Trong tháng 11 năm 2024, đã xảy ra tổng cộng 21 vụ bị hack, dẫn đến tổn thất khoảng 7,686 triệu USD, trong đó có 2,550 triệu USD được hoàn trả, nguyên nhân của sự kiện liên quan đến lỗ hổng hợp đồng, tài khoản bị hack và thao túng giá cả. Ngoài ra, có 9,208 nạn nhân rơi vào vụ lừa đảo trong tháng này, với quy mô tổn thất lên đến 938 triệu USD.
Viết bởi: Nhóm An ninh SlowMist
Tổng quan
Trong tháng 11 năm 2024, tổng thiệt hại của sự cố bảo mật Web3 là khoảng 86,24 triệu đô la Mỹ. Trong số đó, theo thống kê của hồ sơ lưu trữ blockchain bị hack của SlowMist, đã xảy ra tổng cộng 21 vụ hack, gây ra thiệt hại khoảng 76,86 triệu đô la Mỹ, với 25,5 triệu đô la Mỹ được hoàn trả, nguyên nhân của sự cố liên quan đến lỗ hổng hợp đồng, tài khoản bị hack và thao túng giá. Ngoài ra, theo thống kê của Scam Sniffer - nền tảng chống lừa đảo Web3, tháng này có 9.208 nạn nhân của sự cố lừa đảo, với quy mô thiệt hại lên đến 9,38 triệu đô la Mỹ.
()
Sự kiện lớn về an ninh
MetaWin
Vào ngày 4 tháng 11 năm 2024, theo giám sát của nhà phát hiện on-chain ZachXBT, nền tảng cờ bạc mã hóa MetaWin đã bị tấn công và bị đánh cắp hơn 4 triệu đô la Mỹ trên Ethereum và Solana on-chain. Theo CEO của MetaWin - Skel, kẻ tấn công đã xâm nhập vào Ví nóng của MetaWin thông qua hệ thống rút tiền không ma sát của nền tảng.
DeltaPrime
Năm 2024, vào ngày 11 tháng 11, giao thức Tài chính phi tập trung DeltaPrime trên Avalanche và Arbitrum bị tấn công, ước tính tổn thất ban đầu của DeltaPrime là 475 triệu đô la. Nguyên nhân chính của vụ tấn công này là do chức năng nhận phần thưởng thiếu xác nhận đầu vào.
()
Thala
Vào ngày 15 tháng 11 năm 2024, Thala, dự án Tài chính phi tập trung dựa trên Aptos, đã bị tấn công, dẫn đến việc mất cắp 25,5 triệu đô la, kẻ tấn công đã tận dụng lỗ hổng trong hợp đồng thông minh của họ. Bên dự án đã tạm dừng hợp đồng thông minh liên quan và đóng băng một phần Token, cuối cùng đã thành công đóng băng khoảng 11,5 triệu đô la tài sản. Sau khi hợp tác với cơ quan thực thi pháp luật và nhiều đội ngũ an ninh blockchain khác nhau, Bên dự án đã thành công trong việc thương lượng để thu hồi tài sản và cho phép kẻ tấn công giữ lại 300 nghìn đô la như tiền thưởng.
()
DEXX
Ngày 16 tháng 11 năm 2024, nhiều người dùng của DEXX, một terminal giao dịch on-chain, đã bị mất tiền. Theo thống kê của nhóm an ninh của SlowMist, tổn thất từ sự kiện này đã lên đến 21 triệu đô la Mỹ. Hiện tại, nhóm an ninh của SlowMist đang hỗ trợ việc phân tích liên tục của DEXX và đối tác. Vào ngày 28 tháng 11, nhóm an ninh của SlowMist đã công bố 8.612 Địa chỉ của kẻ tấn công DEXX trên Solana on-chain, và Địa chỉ của kẻ tấn công EVM on-chain cũng sẽ được công bố sau khi việc xử lý được hoàn tất.
()
Polter Finance
Ngày 17 tháng 11 năm 2024, Dự án Tài chính phi tập trung Polter Finance dựa trên Fantom đã bị tấn công, tổn thất khoảng 12 triệu đô la. Kẻ tấn công đã tiêu tốn toàn bộ dự trữ Token của BOO thông qua Khoản vay nhanh, làm tăng giá tính toán của BOO một cách nhân tạo. Điều này cho phép họ cho vay một lượng Token vượt quá giá trị thực tế của Tài sản thế chấp, từ đó thu được lợi nhuận khổng lồ. Người sáng lập nền tảng cho biết họ đã gửi báo cáo đến cơ quan chức năng Singapore và cố gắng liên lạc với kẻ tấn công thông qua tin nhắn on-chain để thương lượng trả lại số tiền, nhưng vẫn chưa nhận được phản hồi.
()
Phân tích đặc điểm và đề xuất an toàn
Số lượng sự cố bảo mật và quy mô tổn thất trong tháng này đã giảm đáng kể so với tháng trước và sự thay đổi này phản ánh sự cải tiến liên tục các biện pháp bảo vệ an ninh của ngành ở một mức độ nhất định. Điều đáng chú ý là xét về phân bố nguyên nhân tấn công và quy mô tổn thất gây ra, lỗ hổng hợp đồng chiếm tỷ trọng cao nhất. Bảy sự cố khai thác hợp đồng xảy ra trong tháng này đã gây ra thiệt hại khoảng 30 triệu đô la, chiếm 39% tổng thiệt hại và nhóm bảo mật SlowMist khuyên Bên nên cảnh giác và tiến hành kiểm toán bảo mật toàn diện một cách thường xuyên để theo dõi và giải quyết các mối đe dọa và lỗ hổng bảo mật mới để bảo vệ các dự án và tài sản.
Ngoài ra, nhóm bảo mật SlowMist đã ghi nhận một trường hợp đầu độc AI trong thế giới thực chống lại ngành công nghiệp tiền điện tử trong tháng này. Hiện tượng này chỉ ra rằng phạm vi mục tiêu của các cuộc tấn công Chuỗi cung ứng đang mở rộng hơn nữa. Một số nhà phát triển, trong việc theo đuổi hiệu quả, có thể dựa quá nhiều vào mã do AI tạo ra và bỏ qua việc xem xét kỹ lưỡng về bảo mật mã. Do đó, nhóm bảo mật SlowMist nhắc nhở các nhà phát triển và Bên dự án không nên tin tưởng mù quáng vào đầu ra khi sử dụng AI để tạo mã. Tất cả các mã phải trải qua kiểm toán và kiểm tra bảo mật nghiêm ngặt trước khi đưa vào sử dụng thực tế để ngăn ngừa rủi ro bảo mật và bảo vệ an ninh của dự án và tài sản của người dùng. Đồng thời, Bên dự án cũng nên tăng cường quản lý bảo mật tổng thể của Chuỗi cung ứng, tiến hành đánh giá toàn diện các công cụ và dịch vụ của bên thứ ba và tiếp tục theo dõi sự phát triển bảo mật trong các khu vực liên quan để ứng phó với các mối đe dọa mới một cách kịp thời.
Cuối cùng, các sự kiện trong bài viết này là các sự kiện bảo mật chính của tháng này và nhiều sự kiện bảo mật blockchain khác có thể được xem trong SlowMist Blockchain Hacked Archive (/), nhấp để đọc bài viết gốc để nhảy trực tiếp.
Xem bản gốc
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Sự kiện bảo mật Web3 tháng 11: Tổng thiệt hại khoảng 8,624 triệu USD
Viết bởi: Nhóm An ninh SlowMist
Tổng quan
Trong tháng 11 năm 2024, tổng thiệt hại của sự cố bảo mật Web3 là khoảng 86,24 triệu đô la Mỹ. Trong số đó, theo thống kê của hồ sơ lưu trữ blockchain bị hack của SlowMist, đã xảy ra tổng cộng 21 vụ hack, gây ra thiệt hại khoảng 76,86 triệu đô la Mỹ, với 25,5 triệu đô la Mỹ được hoàn trả, nguyên nhân của sự cố liên quan đến lỗ hổng hợp đồng, tài khoản bị hack và thao túng giá. Ngoài ra, theo thống kê của Scam Sniffer - nền tảng chống lừa đảo Web3, tháng này có 9.208 nạn nhân của sự cố lừa đảo, với quy mô thiệt hại lên đến 9,38 triệu đô la Mỹ.
()
Sự kiện lớn về an ninh
MetaWin
Vào ngày 4 tháng 11 năm 2024, theo giám sát của nhà phát hiện on-chain ZachXBT, nền tảng cờ bạc mã hóa MetaWin đã bị tấn công và bị đánh cắp hơn 4 triệu đô la Mỹ trên Ethereum và Solana on-chain. Theo CEO của MetaWin - Skel, kẻ tấn công đã xâm nhập vào Ví nóng của MetaWin thông qua hệ thống rút tiền không ma sát của nền tảng.
DeltaPrime
Năm 2024, vào ngày 11 tháng 11, giao thức Tài chính phi tập trung DeltaPrime trên Avalanche và Arbitrum bị tấn công, ước tính tổn thất ban đầu của DeltaPrime là 475 triệu đô la. Nguyên nhân chính của vụ tấn công này là do chức năng nhận phần thưởng thiếu xác nhận đầu vào.
()
Thala
Vào ngày 15 tháng 11 năm 2024, Thala, dự án Tài chính phi tập trung dựa trên Aptos, đã bị tấn công, dẫn đến việc mất cắp 25,5 triệu đô la, kẻ tấn công đã tận dụng lỗ hổng trong hợp đồng thông minh của họ. Bên dự án đã tạm dừng hợp đồng thông minh liên quan và đóng băng một phần Token, cuối cùng đã thành công đóng băng khoảng 11,5 triệu đô la tài sản. Sau khi hợp tác với cơ quan thực thi pháp luật và nhiều đội ngũ an ninh blockchain khác nhau, Bên dự án đã thành công trong việc thương lượng để thu hồi tài sản và cho phép kẻ tấn công giữ lại 300 nghìn đô la như tiền thưởng.
()
DEXX
Ngày 16 tháng 11 năm 2024, nhiều người dùng của DEXX, một terminal giao dịch on-chain, đã bị mất tiền. Theo thống kê của nhóm an ninh của SlowMist, tổn thất từ sự kiện này đã lên đến 21 triệu đô la Mỹ. Hiện tại, nhóm an ninh của SlowMist đang hỗ trợ việc phân tích liên tục của DEXX và đối tác. Vào ngày 28 tháng 11, nhóm an ninh của SlowMist đã công bố 8.612 Địa chỉ của kẻ tấn công DEXX trên Solana on-chain, và Địa chỉ của kẻ tấn công EVM on-chain cũng sẽ được công bố sau khi việc xử lý được hoàn tất.
()
Polter Finance
Ngày 17 tháng 11 năm 2024, Dự án Tài chính phi tập trung Polter Finance dựa trên Fantom đã bị tấn công, tổn thất khoảng 12 triệu đô la. Kẻ tấn công đã tiêu tốn toàn bộ dự trữ Token của BOO thông qua Khoản vay nhanh, làm tăng giá tính toán của BOO một cách nhân tạo. Điều này cho phép họ cho vay một lượng Token vượt quá giá trị thực tế của Tài sản thế chấp, từ đó thu được lợi nhuận khổng lồ. Người sáng lập nền tảng cho biết họ đã gửi báo cáo đến cơ quan chức năng Singapore và cố gắng liên lạc với kẻ tấn công thông qua tin nhắn on-chain để thương lượng trả lại số tiền, nhưng vẫn chưa nhận được phản hồi.
()
Phân tích đặc điểm và đề xuất an toàn
Số lượng sự cố bảo mật và quy mô tổn thất trong tháng này đã giảm đáng kể so với tháng trước và sự thay đổi này phản ánh sự cải tiến liên tục các biện pháp bảo vệ an ninh của ngành ở một mức độ nhất định. Điều đáng chú ý là xét về phân bố nguyên nhân tấn công và quy mô tổn thất gây ra, lỗ hổng hợp đồng chiếm tỷ trọng cao nhất. Bảy sự cố khai thác hợp đồng xảy ra trong tháng này đã gây ra thiệt hại khoảng 30 triệu đô la, chiếm 39% tổng thiệt hại và nhóm bảo mật SlowMist khuyên Bên nên cảnh giác và tiến hành kiểm toán bảo mật toàn diện một cách thường xuyên để theo dõi và giải quyết các mối đe dọa và lỗ hổng bảo mật mới để bảo vệ các dự án và tài sản.
Ngoài ra, nhóm bảo mật SlowMist đã ghi nhận một trường hợp đầu độc AI trong thế giới thực chống lại ngành công nghiệp tiền điện tử trong tháng này. Hiện tượng này chỉ ra rằng phạm vi mục tiêu của các cuộc tấn công Chuỗi cung ứng đang mở rộng hơn nữa. Một số nhà phát triển, trong việc theo đuổi hiệu quả, có thể dựa quá nhiều vào mã do AI tạo ra và bỏ qua việc xem xét kỹ lưỡng về bảo mật mã. Do đó, nhóm bảo mật SlowMist nhắc nhở các nhà phát triển và Bên dự án không nên tin tưởng mù quáng vào đầu ra khi sử dụng AI để tạo mã. Tất cả các mã phải trải qua kiểm toán và kiểm tra bảo mật nghiêm ngặt trước khi đưa vào sử dụng thực tế để ngăn ngừa rủi ro bảo mật và bảo vệ an ninh của dự án và tài sản của người dùng. Đồng thời, Bên dự án cũng nên tăng cường quản lý bảo mật tổng thể của Chuỗi cung ứng, tiến hành đánh giá toàn diện các công cụ và dịch vụ của bên thứ ba và tiếp tục theo dõi sự phát triển bảo mật trong các khu vực liên quan để ứng phó với các mối đe dọa mới một cách kịp thời.
Cuối cùng, các sự kiện trong bài viết này là các sự kiện bảo mật chính của tháng này và nhiều sự kiện bảo mật blockchain khác có thể được xem trong SlowMist Blockchain Hacked Archive (/), nhấp để đọc bài viết gốc để nhảy trực tiếp.