Ngành công nghiệp tiền điện tử liên tục gặp phải những thách thức từ các vụ hack và tấn công khai thác giao thức trong những năm qua.
Xu hướng này tiếp tục kéo dài đến năm 2023. Tuy nhiên, có một tin tốt: số lượng vụ hack giảm hơn 50% so với cùng kỳ năm trước.
Theo TRM Labs, số tiền tiền điện tử bị hacker đánh cắp trong năm nay ước tính khoảng 1,7 tỷ đô la, chưa bằng một nửa so với con số 4 tỷ đô la được ghi nhận vào năm 2022. Mặc dù tổng thiệt hại đã giảm nhưng đó vẫn là một số tiền lớn bị đánh cắp từ các dự án riêng lẻ.
Năm nay ghi nhận một số vụ hack nghiêm trọng, ảnh hưởng đến các thực thể nổi bật như Multichain, Euler Finance, Mixin Network và Atomic Wallet.
Sau đó, vào tháng 11, ba dự án tiền điện tử có liên quan với nhà sáng lập Tron Justin Sun – Poloniex, HTX và Heco Bridge – đã mất tổng cộng hơn 200 triệu đô la trong một loạt vụ tấn công khai thác.
Một vấn đề tái diễn trong nhiều sự cố này là tấn công khai thác khóa riêng tư, cho phép thủ phạm truy cập vào tiền của người dùng. Trong suốt năm, nhóm hack Lazarus của Triều Tiên đã dính líu đến nhiều cuộc tấn công, dẫn đến thiệt hại chung lên tới hơn 300 triệu đô la.
Bài viết này sẽ đi sâu vào các vụ trộm tiền kỹ thuật số lớn nhất trong năm, xem xét các dự án bị ảnh hưởng và các yếu tố góp phần gây ra mỗi cuộc tấn công.
Vào ngày 23/9, công ty đã phải ngừng hoạt động đột ngột sau khi hacker cướp đi số tiền đáng kinh ngạc 200 triệu đô la từ ví nóng của người dùng.
Mixin báo cáo rằng “cơ sở dữ liệu của nhà cung cấp dịch vụ đám mây đã bị hacker tấn công”. Mặc dù công ty không đưa ra lời giải thích nào thêm, nhưng các nhà phân tích tin rằng cơ sở dữ liệu bị ảnh hưởng có thể đã nắm giữ các khóa riêng tư cho tài khoản của người dùng – là các cụm từ bí mật mở khóa lượng nắm giữ tiền điện tử của họ.
Một hacker đã tấn công khai thác lỗ hổng trên giao thức cho vay bằng cách thao túng tỷ giá giao dịch giữa các stablecoin do Euler phát hành: eDAI và dDAI. Bằng cách liên tục đặt hàm “donateToReserves” với DAI, hacker đã có thể tăng tỷ lệ eDAI/dDAI.
Họ đã sử dụng khoản vay nhanh (flash loan – một loại khoản vay được hoàn trả trong cùng một giao dịch trên Ethereum) để phá vỡ sự cân bằng của pool thanh khoản đang nắm giữ 2 token trên. Điều này đã kích hoạt thanh lý các vị thế bằng dDAI của người đi vay để rút tiền từ giao thức.
Nhưng câu chuyện không kết thúc ở đó. Trong một bước ngoặt – được gọi là động thái “white hat” (mũ trắng), kẻ tấn công đã trả lại số tiền bị đánh cắp. Các nạn nhân đã lấy lại hầu như tất cả số tiền (ngoại trừ một khoản tiền thưởng nhỏ từ chiến lợi phẩm đã được chuyển trở lại team).
Nguyên nhân chính xác của vụ hack vẫn chưa rõ ràng cho đến nay vì chưa có báo cáo nào được đưa ra.
Theo giải thích của công ty bảo mật Halborn, có khả năng các khóa riêng tư của hợp đồng thông minh trong cầu nối đã bị xâm phạm do hacker khai thác lỗi trong code.
Nhiều người đã đặt ra mối lo ngại rằng chính team đứng sau vụ việc này do CEO Multichain Zhaojun biến mất ngay trước vụ hack.
Trước sự kiện này, anh ta đã bị chính quyền Trung Quốc bắt giữ và được tiết lộ anh ta có quyền kiểm soát độc quyền đối với quỹ của giao thức, mâu thuẫn với các tuyên bố phân cấp trước đó của Multichain. Cầu nối Multichain hiện không còn hoạt động.
Ngay sau đó, dịch vụ giao dịch và rút tiền bị tạm dừng. Sàn giao dịch cho biết họ sẽ hoàn trả cho người dùng bị ảnh hưởng. Poloniex hoạt động như một sàn giao dịch tập trung từ năm 2014. Justin Sun, nhà sáng lập Tron, đã mua lại sàn này vào năm 2019.
Nhiều người nghi ngờ vụ tấn công khai thác có thể là do các lỗ hổng code được các nhà phân tích bảo mật tại Least Authority gắn cờ một năm trước khi xảy ra vụ việc. Các nhà phân tích tại SlowMist cũng tìm thấy các vấn đề tiềm ẩn.
Công ty phân tích on-chain Elliptic đã theo dõi hơn 5.500 ví bị nhắm đến trong cuộc tấn công, nói rằng hiệp hội hack Lazarus Group của Triều Tiên đứng đằng sau vụ này.
Vào tháng 8, một nhóm nạn nhân ở Nga đã đệ đơn kiện tập thể chống lại công ty đứng sau Atomic vì không bảo vệ tài sản của người dùng. Vài tháng sau, công ty trả lời bằng kiến nghị bác bỏ vụ kiện tại tòa án Hoa Kỳ.
Các phân tích ban đầu cho thấy kẻ xâm nhập đã thao túng code hợp đồng thông minh của cầu nối và phá vỡ các giao thức bảo mật. Thao tác này cho phép hacker tạo ra các token trái phép (thông qua hợp đồng cầu nối), sau đó đổi lấy ETH và chuyển ra khỏi cầu nối.
HTX (trước đây là Huobi) cũng bị thiệt hại 12 triệu đô la từ ví nóng của mình. Justin Sun, cố vấn của HTX và nhà sáng lập Tron, cho biết tiền thưởng mũ trắng đã được trao cho kẻ tấn công. Lời đề nghị này dường như đã được chấp nhận nên nền tảng thu hồi được 8 triệu đô la (trong số 12 triệu đô la bị đánh cắp).
Lỗ hổng bảo mật cho phép kẻ tấn công rút tiền là tấn công khai thác logic hợp đồng thông minh. Cách thức này thường được gọi là tấn công reentrancy, trong đó hacker thao túng các hợp đồng thông minh để rút tiền liên tiếp và nhanh chóng.
Bộ phận bảo vệ reentry bị trục trặc trong Vyper đã tạo điều kiện cho cuộc tấn công này. Các dự án được xây dựng trên nền tảng pool của Curve như JPEG’d, Metronome và Alchemix đều bị ảnh hưởng.
Team Curve đã nhanh chóng vá lỗ hổng và cuối cùng thu hồi được khoảng 50 triệu đô la – 70% số tiền bị đánh cắp – làm giảm bớt lo ngại cho nhiều người dùng và các bên liên quan. Số tiền thu hồi được các hacker có đạo đức trả lại trực tiếp hoặc được lưu giữ với sự hỗ trợ của các nhà vận hành chương trình MEV, chẳng hạn như c0ffeebabe.eth.
Nhóm Lazarus của Triều Tiên lại bị nghi ngờ có liên quan đến vụ việc này. Các nhà điều tra đã xác định được mối liên hệ giữa vụ hack CoinEx và một vụ trộm khác tại nền tảng cá cược Stake.com mà Cục Điều tra Liên bang Hoa Kỳ cho biết có liên quan đến nhóm hack Lazarus. Phân tích tiết lộ rằng địa chỉ ví nhận số tiền ăn cắp từ Stake.com có tương tác trực tiếp với ví của hacker CoinEx.
Vụ tấn công khai thác ngày 22/11 bắt nguồn từ một lỗ hổng trong ranh giới khoảng thời gian đánh dấu của các pool thanh khoản tập trung của Kyber, cho phép thủ phạm tăng gấp đôi thanh khoản một cách giả tạo và rút cạn giá trị.
Trong nỗ lực đàm phán, Kyber đã đề xuất khoản tiền thưởng mũ trắng 10% cho hacker để được trả lại tiền. Tuy nhiên, hacker tỏ ra không quan tâm đến việc nhận tiền thưởng và đưa ra các yêu cầu khác trong một tin nhắn kỳ quái on-chain, bao gồm cả việc yêu cầu team cho kiểm soát hoàn toàn dự án.
Team đã thu hồi 4,7 triệu đô la trong số tiền bị rút cạn do các bot MEV của bên thứ ba lấy đi.
FBI quy kết cuộc tấn công là do Lazarus thực hiện trong một báo cáo, dựa trên phân tích của họ về các địa chỉ nhận tiền bị đánh cắp từ Stake.com trên mạng Ethereum, BNB Chain và Polygon.
Credit: @Minh Anh Theo The Block
Xu hướng này tiếp tục kéo dài đến năm 2023. Tuy nhiên, có một tin tốt: số lượng vụ hack giảm hơn 50% so với cùng kỳ năm trước.
Theo TRM Labs, số tiền tiền điện tử bị hacker đánh cắp trong năm nay ước tính khoảng 1,7 tỷ đô la, chưa bằng một nửa so với con số 4 tỷ đô la được ghi nhận vào năm 2022. Mặc dù tổng thiệt hại đã giảm nhưng đó vẫn là một số tiền lớn bị đánh cắp từ các dự án riêng lẻ.
Năm nay ghi nhận một số vụ hack nghiêm trọng, ảnh hưởng đến các thực thể nổi bật như Multichain, Euler Finance, Mixin Network và Atomic Wallet.
Sau đó, vào tháng 11, ba dự án tiền điện tử có liên quan với nhà sáng lập Tron Justin Sun – Poloniex, HTX và Heco Bridge – đã mất tổng cộng hơn 200 triệu đô la trong một loạt vụ tấn công khai thác.
Một vấn đề tái diễn trong nhiều sự cố này là tấn công khai thác khóa riêng tư, cho phép thủ phạm truy cập vào tiền của người dùng. Trong suốt năm, nhóm hack Lazarus của Triều Tiên đã dính líu đến nhiều cuộc tấn công, dẫn đến thiệt hại chung lên tới hơn 300 triệu đô la.
Bài viết này sẽ đi sâu vào các vụ trộm tiền kỹ thuật số lớn nhất trong năm, xem xét các dự án bị ảnh hưởng và các yếu tố góp phần gây ra mỗi cuộc tấn công.
Mixin Network — 200 triệu đô la
Mixin Network là dự án tiền điện tử có trụ sở tại Hồng Kông, đã gánh chịu vụ tấn công khai thác tiền điện tử lớn nhất trong năm.Vào ngày 23/9, công ty đã phải ngừng hoạt động đột ngột sau khi hacker cướp đi số tiền đáng kinh ngạc 200 triệu đô la từ ví nóng của người dùng.
Mixin báo cáo rằng “cơ sở dữ liệu của nhà cung cấp dịch vụ đám mây đã bị hacker tấn công”. Mặc dù công ty không đưa ra lời giải thích nào thêm, nhưng các nhà phân tích tin rằng cơ sở dữ liệu bị ảnh hưởng có thể đã nắm giữ các khóa riêng tư cho tài khoản của người dùng – là các cụm từ bí mật mở khóa lượng nắm giữ tiền điện tử của họ.
Euler Finance — 197 triệu đô la
Rất ít sự kiện ghi lại tính táo bạo và lỗ hổng của DeFi một cách sống động như vụ tấn công khai thác vào tháng 3/2023 trên giao thức cho vay Euler. Hậu quả là số tiền điện tử trị giá 197 triệu đô la biến mất với mánh khóe kỳ lạ.Một hacker đã tấn công khai thác lỗ hổng trên giao thức cho vay bằng cách thao túng tỷ giá giao dịch giữa các stablecoin do Euler phát hành: eDAI và dDAI. Bằng cách liên tục đặt hàm “donateToReserves” với DAI, hacker đã có thể tăng tỷ lệ eDAI/dDAI.
Họ đã sử dụng khoản vay nhanh (flash loan – một loại khoản vay được hoàn trả trong cùng một giao dịch trên Ethereum) để phá vỡ sự cân bằng của pool thanh khoản đang nắm giữ 2 token trên. Điều này đã kích hoạt thanh lý các vị thế bằng dDAI của người đi vay để rút tiền từ giao thức.
Nhưng câu chuyện không kết thúc ở đó. Trong một bước ngoặt – được gọi là động thái “white hat” (mũ trắng), kẻ tấn công đã trả lại số tiền bị đánh cắp. Các nạn nhân đã lấy lại hầu như tất cả số tiền (ngoại trừ một khoản tiền thưởng nhỏ từ chiến lợi phẩm đã được chuyển trở lại team).
Multichain — 125 triệu đô la
Vào tháng 7, cầu nối cross-chain Multichain được cho là đã bị tấn công khai thác với thiệt hại lên đến 125 triệu đô la tiền điện tử trên các blockchain khác nhau mà họ hỗ trợ. Trong đó, thiệt hại lớn nhất là trên Fantom. Điều này xảy ra ngay sau khi cầu nối bị tạm dừng trong bối cảnh team trích dẫn “nhiều vấn đề do những tình huống không lường trước được”.Nguyên nhân chính xác của vụ hack vẫn chưa rõ ràng cho đến nay vì chưa có báo cáo nào được đưa ra.
Theo giải thích của công ty bảo mật Halborn, có khả năng các khóa riêng tư của hợp đồng thông minh trong cầu nối đã bị xâm phạm do hacker khai thác lỗi trong code.
Nhiều người đã đặt ra mối lo ngại rằng chính team đứng sau vụ việc này do CEO Multichain Zhaojun biến mất ngay trước vụ hack.
Trước sự kiện này, anh ta đã bị chính quyền Trung Quốc bắt giữ và được tiết lộ anh ta có quyền kiểm soát độc quyền đối với quỹ của giao thức, mâu thuẫn với các tuyên bố phân cấp trước đó của Multichain. Cầu nối Multichain hiện không còn hoạt động.
Poloniex — 120 triệu đô la
Vào tháng 11/2023, các hacker bị nghi ngờ thuộc Lazarus Group của Triều Tiên đã bòn rút số tiền đáng kinh ngạc 120 triệu đô la từ ví nóng của Poloniex, có thể bằng cách giành được quyền truy cập vào khóa riêng tư.Ngay sau đó, dịch vụ giao dịch và rút tiền bị tạm dừng. Sàn giao dịch cho biết họ sẽ hoàn trả cho người dùng bị ảnh hưởng. Poloniex hoạt động như một sàn giao dịch tập trung từ năm 2014. Justin Sun, nhà sáng lập Tron, đã mua lại sàn này vào năm 2019.
Atomic Wallet — 100 triệu đô la
Vào tháng 6/2023, ứng dụng ví tiền điện tử Atomic đã xóa tài khoản ví người dùng. Hacker đã đánh cắp tài sản trị giá hơn 100 triệu đô la từ khoảng 5.500 người dùng. Nguyên nhân chính đằng sau vụ việc vẫn chưa rõ vì Atomic vẫn chưa đưa ra lời giải thích.Nhiều người nghi ngờ vụ tấn công khai thác có thể là do các lỗ hổng code được các nhà phân tích bảo mật tại Least Authority gắn cờ một năm trước khi xảy ra vụ việc. Các nhà phân tích tại SlowMist cũng tìm thấy các vấn đề tiềm ẩn.
Công ty phân tích on-chain Elliptic đã theo dõi hơn 5.500 ví bị nhắm đến trong cuộc tấn công, nói rằng hiệp hội hack Lazarus Group của Triều Tiên đứng đằng sau vụ này.
Vào tháng 8, một nhóm nạn nhân ở Nga đã đệ đơn kiện tập thể chống lại công ty đứng sau Atomic vì không bảo vệ tài sản của người dùng. Vài tháng sau, công ty trả lời bằng kiến nghị bác bỏ vụ kiện tại tòa án Hoa Kỳ.
Heco Bridge, HTX — 99 triệu đô la
Vào tháng 11, cầu nối cross-chain chính trên Heco – một blockchain được thiết lập bởi sàn giao dịch HTX – đã vướng vào một vụ tấn công khai thác lớn. Thủ phạm đã giành được quyền kiểm soát hợp đồng thông minh chính hoặc tài khoản nhà điều hành của cầu nối, dẫn đến đánh cắp hơn 86 triệu đô la bằng nhiều loại tiền điện tử khác nhau.Các phân tích ban đầu cho thấy kẻ xâm nhập đã thao túng code hợp đồng thông minh của cầu nối và phá vỡ các giao thức bảo mật. Thao tác này cho phép hacker tạo ra các token trái phép (thông qua hợp đồng cầu nối), sau đó đổi lấy ETH và chuyển ra khỏi cầu nối.
HTX (trước đây là Huobi) cũng bị thiệt hại 12 triệu đô la từ ví nóng của mình. Justin Sun, cố vấn của HTX và nhà sáng lập Tron, cho biết tiền thưởng mũ trắng đã được trao cho kẻ tấn công. Lời đề nghị này dường như đã được chấp nhận nên nền tảng thu hồi được 8 triệu đô la (trong số 12 triệu đô la bị đánh cắp).
Curve — 73 triệu đô la
Vào tháng 7, tai họa đã ập đến với Curve Finance, một trong những sàn giao dịch phi tập trung lớn nhất của DeFi. Một số pool thanh khoản trên nền tảng đã bị tấn công khai thác do lỗ hổng trong ngôn ngữ lập trình Vyper mà họ sử dụng. Theo đó, hacker đánh cắp khoảng 73 triệu đô la các loại tiền kỹ thuật số khác nhau.Lỗ hổng bảo mật cho phép kẻ tấn công rút tiền là tấn công khai thác logic hợp đồng thông minh. Cách thức này thường được gọi là tấn công reentrancy, trong đó hacker thao túng các hợp đồng thông minh để rút tiền liên tiếp và nhanh chóng.
Bộ phận bảo vệ reentry bị trục trặc trong Vyper đã tạo điều kiện cho cuộc tấn công này. Các dự án được xây dựng trên nền tảng pool của Curve như JPEG’d, Metronome và Alchemix đều bị ảnh hưởng.
Team Curve đã nhanh chóng vá lỗ hổng và cuối cùng thu hồi được khoảng 50 triệu đô la – 70% số tiền bị đánh cắp – làm giảm bớt lo ngại cho nhiều người dùng và các bên liên quan. Số tiền thu hồi được các hacker có đạo đức trả lại trực tiếp hoặc được lưu giữ với sự hỗ trợ của các nhà vận hành chương trình MEV, chẳng hạn như c0ffeebabe.eth.
CoinEx — 55 triệu đô la
Vào tháng 9, sàn giao dịch tập trung CoinEx có trụ sở tại Hồng Kông đã báo cáo một vụ hack lớn. Hacker đã xâm nhập vào ví nóng của sàn giao dịch, được thiết kế để sử dụng cho giao dịch ngay lập tức và lấy đi hơn 55 triệu đô la các coin khác nhau.Nhóm Lazarus của Triều Tiên lại bị nghi ngờ có liên quan đến vụ việc này. Các nhà điều tra đã xác định được mối liên hệ giữa vụ hack CoinEx và một vụ trộm khác tại nền tảng cá cược Stake.com mà Cục Điều tra Liên bang Hoa Kỳ cho biết có liên quan đến nhóm hack Lazarus. Phân tích tiết lộ rằng địa chỉ ví nhận số tiền ăn cắp từ Stake.com có tương tác trực tiếp với ví của hacker CoinEx.
KyberSwap — 54 triệu đô la
Công cụ tổng hợp sàn giao dịch phi tập trung (DEX) KyberSwap đã bị tấn công khai thác thông qua một cuộc tấn công vào nền tảng Elastic của họ, đánh mất khoảng 54 triệu đô la tiền điện tử.Vụ tấn công khai thác ngày 22/11 bắt nguồn từ một lỗ hổng trong ranh giới khoảng thời gian đánh dấu của các pool thanh khoản tập trung của Kyber, cho phép thủ phạm tăng gấp đôi thanh khoản một cách giả tạo và rút cạn giá trị.
Trong nỗ lực đàm phán, Kyber đã đề xuất khoản tiền thưởng mũ trắng 10% cho hacker để được trả lại tiền. Tuy nhiên, hacker tỏ ra không quan tâm đến việc nhận tiền thưởng và đưa ra các yêu cầu khác trong một tin nhắn kỳ quái on-chain, bao gồm cả việc yêu cầu team cho kiểm soát hoàn toàn dự án.
Team đã thu hồi 4,7 triệu đô la trong số tiền bị rút cạn do các bot MEV của bên thứ ba lấy đi.
Stake.com — 41 triệu đô la
Nền tảng cá cược dựa trên tiền điện tử Stake.com đã trở thành nạn nhân của một vụ tấn công khai thác khóa riêng tư ví của họ. Vào ngày 4/9/2023, ước tính khoảng 41 triệu đô la tiền điện tử đã bị đánh cắp khỏi nền tảng này.FBI quy kết cuộc tấn công là do Lazarus thực hiện trong một báo cáo, dựa trên phân tích của họ về các địa chỉ nhận tiền bị đánh cắp từ Stake.com trên mạng Ethereum, BNB Chain và Polygon.
Credit: @Minh Anh Theo The Block
Last edited:
