Hoạt động tấn công tiền điện tử giảm mạnh 48% trong tháng 3 — Liệu tiền điện tử đã an toàn hơn chưa?
Tháng 3 vừa qua đã ghi nhận một sự sụt giảm đáng kể về các vụ tấn công, đánh cắp tiền điện tử. Theo số liệu từ công ty bảo mật blockchain CertiK, các tin tặc đã đánh cắp khoảng 79 triệu USD từ các dự án tài chính phi tập trung (DeFi).
Con số này cho thấy sự sụt giảm mạnh tới 48% so với mức 160 triệu USD bị đánh cắp trong tháng 2. Tuy nhiên, các nhà đầu tư tiền điện tử vẫn cần thận trọng, mặc dù đã có sự giảm sút nhưng 79 triệu USD vẫn là một con số không hề nhỏ.
Chiêu trò lừa đảo đánh cắp tiền điện tử: Vay flash loan và phishing
Báo cáo chi tiết của CertiK về các vụ tấn công trong tháng 3 cho thấy thủ phạm chủ yếu nhắm vào lỗ hổng của các giao thức DeFi, gây ra thiệt hại lớn nhất lên tới 52.1 triệu USD. Ngoài ra, các hình thức tấn công phổ biến khác cũng gây ra thiệt hại không nhỏ.
Kiểu tấn công vay flash loan (flash loan attack) – tức là vay một lượng tiền điện tử lớn trong thời gian ngắn để thao túng giá và đánh sập các giao thức – đã khiến nhà đầu tư mất trắng khoảng 20 triệu USD. Bên cạnh đó, các trò lừa đảo đánh vào lòng tham (phishing scam) đội lốt các trang web, ứng dụng DeFi uy tín cũng đánh lừa người dùng, dẫn đến thất thoát thêm 23 triệu USD.
Cuối cùng, báo cáo của CertiK cũng đề cập đến exit scam – hình thức lừa đảo thường thấy trong lĩnh vực tiền điện tử, nơi các đội ngũ phát triển tạo ra một dự án DeFi hứa hẹn nhưng sau đó bỏ trốn với số tiền của người dùng. Mặc dù số tiền mất mát do exit scam trong tháng 3 chỉ vào khoảng 5,7 triệu USD, nhưng đây vẫn là một lời cảnh báo cho các nhà đầu tư cần nghiên cứu kỹ lưỡng về dự án và đội ngũ phát triển trước khi rót tiền.
Combining all the incidents in March we’ve confirmed ~$79m lost to exploits, hacks and scams after ~$69m was returned.
The total is a 48% decrease from February with phishing accounting for ~$21m
Exit scams: ~$5.7m
Flash loans: ~$21.9m
Exploits: ~$52.1m… pic.twitter.com/vdZN2S25K1— CertiK Alert (@CertiKAlert) March 31, 2024
Các vụ tấn công “khủng” nhất tháng 3
Tháng 3 vừa qua đã ghi nhận một trong những vụ tấn công tiền điện tử nghiêm trọng nhất, liên quan đến hợp đồng thông minh của Curio trên nền tảng Ethereum, được xây dựng dựa trên MakerDAO. Ước tính ban đầu cho thấy thiệt hại lên tới 16 triệu USD. Tuy nhiên, công ty bảo mật blockchain PeckShield sau đó đã chỉ ra rằng con số thực tế có thể gần 40 triệu USD.
Ở một diễn biến khác, Prisma Finance – một nền tảng tài chính phi tập trung khác – cũng trở thành nạn nhân của kẻ gian. Bằng phương thức tấn công vay flash loan, kẻ xấu đã đánh cắp khoảng 12.4 triệu USD từ Prisma. Nhưng sau đó, thủ phạm đã quay lại với tuyên bố rằng họ là “white-hat hacker” (hacker thiện) và hứa sẽ trả lại tiền nếu đội ngũ phát triển Prisma tổ chức một buổi họp trực tuyến. Tuy nhiên, trong buổi họp này, kẻ gian lại đưa ra những yêu cầu vô lý, đòi hỏi các thành viên team Prisma tiết lộ danh tính và đưa ra lời xin lỗi công khai.
Danh sách các nạn nhân của hacker trong tháng 3 không dừng lại ở các dự án DeFi. NFPrompt, một nền tảng giao dịch NFT được hậu thuẫn bởi Binance, cũng bị tấn công và thiệt hại khoảng 10 triệu USD. Vụ việc này cho thấy ngay cả những nền tảng có sự tham gia của các ông lớn trong ngành cũng không hoàn toàn “miễn nhiễm” với rủi ro.
Another hack incident has occurred.
The #Binance #Launchpool project, #NFPrompt, experienced a breach where hackers gained unauthorized access to certain wallets and funds. #hack #security
It happens every day :/, we need to finally fix this. Dont you think? pic.twitter.com/MoMNGGK3Ve
— Paweł Łaskarzewski (@PawelSynapse) March 15, 2024
Một sàn giao dịch phi tập trung (DEX) khác là WooFi cũng không tránh khỏi thiệt hại. Tin tặc đã lợi dụng lỗ hổng để xâm nhập và đánh cắp khoảng 8.5 triệu USD. WooFi chỉ là một trong số nhiều DEX từng bị tấn công trong lịch sử, cho thấy đây là một điểm yếu của mô hình giao dịch này.
Thị trường NFT cũng không nằm ngoài tầm ngắm của kẻ gian. Remilia, một nền tảng giao dịch NFT triển vọng, đã bị hack và mất khoảng 4.7 triệu USD. Ngoài ra, Super Sushi Samurai – một dự án game trên nền tảng Web3 cũng đã bị tấn công, ước tính thiệt hại của Super Sushi Samurai lên đến 4.6 triệu USD.
Tin vui: Hoạt động đánh cắp, lừa đảo giảm trong khi lượng tiền lấy lại được tăng lên
Thị trường tiền điện tử đang cho thấy những tín hiệu tích cực khi hoạt động tấn công, lừa đảo giảm mạnh trong khi lượng tiền lấy lại được từ các vụ tấn công lại có bước tiến lớn. Theo dữ liệu từ CertiK, tổng số tiền đánh cắp được trả lại cho chủ sở hữu trong tháng 3 đã lên tới 69.2 triệu USD, tăng đáng kể so với con số 7.8 triệu USD của tháng 2.
Một trong những trường hợp hoàn trả tài sản ly kỳ nhất là từ Munchables, một nền tảng game trên mạng lưới Blast – giải pháp mở rộng layer-2 của Ethereum. Điều không ngờ đến là kẻ tấn công, được xác định là một lập trình viên người Triều Tiên, đã bất ngờ trả lại 62 triệu USD tiền điện tử đã đánh cắp mà không yêu cầu bất kỳ khoản tiền chuộc nào. Vào ngày 27 tháng 3, Munchables đã xác định được thủ phạm là một thành viên trong đội ngũ lập trình của họ. Cùng ngày hôm đó, đội ngũ phát triển của Blast cũng thông báo đã lấy lại được 97 triệu USD tiền điện tử liên quan đến vụ tấn công.
Tuy nhiên, bên cạnh những tín hiệu lạc quan trên, câu hỏi về tính an toàn của tiền điện tử vẫn còn bị bỏ ngõ. Ngành công nghiệp blockchain vẫn đang phải vật lộn với các thách thức trong việc đảm bảo an ninh cho tài sản số. Các nhà đầu tư cần thận trọng, cập nhật kiến thức và chủ động tìm hiểu các biện pháp để bảo vệ khoản đầu tư của mình trước những rủi ro tấn công và lừa đảo.
