Tổng hợp 10 sự kiện an ninh hàng đầu trong lĩnh vực Web3 năm 2024

Năm 2024, ngành công nghiệp blockchain không ngừng đổi mới, đồng thời cũng đối mặt với những thách thức an ninh ngày càng nghiêm trọng. Theo giám sát từ nền tảng dữ liệu, tính đến thời điểm hiện tại, tổng thiệt hại trong lĩnh vực Web3 vào năm 2024 do tấn công của hacker, lừa đảo qua thư điện tử và các dự án bỏ trốn đã lên tới 2,491 triệu USD.

Những sự kiện này không chỉ phơi bày những thiếu sót kỹ thuật trong quản lý khóa riêng, hợp đồng thông minh, mà còn làm nổi bật các rủi ro tiềm ẩn trong kỹ thuật xã hội và quản lý nội bộ. Hãy cùng nhìn lại top 10 sự kiện an ninh Web3 năm 2024, từ đó rút ra bài học để đối phó tốt hơn với các mối đe dọa an ninh trong tương lai.

1. Một sàn giao dịch Nhật Bản gặp phải cuộc tấn công lớn

Số tiền thiệt hại: 304 triệu USD Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 31 tháng 5 năm 2024, một sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản đã gặp phải một cuộc tấn công lịch sử. Kẻ tấn công đã sử dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu đô la Bitcoin và nhanh chóng phân tán số tiền bị đánh cắp vào hơn 10 địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh đa lớp. Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng quỹ, nhưng Bitcoin bị đánh cắp đã được phân tán và sử dụng công cụ trộn tiền để rửa, gây ra thách thức lớn cho công việc theo dõi.

Vào ngày 24 tháng 12, cảnh sát Nhật Bản xác định rằng sự kiện bị đánh cắp này là do một tổ chức hacker quốc tế thực hiện.

2. PlayDapp bị ảnh hưởng nặng nề

Số tiền tổn thất: 2.90 triệu đô la Mỹ Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 9 tháng 2 năm 2024, PlayDapp đã gặp phải một sự cố an ninh nghiêm trọng. Tin tặc đã đánh cắp chìa khóa riêng và đúc ra 2 tỷ đồng PLA, có giá trị ban đầu là 36,5 triệu đô la. Do bên dự án không thương lượng thành công với tin tặc, nên tin tặc đã tiếp tục đúc ra 15,9 tỷ đồng PLA, trị giá 253,9 triệu đô la. Một phần đồng tiền đã vào một sàn giao dịch, sau đó PlayDapp buộc phải tạm ngừng hợp đồng PLA và chuyển sang hợp đồng đồng tiền mới. Sự kiện này đã làm nổi bật những thiếu sót của các dự án blockchain trong việc bảo vệ chìa khóa riêng và xử lý khẩn cấp.

3. Sàn giao dịch tiền điện tử lớn nhất Ấn Độ gặp phải cuộc tấn công chính xác

Số tiền tổn thất: 235 triệu USD Hình thức tấn công: Tấn công mạng và lừa đảo

Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác bởi hacker. Kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để dụ dỗ những người ký đa chữ ký ký một giao dịch nâng cấp hợp đồng, sau đó lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển hết tài sản trong ví. Vụ việc này làm nổi bật những rủi ro tiềm ẩn của ví đa chữ ký trong việc quản lý cấu hình quyền hạn và tính minh bạch trong hoạt động, đồng thời gây ra sự suy ngẫm sâu sắc trong ngành về cơ chế kiểm soát nội bộ và an toàn của dự án.

4. Gala Games gặp phải cuộc tấn công phát hành token quá mức

Số tiền lỗ: 216 triệu USD Phương thức tấn công: Lỗ hổng kiểm soát truy cập

Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị hacker xâm nhập. Kẻ tấn công đã gọi hàm mint trong hợp đồng token, tạo ra 5 tỷ GALA token trong một lần. Sau đó, hacker đã đổi từng phần token vừa được phát hành thành ETH, gây ra thiệt hại trực tiếp lên đến 216 triệu USD. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một số tài khoản của hacker và đã thu hồi được một phần thiệt hại thông qua các biện pháp pháp lý.

5. Ví cá nhân của một người sáng lập tiền mã hóa nổi tiếng bị tấn công

Số tiền tổn thất: 1,12 triệu USD Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của một trong những người đồng sáng lập của một dự án tiền điện tử nổi tiếng đã bị tin tặc tấn công, dẫn đến việc 112 triệu USD tiền điện tử bị đánh cắp. Những ví này bị tấn công do thiếu bảo vệ kép từ thiết bị phần cứng. Sau sự kiện, một sàn giao dịch lớn đã thành công trong việc đóng băng 4,2 triệu USD tài sản bị đánh cắp và hỗ trợ theo dõi, nhưng phần lớn số tiền đã được rửa qua các sàn giao dịch phi tập trung và dịch vụ trộn coin.

6. Munchables gặp phải cuộc tấn công xâm nhập nội bộ

Số tiền thiệt hại: 6250 triệu đô la Mỹ Phương thức tấn công: Tấn công kỹ thuật xã hội

Vào ngày 26 tháng 3 năm 2024, nền tảng game Web3 dựa trên Blast, Munchables, đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm thấy. Kẻ tấn công đã ngụy trang thành một nhà phát triển blockchain và đã thu thập mã nguồn và khóa nhạy cảm qua thời gian dài ẩn náu. Mặc dù cuộc tấn công gây ra tổn thất lớn, nhưng dưới áp lực của cộng đồng và đội ngũ, hacker cuối cùng đã hoàn trả toàn bộ số tiền bị đánh cắp. Sự kiện này làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển bên thứ ba.

7. Sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ bị tấn công

Số tiền lỗ: 55 triệu USD Cách tấn công: Rò rỉ khóa riêng

Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ đã bị tấn công rò rỉ khóa riêng, dẫn đến thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự hỗ trợ của một sàn giao dịch lớn, 5,3 triệu USD tài sản bị đánh cắp đã được đóng băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng lo ngại của thị trường về quản lý khóa riêng của các sàn giao dịch tập trung.

8. Ví đa chữ ký Radiant Capital bị tấn công

Số tiền tổn thất: 53 triệu USD Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 17 tháng 10 năm 2024, ví đa chữ ký của Radiant Capital đã bị tấn công bởi hacker. Do sử dụng mô hình xác thực chữ ký 3/11 với ngưỡng thấp, hacker đã lấy được khóa riêng của 3 người ký và thực hiện chữ ký ngoài chuỗi, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, cuối cùng dẫn đến việc bị đánh cắp 53 triệu đô la. Cuộc tấn công này đã gây ra sự suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa chữ ký.

Cần lưu ý rằng Radiant Capital đã mất 4,5 triệu đô la do lỗ hổng hợp đồng trước khi cuộc tấn công này xảy ra, với hơn 1900 ETH bị đánh cắp. Điều này một lần nữa cho thấy mức độ quan tâm của các dự án Web3 đối với an ninh vẫn cần được nâng cao.

9. Hedgey Finance hợp đồng đa chuỗi bị tấn công

Số tiền lỗ: 44,7 triệu USD Phương thức tấn công: Lỗi hợp đồng

Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Kẻ tấn công đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút ra các token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên đến 44,7 triệu USD. Sự kiện này làm nổi bật tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh chặt chẽ logic phê duyệt token.

10. Ví nóng của một sàn giao dịch bị xâm nhập

Số tiền thua lỗ: 44,7 triệu USD Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 19 tháng 9 năm 2024, ví nóng của một sàn giao dịch đã bị tin tặc xâm nhập, liên quan đến nhiều chuỗi công khai như Ethereum, BNB Chain, Tron, v.v. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng tin tặc đã thành công trong việc rút ra tài sản trị giá 44,7 triệu USD. Cuộc tấn công lần này lại phản ánh tính rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, và thúc đẩy ngành công nghiệp khám phá các giải pháp lưu trữ tài sản an toàn hơn.

Các sự kiện tấn công an ninh xảy ra thường xuyên vào năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể thiếu sự bảo vệ an toàn. Từ việc lộ khóa riêng đến lỗ hổng hợp đồng, từ sự lơ là trong quản lý nội bộ đến sự nâng cấp của các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại những bài học sâu sắc. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần tiếp tục tăng cường đầu tư vào nghiên cứu công nghệ, quy chuẩn quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi mong muốn thông qua hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp bảo đảm đáng tin cậy hơn cho người dùng và nhà đầu tư.