Lời tựa
Báo cáo nghiên cứu này được khởi xướng bởi Liên minh Bảo mật Blockchain và được tạo ra chung bởi các thành viên của nó là Beosin và Footprint Analytics. Mục tiêu của nó là cung cấp một khám phá toàn diện về cảnh quan bảo mật blockchain toàn cầu vào năm 2024. Qua việc phân tích và đánh giá tình trạng bảo mật blockchain hiện tại trên toàn thế giới, báo cáo sẽ tiết lộ những thách thức và mối đe dọa về bảo mật mà chúng ta đang đối mặt hiện nay, đồng thời đưa ra các giải pháp và các thực hành tốt nhất. Với báo cáo này, độc giả sẽ có được hiểu biết toàn diện hơn về sự tiến hóa động lực của bảo mật blockchain Web3. Điều này sẽ giúp độc giả đánh giá và giải quyết những thách thức về bảo mật đang đối mặt trong không gian blockchain. Ngoài ra, báo cáo cung cấp những thông tin quý giá về biện pháp bảo mật và xu hướng phát triển ngành công nghiệp, giúp độc giả đưa ra quyết định và hành động thông minh trong lĩnh vực mới nổi này. Bảo mật và quy định blockchain là những vấn đề quan trọng trong sự phát triển của kỷ nguyên Web3. Qua nghiên cứu và thảo luận sâu sát, chúng ta có thể hiểu và đối phó với những thách thức này, thúc đẩy sự phát triển bảo mật và bền vững của công nghệ blockchain.
Theo giám sát của nền tảng Alert dưới công ty kiểm toán bảo mật Beosin, tổng số thiệt hại trong không gian Web3 vào năm 2024 do các cuộc tấn công của hacker, các vụ lừa đảo phishing và các vụ rút tiền bất ngờ của các nhóm dự án đã đạt 2.513 tỷ đô la. Trong số đó, có 131 vụ tấn công lớn, gây thiệt hại khoảng 1.792 tỷ đô la; có 68 vụ rút tiền bất ngờ của các nhóm dự án, với tổng số thiệt hại khoảng 148 triệu đô la; và các vụ lừa đảo phishing đã gây tổng thiệt hại khoảng 574 triệu đô la.
Vào năm 2024, cả cuộc tấn công của hacker và các trò lừa đảo phishing đã tăng đáng kể so với năm 2023, với trò lừa đảo phishing tăng lên đến 140,66%. Các mất mát từ các sự cố rug pull của nhóm dự án đã giảm đáng kể, giảm khoảng 61,94%.
Vào năm 2024, các loại dự án bị tác động bởi các cuộc tấn công bao gồm DeFi, CEX, DEX, chuỗi công cộng, cầu nối qua chuỗi, ví, nền tảng thanh toán, nền tảng cá cược, các sàn môi giới tiền điện tử, cơ sở hạ tầng, các công cụ quản lý mật khẩu, các công cụ phát triển, bot MEV, bot TG, và các dự án khác. DeFi là loại dự án bị tấn công nhiều nhất, với 75 cuộc tấn công vào DeFi gây tổn thất tổng cộng khoảng 390 triệu đô la. CEX có số lượng tổn thất tổng cộng cao nhất, với 10 cuộc tấn công vào CEX dẫn đến tổn thất khoảng 724 triệu đô la.
Trong năm 2024, các cuộc tấn công đã xảy ra trên nhiều loại chuỗi công cộng, với nhiều sự cố bảo mật liên quan đến việc trộm cắp trên các chuỗi khác nhau. Ethereum vẫn là chuỗi công cộng có số tiền mất mát cao nhất, với 66 cuộc tấn công trên Ethereum dẫn đến mất mát khoảng 844 triệu đô la, chiếm 33,57% tổng số tiền mất mát trong năm.
Từ góc độ của các phương pháp tấn công, 35 vụ rò rỉ khóa riêng tư đã gây thiệt hại khoảng 1,306 tỷ đô la, chiếm 51,96% tổng số thiệt hại, khiến nó trở thành phương pháp tấn công gây thiệt hại nhiều nhất.
Việc khai thác các lỗ hổng hợp đồng là phương pháp tấn công phổ biến nhất, với 76 trong số 131 cuộc tấn công bắt nguồn từ các lỗ hổng hợp đồng, chiếm 58,02% tổng số sự cố.
Khoảng 531 triệu đô la trong số tiền bị đánh cắp đã được khôi phục, chiếm khoảng 21,13%. Khoảng 109 triệu đô la tiền bị đánh cắp đã được chuyển vào các trộn, chiếm khoảng 4,34% tổng số tiền bị đánh cắp, giảm khoảng 66,97% so với năm 2023.
Năm 2024, đã có 5 vụ tấn công lớn với tổn thất vượt quá 100 triệu đô la: DMM Bitcoin (304 triệu đô la), PlayDapp (290 triệu đô la), WazirX (235 triệu đô la), Gala Games (216 triệu đô la) và vụ đánh cắp của Chris Larsen (112 triệu đô la). Tổng số lỗ hỏng từ 10 vụ vi phạm bảo mật hàng đầu lên đến khoảng 1,417 tỷ đô la, chiếm khoảng 79,07% tổng số lỗ hỏng tấn công hàng năm.
Phương pháp tấn công: Rò rỉ khóa riêng tư
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử DMM Bitcoin của Nhật Bản đã bị tấn công và hơn 304 triệu đô la Bitcoin đã bị đánh cắp. Những kẻ tấn công đã phân tán số tiền bị đánh cắp qua hơn 10 địa chỉ nhằm mục đích rửa tiền.
Mất: $290 triệu
Phương pháp tấn công: Rò rỉ khóa riêng tư
Vào ngày 9 tháng 2 năm 2024, nền tảng chơi game trên blockchain PlayDapp đã bị tấn công, với hacker tạo ra 2 tỷ token PLA trị giá 36,5 triệu đô la. Sau khi thương lượng với PlayDapp thất bại, vào ngày 12 tháng 2, hacker tạo ra thêm 15,9 tỷ token PLA trị giá 253,9 triệu đô la và gửi một phần quỹ đến sàn giao dịch gate. Sau đó, PlayDapp tạm dừng hợp đồng PLA và chuyển đổi token PLA thành token PDA.
Số tiền thua lỗ: $235 triệu
Phương pháp tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký của sàn giao dịch tiền điện tử Ấn Độ WazirX đã bị đánh cắp, dẫn đến mất hơn 235 triệu đô la. Ví đa chữ ký là một hợp đồng thông minh Ví An toàn. Kẻ tấn công đã lừa các người ký đa chữ ký để ký một giao dịch nâng cấp, và thông qua hợp đồng được nâng cấp, chuyển tài sản trực tiếp từ ví.
Số tiền thua lỗ: $216 triệu
Phương pháp tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị xâm phạm. Kẻ tấn công đã sử dụng địa chỉ này để gọi chức năng mint và trực tiếp minted 5 tỷ token GALA trị giá khoảng 216 triệu đô la, chuyển đổi các token đã minted thành ETH theo từng lô. Đội ngũ Gala Games sau đó đã sử dụng chức năng blacklist để chặn kẻ tấn công và khôi phục lại những tổn thất.
Số tiền mất: $112 triệu
Phương pháp tấn công: Rò rỉ Khóa riêng tư
Vào ngày 31 tháng 1 năm 2024, người đồng sáng lập Ripple là Chris Larsen đã báo cáo rằng bốn ví của ông đã bị xâm nhập, dẫn đến tổn thất tổng cộng khoảng 112 triệu đô la. Đội ngũ của Binance đã thành công trong việc đóng băng 4,2 triệu đô la giá trị của các token XRP bị đánh cắp.
Số tiền thua lỗ: $62.5 triệu
Phương pháp tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng chơi game Web3 Munchables, dựa trên Blast, đã bị tấn công, dẫn đến mất khoảng 62,5 triệu đô la. Dự án bị tấn công bởi vì nó thuê hacker Bắc Triều Tiên làm nhà phát triển. Tất cả số tiền bị đánh cắp cuối cùng đã được trả lại bởi các hacker.
Số tiền mất: $55 triệu
Phương pháp tấn công: Rò rỉ Khóa riêng tư
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử Thổ Nhĩ Kỳ BTCTurk bị tấn công, dẫn đến mất khoảng 55 triệu đô la. Binance đã hỗ trợ đóng băng hơn 5,3 triệu đô la của số tiền bị đánh cắp.
Số tiền thua lỗ: $53 triệu
Phương pháp tấn công: Rò rỉ khóa riêng tư
Vào ngày 17 tháng 10 năm 2024, giao thức cho vay đa chuỗi Radiant Capital đã bị tấn công. Kẻ tấn công trái phép có được sự cho phép của 3 chủ sở hữu của ví đa chữ ký của Radiant Capital. Ví đa chữ ký sử dụng mô hình xác thực 3/11 chữ ký, và kẻ tấn công sử dụng 3 khóa riêng tư để ký ngoại tuyến. Kẻ tấn công sau đó khởi xướng một giao dịch trên chuỗi để chuyển quyền sở hữu của hợp đồng Radiant Capital sang một hợp đồng độc hại dưới sự kiểm soát của kẻ tấn công, gây ra mất mát hơn 53 triệu đô la.
Số tiền thất thoát: $44.7 triệu
Phương thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã bị tấn công nhiều lần bởi một kẻ tấn công. Kẻ tấn công đã lợi dụng một lỗ hổng xác nhận mã thông báo để đánh cắp một lượng lớn mã thông báo từ hợp đồng ClaimCampaigns, bao gồm các mã thông báo trị giá hơn 2,1 triệu đô la bị đánh cắp từ chuỗi Ethereum và các mã thông báo trị giá khoảng 42,6 triệu đô la bị đánh cắp từ chuỗi Arbitrum.
Số tiền thua lỗ: $44.7 triệu
Phương thức tấn công: Rò rỉ khóa riêng tư
Vào ngày 19 tháng 9 năm 2024, ví nóng của sàn giao dịch BingX đã bị tấn công. Mặc dù BingX đã kích hoạt biện pháp khẩn cấp, bao gồm chuyển tài sản và tạm ngừng rút tiền, số liệu của Beosin cho thấy tổng thiệt hại từ sự rò rỉ tài sản bất thường từ ví nóng lên đến 44,7 triệu USD. Tài sản bị đánh cắp liên quan đến nhiều chuỗi khối, bao gồm Ethereum, BNB Chain, Tron, Polygon, Avalanche và Base.
Vào năm 2024, các dự án bị tấn công không chỉ bao gồm các loại phổ biến như DeFi, CEX, DEX, chuỗi công cộng và cầu nối liên chuỗi, mà còn mở rộng sang các nền tảng thanh toán, nền tảng đánh bạc, sàn giao dịch tiền điện tử, cơ sở hạ tầng, quản lý mật khẩu, công cụ phát triển, bot MEV, bot TG và các loại dự án khác.
Trong năm 2024, đã xảy ra 75 vụ tấn công vào dự án DeFi, là loại dự án bị tấn công nhiều nhất (khoảng 50.70%). Tổng số thiệt hại từ các vụ tấn công DeFi là khoảng 390 triệu đô la, chiếm khoảng 15.50% tổng số thiệt hại, là loại dự án thứ tư về số lượng thiệt hại.
Loại dự án có tổn thất cao nhất là CEX (sàn giao dịch tập trung). Mười cuộc tấn công vào CEX đã gây thiệt hại khoảng 724 triệu đô la, biến nó thành loại dự án có số lỗ cao nhất. Tổng thể, sàn giao dịch là loại dự án bị tấn công nhiều nhất trong năm 2024, và an ninh sàn giao dịch vẫn là thách thức lớn nhất trong hệ sinh thái Web3.
Mất lớn thứ hai đến từ ví cá nhân, với tổng số tiền mất khoảng 445 triệu đô la. Mười hai cuộc tấn công nhắm vào các cá voi tiền điện tử, cùng với nhiều cuộc tấn công lừa đảo và kỹ thuật xã hội đối với người dùng thông thường, dẫn đến sự tăng 464,72% trong tổng số tiền mất từ ví cá nhân so với năm 2023, khiến an ninh ví cá nhân trở thành thách thức lớn thứ hai sau an ninh sàn giao dịch.
So với năm 2023, các loại chuỗi công cộng bị tấn công vào năm 2024 đa dạng hơn. Năm chuỗi hàng đầu theo số lượng thua lỗ là Ethereum, Bitcoin, Arbitrum, Ripple và Blast.
Sáu chuỗi hàng đầu theo số sự kiện tấn công là:
Ethereum, Chuỗi BNB, Arbitrum, Các Mạng Khác, Cơ Sở, và Solana.
Vào năm 2023, Ethereum vẫn là chuỗi có số lượng tổn thất cao nhất. Sáu mươi sáu cuộc tấn công vào Ethereum gây ra khoảng 844 triệu đô la Mỹ tổn thất, chiếm 33,59% tổng số tổn thất hàng năm.
Lưu ý: Dữ liệu tổng số thiệt hại không bao gồm thiệt hại do lừa đảo trên chuỗi và một số thiệt hại của ví nóng CEX. Thiệt hại mạng Bitcoin xếp thứ hai, với một sự cố bảo mật đơn lẻ gây ra tổn thất 238 triệu đô la. Arbitrum xếp thứ ba, với tổng số thiệt hại khoảng 114 triệu đô la.
Các phương pháp tấn công vào năm 2024 đã được đa dạng hóa. Ngoài các cuộc tấn công sử dụng lỗ hổng hợp đồng phổ biến, đã sử dụng một số phương pháp khác, bao gồm tấn công chuỗi cung ứng, tấn công nhà cung cấp dịch vụ bên thứ ba, tấn công man-in-the-middle, tấn công DNS và tấn công front-end.
Vào năm 2024, 35 vụ rò rỉ khóa riêng tư đã gây tổng thiệt hại 1,306 tỷ đô la, chiếm 51,96% tổng số thiệt hại, khiến nó trở thành phương pháp tấn công gây thiệt hại nhiều nhất. Các vụ rò rỉ khóa riêng tư đáng chú ý bao gồm: DMM Bitcoin ($304 triệu), PlayDapp ($290 triệu), người đồng sáng lập Ripple Chris Larsen ($112 triệu), BTCTurk ($55 triệu), Radiant Capital ($53 triệu), BingX ($44,7 triệu), và DEXX ($21 triệu).
Khai thác lỗ hổng hợp đồng là phương pháp tấn công phổ biến nhất. Trong tổng số 131 vụ tấn công, có 76 vụ do lỗ hổng hợp đồng, chiếm tỷ lệ 58,02% trong tổng số. Tổng số tiền mất mát do lỗ hổng hợp đồng là khoảng 321 triệu đô la, xếp thứ ba về số tiền mất mát.
Về các lỗ hổng cụ thể, các sự cố thường xuyên và có tổn thất cao nhất là do các lỗ hổng về logic kinh doanh. Khoảng 53,95% tổn thất từ các lỗ hổng hợp đồng được gây ra bởi các lỗi về logic kinh doanh, dẫn đến một mức tổn thất khoảng 158 triệu đô la.
Vào ngày 17 tháng 11 năm 2024, hệ thống giám sát Beosin Alert đã phát hiện một cuộc tấn công vào Polter Finance, một giao thức cho vay trên chuỗi FTM. Kẻ tấn công đã thao túng giá token trong hợp đồng dự án để kiếm lợi bằng cách sử dụng flash loan.
Hợp đồng LendingPool bị tấn công (0xd47ae558623638f676c1e38dad71b53054f54273) đã sử dụng 0x6808b5ce79d44e89883c5393b487c4296abb69fe làm oracle. Oracle này sử dụng một hợp đồng price-feed (0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe) vừa được triển khai gần đây, tính toán giá dựa trên token reserves trong hợp đồng uniswapV2_pair (0xEc71), một hợp đồng dễ bị tấn công bởi flash loan.
Kẻ tấn công đã sử dụng một khoản vay flash để tăng giá token $BOO một cách nhân tạo và vay các tài sản tiền điện tử khác. Tiền bị đánh cắp sau đó được chuyển đổi thành token FTM và được chuyển chuỗi sang chuỗi ETH, nơi mà tất cả tiền được lưu trữ. Dưới đây là một sơ đồ dòng chảy minh họa việc di chuyển quỹ trên chuỗi ARB và ETH:
Vào ngày 20 tháng 11, kẻ tấn công tiếp tục chuyển hơn 2.625 ETH vào Tornado Cash, như được hiển thị trong sơ đồ dưới đây:
Ngày 23 tháng 2 năm 2024, nhà điều tra blockchain nổi tiếng ZachXBT tiết lộ qua công cụ phân tích của mình rằng ví nóng của BitForex đã mất 56,5 triệu đô la và nền tảng đã tạm ngừng dịch vụ rút tiền trong quá trình này.
Đội an ninh của Beosin đã tiến hành theo dõi và phân tích sâu vụ việc BitForex bằng cách sử dụng Trace:
Ethereum
Vào ngày 24 tháng 2 năm 2024, lúc 6:11 sáng (UTC + 8), BitForex bắt đầu chuyển 40.771 USDT, 258.700 USDC, 148,01 ETH và 471.405 TRB sang địa chỉ thoát Ethereum (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f).
Vào ngày 9 tháng 8, địa chỉ rời đi chuyển tất cả các token, trừ TRB, trở lại tài khoản của BitForex (0xcce7300829f49b8f2e4aee6123b12da64662a8b8).
Từ ngày 9 tháng 11 đến ngày 10 tháng 11, địa chỉ đích chuyển 355.000 TRB đến bốn địa chỉ người dùng OKX khác nhau thông qua bảy giao dịch:
0x274c481bf400c2abfd2b5e648a0056ef34970b0a
0x45798ca76a589647acc21040c50562dcc33cf6bf
0x712d2fd67fe65510c5fad49d5a9181514d94183d
0xe8ec263ad9ee6947bf773837a2c86dff3a737bba
Sau đó, địa chỉ đích chuyển số dư còn lại 116.414,93 TRB đến một địa chỉ trung gian (0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e), sau đó được chia thành hai giao dịch và gửi đến hai địa chỉ người dùng Binance khác nhau:
0x431c916ef45e660dae7cd7184e3226a72fa50c0c
0xe7b1fb77baaa3bba9326af2af3cd5857256519df
BNB Chain
Vào ngày 24 tháng 2, BitForex đã rút 166 ETH, 46.905 USDT và 57.810 USDC đến địa chỉ chuỗi BNB (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f), nơi nó hiện đang nằm.
Polygon
Vào ngày 24 tháng 2, BitForex đã rút 99.000 MATIC, 20.300 USDT và 1.700 USDC đến địa chỉ chuỗi Polygon (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f).
Trong số 99.000 MATIC, 8.000 đã được chuyển đến địa chỉ 0xcce7300829f49b8f2e4aee6123b12da64662a8b8 vào ngày 9 tháng 8, nơi chúng vẫn còn, và phần còn lại của các token USDT và USDC cũng vẫn còn.
TRON
Vào ngày 24 tháng 2, BitForex đã rút 44.000 TRX và 657.698 USDT vào một địa chỉ chuỗi TRON (TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o).
Ngày 9 tháng 8, tất cả các token này đã được chuyển trở lại địa chỉ người dùng của BitForex (TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo).
Bitcoin
Bắt đầu từ ngày 24 tháng 2, 16 địa chỉ BitForex bắt đầu chuyển tổng cộng 5,7 BTC đến địa chỉ chuỗi BTC (3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2).
Vào ngày 9 tháng 8, toàn bộ 5.7 BTC đã được chuyển trả hoàn toàn về địa chỉ của BitForex (11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz).
Tóm lại, vào ngày 24 tháng 2, BitForex chuyển 40.771 USDT, 258.700 USDC, 148,01 ETH và 471.405 TRB sang chuỗi Ethereum; 44.000 TRX và 657.698 USDT sang chuỗi TRON; 5,7 BTC sang chuỗi BTC; 166 ETH, 46.905 USDT và 57.810 USDC sang chuỗi BNB; và 99.000 MATIC, 20.300 USDT và 1.700 USDC sang chuỗi Polygon.
Vào ngày 9 tháng 8, tất cả các token trên chuỗi BTC, chuỗi TRON và chuỗi Ethereum (ngoại trừ TRB) đã được chuyển trở lại cho BitForex. Vào ngày 9 và 10 tháng 11, tổng số 471.405 TRB đã được chuyển đến bốn tài khoản OKX và hai tài khoản Binance.
Do đó, tất cả các token trên các chuỗi ETH, TRON và BTC đã được chuyển, và trên BSC, còn lại 166 ETH, 46,905 USDT và 57,810 USDC, trong khi trên POL, còn lại 99,000 MATIC, 20,300 USDT và 1,700 USDC.
Địa chỉ gửi TRB đã đính kèm:
Vào năm 2024, khoảng 1,312 tỷ USD của số tiền bị đánh cắp vẫn còn ở trong các địa chỉ của hacker (bao gồm cả số tiền được chuyển qua các chuỗi và phân tán đến nhiều địa chỉ), chiếm 52,20% tổng số tiền bị đánh cắp. So với năm trước, hacker năm nay đã có xu hướng rửa tiền thông qua nhiều giao dịch chuyển chuỗi và phân tán tài sản bị đánh cắp qua nhiều địa chỉ, thay vì trực tiếp sử dụng mixers. Số lượng địa chỉ tăng lên và sự phức tạp của các con đường rửa tiền không nghi ngờ đã làm tăng sự khó khăn cho các nhóm dự án và cơ quan quản lý trong việc điều tra những hoạt động này.
Khoảng 531 triệu đô la của số tiền bị đánh cắp đã được thu hồi, chiếm khoảng 21,13%. Vào năm 2023, số tiền được thu hồi là khoảng 295 triệu đô la.
Trong suốt năm, khoảng 109 triệu đô la của số tiền bị đánh cắp đã được chuyển vào các máy trộn, chiếm khoảng 4,34% tổng số tiền bị đánh cắp. Kể từ khi Cục OFAC của Mỹ áp đặt lệnh trừng phạt Tornado Cash vào tháng 8 năm 2022, số tiền bị đánh cắp chuyển vào Tornado Cash đã giảm đáng kể.
Trong số 131 vụ tấn công, có 42 vụ liên quan đến các dự án chưa được kiểm toán, 78 vụ liên quan đến các dự án đã được kiểm toán, và 11 vụ có trạng thái kiểm toán không rõ ràng.
Trong số 42 dự án chưa được kiểm toán, có 30 sự cố (khoảng 71,43%) liên quan đến lỗ hổng hợp đồng. Điều này cho thấy các dự án chưa được kiểm toán có thể có nguy cơ an ninh tiềm ẩn. Trái lại, trong số 78 dự án đã được kiểm toán, có 49 sự cố (khoảng 62,82%) liên quan đến lỗ hổng hợp đồng. Điều này cho thấy kiểm toán có thể cải thiện an ninh dự án một phần.
Tuy nhiên, do thiếu tiêu chuẩn toàn diện trong thị trường Web3, chất lượng của việc kiểm toán là không đồng đều, và kết quả thường không đạt được kỳ vọng. Để bảo vệ an toàn tài sản một cách hiệu quả, đề xuất rằng các dự án nên tìm kiếm các công ty an ninh chuyên nghiệp để kiểm toán trước khi triển khai.
Vào năm 2024, nền tảng Cảnh báo Beosin đã giám sát tổng cộng 68 vụ việc Rút lịch trình lớn trong hệ sinh thái Web3, với tổng giá trị khoảng 148 triệu đô la. Điều này đại diện cho một sự giảm đáng kể so với 388 triệu đô la vào năm 2023.
Về mặt giá trị, trong số 68 vụ Rug Pull, có 9 dự án gặp tổn thất vượt quá 1 triệu đô la. Đó là: Essence Finance (20 triệu đô la), Shido Global (2,4 triệu đô la), ETHTrustFund (2,2 triệu đô la), Nexera (1,8 triệu đô la), Grand Base (1,7 triệu đô la), SAGA Token (1,6 triệu đô la), OrdiZK (1,4 triệu đô la), MangoFarmSOL (1,29 triệu đô la) và RiskOnBlast (1,25 triệu đô la). Tổng tổn thất cho 9 vụ việc này là 33,64 triệu đô la, chiếm 22,73% tổng số tổn thất từ tất cả các vụ Rug Pull.
Các dự án Rug Pull trên Ethereum và Chuỗi BNB chiếm 82,35% tổng số, với 24 sự cố trên Ethereum và 32 trên Chuỗi BNB. Ngoài ra, một sự cố vượt quá 20 triệu đô la đã xảy ra trên Scroll. Các blockchain công cộng khác, bao gồm Polygon, BASE và Solana, cũng đã trải qua một số sự kiện Rug Pull nhỏ.
Vào năm 2024, các hoạt động hack trên chuỗi và các sự cố Rug Pull trong hệ sinh thái Web3 giảm đáng kể so với năm 2023. Tuy nhiên, số lượng thiệt hại tiếp tục tăng và các cuộc tấn công lừa đảo trở nên phổ biến hơn. Phương pháp tấn công gây tổn thất cao nhất vẫn là rò rỉ khóa riêng tư. Những lý do chính cho sự thay đổi này bao gồm:
Sau những hoạt động của hacker lan tràn vào năm ngoái, cả hệ sinh thái Web3 đã tập trung nhiều hơn vào bảo mật trong năm 2024. Các nỗ lực từ các nhóm dự án đến các công ty bảo mật đã được thực hiện ở các khía cạnh khác nhau, chẳng hạn như giám sát trên chuỗi thời gian thực, tăng cường sự chú ý đến kiểm tra bảo mật và tích cực học hỏi từ những lỗ hổng trên hợp đồng của quá khứ. Điều này đã làm cho việc hacker đánh cắp tiền thông qua các lỗ hổng trên hợp đồng khó hơn so với năm ngoái. Tuy nhiên, các nhóm dự án vẫn cần tăng cường nhận thức về quản lý khóa riêng tư và bảo mật hoạt động.
Với sự tích hợp của thị trường tiền điện tử và thị trường truyền thống, hacker không còn bị giới hạn chỉ tấn công vào DeFi, cầu nối cross-chain, sàn giao dịch, v.v., mà đã chuyển sang nhắm vào các nền tảng thanh toán, nền tảng cờ bạc, sàn môi giới tiền điện tử, cơ sở hạ tầng, quản lý mật khẩu, công cụ phát triển, bot MEV, bot TG, và các mục tiêu đa dạng khác.
Vào năm 2024-2025, khi thị trường tiền điện tử bước vào một thị trường tăng trưởng và quỹ on-chain trở nên hoạt động hơn, điều này sẽ thu hút nhiều cuộc tấn công của hacker hơn. Ngoài ra, các quy định về tài sản tiền điện tử tại các khu vực đang dần được cải thiện để chống lại các tội phạm liên quan đến tài sản tiền điện tử. Dưới xu hướng này, các hoạt động của hacker dự kiến sẽ vẫn duy trì ở mức cao vào năm 2025, và các cơ quan chức năng toàn cầu vẫn sẽ đối mặt với những thách thức nghiêm trọng.
Share
Content
Lời tựa
Báo cáo nghiên cứu này được khởi xướng bởi Liên minh Bảo mật Blockchain và được tạo ra chung bởi các thành viên của nó là Beosin và Footprint Analytics. Mục tiêu của nó là cung cấp một khám phá toàn diện về cảnh quan bảo mật blockchain toàn cầu vào năm 2024. Qua việc phân tích và đánh giá tình trạng bảo mật blockchain hiện tại trên toàn thế giới, báo cáo sẽ tiết lộ những thách thức và mối đe dọa về bảo mật mà chúng ta đang đối mặt hiện nay, đồng thời đưa ra các giải pháp và các thực hành tốt nhất. Với báo cáo này, độc giả sẽ có được hiểu biết toàn diện hơn về sự tiến hóa động lực của bảo mật blockchain Web3. Điều này sẽ giúp độc giả đánh giá và giải quyết những thách thức về bảo mật đang đối mặt trong không gian blockchain. Ngoài ra, báo cáo cung cấp những thông tin quý giá về biện pháp bảo mật và xu hướng phát triển ngành công nghiệp, giúp độc giả đưa ra quyết định và hành động thông minh trong lĩnh vực mới nổi này. Bảo mật và quy định blockchain là những vấn đề quan trọng trong sự phát triển của kỷ nguyên Web3. Qua nghiên cứu và thảo luận sâu sát, chúng ta có thể hiểu và đối phó với những thách thức này, thúc đẩy sự phát triển bảo mật và bền vững của công nghệ blockchain.
Theo giám sát của nền tảng Alert dưới công ty kiểm toán bảo mật Beosin, tổng số thiệt hại trong không gian Web3 vào năm 2024 do các cuộc tấn công của hacker, các vụ lừa đảo phishing và các vụ rút tiền bất ngờ của các nhóm dự án đã đạt 2.513 tỷ đô la. Trong số đó, có 131 vụ tấn công lớn, gây thiệt hại khoảng 1.792 tỷ đô la; có 68 vụ rút tiền bất ngờ của các nhóm dự án, với tổng số thiệt hại khoảng 148 triệu đô la; và các vụ lừa đảo phishing đã gây tổng thiệt hại khoảng 574 triệu đô la.
Vào năm 2024, cả cuộc tấn công của hacker và các trò lừa đảo phishing đã tăng đáng kể so với năm 2023, với trò lừa đảo phishing tăng lên đến 140,66%. Các mất mát từ các sự cố rug pull của nhóm dự án đã giảm đáng kể, giảm khoảng 61,94%.
Vào năm 2024, các loại dự án bị tác động bởi các cuộc tấn công bao gồm DeFi, CEX, DEX, chuỗi công cộng, cầu nối qua chuỗi, ví, nền tảng thanh toán, nền tảng cá cược, các sàn môi giới tiền điện tử, cơ sở hạ tầng, các công cụ quản lý mật khẩu, các công cụ phát triển, bot MEV, bot TG, và các dự án khác. DeFi là loại dự án bị tấn công nhiều nhất, với 75 cuộc tấn công vào DeFi gây tổn thất tổng cộng khoảng 390 triệu đô la. CEX có số lượng tổn thất tổng cộng cao nhất, với 10 cuộc tấn công vào CEX dẫn đến tổn thất khoảng 724 triệu đô la.
Trong năm 2024, các cuộc tấn công đã xảy ra trên nhiều loại chuỗi công cộng, với nhiều sự cố bảo mật liên quan đến việc trộm cắp trên các chuỗi khác nhau. Ethereum vẫn là chuỗi công cộng có số tiền mất mát cao nhất, với 66 cuộc tấn công trên Ethereum dẫn đến mất mát khoảng 844 triệu đô la, chiếm 33,57% tổng số tiền mất mát trong năm.
Từ góc độ của các phương pháp tấn công, 35 vụ rò rỉ khóa riêng tư đã gây thiệt hại khoảng 1,306 tỷ đô la, chiếm 51,96% tổng số thiệt hại, khiến nó trở thành phương pháp tấn công gây thiệt hại nhiều nhất.
Việc khai thác các lỗ hổng hợp đồng là phương pháp tấn công phổ biến nhất, với 76 trong số 131 cuộc tấn công bắt nguồn từ các lỗ hổng hợp đồng, chiếm 58,02% tổng số sự cố.
Khoảng 531 triệu đô la trong số tiền bị đánh cắp đã được khôi phục, chiếm khoảng 21,13%. Khoảng 109 triệu đô la tiền bị đánh cắp đã được chuyển vào các trộn, chiếm khoảng 4,34% tổng số tiền bị đánh cắp, giảm khoảng 66,97% so với năm 2023.
Năm 2024, đã có 5 vụ tấn công lớn với tổn thất vượt quá 100 triệu đô la: DMM Bitcoin (304 triệu đô la), PlayDapp (290 triệu đô la), WazirX (235 triệu đô la), Gala Games (216 triệu đô la) và vụ đánh cắp của Chris Larsen (112 triệu đô la). Tổng số lỗ hỏng từ 10 vụ vi phạm bảo mật hàng đầu lên đến khoảng 1,417 tỷ đô la, chiếm khoảng 79,07% tổng số lỗ hỏng tấn công hàng năm.
Phương pháp tấn công: Rò rỉ khóa riêng tư
Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử DMM Bitcoin của Nhật Bản đã bị tấn công và hơn 304 triệu đô la Bitcoin đã bị đánh cắp. Những kẻ tấn công đã phân tán số tiền bị đánh cắp qua hơn 10 địa chỉ nhằm mục đích rửa tiền.
Mất: $290 triệu
Phương pháp tấn công: Rò rỉ khóa riêng tư
Vào ngày 9 tháng 2 năm 2024, nền tảng chơi game trên blockchain PlayDapp đã bị tấn công, với hacker tạo ra 2 tỷ token PLA trị giá 36,5 triệu đô la. Sau khi thương lượng với PlayDapp thất bại, vào ngày 12 tháng 2, hacker tạo ra thêm 15,9 tỷ token PLA trị giá 253,9 triệu đô la và gửi một phần quỹ đến sàn giao dịch gate. Sau đó, PlayDapp tạm dừng hợp đồng PLA và chuyển đổi token PLA thành token PDA.
Số tiền thua lỗ: $235 triệu
Phương pháp tấn công: Tấn công mạng và lừa đảo
Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký của sàn giao dịch tiền điện tử Ấn Độ WazirX đã bị đánh cắp, dẫn đến mất hơn 235 triệu đô la. Ví đa chữ ký là một hợp đồng thông minh Ví An toàn. Kẻ tấn công đã lừa các người ký đa chữ ký để ký một giao dịch nâng cấp, và thông qua hợp đồng được nâng cấp, chuyển tài sản trực tiếp từ ví.
Số tiền thua lỗ: $216 triệu
Phương pháp tấn công: Lỗ hổng kiểm soát truy cập
Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị xâm phạm. Kẻ tấn công đã sử dụng địa chỉ này để gọi chức năng mint và trực tiếp minted 5 tỷ token GALA trị giá khoảng 216 triệu đô la, chuyển đổi các token đã minted thành ETH theo từng lô. Đội ngũ Gala Games sau đó đã sử dụng chức năng blacklist để chặn kẻ tấn công và khôi phục lại những tổn thất.
Số tiền mất: $112 triệu
Phương pháp tấn công: Rò rỉ Khóa riêng tư
Vào ngày 31 tháng 1 năm 2024, người đồng sáng lập Ripple là Chris Larsen đã báo cáo rằng bốn ví của ông đã bị xâm nhập, dẫn đến tổn thất tổng cộng khoảng 112 triệu đô la. Đội ngũ của Binance đã thành công trong việc đóng băng 4,2 triệu đô la giá trị của các token XRP bị đánh cắp.
Số tiền thua lỗ: $62.5 triệu
Phương pháp tấn công: Tấn công kỹ thuật xã hội
Vào ngày 26 tháng 3 năm 2024, nền tảng chơi game Web3 Munchables, dựa trên Blast, đã bị tấn công, dẫn đến mất khoảng 62,5 triệu đô la. Dự án bị tấn công bởi vì nó thuê hacker Bắc Triều Tiên làm nhà phát triển. Tất cả số tiền bị đánh cắp cuối cùng đã được trả lại bởi các hacker.
Số tiền mất: $55 triệu
Phương pháp tấn công: Rò rỉ Khóa riêng tư
Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử Thổ Nhĩ Kỳ BTCTurk bị tấn công, dẫn đến mất khoảng 55 triệu đô la. Binance đã hỗ trợ đóng băng hơn 5,3 triệu đô la của số tiền bị đánh cắp.
Số tiền thua lỗ: $53 triệu
Phương pháp tấn công: Rò rỉ khóa riêng tư
Vào ngày 17 tháng 10 năm 2024, giao thức cho vay đa chuỗi Radiant Capital đã bị tấn công. Kẻ tấn công trái phép có được sự cho phép của 3 chủ sở hữu của ví đa chữ ký của Radiant Capital. Ví đa chữ ký sử dụng mô hình xác thực 3/11 chữ ký, và kẻ tấn công sử dụng 3 khóa riêng tư để ký ngoại tuyến. Kẻ tấn công sau đó khởi xướng một giao dịch trên chuỗi để chuyển quyền sở hữu của hợp đồng Radiant Capital sang một hợp đồng độc hại dưới sự kiểm soát của kẻ tấn công, gây ra mất mát hơn 53 triệu đô la.
Số tiền thất thoát: $44.7 triệu
Phương thức tấn công: Lỗ hổng hợp đồng
Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã bị tấn công nhiều lần bởi một kẻ tấn công. Kẻ tấn công đã lợi dụng một lỗ hổng xác nhận mã thông báo để đánh cắp một lượng lớn mã thông báo từ hợp đồng ClaimCampaigns, bao gồm các mã thông báo trị giá hơn 2,1 triệu đô la bị đánh cắp từ chuỗi Ethereum và các mã thông báo trị giá khoảng 42,6 triệu đô la bị đánh cắp từ chuỗi Arbitrum.
Số tiền thua lỗ: $44.7 triệu
Phương thức tấn công: Rò rỉ khóa riêng tư
Vào ngày 19 tháng 9 năm 2024, ví nóng của sàn giao dịch BingX đã bị tấn công. Mặc dù BingX đã kích hoạt biện pháp khẩn cấp, bao gồm chuyển tài sản và tạm ngừng rút tiền, số liệu của Beosin cho thấy tổng thiệt hại từ sự rò rỉ tài sản bất thường từ ví nóng lên đến 44,7 triệu USD. Tài sản bị đánh cắp liên quan đến nhiều chuỗi khối, bao gồm Ethereum, BNB Chain, Tron, Polygon, Avalanche và Base.
Vào năm 2024, các dự án bị tấn công không chỉ bao gồm các loại phổ biến như DeFi, CEX, DEX, chuỗi công cộng và cầu nối liên chuỗi, mà còn mở rộng sang các nền tảng thanh toán, nền tảng đánh bạc, sàn giao dịch tiền điện tử, cơ sở hạ tầng, quản lý mật khẩu, công cụ phát triển, bot MEV, bot TG và các loại dự án khác.
Trong năm 2024, đã xảy ra 75 vụ tấn công vào dự án DeFi, là loại dự án bị tấn công nhiều nhất (khoảng 50.70%). Tổng số thiệt hại từ các vụ tấn công DeFi là khoảng 390 triệu đô la, chiếm khoảng 15.50% tổng số thiệt hại, là loại dự án thứ tư về số lượng thiệt hại.
Loại dự án có tổn thất cao nhất là CEX (sàn giao dịch tập trung). Mười cuộc tấn công vào CEX đã gây thiệt hại khoảng 724 triệu đô la, biến nó thành loại dự án có số lỗ cao nhất. Tổng thể, sàn giao dịch là loại dự án bị tấn công nhiều nhất trong năm 2024, và an ninh sàn giao dịch vẫn là thách thức lớn nhất trong hệ sinh thái Web3.
Mất lớn thứ hai đến từ ví cá nhân, với tổng số tiền mất khoảng 445 triệu đô la. Mười hai cuộc tấn công nhắm vào các cá voi tiền điện tử, cùng với nhiều cuộc tấn công lừa đảo và kỹ thuật xã hội đối với người dùng thông thường, dẫn đến sự tăng 464,72% trong tổng số tiền mất từ ví cá nhân so với năm 2023, khiến an ninh ví cá nhân trở thành thách thức lớn thứ hai sau an ninh sàn giao dịch.
So với năm 2023, các loại chuỗi công cộng bị tấn công vào năm 2024 đa dạng hơn. Năm chuỗi hàng đầu theo số lượng thua lỗ là Ethereum, Bitcoin, Arbitrum, Ripple và Blast.
Sáu chuỗi hàng đầu theo số sự kiện tấn công là:
Ethereum, Chuỗi BNB, Arbitrum, Các Mạng Khác, Cơ Sở, và Solana.
Vào năm 2023, Ethereum vẫn là chuỗi có số lượng tổn thất cao nhất. Sáu mươi sáu cuộc tấn công vào Ethereum gây ra khoảng 844 triệu đô la Mỹ tổn thất, chiếm 33,59% tổng số tổn thất hàng năm.
Lưu ý: Dữ liệu tổng số thiệt hại không bao gồm thiệt hại do lừa đảo trên chuỗi và một số thiệt hại của ví nóng CEX. Thiệt hại mạng Bitcoin xếp thứ hai, với một sự cố bảo mật đơn lẻ gây ra tổn thất 238 triệu đô la. Arbitrum xếp thứ ba, với tổng số thiệt hại khoảng 114 triệu đô la.
Các phương pháp tấn công vào năm 2024 đã được đa dạng hóa. Ngoài các cuộc tấn công sử dụng lỗ hổng hợp đồng phổ biến, đã sử dụng một số phương pháp khác, bao gồm tấn công chuỗi cung ứng, tấn công nhà cung cấp dịch vụ bên thứ ba, tấn công man-in-the-middle, tấn công DNS và tấn công front-end.
Vào năm 2024, 35 vụ rò rỉ khóa riêng tư đã gây tổng thiệt hại 1,306 tỷ đô la, chiếm 51,96% tổng số thiệt hại, khiến nó trở thành phương pháp tấn công gây thiệt hại nhiều nhất. Các vụ rò rỉ khóa riêng tư đáng chú ý bao gồm: DMM Bitcoin ($304 triệu), PlayDapp ($290 triệu), người đồng sáng lập Ripple Chris Larsen ($112 triệu), BTCTurk ($55 triệu), Radiant Capital ($53 triệu), BingX ($44,7 triệu), và DEXX ($21 triệu).
Khai thác lỗ hổng hợp đồng là phương pháp tấn công phổ biến nhất. Trong tổng số 131 vụ tấn công, có 76 vụ do lỗ hổng hợp đồng, chiếm tỷ lệ 58,02% trong tổng số. Tổng số tiền mất mát do lỗ hổng hợp đồng là khoảng 321 triệu đô la, xếp thứ ba về số tiền mất mát.
Về các lỗ hổng cụ thể, các sự cố thường xuyên và có tổn thất cao nhất là do các lỗ hổng về logic kinh doanh. Khoảng 53,95% tổn thất từ các lỗ hổng hợp đồng được gây ra bởi các lỗi về logic kinh doanh, dẫn đến một mức tổn thất khoảng 158 triệu đô la.
Vào ngày 17 tháng 11 năm 2024, hệ thống giám sát Beosin Alert đã phát hiện một cuộc tấn công vào Polter Finance, một giao thức cho vay trên chuỗi FTM. Kẻ tấn công đã thao túng giá token trong hợp đồng dự án để kiếm lợi bằng cách sử dụng flash loan.
Hợp đồng LendingPool bị tấn công (0xd47ae558623638f676c1e38dad71b53054f54273) đã sử dụng 0x6808b5ce79d44e89883c5393b487c4296abb69fe làm oracle. Oracle này sử dụng một hợp đồng price-feed (0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe) vừa được triển khai gần đây, tính toán giá dựa trên token reserves trong hợp đồng uniswapV2_pair (0xEc71), một hợp đồng dễ bị tấn công bởi flash loan.
Kẻ tấn công đã sử dụng một khoản vay flash để tăng giá token $BOO một cách nhân tạo và vay các tài sản tiền điện tử khác. Tiền bị đánh cắp sau đó được chuyển đổi thành token FTM và được chuyển chuỗi sang chuỗi ETH, nơi mà tất cả tiền được lưu trữ. Dưới đây là một sơ đồ dòng chảy minh họa việc di chuyển quỹ trên chuỗi ARB và ETH:
Vào ngày 20 tháng 11, kẻ tấn công tiếp tục chuyển hơn 2.625 ETH vào Tornado Cash, như được hiển thị trong sơ đồ dưới đây:
Ngày 23 tháng 2 năm 2024, nhà điều tra blockchain nổi tiếng ZachXBT tiết lộ qua công cụ phân tích của mình rằng ví nóng của BitForex đã mất 56,5 triệu đô la và nền tảng đã tạm ngừng dịch vụ rút tiền trong quá trình này.
Đội an ninh của Beosin đã tiến hành theo dõi và phân tích sâu vụ việc BitForex bằng cách sử dụng Trace:
Ethereum
Vào ngày 24 tháng 2 năm 2024, lúc 6:11 sáng (UTC + 8), BitForex bắt đầu chuyển 40.771 USDT, 258.700 USDC, 148,01 ETH và 471.405 TRB sang địa chỉ thoát Ethereum (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f).
Vào ngày 9 tháng 8, địa chỉ rời đi chuyển tất cả các token, trừ TRB, trở lại tài khoản của BitForex (0xcce7300829f49b8f2e4aee6123b12da64662a8b8).
Từ ngày 9 tháng 11 đến ngày 10 tháng 11, địa chỉ đích chuyển 355.000 TRB đến bốn địa chỉ người dùng OKX khác nhau thông qua bảy giao dịch:
0x274c481bf400c2abfd2b5e648a0056ef34970b0a
0x45798ca76a589647acc21040c50562dcc33cf6bf
0x712d2fd67fe65510c5fad49d5a9181514d94183d
0xe8ec263ad9ee6947bf773837a2c86dff3a737bba
Sau đó, địa chỉ đích chuyển số dư còn lại 116.414,93 TRB đến một địa chỉ trung gian (0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e), sau đó được chia thành hai giao dịch và gửi đến hai địa chỉ người dùng Binance khác nhau:
0x431c916ef45e660dae7cd7184e3226a72fa50c0c
0xe7b1fb77baaa3bba9326af2af3cd5857256519df
BNB Chain
Vào ngày 24 tháng 2, BitForex đã rút 166 ETH, 46.905 USDT và 57.810 USDC đến địa chỉ chuỗi BNB (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f), nơi nó hiện đang nằm.
Polygon
Vào ngày 24 tháng 2, BitForex đã rút 99.000 MATIC, 20.300 USDT và 1.700 USDC đến địa chỉ chuỗi Polygon (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f).
Trong số 99.000 MATIC, 8.000 đã được chuyển đến địa chỉ 0xcce7300829f49b8f2e4aee6123b12da64662a8b8 vào ngày 9 tháng 8, nơi chúng vẫn còn, và phần còn lại của các token USDT và USDC cũng vẫn còn.
TRON
Vào ngày 24 tháng 2, BitForex đã rút 44.000 TRX và 657.698 USDT vào một địa chỉ chuỗi TRON (TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o).
Ngày 9 tháng 8, tất cả các token này đã được chuyển trở lại địa chỉ người dùng của BitForex (TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo).
Bitcoin
Bắt đầu từ ngày 24 tháng 2, 16 địa chỉ BitForex bắt đầu chuyển tổng cộng 5,7 BTC đến địa chỉ chuỗi BTC (3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2).
Vào ngày 9 tháng 8, toàn bộ 5.7 BTC đã được chuyển trả hoàn toàn về địa chỉ của BitForex (11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz).
Tóm lại, vào ngày 24 tháng 2, BitForex chuyển 40.771 USDT, 258.700 USDC, 148,01 ETH và 471.405 TRB sang chuỗi Ethereum; 44.000 TRX và 657.698 USDT sang chuỗi TRON; 5,7 BTC sang chuỗi BTC; 166 ETH, 46.905 USDT và 57.810 USDC sang chuỗi BNB; và 99.000 MATIC, 20.300 USDT và 1.700 USDC sang chuỗi Polygon.
Vào ngày 9 tháng 8, tất cả các token trên chuỗi BTC, chuỗi TRON và chuỗi Ethereum (ngoại trừ TRB) đã được chuyển trở lại cho BitForex. Vào ngày 9 và 10 tháng 11, tổng số 471.405 TRB đã được chuyển đến bốn tài khoản OKX và hai tài khoản Binance.
Do đó, tất cả các token trên các chuỗi ETH, TRON và BTC đã được chuyển, và trên BSC, còn lại 166 ETH, 46,905 USDT và 57,810 USDC, trong khi trên POL, còn lại 99,000 MATIC, 20,300 USDT và 1,700 USDC.
Địa chỉ gửi TRB đã đính kèm:
Vào năm 2024, khoảng 1,312 tỷ USD của số tiền bị đánh cắp vẫn còn ở trong các địa chỉ của hacker (bao gồm cả số tiền được chuyển qua các chuỗi và phân tán đến nhiều địa chỉ), chiếm 52,20% tổng số tiền bị đánh cắp. So với năm trước, hacker năm nay đã có xu hướng rửa tiền thông qua nhiều giao dịch chuyển chuỗi và phân tán tài sản bị đánh cắp qua nhiều địa chỉ, thay vì trực tiếp sử dụng mixers. Số lượng địa chỉ tăng lên và sự phức tạp của các con đường rửa tiền không nghi ngờ đã làm tăng sự khó khăn cho các nhóm dự án và cơ quan quản lý trong việc điều tra những hoạt động này.
Khoảng 531 triệu đô la của số tiền bị đánh cắp đã được thu hồi, chiếm khoảng 21,13%. Vào năm 2023, số tiền được thu hồi là khoảng 295 triệu đô la.
Trong suốt năm, khoảng 109 triệu đô la của số tiền bị đánh cắp đã được chuyển vào các máy trộn, chiếm khoảng 4,34% tổng số tiền bị đánh cắp. Kể từ khi Cục OFAC của Mỹ áp đặt lệnh trừng phạt Tornado Cash vào tháng 8 năm 2022, số tiền bị đánh cắp chuyển vào Tornado Cash đã giảm đáng kể.
Trong số 131 vụ tấn công, có 42 vụ liên quan đến các dự án chưa được kiểm toán, 78 vụ liên quan đến các dự án đã được kiểm toán, và 11 vụ có trạng thái kiểm toán không rõ ràng.
Trong số 42 dự án chưa được kiểm toán, có 30 sự cố (khoảng 71,43%) liên quan đến lỗ hổng hợp đồng. Điều này cho thấy các dự án chưa được kiểm toán có thể có nguy cơ an ninh tiềm ẩn. Trái lại, trong số 78 dự án đã được kiểm toán, có 49 sự cố (khoảng 62,82%) liên quan đến lỗ hổng hợp đồng. Điều này cho thấy kiểm toán có thể cải thiện an ninh dự án một phần.
Tuy nhiên, do thiếu tiêu chuẩn toàn diện trong thị trường Web3, chất lượng của việc kiểm toán là không đồng đều, và kết quả thường không đạt được kỳ vọng. Để bảo vệ an toàn tài sản một cách hiệu quả, đề xuất rằng các dự án nên tìm kiếm các công ty an ninh chuyên nghiệp để kiểm toán trước khi triển khai.
Vào năm 2024, nền tảng Cảnh báo Beosin đã giám sát tổng cộng 68 vụ việc Rút lịch trình lớn trong hệ sinh thái Web3, với tổng giá trị khoảng 148 triệu đô la. Điều này đại diện cho một sự giảm đáng kể so với 388 triệu đô la vào năm 2023.
Về mặt giá trị, trong số 68 vụ Rug Pull, có 9 dự án gặp tổn thất vượt quá 1 triệu đô la. Đó là: Essence Finance (20 triệu đô la), Shido Global (2,4 triệu đô la), ETHTrustFund (2,2 triệu đô la), Nexera (1,8 triệu đô la), Grand Base (1,7 triệu đô la), SAGA Token (1,6 triệu đô la), OrdiZK (1,4 triệu đô la), MangoFarmSOL (1,29 triệu đô la) và RiskOnBlast (1,25 triệu đô la). Tổng tổn thất cho 9 vụ việc này là 33,64 triệu đô la, chiếm 22,73% tổng số tổn thất từ tất cả các vụ Rug Pull.
Các dự án Rug Pull trên Ethereum và Chuỗi BNB chiếm 82,35% tổng số, với 24 sự cố trên Ethereum và 32 trên Chuỗi BNB. Ngoài ra, một sự cố vượt quá 20 triệu đô la đã xảy ra trên Scroll. Các blockchain công cộng khác, bao gồm Polygon, BASE và Solana, cũng đã trải qua một số sự kiện Rug Pull nhỏ.
Vào năm 2024, các hoạt động hack trên chuỗi và các sự cố Rug Pull trong hệ sinh thái Web3 giảm đáng kể so với năm 2023. Tuy nhiên, số lượng thiệt hại tiếp tục tăng và các cuộc tấn công lừa đảo trở nên phổ biến hơn. Phương pháp tấn công gây tổn thất cao nhất vẫn là rò rỉ khóa riêng tư. Những lý do chính cho sự thay đổi này bao gồm:
Sau những hoạt động của hacker lan tràn vào năm ngoái, cả hệ sinh thái Web3 đã tập trung nhiều hơn vào bảo mật trong năm 2024. Các nỗ lực từ các nhóm dự án đến các công ty bảo mật đã được thực hiện ở các khía cạnh khác nhau, chẳng hạn như giám sát trên chuỗi thời gian thực, tăng cường sự chú ý đến kiểm tra bảo mật và tích cực học hỏi từ những lỗ hổng trên hợp đồng của quá khứ. Điều này đã làm cho việc hacker đánh cắp tiền thông qua các lỗ hổng trên hợp đồng khó hơn so với năm ngoái. Tuy nhiên, các nhóm dự án vẫn cần tăng cường nhận thức về quản lý khóa riêng tư và bảo mật hoạt động.
Với sự tích hợp của thị trường tiền điện tử và thị trường truyền thống, hacker không còn bị giới hạn chỉ tấn công vào DeFi, cầu nối cross-chain, sàn giao dịch, v.v., mà đã chuyển sang nhắm vào các nền tảng thanh toán, nền tảng cờ bạc, sàn môi giới tiền điện tử, cơ sở hạ tầng, quản lý mật khẩu, công cụ phát triển, bot MEV, bot TG, và các mục tiêu đa dạng khác.
Vào năm 2024-2025, khi thị trường tiền điện tử bước vào một thị trường tăng trưởng và quỹ on-chain trở nên hoạt động hơn, điều này sẽ thu hút nhiều cuộc tấn công của hacker hơn. Ngoài ra, các quy định về tài sản tiền điện tử tại các khu vực đang dần được cải thiện để chống lại các tội phạm liên quan đến tài sản tiền điện tử. Dưới xu hướng này, các hoạt động của hacker dự kiến sẽ vẫn duy trì ở mức cao vào năm 2025, và các cơ quan chức năng toàn cầu vẫn sẽ đối mặt với những thách thức nghiêm trọng.