Công nghệ tạm thời của Zero đã bắt đầu điểm đáng chú ý về sự kiện an ninh hàng tháng! Theo thống kê của một số nền tảng giám sát rủi ro an ninh blockchain, tổng số thiệt hại do lỗ hổng, Hacker và lừa đảo trong tháng 1 năm 2025 là khoảng 98 triệu đô la, có xảy ra 28 cuộc tấn công Hacker về Tiền điện tử, trong đó khoảng 8 triệu đô la được quy cho Lừa đảo. Tuy nhiên, so với tổn thất 1,33 tỷ đô la trong tháng 1 năm 2024, giảm 44,6%. Giảm 56% so với tổn thất 23,58 triệu đô la trong tháng 12 năm 2024.
Phía tấn công của Hacker
Sự kiện an ninh điển hình7xảy ra
(1) Vào ngày 8 tháng 1, người dùng của Orange Finance (một giao thức DeFi trên Arbitrum) đã bị đánh cắp hơn 800.000 đô la. Kẻ tấn công có thể truy cập vào các khóa quản lý của giao thức này và sử dụng chúng để thực hiện nâng cấp độc hại cho hợp đồng của giao thức, từ đó đánh cắp tất cả ví của người dùng mà hợp đồng này đã phê duyệt.
(2) Vào ngày 8 tháng 1, Moby đã xảy ra sự cố rò rỉ khóa riêng tư, ảnh hưởng đến một số tài sản LP trong một số giao thức. Họ cho biết đây không phải là vấn đề bảo mật liên quan đến hợp đồng thông minh của giao thức, mà là Hacker cố gắng ăn cắp tiền bằng cách nâng cấp đơn giản hợp đồng thông minh hiện có bằng cách sử dụng khóa riêng tư bị đánh cắp. Cuối cùng, tonykebot đã thực hiện một hoạt động cứu hộ bạch mã thành công bằng cách sử dụng UUPS không được bảo vệ đầy đủ, trả lại 1,47 triệu USDC mà Hacker của Moby đã lấy từ giao thức tùy chọn trên chuỗi tấn công trước đó cho chủ dự án.
(3) Vào ngày 13 tháng 1, theo dõi của nhóm an ninh công nghệ Zero Hour, UniLend trên chuỗi EVM bị tấn công, gây thiệt hại khoảng 19.7 nghìn đô la. Nguyên nhân của lỗ hổng lần này là Unilend không trừ đi số lượng cần rút khi thực hiện việc rút, dẫn đến việc tính toán sai số lượng tài sản thế chấp sau khi rút cao hơn số lượng tài sản thế chấp thực sự mà kẻ tấn công sở hữu, từ đó hoàn thành việc trao đổi mà không nên thành công. Kết quả cuối cùng là kẻ tấn công đã rút hết token stETH của dự án.
Bạn có thể nhấp vào liên kết sau để xem chi tiết phân tích cuộc tấn công:
Phân tích vụ tấn công của Zero Hour Technology || Unilend
(4) Vào ngày 15 tháng 1, nhóm giám sát dự án công nghệ Zero Hour đã phát hiện nhiều vụ tấn công nhằm vào dự án Sorra trên chuỗi Ethereum, gây ra tổng cộng 41,000 USD thiệt hại. Nguyên nhân của lỗ hổng lần này là do bên dự án Sorra không kiểm tra xem người dùng đã rút thưởng hay chưa khi thực hiện withdraw, dẫn đến người dùng có thể lặp lại việc rút thưởng thông qua các hành động lặp đi lặp lại. Kẻ tấn công đã tận dụng lỗ hổng trên để thực hiện nhiều giao dịch, rút toàn bộ SOR Token từ dự án Sorra.
Chi tiết phân tích cuộc tấn công có thể nhấn vào liên kết này:
Phân tích vụ tấn công SorraStaking của Công nghệ Zero Hour
(5) vào ngày 21 tháng 1, Forta đã phát hiện một lỗ hổng trị giá 324.000 đô la trên TheIdolsNFT.
Ngày 23 tháng 1, ví nóng của sàn giao dịch tiền điện tử Phemex có trụ sở tại Singapore đã bị tấn công, dẫn đến mất khoảng 70 triệu đô la Mỹ.
(7) Vào ngày 24 tháng 1, theo dõi của nhóm an ninh Mãnh Phù, do ODOS thiếu xác thực đầu vào, lỗ hổng này đã được lợi dụng trên nhiều chuỗi khối, gây thiệt hại khoảng 10.000 đô la Mỹ. ODOS đã tweet rằng cuộc tấn công này đã lợi dụng một lỗ hổng trong hợp đồng thực thi đã được kiểm tra của nó, đánh cắp thu nhập được lưu trữ trong hợp đồng nhưng không ảnh hưởng đến bất kỳ quỹ của người dùng nào.
( Rug Pull / Lừa đảo
10 vụ sự kiện an ninh điển hình
)1### ngày 2 tháng 1, một chủ sở hữu $VIRTUAL, người nắm giữ khoảng 39x (196.396 đô la) mã thông báo, đã mất tất cả các mã thông báo của mình do giao dịch lừa đảo "tăng giới hạn".
Trong tháng 1, lừa đảo tiền điện tử đã đánh cắp 10,25 triệu USD từ 9.220 nạn nhân, giảm 56% so với 23,58 triệu USD vào tháng 12. Tuy nhiên, tội phạm đang tiếp tục tiến hóa và sử dụng các phương pháp tấn công phức tạp hơn.
Nhóm an ninh của ZeroTech đề xuất cho các dự án luôn luôn cảnh giác và khuyến khích người dùng phòng tránh các cuộc tấn công lừa đảo. Người dùng nên tìm hiểu kỹ về nền tảng và nhóm dự án trước khi tham gia dự án và lựa chọn dự án đầu tư cẩn thận. Ngoài ra, cần tổ chức đào tạo an ninh nội bộ và quản lý quyền hạn, tìm kiếm một công ty an ninh chuyên nghiệp để kiểm tra và tiến hành điều tra nền tảng dự án trước khi triển khai dự án.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Báo cáo hàng tháng về tiền điện tử: Mất an ninh vốn trong tháng Giêng là khoảng 98 triệu đô la Mỹ, giảm mạnh so với cùng kỳ năm ngoái và theo tháng
Công nghệ tạm thời của Zero đã bắt đầu điểm đáng chú ý về sự kiện an ninh hàng tháng! Theo thống kê của một số nền tảng giám sát rủi ro an ninh blockchain, tổng số thiệt hại do lỗ hổng, Hacker và lừa đảo trong tháng 1 năm 2025 là khoảng 98 triệu đô la, có xảy ra 28 cuộc tấn công Hacker về Tiền điện tử, trong đó khoảng 8 triệu đô la được quy cho Lừa đảo. Tuy nhiên, so với tổn thất 1,33 tỷ đô la trong tháng 1 năm 2024, giảm 44,6%. Giảm 56% so với tổn thất 23,58 triệu đô la trong tháng 12 năm 2024.
Phía tấn công của Hacker
Sự kiện an ninh điển hình7 xảy ra
(1) Vào ngày 8 tháng 1, người dùng của Orange Finance (một giao thức DeFi trên Arbitrum) đã bị đánh cắp hơn 800.000 đô la. Kẻ tấn công có thể truy cập vào các khóa quản lý của giao thức này và sử dụng chúng để thực hiện nâng cấp độc hại cho hợp đồng của giao thức, từ đó đánh cắp tất cả ví của người dùng mà hợp đồng này đã phê duyệt.
(2) Vào ngày 8 tháng 1, Moby đã xảy ra sự cố rò rỉ khóa riêng tư, ảnh hưởng đến một số tài sản LP trong một số giao thức. Họ cho biết đây không phải là vấn đề bảo mật liên quan đến hợp đồng thông minh của giao thức, mà là Hacker cố gắng ăn cắp tiền bằng cách nâng cấp đơn giản hợp đồng thông minh hiện có bằng cách sử dụng khóa riêng tư bị đánh cắp. Cuối cùng, tonykebot đã thực hiện một hoạt động cứu hộ bạch mã thành công bằng cách sử dụng UUPS không được bảo vệ đầy đủ, trả lại 1,47 triệu USDC mà Hacker của Moby đã lấy từ giao thức tùy chọn trên chuỗi tấn công trước đó cho chủ dự án.
(3) Vào ngày 13 tháng 1, theo dõi của nhóm an ninh công nghệ Zero Hour, UniLend trên chuỗi EVM bị tấn công, gây thiệt hại khoảng 19.7 nghìn đô la. Nguyên nhân của lỗ hổng lần này là Unilend không trừ đi số lượng cần rút khi thực hiện việc rút, dẫn đến việc tính toán sai số lượng tài sản thế chấp sau khi rút cao hơn số lượng tài sản thế chấp thực sự mà kẻ tấn công sở hữu, từ đó hoàn thành việc trao đổi mà không nên thành công. Kết quả cuối cùng là kẻ tấn công đã rút hết token stETH của dự án.
Bạn có thể nhấp vào liên kết sau để xem chi tiết phân tích cuộc tấn công:
Phân tích vụ tấn công của Zero Hour Technology || Unilend
(4) Vào ngày 15 tháng 1, nhóm giám sát dự án công nghệ Zero Hour đã phát hiện nhiều vụ tấn công nhằm vào dự án Sorra trên chuỗi Ethereum, gây ra tổng cộng 41,000 USD thiệt hại. Nguyên nhân của lỗ hổng lần này là do bên dự án Sorra không kiểm tra xem người dùng đã rút thưởng hay chưa khi thực hiện withdraw, dẫn đến người dùng có thể lặp lại việc rút thưởng thông qua các hành động lặp đi lặp lại. Kẻ tấn công đã tận dụng lỗ hổng trên để thực hiện nhiều giao dịch, rút toàn bộ SOR Token từ dự án Sorra.
Chi tiết phân tích cuộc tấn công có thể nhấn vào liên kết này:
Phân tích vụ tấn công SorraStaking của Công nghệ Zero Hour
(5) vào ngày 21 tháng 1, Forta đã phát hiện một lỗ hổng trị giá 324.000 đô la trên TheIdolsNFT.
Ngày 23 tháng 1, ví nóng của sàn giao dịch tiền điện tử Phemex có trụ sở tại Singapore đã bị tấn công, dẫn đến mất khoảng 70 triệu đô la Mỹ.
(7) Vào ngày 24 tháng 1, theo dõi của nhóm an ninh Mãnh Phù, do ODOS thiếu xác thực đầu vào, lỗ hổng này đã được lợi dụng trên nhiều chuỗi khối, gây thiệt hại khoảng 10.000 đô la Mỹ. ODOS đã tweet rằng cuộc tấn công này đã lợi dụng một lỗ hổng trong hợp đồng thực thi đã được kiểm tra của nó, đánh cắp thu nhập được lưu trữ trong hợp đồng nhưng không ảnh hưởng đến bất kỳ quỹ của người dùng nào.
( Rug Pull / Lừa đảo
10 vụ sự kiện an ninh điển hình
)1### ngày 2 tháng 1, một chủ sở hữu $VIRTUAL, người nắm giữ khoảng 39x (196.396 đô la) mã thông báo, đã mất tất cả các mã thông báo của mình do giao dịch lừa đảo "tăng giới hạn".
(2) 1月3日,一名 $RLB 持有者因“Uniswap Permit2”Lừa đảo签名丢失了价值约 100 万美元的所有代币。
(3) Ngày 6 tháng 1, địa chỉ bắt đầu bằng 0x5167 đã mất giá trị 155.256 USD của EIGEN sau giao dịch "tăng phụ cấp" Lừa đảo.
(4) Vào ngày 7 tháng 1, địa chỉ bắt đầu bằng 0x8536 đã mất giá trị 103,020 đô la token sau giao dịch Lừa đảo "Uniswap Permit2".
(5) Ngày 8 tháng 1, địa chỉ bắt đầu bằng 0x3402 đã mất giá trị 474,422 đô la Mỹ của $OLAS, $SEKOIA, $VIRTUAL và $FJO sau khi ký nhiều chữ ký Lừa đảo.
(6) Ngày 14 tháng 1, địa chỉ bắt đầu bằng 0x00c0 đã mất giá trị 263,255 đô la Mỹ của $VIRTUAL sau giao dịch Lừa đảo.
(7) Vào ngày 17 tháng 1, địa chỉ bắt đầu bằng 0x80dc đã mất giá trị 426.106 USD của USUALUSDC+ sau khi ký Lừa đảo 'giấy phép'.
(8) 1月20日,0x1e70 开头地址在签署“允许”Lừa đảo签名后损失了价值 135,068 美元的 WETH。
(9) Vào ngày 22 tháng 1, địa chỉ bắt đầu bằng 0x3149 đã mất 553,045 đô la giá trị của $XG sau khi ký kết giao dịch "chuyển tiền" Lừa đảo.
(10) 1月29日,0xeb2 开头地址在签署“increaseApproval”Lừa đảo交易后损失了价值 384,645 美元的 $LINK。
( Tổng kết
Trong tháng 1, lừa đảo tiền điện tử đã đánh cắp 10,25 triệu USD từ 9.220 nạn nhân, giảm 56% so với 23,58 triệu USD vào tháng 12. Tuy nhiên, tội phạm đang tiếp tục tiến hóa và sử dụng các phương pháp tấn công phức tạp hơn.
Nhóm an ninh của ZeroTech đề xuất cho các dự án luôn luôn cảnh giác và khuyến khích người dùng phòng tránh các cuộc tấn công lừa đảo. Người dùng nên tìm hiểu kỹ về nền tảng và nhóm dự án trước khi tham gia dự án và lựa chọn dự án đầu tư cẩn thận. Ngoài ra, cần tổ chức đào tạo an ninh nội bộ và quản lý quyền hạn, tìm kiếm một công ty an ninh chuyên nghiệp để kiểm tra và tiến hành điều tra nền tảng dự án trước khi triển khai dự án.