Tổng hợp sự cố an ninh Web3 tháng 8: tổn thất khoảng 316 triệu USD
Tuyển chọn TechFlowTuyển chọn TechFlow
Tổng hợp sự cố an ninh Web3 tháng 8: tổn thất khoảng 316 triệu USD
Đã xảy ra tổng cộng 28 vụ bị hack, gây thiệt hại khoảng 253 triệu USD, trong đó có 13,58 triệu USD được hoàn trả; nguyên nhân sự việc liên quan đến lỗ hổng hợp đồng, tài khoản bị xâm nhập và tấn công giao diện người dùng, v.v.
Chuyên sâu báo cáo Web3Tác giả: SlowMist Technology
Tổng quan
Tháng 8 năm 2024, các sự cố an ninh Web3 đã gây thiệt hại tổng cộng khoảng 316 triệu USD. Trong đó, theo thống kê từ Kho lưu trữ hack blockchain của SlowMist (https://hacked.slowmist.io), có 28 sự kiện bị tấn công, dẫn đến tổn thất khoảng 253 triệu USD, với 13,58 triệu USD được hoàn trả; nguyên nhân bao gồm lỗ hổng hợp đồng, tài khoản bị xâm nhập và tấn công giao diện người dùng. Ngoài ra, theo dữ liệu từ nền tảng chống lừa đảo Web3 Scam Sniffer, trong tháng này có 9.145 nạn nhân bị lừa đảo钓鱼, tổng thiệt hại lên tới 62,93 triệu USD.
(https://dune.com/scam-sniffer/august-scam-sniffer-2024-phishing-report)
Sự kiện nổi bật
Convergence Finance
Ngày 1 tháng 8 năm 2024, Convergence Finance bị tấn công, tin tặc đã đúc và bán 58 triệu token CVG, tương đương khoảng 210 nghìn USD (toàn bộ lượng token dành riêng cho việc stake). Ngoài ra, phần thưởng chưa nhận khoảng 2 nghìn USD từ Convex cũng bị đánh cắp. Theo báo cáo phân tích sự cố của Convergence Finance, nguyên nhân gốc rễ là do hàm `claimMultipleStaking` trong hợp đồng phân phối phần thưởng thiếu xác thực đầu vào của người dùng.
(https://medium.com/@cvg_wireshark/post-mortem-08-01-2024-e80a49d108a0)
Ronin
Ngày 6 tháng 8 năm 2024, chuỗi khối game Ronin bị tấn công, dự án Ronin Bridge phát hiện hành vi rút tài sản liên chuỗi bất thường. Theo phân tích của đội ngũ an ninh SlowMist, cuộc tấn công xảy ra do trọng số đã bị thay đổi thành giá trị không mong muốn, khiến tiền có thể được rút mà không cần kiểm tra ngưỡng đa chữ ký nào. Tin tặc đã rút khoảng 4.000 ETH và 2 triệu USDC từ cầu nối, trị giá khoảng 12 triệu USD. Tính đến ngày 7 tháng 8, các mũ trắng đã hoàn trả tài sản trị giá 12 triệu USD và nhận được phần thưởng khai thác lỗ hổng 500 nghìn USD.
(https://x.com/slowmist_team/status/1820783952145355247?s=46&t=DLwbX9Nw4QECiyZQ0av-fg)
Nexera
Ngày 7 tháng 8 năm 2024, một tin tặc bên ngoài đã lấy được thông tin đăng nhập quản lý hợp đồng thông minh của nền tảng Nexera Fundrs. Sử dụng thông tin này, kẻ tấn công đã chuyển token NXRA từ hợp đồng stake Fundrs trên Ethereum, gây thiệt hại khoảng 1,83 triệu USD. Trong số 47,24 triệu token NXRA bị đánh cắp, tin tặc chỉ bán được 14,75 triệu token (tương đương khoảng 449 nghìn USD). Nexera đã thành công loại bỏ số dư 32,5 triệu NXRA còn lại khỏi ví của tin tặc, ngăn chặn thêm tổn thất.
Vow
Ngày 13 tháng 8 năm 2024, Vow bị tấn công do lỗi hợp đồng, thiệt hại khoảng 1,2 triệu USD. Theo thông tin từ VOW, lúc đó nhóm đang thử nghiệm chức năng thiết lập tỷ giá USD cho hợp đồng v$, nhằm đúc v$ cho các bể cho vay mới và tính năng oracles. Tin tặc đã lợi dụng khoảng thời gian ngắn và biến động tỷ giá để mua và gửi lượng lớn token VOW vào hợp đồng, dẫn đến việc tạo ra gần 2 tỷ v$, sau đó bán trở lại bể Uniswap để thu lợi.
(https://x.com/Vowcurrency/status/1823407231658025300)
User
Ngày 19 tháng 8 năm 2024, theo thông tin từ thám tử chuỗi ZachXBT, một giao dịch đáng ngờ chuyển 4.064 BTC (khoảng 238 triệu USD) có thể đến từ một nạn nhân tiềm năng. Sau đó, tiền nhanh chóng được chuyển tới ThorChain, eXch, Kucoin, ChangeNow, Railgun và Avalanche Bridge. Tính đến ngày 27 tháng 8, đã có 205 nghìn USD được thu hồi.
(https://x.com/zachxbt/status/1825499490956231021)
User
Ngày 21 tháng 8 năm 2024, theo giám sát của Scam Sniffer, một nạn nhân sau khi ký giao dịch lừa đảo nhắm vào DeFi Saver Proxy đã mất 55,43 triệu USD DAI. Theo phân tích của MistTrack, số tiền này đã được gửi đến nhiều địa chỉ khác nhau, sau đó phần lớn được đổi sang ETH.
(https://x.com/MistTrack_io/status/1826273448626356697)
Aave
Ngày 28 tháng 8 năm 2024, một hợp đồng phụ trợ của nền tảng cho vay DeFi Aave bị tấn công, tin tặc đã lợi dụng lỗi gọi tùy ý, gây thiệt hại khoảng 56 nghìn USD. Hợp đồng phụ trợ bị ảnh hưởng ParaSwapRepayAdapter không thuộc về giao thức cốt lõi Aave, nó được dùng để cho phép người dùng sử dụng tài sản đảm bảo hiện có để trả khoản vay, trao đổi tài sản qua sàn phi tập trung ParaSwap. Mặc dù bản thân hợp đồng này không được thiết kế để giữ tiền người dùng, nhưng do chênh lệch dương trong giao dịch nên dần tích tụ một số token dư thừa. Đại diện Aave nhấn mạnh rằng vụ tấn công này không đe dọa đến tiền người dùng, cũng không ảnh hưởng đến an ninh giao thức cốt lõi Aave.
(https://x.com/bgdlabs/status/1828736554262470792)
Kết luận
Trong tháng này, vấn đề an ninh tài khoản trở thành khu vực rủi ro nghiêm trọng nhất, chiếm 64,3% tổng số sự kiện bị hack. Đáng chú ý, mục tiêu tấn công của tin tặc không chỉ giới hạn ở các dự án và cá nhân nổi bật trong blockchain, mà còn bao gồm cả người nổi tiếng và thương hiệu lớn trong ngành truyền thống như cầu thủ bóng đá Kylian Mbappe, McDonald's... Sau khi chiếm quyền tài khoản nổi tiếng, tin tặc thường đăng bài viết chứa liên kết lừa đảo hoặc quảng bá một token nào đó. Đội an ninh SlowMist nhắc nhở người dùng cần cảnh giác cao độ trước các cuộc tấn công lừa đảo, xác minh kỹ thông tin từ nhiều nguồn và thận trọng trong đầu tư. Phần lớn các sự cố bị hack tài khoản trong tháng này xảy ra trên Discord. Trước đây, chúng tôi đã giải thích cơ chế Discord Token trong bài viết SlowMist: Vạch trần cách dấu trang độc hại trên trình duyệt đánh cắp Discord Token của bạn, bấm vào liên kết để đọc thêm.
Cuối cùng, các sự kiện được ghi nhận trong bài viết này là những sự cố an ninh chính trong tháng. Để biết thêm các sự kiện an ninh blockchain khác, vui lòng truy cập Kho lưu trữ hack blockchain của SlowMist (https://hacked.slowmist.io/), bấm "Đọc nguyên văn" để chuyển trực tiếp.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@SlowMist_Team
