Trang chủ Tạp chí Tin tức Scam -Hack 10 vụ hack và exploit tiền điện tử lớn nhất năm 2023

10 vụ hack và exploit tiền điện tử lớn nhất năm 2023

Ngành công nghiệp tiền điện tử liên tục gặp phải những thách thức từ các vụ hack và tấn công khai thác giao thức trong những năm qua.

tiền điện tử

Xu hướng này tiếp tục kéo dài đến năm 2023. Tuy nhiên, có một tin tốt: số lượng vụ hack giảm hơn 50% so với cùng kỳ năm trước.

Theo TRM Labs, số tiền tiền điện tử bị hacker đánh cắp trong năm nay ước tính khoảng 1,7 tỷ đô la, chưa bằng một nửa so với con số 4 tỷ đô la được ghi nhận vào năm 2022. Mặc dù tổng thiệt hại đã giảm nhưng đó vẫn là một số tiền lớn bị đánh cắp từ các dự án riêng lẻ.

Năm nay ghi nhận một số vụ hack nghiêm trọng, ảnh hưởng đến các thực thể nổi bật như Multichain, Euler Finance, Mixin Network và Atomic Wallet.

Sau đó, vào tháng 11, ba dự án tiền điện tử có liên quan với nhà sáng lập Tron Justin Sun – Poloniex, HTX và Heco Bridge – đã mất tổng cộng hơn 200 triệu đô la trong một loạt vụ tấn công khai thác.

Một vấn đề tái diễn trong nhiều sự cố này là tấn công khai thác khóa riêng tư, cho phép thủ phạm truy cập vào tiền của người dùng. Trong suốt năm, nhóm hack Lazarus của Triều Tiên đã dính líu đến nhiều cuộc tấn công, dẫn đến thiệt hại chung lên tới hơn 300 triệu đô la.

Bài viết này sẽ đi sâu vào các vụ trộm tiền kỹ thuật số lớn nhất trong năm, xem xét các dự án bị ảnh hưởng và các yếu tố góp phần gây ra mỗi cuộc tấn công.

Mixin Network — 200 triệu đô la 

Mixin Network là dự án tiền điện tử có trụ sở tại Hồng Kông, đã gánh chịu vụ tấn công khai thác tiền điện tử lớn nhất trong năm.

Vào ngày 23/9, công ty đã phải ngừng hoạt động đột ngột sau khi hacker cướp đi số tiền đáng kinh ngạc 200 triệu đô la từ ví nóng của người dùng.

Mixin báo cáo rằng “cơ sở dữ liệu của nhà cung cấp dịch vụ đám mây đã bị hacker tấn công”. Mặc dù công ty không đưa ra lời giải thích nào thêm, nhưng các nhà phân tích tin rằng cơ sở dữ liệu bị ảnh hưởng có thể đã nắm giữ các khóa riêng tư cho tài khoản của người dùng – là các cụm từ bí mật mở khóa lượng nắm giữ tiền điện tử của họ.

Euler Finance — 197 triệu đô la 

Rất ít sự kiện ghi lại tính táo bạo và lỗ hổng của DeFi một cách sống động như vụ tấn công khai thác vào tháng 3/2023 trên giao thức cho vay Euler. Hậu quả là số tiền điện tử trị giá 197 triệu đô la biến mất với mánh khóe kỳ lạ.

Một hacker đã tấn công khai thác lỗ hổng trên giao thức cho vay bằng cách thao túng tỷ giá giao dịch giữa các stablecoin do Euler phát hành: eDAI và dDAI. Bằng cách liên tục đặt hàm “donateToReserves” với DAI, hacker đã có thể tăng tỷ lệ eDAI/dDAI.

Họ đã sử dụng khoản vay nhanh (flash loan – một loại khoản vay được hoàn trả trong cùng một giao dịch trên Ethereum) để phá vỡ sự cân bằng của pool thanh khoản đang nắm giữ 2 token trên. Điều này đã kích hoạt thanh lý các vị thế bằng dDAI của người đi vay để rút tiền từ giao thức.

Nhưng câu chuyện không kết thúc ở đó. Trong một bước ngoặt – được gọi là động thái “white hat” (mũ trắng), kẻ tấn công đã trả lại số tiền bị đánh cắp. Các nạn nhân đã lấy lại hầu như tất cả số tiền (ngoại trừ một khoản tiền thưởng nhỏ từ chiến lợi phẩm đã được chuyển trở lại team).

Multichain — 125 triệu đô la 

Vào tháng 7, cầu nối cross-chain Multichain được cho là đã bị tấn công khai thác với thiệt hại lên đến 125 triệu đô la tiền điện tử trên các blockchain khác nhau mà họ hỗ trợ. Trong đó, thiệt hại lớn nhất là trên Fantom. Điều này xảy ra ngay sau khi cầu nối bị tạm dừng trong bối cảnh team trích dẫn “nhiều vấn đề do những tình huống không lường trước được”.

Nguyên nhân chính xác của vụ hack vẫn chưa rõ ràng cho đến nay vì chưa có báo cáo nào được đưa ra.

Theo giải thích của công ty bảo mật Halborn, có khả năng các khóa riêng tư của hợp đồng thông minh trong cầu nối đã bị xâm phạm do hacker khai thác lỗi trong code.

Nhiều người đã đặt ra mối lo ngại rằng chính team đứng sau vụ việc này do CEO Multichain Zhaojun biến mất ngay trước vụ hack.

Trước sự kiện này, anh ta đã bị chính quyền Trung Quốc bắt giữ và được tiết lộ anh ta có quyền kiểm soát độc quyền đối với quỹ của giao thức, mâu thuẫn với các tuyên bố phân cấp trước đó của Multichain. Cầu nối Multichain hiện không còn hoạt động.

Poloniex — 120 triệu đô la 

Vào tháng 11/2023, các hacker bị nghi ngờ thuộc Lazarus Group của Triều Tiên đã bòn rút số tiền đáng kinh ngạc 120 triệu đô la từ ví nóng của Poloniex, có thể bằng cách giành được quyền truy cập vào khóa riêng tư.

Ngay sau đó, dịch vụ giao dịch và rút tiền bị tạm dừng. Sàn giao dịch cho biết họ sẽ hoàn trả cho người dùng bị ảnh hưởng. Poloniex hoạt động như một sàn giao dịch tập trung từ năm 2014. Justin Sun, nhà sáng lập Tron, đã mua lại sàn này vào năm 2019.

Atomic Wallet — 100 triệu đô la 

Vào tháng 6/2023, ứng dụng ví tiền điện tử Atomic đã xóa tài khoản ví người dùng. Hacker đã đánh cắp tài sản trị giá hơn 100 triệu đô la từ khoảng 5.500 người dùng. Nguyên nhân chính đằng sau vụ việc vẫn chưa rõ vì Atomic vẫn chưa đưa ra lời giải thích.

Nhiều người nghi ngờ vụ tấn công khai thác có thể là do các lỗ hổng code được các nhà phân tích bảo mật tại Least Authority gắn cờ một năm trước khi xảy ra vụ việc. Các nhà phân tích tại SlowMist cũng tìm thấy các vấn đề tiềm ẩn.

Công ty phân tích on-chain Elliptic đã theo dõi hơn 5.500 ví bị nhắm đến trong cuộc tấn công, nói rằng hiệp hội hack Lazarus Group của Triều Tiên đứng đằng sau vụ này.

Vào tháng 8, một nhóm nạn nhân ở Nga đã đệ đơn kiện tập thể chống lại công ty đứng sau Atomic vì không bảo vệ tài sản của người dùng. Vài tháng sau, công ty trả lời bằng kiến nghị bác bỏ vụ kiện tại tòa án Hoa Kỳ.

Heco Bridge, HTX — 99 triệu đô la 

Vào tháng 11, cầu nối cross-chain chính trên Heco – một blockchain được thiết lập bởi sàn giao dịch HTX – đã vướng vào một vụ tấn công khai thác lớn. Thủ phạm đã giành được quyền kiểm soát hợp đồng thông minh chính hoặc tài khoản nhà điều hành của cầu nối, dẫn đến đánh cắp hơn 86 triệu đô la bằng nhiều loại tiền điện tử khác nhau.

Các phân tích ban đầu cho thấy kẻ xâm nhập đã thao túng code hợp đồng thông minh của cầu nối và phá vỡ các giao thức bảo mật. Thao tác này cho phép hacker tạo ra các token trái phép (thông qua hợp đồng cầu nối), sau đó đổi lấy ETH và chuyển ra khỏi cầu nối.

HTX (trước đây là Huobi) cũng bị thiệt hại 12 triệu đô la từ ví nóng của mình. Justin Sun, cố vấn của HTX và nhà sáng lập Tron, cho biết tiền thưởng mũ trắng đã được trao cho kẻ tấn công. Lời đề nghị này dường như đã được chấp nhận nên nền tảng thu hồi được 8 triệu đô la (trong số 12 triệu đô la bị đánh cắp).

Curve — 73 triệu đô la 

Vào tháng 7, tai họa đã ập đến với Curve Finance, một trong những sàn giao dịch phi tập trung lớn nhất của DeFi. Một số pool thanh khoản trên nền tảng đã bị tấn công khai thác do lỗ hổng trong ngôn ngữ lập trình Vyper mà họ sử dụng. Theo đó, hacker đánh cắp khoảng 73 triệu đô la các loại tiền kỹ thuật số khác nhau.

Lỗ hổng bảo mật cho phép kẻ tấn công rút tiền là tấn công khai thác logic hợp đồng thông minh. Cách thức này thường được gọi là tấn công reentrancy, trong đó hacker thao túng các hợp đồng thông minh để rút tiền liên tiếp và nhanh chóng.

Bộ phận bảo vệ reentry bị trục trặc trong Vyper đã tạo điều kiện cho cuộc tấn công này. Các dự án được xây dựng trên nền tảng pool của Curve như JPEG’d, Metronome và Alchemix đều bị ảnh hưởng.

Team Curve đã nhanh chóng vá lỗ hổng và cuối cùng thu hồi được khoảng 50 triệu đô la – 70% số tiền bị đánh cắp – làm giảm bớt lo ngại cho nhiều người dùng và các bên liên quan. Số tiền thu hồi được các hacker có đạo đức trả lại trực tiếp hoặc được lưu giữ với sự hỗ trợ của các nhà vận hành chương trình MEV, chẳng hạn như c0ffeebabe.eth.

CoinEx — 55 triệu đô la 

Vào tháng 9, sàn giao dịch tập trung CoinEx có trụ sở tại Hồng Kông đã báo cáo một vụ hack lớn. Hacker đã xâm nhập vào ví nóng của sàn giao dịch, được thiết kế để sử dụng cho giao dịch ngay lập tức và lấy đi hơn 55 triệu đô la các coin khác nhau.

Nhóm Lazarus của Triều Tiên lại bị nghi ngờ có liên quan đến vụ việc này. Các nhà điều tra đã xác định được mối liên hệ giữa vụ hack CoinEx và một vụ trộm khác tại nền tảng cá cược Stake.com mà Cục Điều tra Liên bang Hoa Kỳ cho biết có liên quan đến nhóm hack Lazarus. Phân tích tiết lộ rằng địa chỉ ví nhận số tiền ăn cắp từ Stake.com có tương tác trực tiếp với ví của hacker CoinEx.

KyberSwap — 54 triệu đô la 

Công cụ tổng hợp sàn giao dịch phi tập trung (DEX) KyberSwap đã bị tấn công khai thác thông qua một cuộc tấn công vào nền tảng Elastic của họ, đánh mất khoảng 54 triệu đô la tiền điện tử.

Vụ tấn công khai thác ngày 22/11 bắt nguồn từ một lỗ hổng trong ranh giới khoảng thời gian đánh dấu của các pool thanh khoản tập trung của Kyber, cho phép thủ phạm tăng gấp đôi thanh khoản một cách giả tạo và rút cạn giá trị.

Trong nỗ lực đàm phán, Kyber đã đề xuất khoản tiền thưởng mũ trắng 10% cho hacker để được trả lại tiền. Tuy nhiên, hacker tỏ ra không quan tâm đến việc nhận tiền thưởng và đưa ra các yêu cầu khác trong một tin nhắn kỳ quái on-chain, bao gồm cả việc yêu cầu team cho kiểm soát hoàn toàn dự án.

Team đã thu hồi 4,7 triệu đô la trong số tiền bị rút cạn do các bot MEV của bên thứ ba lấy đi.

Stake.com — 41 triệu đô la 

Nền tảng cá cược dựa trên tiền điện tử Stake.com đã trở thành nạn nhân của một vụ tấn công khai thác khóa riêng tư ví của họ. Vào ngày 4/9/2023, ước tính khoảng 41 triệu đô la tiền điện tử đã bị đánh cắp khỏi nền tảng này.

FBI quy kết cuộc tấn công là do Lazarus thực hiện trong một báo cáo, dựa trên phân tích của họ về các địa chỉ nhận tiền bị đánh cắp từ Stake.com trên mạng Ethereum, BNB Chain và Polygon.

Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn

Theo dõi Twitter (X): https://twitter.com/tapchibtc_io

Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin  

Minh Anh

Theo The Block

MỚI CẬP NHẬT

“Thư tạm ngừng” của FDIC tiết lộ chiến thuật nhằm vào ngân hàng tiền...

Giám đốc pháp lý (CLO) của Coinbase, Paul Grewal, đã lên tiếng chỉ trích Tổng Công ty Bảo hiểm Tiền gửi Liên bang Hoa...
bnb

Đốt token thúc đẩy sự thay đổi trong tâm lý của BNB – $606...

Vào ngày 1/11, BNB Chain thông báo đã hoàn thành đợt đốt coin theo quý lần thứ 29, về cơ bản là làm giảm...

AI dự đoán thời điểm Bitcoin đạt $100.000

Với việc Bitcoin (BTC) không giữ được mức trên $70.000, sự chú ý của thị trường vẫn tập trung vào việc liệu đồng tiền...

Tron đạt doanh thu hàng tháng cao thứ hai khi TRX tăng trưởng

Blockchain của Tron đang trải qua những bước tiến đáng kể, với token gốc TRX đạt mức cao nhất trong năm nhờ vào doanh...

NFT phá vỡ xu hướng giảm kéo dài 7 tháng, với doanh số tháng...

Trong tháng 10, lĩnh vực NFT đã chứng kiến sự phục hồi mạnh mẽ, phá vỡ xu hướng giảm kéo dài bảy tháng trước...

Thái Lan bắt giữ 6 cảnh sát bị cáo buộc dàn dựng tống tiền...

Cảnh sát Thái Lan đã tiến hành bắt giữ 7 cá nhân, trong đó có 6 cảnh sát, liên quan đến cáo buộc dàn...

Tin vắn Crypto 02/11: Bitcoin có thể quay về $65.000 trong thời gian tới...

Từ nhận định Bitcoin có thể giảm mạnh xuống $65.000 trong thời gian tới đến Grayscale XRP Trust đã mở cửa cho các nhà...
Tether

Tether chuyển hướng sang thị trường Châu Âu, Trung Đông và Châu Phi trước...

Tether (USDT) đang cho thấy xu hướng dịch chuyển mạnh mẽ sang các thị trường châu Âu, Trung Đông và châu Phi do những...

Arthur Hayes cho biết Solana là sự lựa chọn hấp dẫn trong bối cảnh...

Arthur Hayes, đồng sáng lập BitMEX và Giám đốc Đầu tư tại Maelstrom, đã thể hiện sự ủng hộ đối với Solana, gọi nó...

Ripple công bố báo cáo quý 3 – Đây là lượng token XRP mà...

Theo báo cáo quý 3 vừa được công bố, công ty blockchain Ripple, có trụ sở tại San Francisco, hiện nắm giữ 4,43 tỷ...

Chiến lược Bitcoin đã giúp MicroStrategy đạt mức vốn hóa thị trường hơn 50...

Vốn hóa thị trường của MicroStrategy, công ty đầu tư nổi tiếng chuyên về Bitcoin, đã chính thức vượt qua Coinbase, sàn giao dịch...

DWF Labs xem xét khởi kiện cựu đối tác Eugene Ng vì cáo buộc...

Đối tác quản lý của DWF Labs, Andrei Grachev, đã tuyên bố vào thứ Sáu trên mạng xã hội X rằng công ty của...
gotbit

DOJ Hoa Kỳ truy tố CEO Gotbit vì bị cáo buộc dàn dựng âm...

Bộ Tư pháp Hoa Kỳ (DOJ) đã truy tố Aleksei Andriunin, nhà sáng lập và CEO của công ty dịch vụ tài chính tiền...

Nghiên cứu cho thấy lệnh cấm khai thác Bitcoin có thể làm tăng lượng...

Các nhà nghiên cứu từ tổ chức phi lợi nhuận Exponential Science và Đại học College London đã chỉ ra rằng các lệnh cấm...

Tỷ lệ chiến thắng của Donald Trump trên Polymarket giảm xuống dưới 58% dù...

Một trong những nhà đầu tư lớn nhất trên nền tảng Polymarket đã quyết định rót thêm 7 triệu đô la vào token 'Yes'...
eth-giam-thang-11

Giá ETH có thể giảm xuống còn $1.550 vào tháng 11, đây là lý...

Sau tháng Mười thiếu đi sự sôi động cần thiết, mô hình giảm giá trên biểu đồ Ethereum không còn có thể bị phớt...