Cảnh báo rủi ro an toàn Web3: 10 sự kiện tấn công có ảnh hưởng nhất năm 2024
Tuyển chọn TechFlowTuyển chọn TechFlow
Cảnh báo rủi ro an toàn Web3: 10 sự kiện tấn công có ảnh hưởng nhất năm 2024
Bài viết này sẽ điểm lại 10 sự cố an ninh Web3 lớn nhất năm 2024, giúp giới chuyên môn rút ra bài học và ứng phó tốt hơn với các mối đe dọa an ninh trong tương lai.
Chuyên sâu báo cáo Web3Tác giả: Beosin
Năm 2024, ngành công nghiệp blockchain vừa đạt được những bước tiến về đổi mới công nghệ và mở rộng hệ sinh thái, đồng thời cũng đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo theo dõi từ nền tảng Alert thuộc công ty kiểm toán an ninh Beosin, tính đến thời điểm bài viết, tổng thiệt hại trong lĩnh vực Web3 do các vụ tấn công tin tặc, lừa đảo钓鱼 và dự án bỏ trốn (Rug Pull) đã lên tới 2,491 tỷ USD.
Những sự kiện này không chỉ bộc lộ các lỗi kỹ thuật như quản lý khóa riêng, lỗ hổng hợp đồng thông minh mà còn làm nổi bật rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ điểm lại 10 sự cố an ninh lớn nhất trong lĩnh vực Web3 năm 2024, giúp giới chuyên môn rút ra bài học, từ đó ứng phó tốt hơn với các mối đe dọa an ninh trong tương lai.
No.1 DMM Bitcoin
Thiệt hại: 304 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Ngày 31 tháng 5 năm 2024, sàn giao dịch tiền mã hóa lâu đời của Nhật Bản DMM Bitcoin đã phải chịu một cuộc tấn công lịch sử. Kẻ tấn công đã sử dụng khóa riêng bị rò rỉ để trực tiếp chuyển đi lượng Bitcoin trị giá hơn 300 triệu USD, sau đó nhanh chóng phân tán số tiền bị đánh cắp vào hơn 10 địa chỉ khác nhau. Vụ việc này phơi bày sự thiếu sót nghiêm trọng của DMM Bitcoin trong việc quản lý khóa riêng và các lớp bảo vệ an ninh. Mặc dù sàn giao dịch đã cố gắng truy vết hacker thông qua giám sát chuỗi và đóng băng tài sản, nhưng lượng Bitcoin bị đánh cắp đã bị phân tán và rửa sạch bằng các công cụ trộn tiền, gây khó khăn cực lớn cho công tác điều tra.
Ngày 24 tháng 12, cảnh sát Nhật Bản xác định vụ mất cắp tại DMM Bitcoin là do tổ chức tin tặc Triều Tiên Lazarus Group thực hiện. Để tìm hiểu chi tiết về các vụ tấn công và hoạt động rửa tiền trước đây của Lazarus Group, vui lòng đọc bài viết: Phơi bày nhóm trộm tiền mã hóa táo tợn nhất lịch sử: Phân tích cách rửa tiền của nhóm tin tặc Lazarus Group.
No.2 PlayDapp
Thiệt hại: 290 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Ngày 9 tháng 2 năm 2024, PlayDapp bị tấn công nghiêm trọng khi hacker đánh cắp khóa riêng và phát hành trái phép 2 tỷ token PLA, ban đầu trị giá 36,5 triệu USD. Do thương lượng thất bại giữa đội ngũ dự án và hacker, tên tấn công đã tiếp tục phát hành thêm 15,9 tỷ token PLA trong thời gian ngắn, nâng tổng giá trị bị đánh cắp lên 253,9 triệu USD. Sau khi một phần token này đổ vào sàn Gate, PlayDapp buộc phải tạm dừng hợp đồng PLA và di chuyển sang hợp đồng token PDA. Sự cố này làm nổi bật điểm yếu trong việc bảo vệ khóa riêng và xử lý khẩn cấp sự cố của các dự án blockchain.
No.3 WazirX
Thiệt hại: 235 triệu USD
Phương thức tấn công: Tấn công mạng và lừa đảo (phishing)
Ngày 18 tháng 7 năm 2024, ví đa ký (multi-sig wallet) Safe Wallet của WazirX – sàn giao dịch tiền mã hóa lớn nhất Ấn Độ – đã bị tin tặc tấn công chính xác. Kẻ tấn công đã dùng kỹ thuật xã hội dụ dỗ người ký đa ký phê duyệt một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn từ bản nâng cấp để chuyển toàn bộ tài sản trong ví ra ngoài. Vụ việc này làm nổi bật rủi ro tiềm tàng trong việc cấu hình quyền quản lý và tính minh bạch thao tác của ví đa ký, đồng thời thúc đẩy giới chuyên môn suy ngẫm sâu sắc hơn về kiểm soát rủi ro nội bộ và cơ chế an ninh của dự án.
Để xem phân tích chi tiết và truy vết dòng tiền liên quan đến sự kiện này, vui lòng đọc: Beosin | Phân tích sự cố WazirX bị mất 235 triệu USD.
No.4 Gala Games
Thiệt hại: 216 triệu USD
Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games bị hacker xâm nhập. Kẻ tấn công đã gọi hàm mint trong hợp đồng token để phát hành một lần 5 tỷ token GALA. Sau đó, hacker bán từng phần token được in thêm này lấy ETH, gây thiệt hại trực tiếp 216 triệu USD. Ngay sau sự cố, đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một số tài khoản hacker và truy thu thiệt hại thông qua con đường pháp lý.
No.5 Chris Larsen (đồng sáng lập Ripple)
Thiệt hại: 112 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Ngày 31 tháng 1 năm 2024, bốn ví cá nhân của Chris Larsen, đồng sáng lập Ripple, bị tin tặc xâm nhập khiến 112 triệu USD XRP bị đánh cắp. Các ví này nghi ngờ đã trở thành mục tiêu vì thiếu lớp bảo vệ kép từ thiết bị phần cứng. Sau sự cố, Binance đã thành công đóng băng 4,2 triệu USD XRP và hỗ trợ Larsen truy vết tài sản bị mất, tuy nhiên phần lớn số tiền đã bị rửa sạch thông qua các sàn phi tập trung và dịch vụ trộn tiền.
No.6 Munchables
Thiệt hại: 62,5 triệu USD
Phương thức tấn công: Tấn công kỹ thuật xã hội
Ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 Munchables dựa trên Blast đã phải chịu một cuộc tấn công xâm nhập nội bộ hiếm gặp. Kẻ tấn công là một tin tặc Triều Tiên giả danh nhà phát triển blockchain, sau thời gian dài nằm vùng đã chiếm được mã nguồn cốt lõi và các khóa mật quan trọng. Mặc dù sự việc gây thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ dự án, hacker cuối cùng đã hoàn trả toàn bộ số tiền bị đánh cắp. Sự kiện này phơi bày tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt với các dự án blockchain phụ thuộc vào nhà phát triển bên thứ ba.
No.7 BtcTurk
Thiệt hại: 55 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Ngày 22 tháng 6 năm 2024, sàn giao dịch tiền mã hóa lớn nhất Thổ Nhĩ Kỳ BtcTurk bị tấn công do rò rỉ khóa riêng, dẫn đến mất mát hơn 55 triệu USD tài sản mã hóa. Với sự hỗ trợ của đội ngũ Binance, 5,3 triệu USD trong số tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản còn lại vẫn chưa truy hồi được. Sự cố này làm gia tăng lo ngại của thị trường về việc quản lý khóa riêng tại các sàn giao dịch tập trung.
BtcTurk công bố thông báo chính thức về vụ tấn công
No.8 Radiant Capital
Thiệt hại: 53 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital bị tin tặc xâm nhập. Do sử dụng mô hình xác nhận chữ ký thấp (3/11), hacker đã nắm giữ khóa riêng của 3 người ký, sau đó khởi tạo chữ ký ngoài chuỗi để chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, dẫn đến mất 53 triệu USD. Cuộc tấn công này đã thúc đẩy giới chuyên môn suy ngẫm lại về thiết kế và cơ chế quản trị của ví đa ký.
Trước vụ tấn công này, Radiant Capital đã từng bị mất 4,5 triệu USD do lỗ hổng hợp đồng, hơn 1.900 ETH bị đánh cắp. Điều này cho thấy mức độ quan tâm đến an ninh của các bên vận hành dự án Web3 vẫn cần được nâng cao.
No.9 Hedgey Finance
Thiệt hại: 44,7 triệu USD
Phương thức tấn công: Lỗ hổng hợp đồng
Ngày 19 tháng 4 năm 2024, Hedgey Finance bị tấn công nhắm vào nhiều hợp đồng trên chuỗi. Hacker đã khai thác lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns, thành công rút token trên cả hai chuỗi Ethereum và Arbitrum, tổng thiệt hại đạt 44,7 triệu USD. Sự kiện này nhấn mạnh tầm quan trọng của việc kiểm toán mã nguồn, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt token.
No.10 BingX
Thiệt hại: 44,7 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Ngày 19 tháng 9 năm 2024, ví nóng của sàn giao dịch BingX bị tin tặc xâm nhập, ảnh hưởng đến nhiều chuỗi công khai như Ethereum, BNB Chain và Tron. Mặc dù sàn đã nhanh chóng kích hoạt cơ chế chuyển tài sản và tạm dừng rút tiền, nhưng hacker đã kịp rút đi lượng tài sản trị giá 44,7 triệu USD. Cuộc tấn công này phản ánh rủi ro cao trong việc quản lý ví nóng tại các sàn giao dịch tập trung, đồng thời thúc đẩy ngành công nghiệp tìm kiếm các giải pháp lưu trữ tài sản an toàn hơn.
Các sự cố an ninh thường xuyên xảy ra trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành blockchain không thể tách rời khỏi an ninh. Từ rò rỉ khóa riêng, lỗ hổng hợp đồng, sơ suất quản lý nội bộ đến việc nâng cấp phương thức tấn công từ bên ngoài, mỗi sự kiện đều mang lại những bài học sâu sắc. Để đối phó với các mối đe dọa ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy chuẩn quản lý và phòng chống rủi ro. Trong tương lai, chúng tôi mong đợi thông qua hợp tác ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, mang lại sự đảm bảo đáng tin cậy hơn cho người dùng và nhà đầu tư.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@Beosin_com
