Theo báo cáo bảo mật ngành công nghiệp Web3 mới nhất từ Gate Research, tổng cộng có 40 vụ vi phạm bảo mật xảy ra vào tháng 1, dẫn đến mất mát khoảng 87,94 triệu USD. Các vụ vi phạm có tính đa dạng về bản chất, với việc xâm nhập tài khoản là mối đe dọa chính, chiếm 52% tổng số lỗ. Báo cáo phân tích chi tiết các vụ vi phạm bảo mật chính, bao gồm một cuộc tấn công của hacker vào sàn giao dịch Phemex, một lỗ hổng bảo mật lớn ảnh hưởng đến NoOnes và một vụ rò rỉ khóa riêng tư ảnh hưởng đến Moby. Các vụ hack tài khoản và lỗ hổng hợp đồng thông minh được xác định là các rủi ro bảo mật quan trọng nhất của tháng, nhấn mạnh nhu cầu liên tục của ngành công nghiệp đối với biện pháp bảo mật cải thiện.

Tóm tắt điều hành

• Vào tháng 1 năm 2025, ngành công nghiệp Web3 đã ghi nhận 40 sự cố về bảo mật, dẫn đến khoảng 87,94 triệu USD tổn thất, đánh dấu một sự tăng đáng kể so với tháng trước.
• Các phương pháp tấn công chính trong tháng này liên quan đến lỗ hổng hợp đồng thông minh và vi phạm tài khoản.
• Các vụ hack tài khoản vẫn là mối đe dọa chính, chiếm 52% tổng số lỗ trong ngành công nghiệp tiền điện tử.
• Hầu hết các tổn thất đã xảy ra trên các chuỗi khối công cộng lớn, bao gồm BSC, Ethereum và Solana.
• Các sự kiện chính trong tháng này bao gồm một cuộc tấn công của hacker vào sàn giao dịch Phemex, dẫn đến mất 70 triệu đô la, một lỗ hổng bảo mật lớn ảnh hưởng đến NoOnes, dẫn đến mất 7,2 triệu đô la, và một rò rỉ khóa riêng tư tại Moby, gây mất 2,5 triệu đô la.

Tổng quan về các sự cố về bảo mật

Theo dữ liệu của Slowmist, đã ghi nhận 40 sự cố bảo mật vào tháng 1 năm 2025, với tổng thiệt hại lên đến 87,94 triệu đô la. Các cuộc tấn công chủ yếu liên quan đến lỗ hổng hợp đồng thông minh, việc xâm nhập tài khoản và các phương pháp khác. So với tháng 12 năm 2024, tổng thiệt hại tăng gấp 20 lần so với tháng trước. Việc xâm nhập tài khoản là nguyên nhân hàng đầu của các cuộc tấn công, với 21 sự cố được báo cáo chiếm 52% tổng số. Các tài khoản và trang web chính thức của X vẫn là mục tiêu chính của các hacker.

Phân phối sự cố bảo mật trong hệ sinh thái chuỗi công khai tháng này cho thấy rằng sáu dự án bị ảnh hưởng - AST, BUIDL, FortuneWheel, HORS, IPC và Mosca - đều là một phần của hệ sinh thái BSC (Binance Smart Chain), với tổng thiệt hại vượt quá 600.000 đô la. Trong khi đó, năm dự án bị ảnh hưởng - Moonray, UniLend, SuperVerse, Sorra và LAURA - thuộc hệ sinh thái Ethereum (ETH), gây tổng thiệt hại hơn 280.000 đô la. Holoworld AI và DAWN là các dự án trong hệ sinh thái Solana gặp sự cố bảo mật. Những sự cố này nổi bật nhu cầu cấp thiết phải nâng cao bảo mật cho các dự án hệ sinh thái chuỗi công khai. Với những cuộc tấn công và lỗ hổng thường xuyên, BSC phải nhấn mạnh kiểm định hợp đồng thông minh, cơ chế kiểm soát rủi ro và công cụ theo dõi trên chuỗi để cải thiện tiêu chuẩn bảo mật tổng thể.

Nhiều dự án blockchain đã gặp các sự cố bảo mật lớn trong tháng này, dẫn đến mất mát tài chính đáng kể. Các trường hợp đáng chú ý bao gồm vụ hack sàn giao dịch Phemex, gây ra mất mát 70 triệu đô la; lỗ hổng bảo mật NoOnes, dẫn đến mất mát 7,2 triệu đô la; rò rỉ khóa riêng tư Moby, gây ra mất mát 2,5 triệu đô la.

Các Sự cố Bảo mật Chính trong Tháng Một

Theo các tiết lộ chính thức, các dự án sau đã gánh chịu thiệt hại vượt quá 79.7 triệu đô la vào tháng 1. Những sự cố này nhấn mạnh rằng việc xâm nhập tài khoản và lỗ hổng hợp đồng thông minh là mối đe doạ chính.

• Trong vụ việc hack Phemex, kẻ tấn công đã đồng thời rút ra số lượng lớn tài sản từ nhiều chuỗi, ưu tiên chuyển đổi các stablecoins có thể đóng băng (như USDC và USDT). Sau đó, các token khác được thanh lý theo thứ tự giá trị. Những hành động này không được viết kịch bản mà được thực hiện thủ công, với tài sản được gửi thủ công đến địa chỉ mới để chuyển đổi. Sau khi hoàn thành, các quỹ được chuyển sang một địa chỉ mới khác.
• Ví nóng của NoOnes đã trải qua hàng trăm giao dịch đáng ngờ, mỗi giao dịch liên quan đến ít hơn 7.000 đô la. CEO của NoOnes, Ray Youssef, xác nhận trên kênh Telegram rằng vụ hack xảy ra vào ngày 1 tháng 1 do một lỗ hổng trong cầu nối cross-chain của họ trên Solana.
• Moby bị nghi ngờ rò rỉ khóa riêng tư. Kẻ tấn công đã sửa đổi và thực thi hợp đồng, sử dụng chức năng emergencyWithdrawERC20 để rút 207 ETH, 3.7 BTC và 1,470,191 USDC, tổng giá trị khoảng 2.5 triệu đô la.

Phemex

Tổng quan dự án: Phemex là một sàn giao dịch tương lai tiền điện tử đặt trụ sở tại Singapore. Sàn được thành lập vào năm 2019 bởi các cựu lãnh đạo của Morgan Stanley. Sàn giao dịch nổi tiếng với các khoản phí thấp, tính thanh khoản cao và tốc độ tăng trưởng nhanh, cung cấp các biểu đồ dễ sử dụng và giao diện ví.

Tổng quan sự cố: Phemex đã bị tấn công vào ngày 23 tháng 1, mất hơn 70 triệu đô la về giá trị tiền điện tử. Vụ tấn công này có vẻ theo một khuôn mẫu tương tự với việc khai thác lỗ hổng trên các sàn giao dịch tiền điện tử nổi tiếng khác. Chuyên gia Nghiên cứu An ninh Chính của MetaMask, Taylor Monahan, cho biết: “Kẻ tấn công đã rút ra số lượng lớn tài sản từ nhiều chuỗi đồng thời, ưu tiên chuyển đổi stablecoin có thể đóng băng (như USDC và USDT). Sau đó, các token khác được thanh lý theo thứ tự giá trị. Những hành động này không được kịch bản hóa mà được thực hiện thủ công. Tài sản được gửi thủ công đến địa chỉ mới để chuyển đổi. Khi hoàn thành, chúng được chuyển đến một địa chỉ mới khác. Sau đó, tài sản được lưu trữ cho đến khi một đội ngũ rửa tiền chuyên nghiệp rút chúng ra trong vài tuần hoặc tháng tới.”[2]

Đề xuất sau sự cố:

• Theo dõi Chuyển chuộng và Nhận diện Mô hình Bất thường: Triển khai hệ thống giám sát thời gian thực hỗ trợ luồng tài sản đa chuỗi, tích hợp phân tích hành vi dựa trên trí tuệ nhân tạo để xác định các đặc điểm bất thường của các hoạt động thủ công không có kịch bản (như chuyển tài sản lớn qua nhiều chuỗi trong thời gian ngắn, thay đổi địa chỉ thường xuyên, vv.). Cần thiết lập cảnh báo ngưỡng động để phát hiện những không đều này.
• Thiết lập mạng cảnh báo rủi ro cấp ngành: Thiết lập các kênh truyền thông tức thì với các nhà phát hành stablecoin lớn như USDT và USDC. Ký kết các thỏa thuận tiền xử lý trước cho phép sàn giao dịch kích hoạt yêu cầu đóng băng tài sản thông qua giao diện API sau khi xác nhận một cuộc tấn công, từ đó rút ngắn thời gian phản ứng.
• Quản lý kết hợp ví nóng và ví lạnh phân tán: Sử dụng ví lạnh đa chữ ký để lưu trữ hơn 90% tài sản trong khi phân bổ động các giới hạn ví nóng khi cần thiết. Sử dụng công nghệ sharding khóa để phân phối lưu trữ khóa, ngăn chặn các điểm lỗi đơn lẻ có thể dẫn đến tổn thất toàn cầu.

NoOnes

Tổng quan dự án: NoOnes là một ứng dụng siêu tiện ích về giao tiếp tài chính giúp mọi người kết nối với cuộc trò chuyện toàn cầu (chat) và hệ thống tài chính thế giới (thanh toán). Những người ở các nước đang phát triển sẽ có thể gửi tin nhắn cho bất kỳ ai một cách tự do, giao dịch khoảng 250 phương thức thanh toán trên thị trường địa phương của họ và thực hiện thanh toán đồng đồng - tất cả những điều này có thể được thực hiện bằng cách sử dụng ví Bitcoin làm nơi lưu trữ giá trị.

Tổng quan về sự cố: Vào ngày 1 tháng 1 năm 2025, NoOnes đã bị tấn công trên Ethereum, Tron, Solana và BSC, dẫn đến mất khoảng 7,2 triệu đô la. Ví nóng của NoOnes đã trải qua hàng trăm giao dịch đáng ngờ, mỗi giao dịch liên quan đến số tiền dưới 7.000 đô la. CEO của NoOnes, Ray Youssef, đã xác nhận trên kênh Telegram của họ rằng cuộc tấn công xảy ra vào ngày 1 tháng 1 do một lỗ hổng trong cầu nối cross-chain của họ trên Solana. Nền tảng đã ngừng hoạt động cầu nối Solana bị ảnh hưởng và tuyên bố rằng họ sẽ không khôi phục hỗ trợ Solana cho đến khi hoàn thành một bài kiểm tra xâm nhập toàn diện.

Khuyến nghị sau sự cố:

• Tăng cường Kiểm tra Bảo mật Cross-Chain Bridge: Đề xuất thực hiện các cuộc kiểm tra bảo mật toàn diện trên tất cả các cầu nối cross-chain, đặc biệt là tập trung vào các lỗ hổng trong hợp đồng thông minh và giao thức cross-chain. Thuê các công ty bảo mật bên thứ ba để thực hiện kiểm tra xâm nhập và xem xét mã nguồn để đảm bảo an ninh của các cầu nối.
• Triển khai Cơ chế Chữ ký Đa phần và Lưu trữ Ví Lạnh: Để giảm thiểu nguy cơ tấn công ví nóng, việc áp dụng cơ chế chữ ký đa phần (Multi-Sig) yêu cầu nhiều phê duyệt trước khi hoàn thành các giao dịch lớn. Ngoài ra, hầu hết các quỹ được lưu trữ trong ví lạnh, chỉ giữ một phần nhỏ trong ví nóng cho các giao dịch hàng ngày.
• Giới thiệu Hệ thống Giám sát Thời gian Thực và Cảnh báo Giao dịch Bất thường: Triển khai hệ thống giám sát giao dịch thời gian thực để theo dõi và phân tích hoạt động ví nóng. Thiết lập cảnh báo cho các giao dịch bất thường, chẳng hạn như chuyển khoản vượt quá ngưỡng nhất định hoặc một lượng lớn giao dịch nhỏ xảy ra nhanh chóng. Những cảnh báo này nên tự động kích hoạt và tạm dừng chức năng giao dịch.

Moby

Tổng quan dự án: Moby là một giao thức tùy chọn trên chuỗi được động lực bởi mô hình SLE (Synchronized Liquidity Engine), cung cấp những mức chênh lệch nhỏ nhất, thanh khoản cao nhất và giao diện người dùng UI / UX cấp Robinhood.

Tổng quan về sự cố: Giao thức tùy chọn on-chain Moby đã bị rò rỉ khóa riêng tư nghi ngờ, cho phép kẻ tấn công sửa đổi và thực hiện hợp đồng, sử dụng chức năng emergencyWithdrawERC20 để rút 207 ETH, 3,7 BTC và 1.470.191 USDC, với tổng giá trị khoảng 2,5 triệu đô la. Moby đã đăng trên nền tảng X cho biết, để bảo vệ tài sản người dùng trong tình hình hiện tại, nó khuyến khích thu hồi các giao dịch phê duyệt hợp lệ liên quan đến các địa chỉ sau: PositionManager, SettleManager, sRewardRouterV2 và mRewardRouterV2. Moby đã đề cập rằng các biện pháp này là các bước phòng ngừa để đảm bảo an ninh ví và rằng các nỗ lực đang được tiếp tục để phục hồi và duy trì một môi trường ổn định và an toàn[4].

Khuyến nghị sau sự cố:

• Thiết lập quản lý quyền chữ ký đa tầng: Nâng cấp lưu trữ khóa riêng tư thành ví lạnh cấp phần cứng + giải pháp chữ ký đa bên, tách quyền phát triển khỏi quyền kiểm soát quỹ. Thêm khóa thời gian và xác minh kép của DAO vào các chức năng quan trọng của các hợp đồng cốt lõi (như emergencyWithdrawERC20) thiết lập một sự trì hoãn thực hiện trong 72 giờ đối với các hoạt động quan trọng, yêu cầu xác nhận cộng đồng đa chữ ký.
• Xây dựng Hệ thống Giám sát Ủy quyền Động: Phát triển một bảng điều khiển theo dõi ủy quyền theo thời gian thực trên chuỗi khối được tích hợp vào giao diện người dùng, hiển thị tất cả các quyền tương tác hợp đồng và mức độ rủi ro. Triển khai một bot thu hồi ủy quyền tự động sẽ kích hoạt việc thu hồi tự động cấp độ hợp đồng thông minh khi phát hiện chuyển nhượng lớn bất thường hoặc những sự bất thường của hợp đồng.
• Thiết lập hệ thống phản ứng ngắt mạch sự cố an ninh: Triển khai mô-đun phát hiện giao dịch bất thường dựa trên học máy và thiết lập các quy tắc kiểm soát rủi ro đa chiều (ngưỡng thời gian/tần suất/số tiền) cho các chức năng nhạy cảm như emergencyWithdraw. Phát triển một công tắc tạm dừng khẩn cấp, tự động đóng băng hợp đồng và bắt đầu quá trình xác minh nút đầy đủ khi bị kích hoạt bởi một sự bất thường.

Kết luận

Vào tháng 1 năm 2025, một số dự án DeFi đã bị tấn công lỗ hổng bảo mật, dẫn đến việc mất hàng triệu đô la tài sản. Những sự cố này bao gồm một cuộc tấn công của hacker vào sàn giao dịch Phemex, một lỗ hổng bảo mật lớn ảnh hưởng đến NoOnes, và rò rỉ khóa riêng tư tại Moby. Những sự kiện này đã phơi bày những rủi ro quan trọng liên quan đến bảo mật hợp đồng thông minh, khả năng tương tác của giao thức cross-chain, và quản lý hồ bơi thanh khoản. Ngành công nghiệp cần gấp rút tăng cường kiểm tra hợp đồng thông minh, giới thiệu theo dõi thời gian thực, và triển khai cơ chế phòng thủ đa tầng để tăng cường an ninh nền tảng và tăng cường niềm tin của người dùng. Gate.io nhắc nhở người dùng cập nhật thông tin về an ninh, chọn các nền tảng đáng tin cậy, và tăng cường bảo vệ tài sản cá nhân.


Tham khảo:

1. Slowmist,https://hacked.slowmist.io/zh/statistics
2. X,https://x.com/wublockchain12/status/1882605904761340362
3. X,https://x.com/wublockchain12/status/1883310710132035999
4. X,https://x.com/BeosinAlert/status/1877180521710596452

Cổng Nghiên cứu
Nghiên cứu Gate là một nền tảng nghiên cứu blockchain và tiền điện tử toàn diện, cung cấp độc giả với nội dung sâu rộng, bao gồm phân tích kỹ thuật, thông tin nóng, đánh giá thị trường, nghiên cứu ngành, dự báo xu hướng và phân tích chính sách kinh tế toàn cầu.

Nhấn vào Linkđể biết thêm thông tin

Disclaimer
Đầu tư vào thị trường tiền điện tử có rủi ro cao, và khuyến nghị người dùng tiến hành nghiên cứu độc lập và hiểu đầy đủ về bản chất của tài sản và sản phẩm mà họmua hàngtrước khi đưa ra bất kỳ quyết định đầu tư nào.Gate.iokhông chịu trách nhiệm về bất kỳ mất mát hoặc thiệt hại nào do quyết định đầu tư đó gây ra.