Các vụ tấn công tiền điện tử giảm xuống mức thấp nhất trong ba năm vào quý 3 năm 2024, nhưng tỷ lệ khôi phục giảm mạnh

Ngành công nghiệp tiền điện tử đã trải qua số lượng vụ tấn công thấp nhất và tỷ lệ khôi phục thấp nhất trong ba năm vào quý 3 năm 2024, với tổng số 460 triệu đô la bị đánh cắp qua 28 vụ việc.

Quý 3 năm 2024 đã đánh dấu một sự suy giảm đáng kể trong các vụ tấn công tiền điện tử, với tổng thiệt hại khoảng 460 triệu đô la qua 28 vụ việc. Đây là mức thiệt hại nhỏ nhất từ các vụ tấn công trong ba năm qua, như được chi tiết trong báo cáo an ninh mạng. Mặc dù có sự cải thiện này, tỷ lệ khôi phục đã giảm xuống chỉ còn 5%, cho thấy một thách thức trong việc thu hồi các quỹ bị đánh cắp. Báo cáo cũng cung cấp cái nhìn sâu sắc về tình trạng bảo mật Web3, nêu bật các loại tấn công chính, các loại dự án bị ảnh hưởng nhiều nhất và các chiến lược giảm thiểu.

Các Cuộc Tấn Công Kiểm Soát Truy Cập Chiếm Ưu Thế Thiệt Hại

Trong quý 3, các cuộc tấn công khai thác cơ chế kiểm soát truy cập là gây thiệt hại nghiêm trọng nhất, chiếm 316 triệu đô la, gần 70% tổng số quỹ bị đánh cắp. Những cuộc tấn công này liên quan đến việc tin tặc kiểm soát các khóa quản lý các hợp đồng thông minh, cho phép họ rút tiền hoặc thao túng các triển khai hợp đồng để thực hiện các rút tiền không được phép.

Thiệt hại qua các loại tấn công khác nhau trong năm 2024. Nguồn: Hacken

Các lỗ hổng hợp đồng thông minh đứng thứ hai về thiệt hại trong quý 3. Những lỗ hổng này thường xuất phát từ các cuộc tấn công tái nhập, nơi hàm rút tiền được gọi nhiều lần trước khi trạng thái của hợp đồng được cập nhật, có thể làm cạn kiệt các hồ bơi thanh khoản. Ví dụ là vụ tấn công Minterest, dẫn đến thiệt hại 1,46 triệu đô la do một cuộc tấn công tái nhập.

Các Sàn Giao Dịch Tập Trung Chịu Thiệt Hại Lớn Nhất

Các sàn giao dịch tập trung bị ảnh hưởng nặng nề nhất bởi khối lượng quỹ bị đánh cắp. Sự cố lớn nhất là vụ tấn công WazirX tại Ấn Độ, nơi một hacker đã xâm nhập vào ví multisig Ethereum, rút đi hơn 230 triệu đô la sau khi có được các chữ ký cần thiết. Mặc dù đã kiểm tra, không tìm thấy bất kỳ lỗ hổng bảo mật nào từ bên ngoài, làm dấy lên nghi ngờ về một âm mưu nội bộ. Các sàn giao dịch tập trung đứng đầu danh sách thiệt hại chủ yếu do vụ việc WazirX, tiếp theo là các vụ tấn công vào các tổng hợp lợi nhuận và cầu nối chuỗi chéo. Đáng chú ý, cầu nối Ronin đã bị tấn công nhưng quỹ đã nhanh chóng được trả lại bởi một bot MEV mũ trắng.

Thiệt hại từ các vụ tấn công tiền điện tử qua các loại dự án khác nhau: Nguồn: Hacken

Các giao thức cho vay và vay mượn cũng phải đối mặt với thiệt hại đáng kể, tổng cộng 19,6 triệu đô la. Ngay cả Aave, một nền tảng hàng đầu, cũng phải chịu một cuộc tấn công dẫn đến thiệt hại 56.000 đô la. Những cuộc tấn công như vậy thường liên quan đến một giao dịch duy nhất, làm cho chúng khó phát hiện và ngăn chặn. Đa số các cuộc tấn công DeFi liên quan đến nhiều giao dịch, chẳng hạn như cập nhật proxy hoặc rút tiền liên tiếp, có thể được giảm thiểu thông qua việc giám sát chặt chẽ và phản ứng nhanh chóng.

Hệ thống Chiến Lược Phản Ứng Sự Cố Tự Động, được phát triển bởi Hacken, cung cấp bảo vệ có thể tùy chỉnh để tạm dừng các hợp đồng thông minh hoặc đóng băng các giao dịch đáng ngờ. Theo Hacken, gần 29% thiệt hại từ các vụ tấn công DeFi có thể đã được ngăn chặn với hệ thống giám sát và phản ứng tự động như vậy.

Vụ Tấn Công Nexera: Một Phân Tích Chi Tiết

Giao thức DeFi Nexera đã bị khai thác, dẫn đến việc đánh cắp 47,2 triệu token NXRA, với 15 triệu token đã được hoán đổi trước khi hợp đồng bị tạm dừng, gây ra thiệt hại 1,5 triệu đô la. Chiến lược Phản Ứng Sự Cố Tự Động của Hacken có thể đã tự động tạm dừng hợp đồng khi phát hiện ra việc nâng cấp proxy, ngăn chặn việc chuyển tiếp token và thiệt hại tiềm năng. Báo cáo nêu bật năm trường hợp khác mà chiến lược này có thể đã hiệu quả, bao gồm một cuộc tấn công tái nhập vào Penpie và một cuộc tấn công cầu nối Ronin.

Các vụ tấn công có thể đã được ngăn chặn với Chiến Lược Phản Ứng Sự Cố Tự Động. Nguồn: Hacken

Thông tin được cung cấp trong bài viết này chỉ nhằm mục đích thông tin chung và không nên được coi là lời khuyên cụ thể hoặc khuyến nghị cho bất kỳ cá nhân nào hoặc sản phẩm đầu tư cụ thể nào.

Theo Cointelegraph

Tin khác