Nghiên cứu toàn diện về thiệt hại do tin tặc trong lĩnh vực tiền mã hóa từ 2021-2023: Không chỉ bị đánh cắp, 30% dự án còn chứng kiến giá token giảm hơn 50% trong vòng nửa năm sau đó
Tuyển chọn TechFlowTuyển chọn TechFlow
Nghiên cứu toàn diện về thiệt hại do tin tặc trong lĩnh vực tiền mã hóa từ 2021-2023: Không chỉ bị đánh cắp, 30% dự án còn chứng kiến giá token giảm hơn 50% trong vòng nửa năm sau đó
Ngoài việc đầu tư vào bảo mật chuỗi và từng bước nâng cao độ an toàn cho toàn bộ ngành công nghiệp của chúng ta, không có giải pháp nào khác có thể xử lý những vấn đề này.
Chuyên sâu báo cáo Web3Tác giả: Mitchell Amador
Biên dịch: TechFlow
Tóm tắt
-
Cho đến nay, chưa ai thực sự có thể ước tính được tổn thất dự kiến từ các vụ tấn công hacker trên chuỗi – điều này thật đáng tiếc. Tuy nhiên, chúng ta có thể sử dụng phân tích thống kê từ các vụ hack trong vài năm qua để đưa ra một con số ước lượng! Tôi đã phân tích các vụ tấn công từ năm 2021 đến 2023 nhằm tạo ra một ước tính đại diện cho chi phí thực tế của các vụ hack trên chuỗi. Chúng tôi gọi đây là "Ước lượng tác động hack của Amador".
-
Ước lượng tác động hack của Amador: Nếu giao thức của bạn bị tấn công, bạn nên dự kiến sẽ mất khoảng 16 triệu USD, giá token của bạn sẽ giảm 52% vốn hóa thị trường, mức giá suy yếu này được kỳ vọng sẽ kéo dài ít nhất 6 tháng (và có thể lâu hơn), đồng thời việc phục hồi sẽ tốn tới 3 tháng thời gian và công sức.
-
Nếu sản phẩm của bạn là một nền tảng (dù là blockchain L1/L2 hay giao thức cơ sở tài chính), hãy chuẩn bị tinh thần rằng giao thức và các thành phần phụ thuộc vào nó có thể bị phá hủy hoàn toàn – như những ví dụ trước đây như Terra-Luna.
-
Chúng tôi đã tổng hợp các phát hiện này tại đây. Hãy xem ngay! Khi dữ liệu được cập nhật, chúng tôi sẽ bổ sung thêm nhiều số liệu thống kê và điểm dữ liệu tại đó.
Chi phí thực sự của một vụ hack trên chuỗi là bao nhiêu?
Cho đến nay, chưa ai thực sự biết rõ. Nhưng chúng ta có thể tìm ra một ước lượng mang tính dự đoán bằng cách phân tích các vụ hack trong quá khứ. Trong bài viết này, chúng tôi sẽ xem lại dữ liệu lịch sử trong vài năm gần đây để ước lượng tác động điển hình của một vụ hack trong tương lai (không chỉ riêng tiền bị đánh cắp). Từ đó, chúng tôi sẽ xây dựng một phương pháp định tính để ước tính chi phí điển hình khi giao thức yêu thích của bạn bị tấn công, mà tôi gọi là "Ước lượng tác động hack của Amador".
Đáng ngạc nhiên là mặc dù ngành tiền mã hóa đã phải chịu hàng trăm vụ hack trong ba năm qua, nhưng hiện tại chúng ta vẫn chưa có một ước lượng tốt nào về tác động của các vụ hack. Điều này phần lớn do khó khăn trong việc đo lường đúng mức độ ảnh hưởng thực tế.
Thực tế, giá trị ròng bị đánh cắp (tức là tiêu chuẩn dữ liệu được sử dụng phổ biến) nghiêm trọng đánh giá thấp thiệt hại gây ra. Nó bỏ qua mọi tổn hại khác do vụ hack gây ra, trong đó nhiều tác động còn gây thiệt hại tài chính lớn hơn cả việc mất tiền, dù những yếu tố này khó định lượng hơn. Đối với những người không làm an ninh, các yếu tố đóng góp quan trọng nhất vào tổng thiệt hại từ một vụ hack thường bị đánh giá thấp, bao gồm:
-
Tác động thị trường: Chỉ ra thiệt hại đối với giá token niêm yết công khai (hoặc cổ phần giả định), tổn thương này có thể kéo dài rất lâu. Tác động này ít được biết đến hơn so với giá trị bị hack ngay lập tức, và phần lớn chuyên gia an ninh vẫn đánh giá thấp tầm quan trọng của nó.
-
Tác động phụ thuộc: Chỉ ra các hiệu ứng thứ cấp gây thiệt hại cho các tài sản khác xuất phát từ vụ hack ban đầu. Có ba loại tác động phụ thuộc chính: phụ thuộc nền tảng, phụ thuộc tài chính và ảnh hưởng danh tiếng. Ví dụ về phụ thuộc nền tảng là khi bản thân blockchain bị tấn công, gây tổn hại cho tất cả tài sản/hợp đồng xây dựng trên nền tảng đó. Việc giá Luna giảm khiến ổn định giá trị của stablecoin Terra sụp đổ là ví dụ điển hình về phụ thuộc tài chính (mặc dù đây không phải dạng hack phổ biến trong DeFi). Việc thiếu an toàn trên nền tảng (ví dụ như BNB Chain) dẫn đến giảm tăng trưởng người dùng và áp dụng là ví dụ về ảnh hưởng danh tiếng.
-
Tác động nhân sự và tổ chức: Thiệt hại ở đây khó định lượng, thường biểu hiện dưới dạng mất thời gian, tiền bạc và nhân tài do phản ứng và phục hồi sau vụ hack. Xét rằng một vụ hack và quá trình phục hồi có thể chiếm tới vài tháng làm việc của đội ngũ khởi nghiệp nhỏ, tác động tổ chức luôn tốn kém, đôi khi thậm chí là tử thần. Mọi tổ chức, ngoại trừ những tổ chức phòng ngừa tốt nhất, đều phải đối mặt với tác động này sau một vụ hack.
Nói cách khác, thiệt hại điển hình từ một vụ hack vượt xa so với số tiền bị đánh cắp!
Phần còn lại của bài viết này sẽ mô tả cách ước lượng từng loại ảnh hưởng trong một vụ hack điển hình, bằng cách xem xét trung vị lịch sử, hoặc nếu dữ liệu không khả dụng thì dựa trên kinh nghiệm thực tế của tôi.
Tác động từ tiền bị đánh cắp
Dữ liệu cho thấy có 107 vụ hack vào năm 2021, 134 vụ vào năm 2022 và 247 vụ vào năm 2023, tổng cộng 488 vụ hack công khai được biết đến (2021–2023).
trục x: năm, trục y: số lượng vụ hack
Các vụ hack này đã ảnh hưởng đến 2.334.863.067 USD vào năm 2021, 3.773.906.837 USD vào năm 2022 và 1.699.632.321 USD vào năm 2023, tổng cộng 7.808.402.225 USD trong giai đoạn 2021–2023.
trục x: năm, trục y: giá trị tiền bị đánh cắp (USD)
Để làm rõ, “tài sản bị ảnh hưởng” ở đây là tiền bị tấn công, đánh cắp hoặc mất theo cách khác, không bao gồm số tiền được hacker mũ trắng và các nhà điều tra hoàn trả hoặc thu hồi.
Theo dữ liệu này, một vài phép toán đơn giản trên tập dữ liệu 2021–2023 cho ra các nhận định sau:
-
Mỗi vụ hack trung bình làm mất 16.000.824 USD.
-
Vụ hack trung vị làm mất 1.000.000 USD.
-
Các vụ hack tuân theo phân phối luật lũy thừa; nhiều vụ quy mô nhỏ, nhưng khi xảy ra vụ lớn thì tổn thất gấp hơn trăm lần so với vụ trung vị.
Tác động thị trường
Việc ước tính tác động thị trường luôn là thách thức từ trước đến nay. Immunefi đã xuất bản báo cáo đầu tiên về chủ đề này, xem xét lại các vụ hack năm 2022 và ảnh hưởng của chúng đến 63 vụ hack mẫu trong năm đó. Bộ mẫu này cho thấy giá token cơ sở trung bình giảm 13% sau 2 ngày kể từ vụ hack, và giảm trung bình 19,5% sau 5 ngày.
Để mở rộng phạm vi nghiên cứu, chúng tôi quyết định cập nhật bộ dữ liệu này bằng càng nhiều dữ liệu hack từ năm 2021, 2022 và 2023 càng tốt. Chúng tôi sẽ trích dẫn biến động giá trung vị. Với khả năng xảy ra các ngoại lệ cực đoan, bộ dữ liệu mở rộng khiến trung vị trở thành ước lượng đáng tin cậy hơn.
Bộ dữ liệu mới bao gồm 176 vụ hack. Kết quả khá đáng kinh ngạc:
Biến động giá token trung vị từ ngày xảy ra hack đến 2 ngày, 6 tháng sau:
Dữ liệu cho thấy tình trạng giảm giá trung vị và kìm hãm giá dài hạn sau vụ hack như sau:
-
Giảm 10% sau 2 ngày,
-
Giảm 19% sau 5 ngày,
-
Giảm 27% sau 1 tháng,
-
Giảm 43% sau 3 tháng,
-
Giảm 53% sau 6 tháng.
Ở ngoài mức trung vị, nhìn vào các trường hợp nghiêm trọng nhất, kết quả còn đáng kinh ngạc hơn. Sau 3 tháng, 32% các vụ hack có giá token giảm hơn 50%, 11% giảm hơn 90%. Sau 6 tháng, 35% các dự án bị tấn công tiếp tục chịu mức giảm giá hơn 50%, 16% giảm hơn 90%.
Phân bố biến động giá sau 6 tháng cho thấy dữ liệu lịch sử khẳng định giá token bị kìm hãm mạnh mẽ và kéo dài sau vụ hack.
Điều này cho thấy phân phối luật lũy thừa của tác động hack, cho thấy một vụ hack nghiêm trọng đơn lẻ có thể là thảm họa. Ngoài ra, nó cũng cho thấy tác động hack sẽ leo thang theo thời gian, duy trì ảnh hưởng liên tục lên thị trường ít nhất trong sáu tháng sau vụ tấn công.
Tác động thị trường có thể tiếp tục gia tăng sau một năm, nhưng vì bộ dữ liệu của chúng tôi chỉ bao gồm các vụ hack trong ba năm, chúng tôi cần đợi dữ liệu năm 2024 được tổng hợp đầy đủ để kiểm chứng giả thuyết này.
Lưu ý: Chúng tôi không thể chắc chắn 100% rằng tác động này do vụ hack gây ra. Nhiều yếu tố có thể gây áp lực giảm giá token, bao gồm cả những yếu tố mà nghiên cứu này có thể chưa nhận diện. Yếu tố gây nhiễu rõ ràng nhất là mối tương quan giữa giá token và điều kiện thị trường vĩ mô. Tuy nhiên, dữ liệu này nghiêm trọng và nổi bật đến mức dường như chủ yếu bắt nguồn từ vụ hack, vì vậy chúng tôi đưa ra lập trường như vậy.
Kết hợp tất cả dữ liệu, chúng tôi dự kiến một vụ hack điển hình sẽ gây ra tác động thị trường trung vị khoảng -19% trong 5 ngày đầu tiên, và leo thang lên -53% trong sáu tháng tiếp theo (có thể kéo dài vô thời hạn), với xác suất 16% mức tổn hại này vượt quá 90% vốn hóa thị trường của dự án.
Phân bố biến động giá sau 6 tháng cho thấy 77,8% các dự án bị tấn công trải qua tình trạng kìm hãm giá liên tục sau sáu tháng.
Rõ ràng, tác động thị trường có thể rất khủng khiếp!
Khi bạn nhận ra rằng hầu hết các dự án token sử dụng token lưu hành như kho bạc và nhiên liệu tăng trưởng, bạn sẽ hiểu tại sao các chuyên gia an ninh lại coi trọng tác động thị trường đến vậy. Ngay cả khi vụ hack không gây thiệt hại trực tiếp cho bạn, tác động thị trường quá lớn cũng có thể gây chết người tương tự.
Tác động phụ thuộc (hay tác động thứ cấp)
Có một dạng tác động hack bị đánh giá thấp nghiêm trọng, chúng tôi gọi là tác động phụ thuộc, hoặc đôi khi là tác động thứ cấp. Nó mô tả dòng thác thiệt hại khởi phát từ một vụ hack ban đầu. Dưới đây là một số ví dụ về tác động này:
-
Tác động phụ thuộc nền tảng là thiệt hại do nền tảng cơ sở ngừng hoạt động (ví dụ như trong tấn công từ chối dịch vụ blockchain), ảnh hưởng đến các thị trường tiền tệ hoặc thị trường perpetual chạy trên nền tảng bị ảnh hưởng, có thể gây phá hoại cho mọi ứng dụng chạy trên nền tảng đó. Mặc dù tình huống này khá phổ biến (ngành mã hóa có vô số nền tảng), nhưng mối liên hệ hạn chế giữa kinh tế trên chuỗi và ngoài chuỗi khiến tác động này đến nay còn giới hạn, trong khi bản thân công nghệ blockchain đã chứng minh độ bền đáng kể. Khi kết nối giữa kinh tế trên và ngoài chuỗi chặt chẽ hơn, chúng ta nên kỳ vọng loại tác động này sẽ phổ biến và nghiêm trọng hơn.
-
Tác động phụ thuộc tài chính là ảnh hưởng thứ cấp do vụ hack gây ra đối với các tài sản phụ thuộc. Các tài sản có rủi ro phụ thuộc tài chính bao gồm stablecoin (như MakerDAO, thanh lý CDP), token staking linh hoạt (như LIDO, Rocketpool...), giao thức phái sinh (như Pendle), và gần như mọi token được ghép cặp trong các nhóm thanh khoản. Tác động phụ thuộc tài chính là một trong những hạng mục khó đánh giá nhất vì nó dễ bị bỏ qua; gần như bất kỳ vụ hack nào liên quan đến việc đánh cắp token đều sẽ trực tiếp hoặc gián tiếp gây ra tác động phụ thuộc đối với các token khác.
Một ví dụ điển hình về tác động phụ thuộc là sự sụp đổ của Terra-Luna. Một cuộc tấn công tài chính vào token cổ phần của giao thức stablecoin khiến stablecoin mất neo, tạo thành vòng xoáy đi xuống không thể phục hồi. Sự sụp đổ của Terra-Luna không chỉ phá hủy 40 tỷ USD giá trị cổ phần Luna mà còn phá hủy 1 tỷ USD stablecoin UST Terra chưa được thanh toán, cùng với toàn bộ giá trị tài chính phi tập trung (DeFi) liên quan đến Terra-Luna, chẳng hạn như giá trị cổ phần 1,5 tỷ USD của Anchor Protocol và vô số giao thức khác dựa trên Terra. Tổn thương đối với hệ sinh thái Terra gần như hoàn toàn; ngày nay giá trị hệ sinh thái Terra đã giảm 99%, cơ bản không còn tồn tại.
Tôi và một số đồng nghiệp đang tích cực nghiên cứu để hiểu rõ hơn về tần suất thực tế của tác động phụ thuộc. Vì nghiên cứu này vẫn đang tiến hành, chúng tôi sẽ không đưa ra kết luận vội vàng bằng cách đưa tác động phụ thuộc điển hình vào quy tắc đánh giá tác động hack của mình. Khi nghiên cứu hoàn thành, chúng tôi sẽ chia sẻ phát hiện và cập nhật bài viết này. Nhìn sơ bộ, tác động phụ thuộc dường như nghiêm trọng hơn nhiều so với nhận thức thông thường.
Tác động nhân sự và tổ chức
Tác động nhân sự và tổ chức thường có hai hình thức: mất nhân tài và thay đổi vận hành/thủ tục.
Tác động nhân sự liên quan đến việc mất người sau vụ hack, có thể do lỗi hoặc năng lực bị nghi ngờ, nhu cầu tuyển dụng nhân tài an ninh mới, hoặc tinh thần giảm sút do sự cố. Dù nguyên nhân gì, việc các dự án bị hack mất lãnh đạo an ninh trước đó cũng không hiếm.
Vấn đề trở nên phức tạp hơn khi sự cố hack khiến việc tuyển dụng lãnh đạo an ninh mới khó khăn hơn, vì điều này cho thấy điểm yếu của tổ chức.
Hình thức thứ hai là các khoản đầu tư vận hành hoặc thủ tục bất ngờ do vụ hack (gần như luôn liên quan đến an ninh). Dù các khoản đầu tư này mang tính tích cực, chúng lại làm xao nhãng sự chú ý quý giá, làm chậm tiến độ sản phẩm cốt lõi.
Định lượng tác động ở đây là thách thức, nhưng tôi có kinh nghiệm thực tế khi hợp tác với nhiều dự án trong phòng chiến tranh, nên sẽ đưa ra ước lượng dựa trên kinh nghiệm đó.
Theo kinh nghiệm của tôi, sau vụ hack thường mất lãnh đạo an ninh trước đó. Đó có thể là Giám đốc An ninh Thông tin (CISO), kỹ sư an ninh, hoặc thậm chí là lãnh đạo kỹ thuật đảm nhiệm vai trò an ninh. Việc họ rời đi có thể là thỏa thuận hai bên, vì trải qua vụ hack dưới trách nhiệm của mình là sự kiện rất bức xúc, hoặc bị sa thải vì lý do nào đó. Tôi cho rằng họ cũng thường bị sa thải quá sớm, khiến tổ chức mất từ 1,5 đến 4 tháng để tìm người thay thế an ninh hiệu quả. Điều này có nghĩa là mất thời gian đối với dự án bị tấn công.
Vụ hack thường khiến đội ngũ rơi vào trạng thái sốc, vượt xa khỏi sự kiện hack bản thân. Tổ chức sẽ dành ít nhất hai tuần để đánh giá và kiểm soát thiệt hại, cùng 2–3 tháng cho công việc khắc phục an ninh (đột nhiên trở thành việc ưu tiên hàng đầu của mọi người), dẫn đến giảm ưu tiên lộ trình sản phẩm cốt lõi.
Các con số trong ví dụ trên là kết quả tích cực. Tác động nhân sự có thể nghiêm trọng hơn khi ảnh hưởng đến khả năng tài chính duy trì hoạt động của dự án, như trường hợp Kyberswap: vào tháng 11 năm 2023, KyberSwap bị tấn công 49 triệu USD. Có thể hiểu rằng họ muốn bồi thường người dùng, nhưng để làm vậy, đội ngũ buộc phải cắt giảm 50% nhân sự để duy trì hoạt động công ty, tạm dừng kế hoạch giao thức thanh khoản và dự án KyberAI. Phần thưởng 10% mà Kyber đưa ra cho hacker cuối cùng cũng không giúp ích.
Không thể đưa các yếu tố ảnh hưởng này vào một phép tính đơn giản, vì vậy chúng tôi chỉ có thể tóm tắt các tác động độc đáo này và giữ nguyên: nếu bạn bị hack, hãy dự kiến mất 3 tháng cho công việc khắc phục an ninh, mất 3 tháng tiến độ lộ trình và mục tiêu sản phẩm cốt lõi, mất lãnh đạo an ninh hiện tại, và 3 tháng sau mới tìm được người thay thế. Giống như 3 tháng nỗ lực bốc hơi vào không khí. Đây là tổn hại đáng kể đối với bất kỳ công ty khởi nghiệp nào, dù thường không phải là tử thần.
Vậy chi phí thực sự của một vụ hack là bao nhiêu?
Tổng hợp tất cả thông tin, giờ đây chúng tôi đã có dữ liệu cần thiết để đưa ra ước lượng. Hãy tóm tắt theo mức độ thiệt hại định lượng và mức độ nghiêm trọng:
1. Một vụ hack trung bình ảnh hưởng khoảng 16 triệu USD khi bị khai thác.
2. Một vụ hack trung vị khiến vốn hóa thị trường token cơ sở giảm mạnh 52% trong 6 tháng. 79% các dự án bị tấn công tiếp tục trải qua kìm hãm giá sau 6 tháng, và thời gian cuối cùng của tác động thị trường do hack gây ra là chưa biết, có thể là vô hạn.
3. Một vụ hack trung vị không gây ra tác động phụ thuộc tài chính hoặc nền tảng, nhưng khi xảy ra, thường là thảm họa tuyệt đối, rủi ro là sự hủy diệt hoàn toàn các tài sản phụ thuộc vào nền tảng cơ sở. Trong các báo cáo lỗi nghiêm trọng có tác động phụ thuộc, mức ảnh hưởng tiềm tàng điển hình có thể lên tới toàn bộ giá trị có thể rút ra trên nền tảng đó!
4. Dù khó định lượng hơn, một vụ hack trung vị nên dẫn đến mất khoảng 3 tháng thời gian và công sức, bao gồm công việc khắc phục an ninh, mất thời gian lộ trình,流失 đội ngũ, mất lãnh đạo an ninh hiện tại, và lo lắng cực độ về việc đảm bảo bạn sẽ không bao giờ bị hack lại.
Giờ đây, chúng tôi đã có mọi thông tin cần thiết để tạo ra một quy tắc đơn giản nhằm đánh giá chi phí thực sự của một vụ hack trên chuỗi. Nếu giao thức của bạn bị tấn công:
1. Dự kiến giá trị bị đánh cắp khoảng 16.000.824 USD.
2. Dự kiến vốn hóa thị trường token của bạn sẽ giảm 52%, tình trạng kìm hãm giá này sẽ kéo dài ít nhất 6 tháng và có thể không bao giờ phục hồi (77,8% token bị tấn công cho thấy kìm hãm giá liên tục sau 6 tháng).
3. Dự kiến mất 3 tháng thời gian và công sức trong quá trình phục hồi và xây dựng lại.
Một ví dụ thực tế phù hợp với các ước lượng trên là vụ hack Indexed Finance, bị đánh cắp 16 triệu USD vào ngày 14 tháng 10 năm 2021. Lúc đó vốn hóa thị trường token là 11 triệu USD, giảm xuống còn 3,8 triệu USD sau 6 tháng, cho thấy tình trạng kìm hãm giá kéo dài sau vụ hack. Đội ngũ không thể phục hồi hoàn toàn từ sự kiện này, và Indexed Finance cơ bản không còn tồn tại vào giữa năm 2022. Do đó, ước lượng tác động hack của chúng tôi dường như đã dự đoán hiệu quả ảnh hưởng của vụ hack.
Nếu sản phẩm của bạn là một nền tảng (dù là blockchain L1/L2 hay giao thức nguyên thủy tài chính), và bạn bị tấn công, đặc điểm nghiêm trọng điển hình của một vụ hack là tuyệt đối chết người: giao thức và các thành phần phụ thuộc vào nó đối mặt với nguy cơ bị xóa sổ hoàn toàn.
Điều này thật sự đáng sợ.
Suy ngẫm kết luận
Bị hack chỉ là điểm khởi đầu của thiệt hại, chứ không phải điểm kết thúc. Việc mất hàng triệu đô la do bị hack đồng nghĩa với tổn thất lớn hơn nhiều, bắt nguồn từ tác động thị trường và phụ thuộc, cùng với hàng tháng trời để xây dựng lại đội ngũ và vận hành bị tổn thương tinh thần. Điều này không hề vui vẻ chút nào.
Không có giải pháp nào khác ngoài việc đầu tư vào an ninh trên chuỗi và từng bước nâng cao an toàn cho toàn ngành.
Trong các biện pháp đó, phần thưởng lỗ hổng (bug bounty) là cách hiệu quả nhất, đã được chứng minh có thể ngăn chặn quy mô lớn các vụ hack và tác động của chúng. Tôi đã thực hiện một bản xem lại nhanh về tác động của phần thưởng lỗ hổng trong việc ngăn chặn hàng chục tỷ đô la tiền mã hóa bị hack, bạn có thể đọc thêm trong Bản hồi tưởng Immunefi của tôi.
Nhưng xa hơn nữa, chúng ta cần nhiều hơn, tốt hơn các cuộc rà soát mã nguồn, từ nhiều hacker giỏi hơn, thiết lập các tiêu chuẩn an ninh tốt hơn, và phát triển thêm các công nghệ an ninh tự động tiên tiến. Chỉ khi củng cố toàn bộ stack công nghệ, chúng ta mới có thể ngăn chặn hiệu quả các vụ hack.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@MitchellAmador
