Theo báo cáo an ninh ngành công nghiệp Web3 mới nhất từ Gate Research, tổng cộng đã xảy ra 27 sự cố an ninh vào tháng 12, dẫn đến tổn thất khoảng 4,11 triệu đô la. Các loại sự cố rất đa dạng, với lỗ hổng hợp đồng vẫn là mối đe dọa chính, chiếm 72% tổng số thiệt hại. Báo cáo cũng cung cấp một phân tích chi tiết về các sự kiện an ninh quan trọng, bao gồm lỗ hổng FEG, lỗ hổng hợp đồng Clober, lỗ hổng hợp đồng Clipper DEX và cuộc tấn công vay nhanh HarryPotterObamaSonic10Inu. Lỗ hổng hợp đồng và hack tài khoản được xác định là những rủi ro an ninh chính trong tháng, nhấn mạnh nhu cầu liên tục của ngành công nghiệp để tăng cường biện pháp bảo mật của mình.

Key Takeaways

• Vào tháng 12 năm 2024, ngành công nghiệp Web3 đã gặp 27 vụ việc an ninh, dẫn đến tổn thất khoảng 4,11 triệu USD, giảm đáng kể so với tháng trước.
• Các sự cố bảo mật trong tháng này chủ yếu liên quan đến lỗ hổng hợp đồng và các cuộc tấn công tài khoản.
• Các lỗ hổng trong hợp đồng vẫn là một mối đe dọa lớn, chiếm 72% tổng số lỗ hổng trong các sự cố về an ninh trong ngành tiền điện tử.
• Hầu hết các tổn thất đã xảy ra trên các chuỗi khối lớn, bao gồm BSC, Ethereum, Cardano và Gate.
• Các sự cố chính trong tháng này bao gồm lỗ hổng bảo mật FEG (mất 1 triệu đô la), lỗ hổng hợp đồng Clober (mất 500,000 đô la), lỗ hổng hợp đồng Vestra DAO (mất 500,000 đô la), hack tài khoản Moonhacker (mất 320,000 đô la), và cuộc tấn công vay nhanh HarryPotterObamaSonic10Inu (mất 243,000 đô la).

Tổng quan về Các Sự cố An ninh

Theo dữ liệu từ Slowmist, tháng 12 năm 2024 đã xảy ra tổng cộng 27 vụ tấn công, dẫn đến tổng thiệt hại là 4,11 triệu đô la. Các cuộc tấn công chủ yếu liên quan đến lỗ hổng hợp đồng, đánh cắp tài khoản và các phương pháp khác. So với tháng 11, số vụ việc và tổng thiệt hại đều giảm đáng kể, cho thấy biện pháp bảo mật và nhận thức của ngành đã được cải thiện. Lỗ hổng hợp đồng vẫn là nguyên nhân chính của các cuộc tấn công, với chín vụ việc gây ra hơn 2,98 triệu đô la thiệt hại, chiếm 72% tổng số. Tài khoản chính thức X và các trang web dự án tiền điện tử tiếp tục là mục tiêu chính của các hacker [1].

Phân phối sự cố bảo mật trong các chuỗi khối công cộng trong tháng này cho thấy rằng hầu hết các tổn thất được tập trung vào một số chuỗi khối trưởng thành và phổ biến, đặc biệt là Ethereum và Base, với tổn thất lần lượt là 2,01 triệu đô la và 950.000 đô la. Điều này làm nổi bật rằng, mặc dù bảo mật nền tảng mạnh mẽ của chuỗi khối công cộng, nhưng các lỗ hổng ở tầng ứng dụng và hợp đồng thông minh vẫn đặt ra những rủi ro đáng kể đối với quỹ người dùng.

Một số dự án blockchain đã trải qua các sự cố bảo mật lớn trong tháng này, dẫn đến mất mát tài chính đáng kể. Các sự cố đáng chú ý bao gồm lỗ hổng bảo mật FEG, gây thiệt hại 1 triệu đô la; lỗ hổng hợp đồng Clober, gây mất 500.000 đô la; lỗ hổng hợp đồng Vestra DAO, dẫn đến mất 500.000 đô la; và lỗ hổng hợp đồng Clipper DEX, gây thiệt hại 457.000 đô la.

Các sự cố an ninh lớn trong tháng 12

Theo các thông báo chính thức, những dự án sau đây đã gánh chịu tổn thất vượt quá 3,22 triệu đô la vào tháng 12. Những sự cố này làm nổi bật rằng các lỗ hổng hợp đồng vẫn tiếp tục tạo ra mối đe dọa đáng kể.

• Kẻ tấn công đã lợi dụng một lỗ hổng trong hợp đồng thông minh được sử dụng bởi Clipper, thao tác hào hao chức năng gửi/rút tiền từng tài sản. Thao tác này ảnh hưởng đến hồ bơi thanh khoản trên mạng lưới Optimism và Base, gây ra mất cân bằng trong tài sản của hồ bơi và cho phép kẻ tấn công rút ra nhiều hơn số tiền đã gửi. Cuộc tấn công đã dẫn đến mất mát khoảng 457,878 đô la.
• Vestra DAO đã tweet rằng một hacker đã khai thác một lỗ hổng trong hợp đồng khoá staking, thao túng cơ chế thưởng để thu được phần thưởng quá mức so với những gì đúng đắn. Vụ việc dẫn đến việc đánh cắp 73.720.000 token VSTR. Các token bị đánh cắp đã được bán dần trên Uniswap, gây mất thanh khoản khoảng 500.000 đô la ETH. Để bảo vệ tokenomics VSTR và sự ổn định của dự án, 755.631.188 token VSTR còn lại đã bị xóa vĩnh viễn khỏi lưu thông.
• Lãi suất gửi tiền trong Clober DEX, được xây dựng trên Base Network, đã bị tấn công, gây mất 133,7 ETH (tương đương khoảng 501.000 đô la). Nhóm cũng đã đề nghị 20% số tiền bị đánh cắp làm tiền thưởng để xác định điểm yếu, hy vọng khôi phục lại tài sản còn lại. Tuy nhiên, cuộc đàm phán không đạt được thỏa thuận.
• HarryPotterObamaSonic10Inu đã bị tấn công bởi một cuộc tấn công vay nhanh trên Ethereum, liên quan đến một loạt các giao dịch khai thác nhằm vào hồ bơi thanh khoản của token HarryPotterObamaSonic10Inu 2.0. Kẻ tấn công đã thu được khoảng 243.000 đô la và gửi số tiền vào Tornado Cash.
• Dự án FEG đã bị tấn công lỗ hổng bảo mật, dẫn đến mất khoảng 1 triệu đô la. Phân tích cho thấy nguyên nhân gốc rễ là vấn đề khả năng tương tác khi tích hợp với cầu Wormhole cross-chain cơ bản, được sử dụng cho tin nhắn và chuyển token qua chuỗi. Nhóm đã tạm ngừng tất cả giao dịch FEG trên sàn giao dịch tập trung, và giao thức SmartDeFi cũng đã bị tạm ngừng.

Clipper DEX

Tổng quan dự án: Clipper là một sàn giao dịch phi tập trung (DEX) được thiết kế để cung cấp tỷ giá tốt nhất cho nhà giao dịch tiền điện tử nhỏ (dưới 10.000 đô la). Để đạt được điều này, nó giới hạn thanh khoản và giảm thiểu rủi ro không đáng kể.

Tổng quan vụ việc: Theo báo cáo phân tích được công bố bởi Clipper, vào ngày 1 tháng 12 năm 2024, các kẻ tấn công đã khai thác một lỗ hổng trong hợp đồng thông minh được sử dụng bởi Clipper, chi phối chức năng gửi/rút tiền từng tài sản. Hoạt động này ảnh hưởng đến các hồ bơi thanh khoản trên các mạng Optimism và Base, gây ra mất cân đối trong tài sản của hồ bơi và cho phép kẻ tấn công rút ra nhiều tài sản hơn số tiền họ đã gửi. Cuộc tấn công đã gây mất mát khoảng 457,878 đô la.

Trong vài giờ, AdmiralDAO đã triển khai kế hoạch phản ứng khẩn cấp, nhanh chóng thực hiện các biện pháp để bảo vệ số dư còn lại trong giao thức và dừng cuộc tấn công. Sau phản ứng, không có thêm quỹ bị ảnh hưởng[2].

Đề xuất sau sự cố:

• Mở rộng Kiểm tra không đổi: Thực hiện xác minh trên chuỗi để đảm bảo rằng các hằng số của hồ bơi vẫn nhất quán trong quá trình rút tiền từng tài sản, tương tự như các kiểm tra mà Clipper áp dụng trong phiên bản mới nhất của hợp đồng họ cho trao đổi.
• Mở rộng Xác minh Giá Oracle: Tích hợp các Oracle giá trên chuỗi vào việc xác minh giá trị tài sản cho tiền gửi và rút tiền, giống như Clipper đã thực hiện trong phiên bản mới nhất của hợp đồng của họ cho sàn giao dịch.
• Xem xét khóa tiền gửi ngắn hạn: Nếu các khoản tiền gửi mới phải tuân theo thời gian khóa vượt quá hiệu lực của chữ ký gửi tiền (ví dụ: vài phút), cuộc tấn công này sẽ không thể thực hiện được.

Vestra DAO

Tổng quan dự án: VSTR là một token được phát triển bởi cộng đồng NFT “CMLE” (Crypto Monster Limited Edition) cung cấp dịch vụ bán phần tập trung, kết hợp Web2+Web3. Dự án hoạt động như một tổ chức tự trị phi tập trung (DAO), cung cấp giải pháp DeFi.

Tổng quan vụ việc: Vào ngày 4 tháng 12 năm 2024, Vestra DAO đã đăng tweet cho biết một hacker đã khai thác một lỗ hổng trong hợp đồng giao dịch staking bị khóa, tạo ra cơ chế thưởng để có được phần thưởng quá mức. Vụ việc dẫn đến việc mất cắp tổng cộng 73.720.000 token VSTR. Các token đã bị đánh cắp được bán dần trên Uniswap, dẫn đến mất mát khoảng 500.000 đồng ETH thanh khoản.

Đội ngũ nhanh chóng xác định vấn đề và đưa ra hành động ngay lập tức bằng cách đưa hợp đồng khóa staking vào danh sách đen, vô hiệu hóa các tương tác tiếp theo với các hợp đồng này. Kết quả là, 755.631.188 token VSTR trong staking pool đã bị loại bỏ khỏi lưu thông và các khoản tiền trong các hợp đồng này không còn được rút ra được nữa. Vào ngày 6 tháng 12, nhóm công bố rằng để bảo vệ tokenomics VSTR và sự ổn định của dự án, 755.631.188 token VSTR còn lại sẽ bị loại bỏ khỏi lưu thông vĩnh viễn[3].

Khuyến nghị sau sự cố:

• Tiến hành Kiểm toán và Tối ưu hóa Bảo mật Hợp đồng Toàn diện
  Thuê một công ty kiểm toán bảo mật bên thứ ba đáng tin cậy để xem xét kỹ lưỡng tất cả các hợp đồng thông minh, đặc biệt là các hợp đồng staking và locked. Trọng tâm nên đặt vào quản lý quyền hạn, xử lý điều kiện biên, và bảo mật mã logic. Sau khi được kiểm toán, mã hợp đồng nên được tối ưu hóa dựa trên những đề xuất, và báo cáo kiểm toán nên được công khai để nâng cao tính minh bạch và sự tin tưởng của người dùng.

• Triển khai Cơ chế Bảo vệ Đa tầng và Giám sát Thời gian Thực

• Thực hiện chức năng Timelock: Giới thiệu độ trễ thời gian cho các hoạt động chính để đảm bảo có đủ thời gian để tạm dừng hoạt động hoặc can thiệp trong trường hợp sự cố.
• Giới thiệu Hệ thống Giám sát và Cảnh báo Thời gian Thực: Sử dụng phân tích dữ liệu trên chuỗi để phát hiện hành vi giao dịch bất thường hoặc tương tác hợp đồng trong thời gian thực, và triển khai hệ thống cảnh báo để thông báo về hoạt động đáng ngờ, giảm thiểu các tổn thất tiềm ẩn do lỗ hổng.

Clober DEX

Tổng quan dự án: Clober là một sàn giao dịch DEX hoàn toàn trên chuỗi, cho phép khớp lệnh và thanh toán trên chuỗi trên các nền tảng hợp đồng thông minh phi tập trung. Với Clober, các nhà giao dịch thị trường có thể đặt các lệnh giới hạn và lệnh thị trường hoàn toàn phi tập trung và không đáng tin cậy với chi phí quản lý hợp lý.

Tổng quan về sự cố:
Vào ngày 10 tháng 12 năm 2024, kho lưu trữ thanh khoản của Clober DEX trên Mạng Cơ Sở đã bị tấn công, dẫn đến mất mát 133,7 ETH (khoảng 501.000 đô la). Nguyên nhân gốc rễ của cuộc tấn công là một lỗ hổng tái nhập trong chức năng _burn() trong hợp đồng Rebalancer.

Nhóm đã đề nghị trao thưởng 20% số tiền bị đánh cắp cho việc xác định lỗ hổng bảo mật, miễn là tài sản còn lại có thể được trả lại. Thêm vào đó, nhóm đảm bảo sẽ không có hành động pháp lý nào nếu kẻ tấn công hợp tác. Vào ngày 31 tháng 12 năm 2024, nhóm cho biết các cuộc đàm phán chưa đạt được sự nhất quán và kẻ tấn công đã chuyển tài sản đã đánh cắp vào Tornado Cash. Nhóm hợp tác với các cơ quan chức năng để truy tìm nguồn gốc của kẻ tấn công[4].

Khuyến nghị sau sự cố:

• Bảo mật Hợp đồng Thông minh Nâng cao: Nhóm dự án phải tăng cường việc xem xét bảo mật của hợp đồng thông minh. Tất cả mã code phải trải qua các cuộc kiểm tra nghiêm ngặt trước khi triển khai, cùng với việc quét lỗ hổng định kỳ để giảm thiểu các rủi ro tấn công.
• Chiến lược Quản lý Quỹ mạnh mẽ: Triển khai ví đa chữ ký và hệ thống lưu trữ quỹ lớp để ngăn chặn sự tập trung quá mức tài sản trong một hợp đồng duy nhất, từ đó giảm thiểu thiệt hại tiềm năng trong trường hợp bị tấn công.
• Hợp tác với Tổ chức An ninh: Hợp tác nhanh chóng với các đội ngũ an ninh blockchain và cơ quan chức năng có thể hiệu quả kiểm soát thiệt hại và tăng tốc khôi phục tài sản sau một sự cố.

HarryPotterObamaSonic10Inu

Tổng quan dự án: HarryPotterObamaSonic10Inu là hình thức tối ưu của tài sản mã hóa. Được truyền cảm hứng từ BITCOIN, dự án khuyến khích sự sáng tạo của nội dung meme mới mẻ và vui nhộn. Với việc chuyển quyền sở hữu và khóa thanh khoản, cộng đồng ngày càng phát triển đã tiên phong. Lấy cảm hứng từ meme Bitcoin huyền thoại, dự án đang phát triển một trang web độc đáo, hàng hóa độc quyền và một nền tảng thương mại điện tử. Mục tiêu là tạo ra một hệ sinh thái nơi các thành viên cộng đồng hoạt động có thể tương tác và cộng tác.

Tổng quan vụ việc:
Vào ngày 18 tháng 12 năm 2024, một loạt các giao dịch khai thác nhằm vào hồ chứa thanh khoản của token HarryPotterObamaSonic10Inu 2.0 trên mạng lưới Ethereum. Kẻ tấn công đã thu được khoảng $243,000 và chuyển các quỹ vào Tornado Cash.

Trong vòng bốn ngày tiếp theo, giá của token đã giảm mạnh khoảng -33,42%, với vốn hóa thị trường giảm từ 245 triệu đô la xuống còn 168 triệu đô la[5]. \

Khuyến nghị sau sự cố:

• Tăng cường đánh giá an ninh và tối ưu hóa Hợp đồng Thông minh
  Liên hệ một tổ chức chuyên nghiệp thứ ba để tiến hành kiểm định bảo mật toàn diện các hợp đồng thông minh hiện có, tập trung vào logic hồ bơi thanh khoản và kiểm soát truy cập. Các lỗ hổng nên được khắc phục và mã hợp đồng nên được tối ưu hóa. Cơ chế như khóa thời gian và giới hạn tốc độ nên được thêm vào để ngăn chặn các hoạt động độc hại trong một khoảng thời gian ngắn.

• Tích hợp Sổ giá On-Chain
  Tích hợp các oracles trên chuỗi đáng tin cậy để xác minh giá tài sản trong quá trình giao dịch nạp và rút, đảm bảo các hoạt động phù hợp với giá trị thị trường thực tế và ngăn chặn việc quỹ bị điều khiển thông qua việc can thiệp giá.

• Tăng cường sự minh bạch và sự tin tưởng của cộng đồng
  Xuất bản kết quả điều tra vụ việc và kế hoạch khắc phục, đảm bảo tính minh bạch của thông tin và xây dựng niềm tin trong cộng đồng người dùng.

FEG

Token FEG là một token quản trị giảm phát trong hệ sinh thái FEG, bao gồm một sàn giao dịch phi tập trung và các cơ chế động viên thu nhập passives. Mục tiêu của nó là tái hình thành mô hình hoạt động của các mạng giao dịch phi tập trung. Token này có sẵn trên cả mạng lưới Ethereum và Binance Smart Chain.

Tổng quan sự cố:
Vào ngày 29 tháng 12 năm 2024, dự án FEG đã bị một cuộc tấn công lỗ hổng bảo mật, dẫn đến mất khoảng 1 triệu đô la. Nguyên nhân cơ bản của sự cố có vẻ là vấn đề về tính tương hợp liên quan đến việc tích hợp của cầu nối cross-chain Wormhole cơ bản, giúp việc gửi tin nhắn và chuyển token qua các chuỗi. Tổ chức Wormhole Foundation sau đó đã làm rõ rằng không có vấn đề nào được tìm thấy trong giao thức Wormhole, và cuộc tấn công không liên quan đến Wormhole.

Sau sự cố, nhóm đã tạm ngưng tất cả giao dịch FEG trên các sàn giao dịch tập trung và tiến hành một cuộc điều tra toàn diện. Mặc dù mã hợp đồng SmartDeFi không bị ảnh hưởng trực tiếp, giao thức SmartDeFi cũng đã tạm ngừng như một biện pháp phòng ngừa. Tuy nhiên, tất cả các dự án trên giao thức vẫn được bảo đảm an toàn đến nay[6].

Khuyến nghị sau sự cố:

• Tiến hành Kiểm tra Bảo mật Toàn diện: Hợp tác với một tổ chức chuyên nghiệp bên thứ ba để thực hiện một cuộc kiểm tra bảo mật tổng thể về các hợp đồng thông minh và mã nguồn nền tảng, tập trung vào kiểm soát truy cập, lỗi logic và lỗ hổng mã. Dựa trên kết quả kiểm tra, khẩn trương giải quyết và sửa chữa bất kỳ vấn đề nào được xác định, và công khai báo cáo kiểm tra để tăng cường sự tin tưởng của người dùng.
• Thiết lập Chương trình Tiết lộ và Thưởng Lỗi: Khởi chạy chương trình thưởng lỗi liên tục để khuyến khích các nhà nghiên cứu bảo mật và hacker đạo đức để xác định và báo cáo các lỗ hổng tiềm năng. Điều này sẽ giúp giảm thiểu rủi ro bảo mật trong tương lai.
• Nâng cao Bảo vệ Tài sản và Cơ chế Bồi thường Người dùng: Phát triển các hệ thống bảo vệ tài sản đa tầng, chẳng hạn như theo dõi thời gian thực các giao dịch bất thường, triển khai chức năng khóa thời gian và sử dụng ví đa chữ ký. Đối với người dùng bị ảnh hưởng, thiết lập một kế hoạch bồi thường công bằng và minh bạch để khôi phục sự tin tưởng của người dùng và giảm thiểu tổn thất tài chính.

Kết luận

Vào tháng 12 năm 2024, nhiều dự án DeFi đã bị mục tiêu bởi lỗ hổng bảo mật, dẫn đến việc mất hàng triệu đô la tài sản. Các sự cố này bao gồm cuộc tấn công kho bạc Clober DEX, một cuộc tấn công lợi dụng cross-chain do tích hợp FEG với Wormhole gây ra, lỗ hổng staking trong Vestra DAO, việc thao tác tính năng rút tiền đơn vị của Clipper DEX, và một cuộc tấn công vay flash trên HarryPotterObamaSonic10Inu. Những sự kiện này đã làm nổi bật các rủi ro quan trọng trong bảo mật hợp đồng thông minh, tính tương hợp giao thức cross-chain, và quản lý hồ bơi thanh khoản. Ngành công nghiệp cần gấp rút tăng cường kiểm định hợp đồng thông minh, triển khai giám sát thời gian thực, và áp dụng cơ chế bảo vệ đa tầng để cải thiện bảo mật nền tảng và niềm tin của người dùng. Gate.io nhắc nhở người dùng cập nhật thông tin về bảo mật, lựa chọn các nền tảng đáng tin cậy, và tăng cường bảo vệ tài sản cá nhân.


Tham khảo:

1. Slowmist,https://hacked.slowmist.io/zh/statistics
2. Clipper,https://blog.clipper.exchange/clipper-dec-24-exploit-post-mortem/
3. X,https://x.com/Vestra_DAO/status/1864677381459390781
4. X,https://x.com/CloberDEX/status/1874039225001377816
5. Gate.io,https://www.gate.io/zh-tw/post/status/8242569
6. X,https://x.com/FEGtoken/status/1873265905867866294

Gate Research
Nghiên cứu cổng là một nền tảng nghiên cứu blockchain và tiền điện tử toàn diện, cung cấp cho độc giả nội dung sâu rộng, bao gồm phân tích kỹ thuật, thông tin nóng, đánh giá thị trường, nghiên cứu ngành, dự báo xu hướng và phân tích chính sách kinh tế vĩ mô.

Nhấp vào Linkđể tìm hiểu thêm

Miễn trừ trách nhiệm
Đầu tư vào thị trường tiền điện tử có rủi ro cao, và người dùng được khuyến khích thực hiện nghiên cứu độc lập và hiểu đầy đủ về tính chất của tài sản và sản phẩm mà họmua hàngtrước khi đưa ra bất kỳ quyết định đầu tư nào.Gate.io không chịu trách nhiệm về bất kỳ mất mát hoặc thiệt hại nào do quyết định đầu tư như vậy gây ra.