngày 10 tháng 11, các địa chỉ liên quan đến sàn giao dịch Poloniex do Tôn Vũ Đình điều hành liên tục rút ra lượng lớn tài sản, nghi ngờ bị đánh cắp. Ngay sau đó, Tôn Vũ Đình và Poloniex đăng thông báo xác nhận sự việc bị đánh cắp trên nền tảng mạng xã hội. Theo thống kê theo dõi của đội an ninh Beosin sử dụng Beosin Trace, tài sản bị đánh cắp của Poloniex tích lũy khoảng 126 triệu USD.
No.4 HTX & Heco Bridge
Thiệt hại: 110 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Ngày 22 tháng 11, sàn giao dịch HTX và cầu nối chéo chuỗi Heco Bridge do Tôn Vũ Đình điều hành bị hacker tấn công, tổng thiệt hại đạt 110 triệu USD, trong đó Heco Bridge mất 86,6 triệu USD, HTX mất khoảng 23,4 triệu USD.
No.5 Curve/Vyper
Thiệt hại: 73 triệu USD
Phương thức tấn công: Lỗ hổng hợp đồng - Tái nhập
Rạng sáng ngày 31 tháng 7, ngôn ngữ lập trình Ethereum Vyper tweet cho biết phiên bản 0.2.15, 0.2.16 và 0.3.0 của Vyper có lỗi khóa tái nhập, kết hợp với việc ETH gốc có thể gọi callback khi chuyển tiền, dẫn đến các nhóm thanh khoản lp ghép với ETH có thể bị tấn công tái nhập. Sau đó, Twitter chính thức của Curve cho biết do lỗi khóa tái nhập, nhiều nhóm thanh khoản stablecoin sử dụng Vyper 0.2.15 (alETH/msETH/pETH) đã bị tấn công. Thiệt hại của sự việc này khoảng 73 triệu USD.
No.6 CoinEx
Thiệt hại: 70 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng / Tấn công APT
Ngày 12 tháng 9, sàn giao dịch tiền mã hóa CoinEX ra thông báo cho biết hệ thống kiểm soát rủi ro phát hiện hoạt động rút tiền lớn đáng ngờ từ ví nóng dùng để lưu trữ tạm thời tài sản giao dịch của nền tảng, đã lập tức thành lập nhóm đặc biệt xử lý, sự việc này chủ yếu liên quan đến các tài sản token như ETH, TRON, Polygon, với số tiền bị đánh cắp khoảng 70 triệu USD.
No.7 Atomic Wallet
Thiệt hại: 67 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng / Tấn công APT
Nền tảng giám sát, cảnh báo và ngăn chặn rủi ro an ninh EagleEye thuộc Beosin cho thấy Atomic Wallet bị tấn công vào đầu tháng 6, theo thống kê của đội Beosin, tổng hợp thông tin nạn nhân báo cáo trên chuỗi, thiệt hại do vụ tấn công này gây ra ít nhất khoảng 67 triệu USD.
No.8 Alphapo
Thiệt hại: 60 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng / Tấn công APT
Ngày 23 tháng 7, ví nóng của nhà cung cấp dịch vụ thanh toán tiền mã hóa Alphapo bị đánh cắp, tổng cộng mất 60 triệu USD. Sự việc này do tổ chức hacker Triều Tiên Lazarus thực hiện.
No.9 KyberSwap
Thiệt hại: 54,7 triệu USD
Phương thức tấn công: Lỗ hổng hợp đồng - Vấn đề logic nghiệp vụ
Ngày 22 tháng 11, dự án DEX KyberSwap bị tấn công, gây thiệt hại khoảng 54,7 triệu USD. Kyber Network cho biết cuộc tấn công này là một trong những vụ tấn công phức tạp nhất trong lịch sử DeFi, kẻ tấn công cần thực hiện một loạt thao tác chính xác trên chuỗi để khai thác lỗ hổng.
No.10 Stake.com
Thiệt hại: 41,3 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng / Tấn công APT
Ngày 4 tháng 9, nền tảng cờ bạc Stake.com bị hacker tấn công. Sau khi xảy ra sự cố, Stake.com cho biết đã xảy ra giao dịch trái phép từ ví nóng trên ETH và BSC, đang tiến hành điều tra và sẽ sớm khôi phục chức năng gửi/rút tiền sau khi ví được đảm bảo an toàn hoàn toàn. Sự việc này do tổ chức hacker Triều Tiên Lazarus thực hiện.
3. Các loại hình dự án bị tấn công
So với năm 2022, năm 2023 các loại hình dự án bị tấn công phong phú hơn, mức độ thiệt hại cũng không còn tập trung vào vài loại hình nhất định. Ngoài các loại hình phổ biến như DeFi, CEX, DEX, chuỗi công cộng, cầu nối chéo chuỗi, ví, năm 2023 còn xuất hiện các vụ tấn công vào các loại hình như nền tảng thanh toán, nền tảng cờ bạc, nhà môi giới tiền mã hóa, hạ tầng, trình quản lý mật khẩu, công cụ phát triển, robot MEV, robot Telegram, v.v.

Trong 191 vụ tấn công năm 2023, dự án DeFi chiếm 130 vụ (khoảng 68%), là loại hình bị tấn công nhiều nhất. Tổng thiệt hại do tấn công DeFi khoảng 408 triệu USD, chiếm 29,2% tổng thiệt hại, cũng là loại hình chịu thiệt hại lớn nhất.
Loại hình xếp thứ hai về thiệt hại là CEX (sàn giao dịch tập trung), 9 vụ tấn công gây thiệt hại 275 triệu USD. Ngoài ra, còn 16 vụ tấn công xảy ra ở loại hình DEX (sàn giao dịch phi tập trung), tổng thiệt hại khoảng 85,68 triệu USD. Nhìn chung, các sàn giao dịch là nơi xảy ra nhiều sự cố an ninh trong năm 2023, an ninh sàn giao dịch là thách thức lớn thứ hai sau an ninh DeFi.

Xếp thứ ba về thiệt hại là các chuỗi công cộng, thiệt hại khoảng 208 triệu USD, chủ yếu đến từ sự kiện Mixin Network bị mất 200 triệu USD.
Xếp thứ tư là cầu nối chéo chuỗi, thiệt hại chiếm khoảng 7% tổng thiệt hại. Trong năm 2022, 12 vụ an ninh cầu nối chéo chuỗi gây thiệt hại khoảng 1,89 tỷ USD, chiếm 52,5% tổng thiệt hại cả năm. Số lượng sự cố an ninh cầu nối chéo chuỗi năm 2023 giảm đáng kể.
Xếp thứ năm là các nền tảng thanh toán tiền mã hóa, 2 sự cố (Alphapo và CoinsPaid) gây thiệt hại khoảng 97,3 triệu USD, cả hai sự việc này đều được cho là do tổ chức APT Lazarus của Triều Tiên đứng sau.
4. Tình hình thiệt hại theo từng chuỗi
So với năm 2022, năm 2023 các loại chuỗi công cộng bị tấn công cũng phong phú hơn, chủ yếu do năm 2023 xảy ra nhiều vụ rò rỉ khóa riêng CEX, gây thiệt hại trên nhiều chuỗi khác nhau. Theo thứ tự thiệt hại, top 5 lần lượt là Ethereum, Mixin, HECO, BNB Chain, TRON; theo số lượng vụ tấn công, top 5 lần lượt là BNB Chain, Ethereum, Arbitrum, Polygon, Optimism và Avalanche (đồng hạng 5).

Giống như năm 2022, Ethereum vẫn là chuỗi có mức thiệt hại cao nhất. 71 vụ tấn công trên Ethereum gây thiệt hại 766 triệu USD, chiếm 54,9% tổng thiệt hại cả năm.
Chuỗi Mixin xếp thứ hai về thiệt hại, một vụ an ninh duy nhất gây thiệt hại tới 200 triệu USD. Thứ ba là HECO, thiệt hại khoảng 92,6 triệu USD.

Số vụ tấn công trên BNB Chain lên tới 76 vụ, chiếm 39,8% tổng số vụ tấn công, là nền tảng chuỗi có số vụ tấn công nhiều nhất. Tổng thiệt hại trên BNB Chain khoảng 70,81 triệu USD, phần lớn các sự kiện (88%) tập trung dưới mức 1 triệu USD.
5. Phân tích phương thức tấn công
So với năm 2022, phương thức tấn công năm 2023 đa dạng hơn, đặc biệt gia tăng nhiều phương thức tấn công Web2, bao gồm: tấn công cơ sở dữ liệu, tấn công chuỗi cung ứng, tấn công nhà cung cấp dịch vụ bên thứ ba, tấn công man-in-the-middle, tấn công DNS, tấn công frontend, v.v.

Năm 2023, 30 vụ rò rỉ khóa riêng gây thiệt hại 627 triệu USD, chiếm 44,9% tổng thiệt hại, là phương thức gây thiệt hại nhiều nhất. Các vụ rò rỉ khóa riêng gây thiệt hại lớn bao gồm: Poloniex (126 triệu USD), HTX & Heco Bridge (110 triệu USD), CoinEx (70 triệu USD), Atomic Wallet (67 triệu USD), Alphapo (60 triệu USD). Phần lớn các sự việc này liên quan đến tổ chức APT Lazarus của Triều Tiên.

Khai thác lỗ hổng hợp đồng là phương thức tấn công phổ biến nhất, trong 191 vụ tấn công có 99 vụ (chiếm 51,8%) do khai thác lỗ hổng hợp đồng. Tổng thiệt hại do lỗ hổng hợp đồng gây ra là 430 triệu USD, xếp thứ hai về mức thiệt hại.
Theo phân loại chi tiết, lỗ hổng logic nghiệp vụ vừa xảy ra nhiều nhất vừa gây thiệt hại nhiều nhất, chiếm khoảng 72,7% tổng thiệt hại do lỗ hổng hợp đồng, gây thiệt hại khoảng 313 triệu USD. Lỗ hổng tái nhập xếp thứ hai về thiệt hại, 13 vụ lỗ hổng tái nhập gây thiệt hại khoảng 93,47 triệu USD.

6. Phân tích chi tiết phương thức tấn công một số vụ điển hình
6.1 Sự kiện an ninh Euler Finance
Tóm tắt sự việc
Ngày 13 tháng 3, dự án cho vay trên chuỗi Ethereum Euler Finance bị tấn công bằng flash loan, thiệt hại lên tới 197 triệu USD.
Ngày 16 tháng 3, Quỹ Euler treo thưởng 1 triệu USD để tìm thông tin hữu ích trong việc bắt giữ hacker và hoàn trả tiền bị đánh cắp.
Ngày 17 tháng 3, Giám đốc điều hành Michael Bentley của Euler Labs tweet cho biết Euler "luôn là một dự án chú trọng an ninh". Từ tháng 5 năm 2021 đến tháng 9 năm 2022, Euler Finance đã trải qua 10 cuộc kiểm toán từ 6 công ty an ninh blockchain như Halborn, Solidified, ZK Labs, Certora, Sherlock và Omnisica.
Từ ngày 18 tháng 3 đến ngày 4 tháng 4, kẻ tấn công bắt đầu hoàn trả tiền dần dần. Trong thời gian này, kẻ tấn công xin lỗi qua thông điệp trên chuỗi, nói rằng mình "làm rối tiền của người khác, công việc của người khác, cuộc sống của người khác" và xin mọi người tha thứ.

Ngày 4 tháng 4, Euler Labs tweet cho biết sau khi thương lượng thành công, kẻ tấn công đã hoàn trả toàn bộ số tiền bị đánh cắp.
Phân tích lỗ hổng
Trong vụ tấn công này, hàm donateToReserves của hợp đồng Etoken không kiểm tra đúng số lượng token thực tế người dùng nắm giữ và trạng thái sức khỏe sổ sách sau khi quyên góp. Kẻ tấn công lợi dụng lỗ hổng này, quyên góp 100 triệu eDAI mặc dù thực tế chỉ ký quỹ 30 triệu DAI.
Do sau khi quyên góp, trạng thái sức khỏe sổ sách người dùng đáp ứng điều kiện thanh lý, hợp đồng cho vay bị kích hoạt thanh lý. Trong quá trình thanh lý, eDAI và dDAI sẽ được chuyển sang hợp đồng thanh lý. Tuy nhiên, do số nợ xấu rất lớn, hợp đồng thanh lý sẽ áp dụng mức chiết khấu tối đa. Sau khi thanh lý xong, hợp đồng thanh lý sở hữu 310,93 triệu eDAI và 259,31 triệu dDAI.
Lúc này, trạng thái sức khỏe sổ sách người dùng đã phục hồi, người dùng có thể rút tiền. Số tiền có thể rút là chênh lệch giữa eDAI và dDAI. Nhưng thực tế trong nhóm thanh khoản chỉ có 38,9 triệu DAI, nên người dùng chỉ có thể rút phần này.

6.2 Sự kiện an ninh Vyper/Curve
Tóm tắt sự việc
Ngày 31 tháng 7, ngôn ngữ lập trình Ethereum Vyper tweet cho biết các phiên bản Vyper 0.2.15, 0.2.16 và 0.3.0 có lỗi khóa tái nhập. Curve cho biết nhiều nhóm thanh khoản stablecoin sử dụng Vyper 0.2.15 (CRV/alETH/msETH/pETH) bị tấn công, tổng thiệt hại đạt 73 triệu USD, sau đó khoảng 52,3 triệu USD đã được hacker hoàn trả.

Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News












