Báo cáo thường niên tình hình an ninh blockchain Web3 năm 2024
Tuyển chọn TechFlowTuyển chọn TechFlow
Báo cáo thường niên tình hình an ninh blockchain Web3 năm 2024
Tìm hiểu toàn diện về sự phát triển động của tình hình an ninh blockchain Web3.
Chuyên sâu báo cáo Web3Tác giả: Beosin
Lời nói đầu
Báo cáo nghiên cứu này do Liên minh An toàn Blockchain khởi xướng và được đồng sáng tác bởi các thành viên của liên minh là Beosin và Footprint Analytics, nhằm mục đích toàn diện thảo luận về tình hình an ninh blockchain toàn cầu năm 2024. Thông qua phân tích và đánh giá hiện trạng an ninh blockchain toàn cầu, báo cáo sẽ làm rõ những thách thức và mối đe dọa an ninh hiện tại, đồng thời đưa ra các giải pháp và thực hành tốt nhất.
Thông qua báo cáo này, độc giả sẽ có thể hiểu rõ hơn về sự phát triển động của tình hình an ninh Web3. Điều này sẽ giúp người đọc đánh giá và đối phó với các thách thức an ninh trong lĩnh vực blockchain. Ngoài ra, độc giả cũng có thể thu nhận được từ báo cáo những đề xuất hữu ích về các biện pháp an ninh và định hướng phát triển ngành, để hỗ trợ họ đưa ra các quyết định và hành động sáng suốt trong lĩnh vực mới nổi này. An ninh và quản lý blockchain là những vấn đề then chốt trong thời đại phát triển Web3. Thông qua nghiên cứu sâu và thảo luận kỹ lưỡng, chúng ta có thể hiểu và ứng phó tốt hơn với những thách thức này, thúc đẩy tính an toàn và phát triển bền vững của công nghệ blockchain.
1. Tổng quan tình hình an ninh blockchain Web3 năm 2024
Theo theo dõi từ nền tảng Alert thuộc công ty kiểm toán an ninh Beosin, tổng thiệt hại trong lĩnh vực Web3 do tin tặc tấn công, lừa đảo钓鱼 (phishing) và dự án chạy trốn (Rug Pull) trong năm 2024 đã lên tới 2,513 tỷ USD. Trong đó có 131 sự kiện tấn công chính, tổng thiệt hại khoảng 1,792 tỷ USD; 68 sự kiện Rug Pull của dự án, tổng thiệt hại khoảng 148 triệu USD; thiệt hại do lừa đảo phishing khoảng 574 triệu USD.
Năm 2024, số tiền bị mất do tin tặc tấn công và lừa đảo phishing đều tăng đáng kể so với năm 2023, trong đó lượng tiền thất thoát do lừa đảo phishing tăng mạnh 140,66% so với năm 2023. Thiệt hại do các vụ Rug Pull của dự án giảm đáng kể, giảm khoảng 61,94%.
Các loại dự án bị tấn công trong năm 2024 bao gồm DeFi, CEX, DEX, chuỗi công cộng, cầu nối chéo chuỗi, ví, nền tảng thanh toán, nền tảng cờ bạc, nhà môi giới tiền mã hóa, cơ sở hạ tầng, trình quản lý mật khẩu, công cụ phát triển, robot MEV, robot Telegram và nhiều loại khác. DeFi là loại dự án bị tấn công nhiều nhất, 75 cuộc tấn công vào DeFi gây thiệt hại khoảng 390 triệu USD. CEX là loại dự án có tổng thiệt hại lớn nhất, 10 cuộc tấn công vào CEX gây thiệt hại khoảng 724 triệu USD.
Năm 2024, số loại chuỗi công cộng xảy ra sự cố tấn công tăng lên, có nhiều sự kiện bị đánh cắp trên nhiều chuỗi khác nhau. Ethereum vẫn là chuỗi công cộng có mức thiệt hại cao nhất, 66 sự kiện tấn công trên Ethereum gây thiệt hại khoảng 844 triệu USD, chiếm 33,57% tổng thiệt hại cả năm.
Xét về phương thức tấn công, 35 sự kiện rò rỉ khóa riêng tư đã gây thiệt hại khoảng 1,306 tỷ USD, chiếm 51,96% tổng thiệt hại, là hình thức gây tổn thất lớn nhất.
Khai thác lỗ hổng hợp đồng là hình thức tấn công phổ biến nhất, trong 131 sự kiện tấn công, có tới 76 trường hợp đến từ khai thác lỗ hổng hợp đồng, chiếm 58,02%.
Toàn năm, khoảng 531 triệu USD tài sản bị đánh cắp đã được thu hồi, chiếm khoảng 21,13%. Toàn năm có khoảng 109 triệu USD tài sản bị đánh cắp chuyển vào máy trộn tiền (mixer), chiếm khoảng 4,34% tổng số tiền bị đánh cắp, giảm khoảng 66,97% so với năm 2023.
2. Mười sự kiện an ninh hàng đầu trong hệ sinh thái Web3 năm 2024
Năm 2024 xảy ra 5 sự kiện tấn công gây thiệt hại trên 100 triệu USD: DMM Bitcoin (304 triệu USD), PlayDapp (290 triệu USD), WazirX (235 triệu USD), Gala Games (216 triệu USD) và vụ Chris Larsen bị đánh cắp (112 triệu USD). Mười sự kiện an ninh hàng đầu gây thiệt hại tổng cộng khoảng 1,417 tỷ USD, chiếm khoảng 79,07% tổng thiệt hại do các vụ tấn công trong năm.
Số 1: DMM Bitcoin
Thiệt hại: 304 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Ngày 31 tháng 5 năm 2024, sàn giao dịch tiền mã hóa Nhật Bản DMM Bitcoin bị tấn công, hơn 300 triệu USD giá trị Bitcoin bị đánh cắp. Tin tặc phân tán số tiền bị đánh cắp sang hơn 10 địa chỉ nhằm rửa tiền.
Số 2: PlayDapp
Thiệt hại: 290 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Ngày 9 tháng 2 năm 2024, nền tảng trò chơi blockchain PlayDapp bị tấn công, tin tặc đúc 2 tỷ token PLA, trị giá 36,5 triệu USD. Sau khi thương lượng bất thành với PlayDapp, ngày 12 tháng 2, tin tặc lại đúc thêm 15,9 tỷ token PLA trị giá 253,9 triệu USD và gửi một phần tiền đến sàn Gate. Đội ngũ dự án PlayDapp sau đó tạm dừng hợp đồng PLA và di chuyển token PLA sang token PDA.
Số 3: WazirX
Thiệt hại: 235 triệu USD
Phương thức tấn công: Tấn công mạng và lừa đảo (phishing)
Ngày 18 tháng 7 năm 2024, ví đa ký tên (multisig wallet) của sàn giao dịch tiền mã hóa Ấn Độ WazirX bị đánh cắp hơn 230 triệu USD. Ví đa ký này sử dụng ví thông minh Safe wallet. Kẻ tấn công dụ dỗ người ký trong ví đa ký ký vào giao dịch nâng cấp hợp đồng, từ đó dùng hợp đồng đã nâng cấp trực tiếp chuyển toàn bộ tài sản trong ví, cuối cùng rút sạch hơn 230 triệu USD.
Số 4: Gala Games
Thiệt hại: 216 triệu USD
Phương thức tấn công: Lỗ hổng kiểm soát truy cập
Ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games bị kiểm soát, tin tặc gọi hàm mint của token để trực tiếp đúc 5 tỷ token GALA trị giá khoảng 216 triệu USD, sau đó từng đợt đổi token tăng thêm sang ETH. Sau đó, đội ngũ Gala Games sử dụng chức năng danh sách đen để chặn tin tặc và thu hồi thiệt hại.
Số 5: Chris Larsen (đồng sáng lập Ripple)
Thiệt hại: 112 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Ngày 31 tháng 1 năm 2024, Chris Larsen, đồng sáng lập Ripple cho biết bốn ví của ông bị xâm nhập, dẫn đến tổn thất tổng cộng khoảng 112 triệu USD. Đội ngũ Binance đã đóng băng thành công 4,2 triệu USD token XRP bị đánh cắp.
Số 6: Munchables
Thiệt hại: 62,5 triệu USD
Phương thức tấn công: Tấn công xã hội học (social engineering)
Ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 trên Blast Munchables bị tấn công, thiệt hại khoảng 62,5 triệu USD. Dự án bị tấn công vì đã thuê tin tặc Triều Tiên làm lập trình viên. Tất cả tiền bị đánh cắp cuối cùng đã được tin tặc hoàn trả.
Số 7: BTCTurk
Thiệt hại: 55 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Ngày 22 tháng 6 năm 2024, sàn giao dịch tiền mã hóa Thổ Nhĩ Kỳ BTCTurk bị tấn công, thiệt hại khoảng 55 triệu USD. Binance hỗ trợ đóng băng hơn 5,3 triệu USD tiền bị đánh cắp.
Số 8: Radiant Capital
Thiệt hại: 53 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Ngày 17 tháng 10 năm 2024, giao thức vay mượn đa chuỗi Radiant Capital bị tấn công, tin tặc bất hợp pháp lấy được quyền kiểm soát của 3 chủ sở hữu trong ví đa ký của Radiant Capital. Do ví đa ký này sử dụng mô hình xác thực chữ ký 3/11, tin tặc dùng 3 khóa riêng này ký giao dịch ngoài chuỗi, sau đó thực hiện giao dịch trên chuỗi, chuyển quyền sở hữu hợp đồng Radiant Capital sang hợp đồng độc hại do tin tặc kiểm soát, gây thiệt hại hơn 53 triệu USD.
Số 9: Hedgey Finance
Thiệt hại: 44,7 triệu USD
Phương thức tấn công: Lỗ hổng hợp đồng
Ngày 19 tháng 4 năm 2024, Hedgey Finance bị tin tặc tấn công nhiều lần. Tin tặc lợi dụng lỗ hổng phê duyệt token để đánh cắp lượng lớn token từ hợp đồng ClaimCampaigns, trong đó giá trị token bị đánh cắp trên chuỗi Ethereum vượt quá 2,1 triệu USD, trên chuỗi Arbitrum khoảng 42,6 triệu USD.
Số 10: BingX
Thiệt hại: 44,7 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Ngày 19 tháng 9 năm 2024, ví nóng của sàn giao dịch BingX bị tin tặc tấn công. Mặc dù BingX đã kích hoạt kế hoạch ứng phó khẩn cấp, bao gồm chuyển tài sản khẩn cấp và tạm dừng rút tiền, nhưng theo thống kê của Beosin, tổng thiệt hại do tài sản bất thường chảy ra khỏi ví nóng đạt tới 44,7 triệu USD, tài sản bị đánh cắp liên quan đến nhiều chuỗi blockchain như Ethereum, BNB Chain, Tron, Polygon, Avalanche, Base.
3. Loại hình dự án bị tấn công
Năm 2024, ngoài các loại hình phổ biến như DeFi, CEX, DEX, chuỗi công cộng, cầu nối chéo chuỗi, ví,... thì các sự kiện tấn công còn xảy ra ở các loại hình dự án như nền tảng thanh toán, nền tảng cờ bạc, nhà môi giới tiền mã hóa, cơ sở hạ tầng, trình quản lý mật khẩu, công cụ phát triển, robot MEV, robot Telegram và nhiều loại khác.
Năm 2024 có 75 sự kiện tấn công vào dự án DeFi, là loại hình bị tấn công nhiều nhất (chiếm khoảng 50,70%), tổng thiệt hại khoảng 390 triệu USD, chiếm khoảng 15,50% tổng thiệt hại, xếp thứ 4 về mức độ thiệt hại.
Loại hình có thiệt hại lớn nhất là CEX (sàn giao dịch tập trung), 10 cuộc tấn công gây thiệt hại khoảng 724 triệu USD, là loại hình có tổng thiệt hại cao nhất. Tổng kết, loại hình sàn giao dịch gặp nhiều sự cố an ninh trong năm 2024, an ninh sàn giao dịch vẫn là thách thức lớn nhất trong hệ sinh thái Web3.
Thứ hai về thiệt hại là ví cá nhân, tổng thiệt hại khoảng 445 triệu USD. 12 cuộc tấn công vào các "cá voi" tiền mã hóa và rất nhiều cuộc tấn công lừa đảo, tấn công xã hội học nhằm vào người dùng bình thường khiến tổng thiệt hại cho ví cá nhân tăng mạnh 464,72% so với năm 2023, trở thành thách thức lớn thứ hai sau an ninh sàn giao dịch.
4. Tình hình thiệt hại theo từng chuỗi
So với năm 2023, năm 2024 có nhiều loại chuỗi công cộng hơn xảy ra sự kiện tấn công. Năm chuỗi có mức thiệt hại cao nhất lần lượt là Ethereum, Bitcoin, Arbitrum, Ripple, Blast:
Sáu chuỗi có số lần bị tấn công nhiều nhất lần lượt là Ethereum, BNB Chain, Arbitrum, Others, Base, Solana:
Giống như năm 2023, Ethereum vẫn là chuỗi công cộng có mức thiệt hại cao nhất. 66 sự kiện tấn công trên Ethereum gây thiệt hại khoảng 844 triệu USD, chiếm 33,59% tổng thiệt hại cả năm.
Ghi chú: Dữ liệu tổng thiệt hại này không bao gồm thiệt hại do lừa đảo trên chuỗi và một phần thiệt hại từ ví nóng CEX
Bitcoin đứng thứ hai về mức thiệt hại, với một sự kiện an ninh đơn lẻ gây thiệt hại 238 triệu USD. Thứ ba là Arbitrum, tổng thiệt hại khoảng 114 triệu USD.
5. Phân tích phương thức tấn công
Năm 2024, các hình thức tấn công rất đa dạng, ngoài các cuộc tấn công lỗ hổng hợp đồng phổ biến, còn có nhiều hình thức khác như: tấn công chuỗi cung ứng, tấn công nhà cung cấp dịch vụ bên thứ ba, tấn công man-in-the-middle, tấn công DNS, tấn công giao diện người dùng (frontend)...
Năm 2024, 35 sự kiện rò rỉ khóa riêng đã gây thiệt hại 1,306 tỷ USD, chiếm 51,96% tổng thiệt hại, là hình thức gây tổn thất lớn nhất. Các sự kiện rò rỉ khóa riêng gây thiệt hại lớn bao gồm: DMM Bitcoin (304 triệu USD), PlayDapp (290 triệu USD), Chris Larsen - đồng sáng lập Ripple (112 triệu USD), BTCTurk (55 triệu USD), Radiant Capital (53 triệu USD), BingX (44,7 triệu USD), DEXX (21 triệu USD).
Khai thác lỗ hổng hợp đồng là hình thức tấn công phổ biến nhất, trong 131 sự kiện tấn công, có 76 trường hợp đến từ khai thác lỗ hổng hợp đồng, chiếm 58,02%. Tổng thiệt hại do lỗ hổng hợp đồng gây ra khoảng 321 triệu USD, xếp thứ ba về mức thiệt hại.
Theo phân loại chi tiết, lỗ hổng logic nghiệp vụ là loại phổ biến nhất và gây thiệt hại lớn nhất, trong các sự kiện lỗ hổng hợp đồng, khoảng 53,95% thiệt hại đến từ lỗ hổng logic nghiệp vụ, gây thiệt hại khoảng 158 triệu USD.
6. Phân tích điển hình các sự kiện chống rửa tiền
6.1 Sự kiện an ninh Polter Finance
Tóm tắt sự việc
Ngày 17 tháng 11 năm 2024, theo cảnh báo giám sát từ Beosin Alert, giao thức cho vay Polter Finance trên chuỗi FTM bị tấn công, tin tặc sử dụng flash loan thao túng giá token trong hợp đồng dự án để kiếm lợi.
Phân tích lỗ hổng và dòng tiền
Hợp đồng LendingPool bị tấn công (0xd47ae558623638f676c1e38dad71b53054f54273) sử dụng 0x6808b5ce79d44e89883c5393b487c4296abb69fe làm oracle, oracle này sử dụng hợp đồng feed giá vừa được triển khai gần đây (0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe). Hợp đồng feed giá này sử dụng dữ liệu dự trữ token từ hợp đồng uniswapV2_pair (0xEc71) mà tin tặc có thể dùng flash loan để tính toán giá, do đó hợp đồng này tồn tại lỗ hổng bị thao túng giá.
Tin tặc sử dụng flash loan đẩy giá token $BOO lên cao một cách giả tạo, từ đó vay các tài sản mã hóa khác. Sau đó, số tiền bị đánh cắp được chuyển sang token FTM, rồi chuyển ngang chuỗi sang chuỗi ETH, tất cả tiền được giữ lại trên chuỗi ETH. Dưới đây là sơ đồ quá trình dòng tiền trên chuỗi ARB và chuỗi ETH:
Ngày 20 tháng 11, tin tặc tiếp tục chuyển hơn 2.625 ETH sang Tornado Cash, như hình dưới đây:
6.2 Sự kiện an ninh BitForex
Tóm tắt sự việc
Ngày 23 tháng 2 năm 2024, chuyên gia điều tra chuỗi nổi tiếng ZachXBT thông qua công cụ phân tích của mình tiết lộ rằng ví nóng của BitForex đã có dòng tiền ra khoảng 56,5 triệu USD, và trong quá trình này, nền tảng tạm ngừng dịch vụ rút tiền.
Phân tích dòng tiền
Đội an ninh Beosin đã tiến hành phân tích sâu và truy vết sự việc BitForex bằng công cụ Trace:
Ethereum
Sàn giao dịch Bitforex bắt đầu lần lượt chuyển 40.771 USDT, 258.700 USDC, 148,01 ETH và 471.405 TRB vào địa chỉ bỏ trốn trên Ethereum (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f) vào lúc 6:11 ngày 24 tháng 2 năm 2024 (UTC+8).
Sau đó, vào ngày 9 tháng 8 theo giờ Bắc Kinh, địa chỉ bỏ trốn đã chuyển toàn bộ token (bao gồm 147,9 ETH, 40.771 USDT và 258.700 USDC) ngoại trừ TRB trở lại tài khoản sàn Bitforex (0xcce7300829f49b8f2e4aee6123b12da64662a8b8).
Sau đó, từ ngày 9 đến ngày 10 tháng 11 theo giờ Bắc Kinh, địa chỉ bỏ trốn đã chuyển 355.000 TRB qua 7 giao dịch vào bốn địa chỉ người dùng khác nhau trên sàn OKX:
0x274c481bf400c2abfd2b5e648a0056ef34970b0a
0x45798ca76a589647acc21040c50562dcc33cf6bf
0x712d2fd67fe65510c5fad49d5a9181514d94183d
0xe8ec263ad9ee6947bf773837a2c86dff3a737bba
Sau đó, địa chỉ bỏ trốn chuyển toàn bộ 116.414,93 TRB còn lại vào một địa chỉ trung chuyển (0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e), từ đó địa chỉ này chia làm hai giao dịch chuyển toàn bộ TRB vào hai tài khoản người dùng khác nhau trên sàn Binance:
0x431c916ef45e660dae7cd7184e3226a72fa50c0c
0xe7b1fb77baaa3bba9326af2af3cd5857256519df
BNB Chain
Ngày 24 tháng 2, sàn Bitforex rút 166 ETH, 46.905 USDT và 57.810 USDC sang địa chỉ BNB Chain (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f), đến nay vẫn đang nằm yên.
Polygon
Ngày 24 tháng 2 theo giờ Bắc Kinh, sàn Bitforex rút 99.000 MATIC, 20.300 USDT và 1.700 USDC sang địa chỉ trên chuỗi POL: 0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f.
Trong đó, 99.000 MATIC được chuyển vào địa chỉ 0xcce7300829f49b8f2e4aee6123b12da64662a8b8 vào ngày 9 tháng 8, đến nay vẫn nằm yên; các token USDT và USDC còn lại vẫn nằm yên.
TRON
Ngày 24 tháng 2, sàn Bitforex rút 44.000 TRX và 657.698 USDT sang địa chỉ trên chuỗi TRON: TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o. Ngày 9 tháng 8, toàn bộ các token trên được chuyển trở lại tài khoản người dùng sàn Bitforex: TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo.
Bitcoin
Từ ngày 24 tháng 2, lần lượt 16 địa chỉ Bitforex đã chuyển tổng cộng 5,7 BTC vào địa chỉ trên chuỗi BTC 3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2. Địa chỉ này đã chuyển toàn bộ 5,7 BTC trở lại địa chỉ sàn Bitforex: 11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz vào ngày 9 tháng 8.
Tóm lại, ngày 24 tháng 2, sàn Bitforex đã chuyển 40.771 USDT, 258.700 USDC, 148,01 ETH và 471.405 TRB vào chuỗi ETH; chuyển 44.000 TRX và 657.698 USDT vào chuỗi TRON; chuyển 5,7 BTC vào chuỗi BTC; chuyển 166 ETH, 46.905 USDT và 57.810 USDC vào BNB Chain; chuyển 99.000 MATIC, 20.300 USDT và 1.700 USDC vào chuỗi Polygon. Vào ngày 9 tháng 8, toàn bộ token trên chuỗi BTC, toàn bộ token trên chuỗi TRON và tất cả token ngoại trừ TRB trên chuỗi ETH đã được chuyển trở lại sàn Bitforex. Vào ngày 9 và 10 tháng 11, toàn bộ 471.405 TRB đã được chuyển vào 4 tài khoản OKX và 2 tài khoản Binance. Đến nay, toàn bộ token trên các chuỗi ETH, TRON và BTC đã được chuyển đi hết, trên BSC còn 166 ETH, 46.905 USDT và 57.810 USDC đang nằm yên, trên POL còn 99.000 MATIC, 20.300 USDT và 1.700 USDC đang nằm yên.
Địa chỉ nạp TRB vào các sàn:
7. Phân tích dòng chảy tài sản bị đánh cắp
Trong toàn năm 2024, khoảng 1,312 tỷ USD tiền bị đánh cắp vẫn còn lưu lại trong các địa chỉ tin tặc (bao gồm cả việc chuyển ngang chuỗi và phân tán sang nhiều địa chỉ), chiếm 52,20% tổng số tiền bị đánh cắp. So với năm ngoái, năm nay tin tặc có xu hướng rửa tiền bằng cách chuyển ngang chuỗi nhiều lần và phân tán tiền sang nhiều địa chỉ, thay vì trực tiếp sử dụng máy trộn tiền (mixer). Số lượng địa chỉ tăng, đường đi rửa tiền phức tạp hơn, điều này chắc chắn làm tăng độ khó điều tra cho các dự án và cơ quan quản lý.
Khoảng 531 triệu USD tiền bị đánh cắp đã được thu hồi, chiếm khoảng 21,13%. Trong năm 2023, số tiền được thu hồi khoảng 295 triệu USD.
Cả năm có khoảng 109 triệu USD tiền bị đánh cắp được chuyển vào máy trộn tiền, chiếm khoảng 4,34% tổng số tiền bị đánh cắp. Từ tháng 8 năm 2022, sau khi OFAC Hoa Kỳ trừng phạt Tornado Cash, lượng tiền bị đánh cắp chuyển vào Tornado Cash đã giảm mạnh.
8. Phân tích tình hình kiểm toán dự án
Trong 131 sự kiện tấn công, có 42 sự kiện dự án chưa từng được kiểm toán, 78 sự kiện dự án đã được kiểm toán, 11 sự kiện không xác định được tình trạng kiểm toán.
Trong 42 dự án chưa được kiểm toán, có 30 sự kiện liên quan đến lỗ hổng hợp đồng (chiếm khoảng 71,43%). Điều này cho thấy các dự án chưa được kiểm toán dễ tiềm ẩn rủi ro an ninh hơn. Ngược lại, trong 78 dự án đã được kiểm toán, có 49 sự kiện liên quan đến lỗ hổng hợp đồng (khoảng 62,82%). Điều này cho thấy kiểm toán ở một mức độ nào đó có thể nâng cao tính an toàn của dự án.
Tuy nhiên, do thị trường Web3 thiếu các tiêu chuẩn quy phạm hoàn thiện, chất lượng kiểm toán không đồng đều, kết quả cuối cùng chưa đạt được như mong đợi. Để đảm bảo hiệu quả an toàn tài sản, khuyến nghị các dự án nhất thiết phải tìm kiếm công ty an ninh chuyên nghiệp để kiểm toán trước khi ra mắt.
9. Phân tích Rug Pull
Năm 2024, nền tảng Beosin Alert đã ghi nhận tổng cộng 68 sự kiện Rug Pull chính trong hệ sinh thái Web3, liên quan đến tổng số tiền khoảng 148 triệu USD, giảm mạnh so với 388 triệu USD năm 2023.
Về mặt giá trị, trong 68 sự kiện Rug Pull, có 9 dự án có giá trị liên quan trên 1 triệu USD, lần lượt là Essence Finance (20 triệu USD), Shido Global (2,4 triệu USD), ETHTrustFund (2,2 triệu USD), Nexera (1,8 triệu USD), Grand Base (1,7 triệu USD), SAGA Token (1,6 triệu USD), OrdiZK (1,4 triệu USD), MangoFarmSOL (1,29 triệu USD) và RiskOnBlast (1,25 triệu USD), tổng thiệt hại 33,64 triệu USD, chiếm 22,73% tổng thiệt hại do các sự kiện Rug Pull.
Dự án Rug Pull trên Ethereum và BNB Chain chiếm 82,35% tổng số, lần lượt là 24 và 32 vụ, Scroll xảy ra 1 vụ Rug Pull trên 20 triệu USD. Một số lượng nhỏ các sự kiện Rug Pull cũng xảy ra trên các chuỗi khác như: Polygon, BASE, Solana, v.v.
10. Tổng kết tình hình an ninh blockchain Web3 năm 2024
Năm 2024, số lượng hoạt động tấn công tin tặc trên chuỗi và số vụ Rug Pull của dự án đều giảm rõ rệt so với năm 2023, nhưng tổng thiệt hại vẫn tăng, đồng thời các cuộc tấn công lừa đảo (phishing) ngày càng hoành hành. Hình thức tấn công gây thiệt hại lớn nhất vẫn là rò rỉ khóa riêng. Nguyên nhân chính dẫn đến sự thay đổi này bao gồm:
Sau các hoạt động tấn công sôi động năm ngoái, toàn bộ hệ sinh thái Web3 năm nay chú trọng hơn đến an ninh, từ phía dự án đến các công ty an ninh đều nỗ lực trên mọi phương diện như giám sát chuỗi thời gian thực, chú trọng kiểm toán an ninh hơn, tích cực rút kinh nghiệm từ các sự kiện khai thác lỗ hổng hợp đồng trước đó, khiến việc tin tặc đánh cắp tiền qua lỗ hổng hợp đồng trở nên khó khăn hơn năm ngoái. Tuy nhiên, các dự án vẫn cần tăng cường ý thức an ninh trong việc bảo quản khóa riêng và vận hành dự án.
Cùng với sự hội nhập giữa thị trường tiền mã hóa và thị trường truyền thống, tin tặc không còn giới hạn ở việc tấn công DeFi, cầu nối chéo chuỗi, sàn giao dịch... mà chuyển sang tấn công nhiều mục tiêu đa dạng như nền tảng thanh toán, nền tảng cờ bạc, nhà môi giới tiền mã hóa, cơ sở hạ tầng, trình quản lý mật khẩu, công cụ phát triển, robot MEV, robot Telegram, v.v.
Năm 2024-2025, thị trường tiền mã hóa bước vào thị trường tăng giá (bull market), dòng tiền trên chuỗi trở nên sôi động, điều này ở một mức độ nào đó sẽ thu hút thêm nhiều cuộc tấn công tin tặc. Ngoài ra, các khu vực đang dần hoàn thiện chính sách quản lý đối với tài sản mã hóa nhằm đấu tranh chống các tội phạm sử dụng tài sản mã hóa. Trong xu hướng này, dự kiến hoạt động tấn công của tin tặc trong năm 2025 sẽ tiếp tục ở mức cao, các cơ quan thực thi pháp luật và quản lý toàn cầu vẫn đối mặt với thách thức nghiêm trọng.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@Beosin_com
