Tổng hợp sự kiện an ninh Web3 năm 2024: Mười trường hợp tấn công hàng đầu và bài học rút ra

Năm 2024, ngành công nghiệp blockchain không chỉ đối mặt với những thách thức về an ninh ngày càng nghiêm trọng mà còn đang trong quá trình đổi mới công nghệ và mở rộng hệ sinh thái. Theo dữ liệu giám sát, tính đến cuối năm, tổng tổn thất trong lĩnh vực Web3 do các cuộc tấn công của hacker, lừa đảo qua email và các dự án bỏ trốn lên tới 2.491 triệu USD.

Những sự kiện này không chỉ phơi bày những lỗ hổng về quản lý khóa riêng, hợp đồng thông minh và các khía cạnh kỹ thuật khác, mà còn làm nổi bật những rủi ro tiềm ẩn từ kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ điểm lại mười sự kiện an ninh hàng đầu của Web3 trong năm 2024, nhằm giúp ngành học hỏi từ những bài học đó, để đối phó tốt hơn với các mối đe dọa an ninh trong tương lai.

1. DMM Bitcoin: Rò rỉ khóa riêng gây thiệt hại 304 triệu USD

Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử nổi tiếng Nhật Bản DMM Bitcoin đã gặp phải một sự cố bảo mật nghiêm trọng. Kẻ tấn công đã lợi dụng chìa khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin và nhanh chóng phân tán số tiền bị đánh cắp đến nhiều địa chỉ khác nhau. Cuộc tấn công này đã phơi bày sự thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý chìa khóa riêng và các biện pháp bảo mật đa lớp.

Mặc dù sàn giao dịch cố gắng truy tìm hacker thông qua việc giám sát trên chuỗi và đóng băng quỹ, nhưng do Bitcoin bị đánh cắp đã được chuyển giao phân tán và sử dụng công cụ trộn coin để rửa tiền, công việc truy tìm gặp phải thách thức lớn. Vào cuối năm, cảnh sát Nhật Bản xác nhận rằng sự việc này được tổ chức hacker Bắc Triều Tiên Lazarus Group lên kế hoạch và thực hiện.

2. PlayDapp: Lỗ hổng trong việc tiết lộ khóa riêng đã gây ra thiệt hại 290 triệu USD

Vào ngày 9 tháng 2 năm 2024, PlayDapp đã gặp phải một cú sốc lớn. Tin tặc đã khai thác bằng cách đánh cắp khóa riêng để đúc ra 2 tỷ mã thông báo PLA, có giá trị ban đầu là 36,5 triệu đô la. Do dự án không thể thương lượng thành công với tin tặc, chúng lại đúc thêm 15,9 tỷ mã thông báo PLA trong thời gian ngắn, có giá trị 253,9 triệu đô la. Một phần mã thông báo đã được đưa vào sàn giao dịch, PlayDapp buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng mã thông báo mới. Sự kiện này đã làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ khóa riêng và xử lý tình huống khẩn cấp.

3. Một sàn giao dịch Ấn Độ: Cuộc tấn công kỹ thuật xã hội gây thiệt hại 235 triệu USD

Vào ngày 18 tháng 7 năm 2024, ví đa ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác bởi hacker. Kẻ tấn công đã sử dụng các biện pháp kỹ thuật xã hội để dụ dỗ những người ký đa ký ký vào một giao dịch nâng cấp hợp đồng, sau đó đã lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví. Vụ việc này đã làm lộ ra những rủi ro tiềm ẩn của ví đa ký trong việc quản lý cấu hình quyền hạn và tính minh bạch trong hoạt động, đồng thời cũng đã gây ra những suy ngẫm sâu sắc trong ngành về cơ chế kiểm soát rủi ro và an ninh nội bộ của các dự án.

4. Gala Games: Lỗ hổng kiểm soát truy cập dẫn đến thiệt hại 216 triệu USD

Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị tin tặc tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng token, một lần đã đúc ra 5 tỷ token GALA. Sau đó, tin tặc đã từng bước đổi những token này thành ETH, trực tiếp gây ra tổn thất 216 triệu đô la. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một số tài khoản của tin tặc và đã khôi phục một phần tổn thất thông qua các biện pháp pháp lý.

5. Người đồng sáng lập Ripple: Rò rỉ khóa riêng dẫn đến việc 1.12 triệu USD XRP bị đánh cắp

Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của đồng sáng lập Ripple đã bị hacker tấn công, dẫn đến việc 112 triệu USD XRP bị đánh cắp. Những ví này có thể đã trở thành mục tiêu tấn công do thiếu bảo vệ kép bằng thiết bị phần cứng. Sau sự kiện, một sàn giao dịch đã thành công trong việc đóng băng 4,2 triệu USD XRP và hỗ trợ truy tìm tài sản bị đánh cắp, nhưng phần lớn số tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn.

6. Munchables: Thiệt hại 62,5 triệu USD do tấn công xâm nhập nội bộ

Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast là Munchables đã gặp phải một cuộc tấn công thâm nhập nội bộ hiếm hoi. Kẻ tấn công là một hacker ngụy trang thành nhà phát triển blockchain, đã thâm nhập lâu dài để lấy cắp mã nguồn chính và các khóa nhạy cảm. Mặc dù cuộc tấn công gây ra thiệt hại lớn, nhưng dưới áp lực của cộng đồng và đội ngũ, hacker cuối cùng đã trả lại tất cả số tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển từ bên thứ ba.

7. Một sàn giao dịch ở Thổ Nhĩ Kỳ: Rò rỉ khóa riêng dẫn đến thiệt hại 55 triệu đô la

Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất của Thổ Nhĩ Kỳ đã bị tấn công do rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Nhờ sự hỗ trợ của một đội ngũ từ một sàn giao dịch, 5,3 triệu USD số tiền bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm tăng thêm mối lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.

8. Radiant Capital: Ví đa chữ ký bị tấn công gây thiệt hại 53 triệu USD

Vào ngày 17 tháng 10 năm 2024, ví đa ký quỹ của Radiant Capital đã bị hacker tấn công. Do sử dụng mô hình xác thực chữ ký 3/11 với rào cản thấp, hacker đã nắm giữ 3 khóa riêng của các ký giả để phát động chữ ký ngoài chuỗi, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, dẫn đến việc bị đánh cắp 53 triệu đô la. Cuộc tấn công này đã gây ra sự phản ánh trong ngành về thiết kế và cơ chế quản trị của ví đa ký.

Cần lưu ý rằng Radiant Capital đã bị mất 4,5 triệu đô la do lỗ hổng hợp đồng trước khi vụ tấn công này xảy ra, với hơn 1900 ETH bị đánh cắp. Điều này một lần nữa chỉ ra rằng các dự án Web3 cần nâng cao mức độ chú trọng đến an ninh.

9. Hedgey Finance: Lỗ hổng hợp đồng dẫn đến thiệt hại 44,7 triệu đô la

Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Hacker đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút được token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên đến 44,7 triệu USD. Sự kiện này làm nổi bật tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh nghiêm ngặt logic phê duyệt token.

10. Nền tảng giao dịch: Ví nóng bị xâm nhập mất 44,7 triệu đô la

Vào ngày 19 tháng 9 năm 2024, ví nóng của một nền tảng giao dịch đã bị tin tặc xâm nhập, các chuỗi liên quan bao gồm Ethereum, BNB Chain, Tron và nhiều chuỗi công khai khác. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng tin tặc đã thành công trong việc rút ra tài sản trị giá 44,7 triệu đô la. Cuộc tấn công này phản ánh độ rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, và thúc đẩy ngành công nghiệp khám phá các giải pháp lưu trữ tài sản an toàn hơn.

Kết luận

Các sự kiện tấn công an ninh thường xuyên xảy ra trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo vệ an toàn. Từ việc rò rỉ khóa riêng đến lỗi hợp đồng, từ sự lơ là trong quản lý nội bộ đến việc nâng cấp các phương thức tấn công từ bên ngoài, mỗi sự kiện đều mang lại những bài học sâu sắc. Để đối phó với các mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi hy vọng thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo vệ đáng tin cậy hơn cho người dùng và nhà đầu tư.