Nhìn lại 10 vụ hack và khai thác tiền điện tử hàng đầu năm 2023

Tác giả: Vishal Chawla, The Block; Người biên soạn: Songxue, Golden Finance

Trong nhiều năm, ngành mã hóa đã phải đối mặt với những thách thức từ tin tặc và các lỗ hổng giao thức.

Xu hướng này tiếp tục kéo dài đến năm 2023. Tuy nhiên, có tin tốt:Số lượng tin tặc giảm hơn 50% so với cùng kỳ năm trước.

Số tiền tiền điện tử bị tin tặc đánh cắp trong năm nay ước tính khoảng 1,7 tỷ USD, chưa bằng một nửa so với con số 4 tỷ USD được ghi nhận vào năm 2022, theo TRM Labs. Mặc dù tổn thất chung đã giảm nhưng một số tiền lớn vẫn bị đánh cắp từ các dự án riêng lẻ.

Đã có một số vụ hack nổi tiếng trong năm nay, ảnh hưởng đến các tổ chức nổi tiếng như Multichain, Euler Finance, Mixin Network và Atomic Wallet.

Sau đó, vào tháng 11, ba dự án tiền điện tử liên kết với người sáng lập Tron Justin Sun – Poloniex, HTX và Heco Bridge – đã mất tổng cộng hơn 200 triệu USD trong một loạt vụ vi phạm.

Một vấn đề tái diễn trong nhiều sự cố này liên quan đến các lỗ hổng khóa riêng tư cho phép bọn tội phạm giành quyền truy cập vào tiền của người dùng. Trong suốt năm, nhóm hacker Lazarus của Triều Tiên đã tiến hành nhiều cuộc tấn công, gây thiệt hại tổng cộng hơn 300 triệu USD.

Bài viết này đi sâu vào các vụ trộm tiền điện tử lớn nhất trong năm, xem xét các dự án bị ảnh hưởng và các yếu tố dẫn đến mỗi cuộc tấn công.

Mixin Network – 200 triệu USD

Dự án tiền điện tử Mixin Network có trụ sở tại Hồng Kông chịu tổn thất lớn nhất về năm Các cuộc tấn công vào lỗ hổng mã hóa.

Công ty đã phải ngừng hoạt động đột ngột vào ngày 23 tháng 9 sau khi tin tặc đánh cắp số tiền đáng kinh ngạc 200 triệu USD từ ví nóng của người dùng.

Mixin báo cáo rằng "cơ sở dữ liệu của nhà cung cấp dịch vụ đám mây đã bị tấn công." Mặc dù công ty không đưa ra lời giải thích thêm nhưng các nhà phân tích tin rằng cơ sở dữ liệu bị ảnh hưởng có thể chứa các khóa riêng tư đối với tài khoản của người dùng – các cụm từ ghi nhớ để mở khóa tiền điện tử mà họ nắm giữ.

Euler Finance — 197 triệu đô la

Rất ít sự kiện chứng minh sự táo bạo và dễ bị tổn thương của DeFi một cách sống động như cuộc tấn công vào giao thức cho vay Euler vào tháng 3 năm 2023. Đó là khi số tiền điện tử trị giá 197 triệu USD biến mất do một mưu đồ kỳ lạ.

Thủ phạm là ai? Một hacker đã khai thác lỗ hổng trong giao thức cho vay bằng cách thao túng tỷ giá hối đoái giữa eDAI và dDAI, loại stablecoin do Euler phát hành. Kẻ tấn công có thể tăng tỷ lệ eDAI/dDAI bằng cách liên tục gọi hàm "donateToReserves" bằng DAI.

Họ đã sử dụng các khoản vay nhanh, một loại khoản vay được hoàn trả trong cùng một giao dịch Ethereum, để phá vỡ sự cân bằng của nhóm thanh khoản nắm giữ cả hai mã thông báo. Điều này đã kích hoạt việc thanh lý các vị thế của người đi vay bằng dDAI để rút tiền từ giao thức.

Nhưng câu chuyện không kết thúc ở đó. Kẻ tấn công sau đó đã trả lại số tiền bị đánh cắp trong một động thái được gọi là động thái "mũ trắng". Ngoại trừ một phần nhỏ chiến lợi phẩm, gần như toàn bộ tiền thưởng sẽ được trả lại cho đội, nhằm cứu trợ các nạn nhân.

Multichain – 125 triệu đô la

Vào tháng 7, có thông tin cho rằng cầu nối chuỗi chéo Multichain đã bị khai thác trên các chuỗi khối khác nhau mà nó hỗ trợ và số tiền điện tử trị giá 125 triệu đô la là Khai thác, trong đó Fantom đã nhận được số tiền lớn nhất. Điều này xảy ra ngay sau khi cây cầu bị đình chỉ do "nhiều vấn đề do những tình huống không lường trước được".

Cho đến nay, nguyên nhân chính xác của vụ hack vẫn chưa rõ ràng vì chưa có báo cáo khám nghiệm tử thi chính xác nào được cung cấp.

Như công ty bảo mật Halborn giải thích, một yếu tố có thể cho thấy rằng các khóa riêng cho hợp đồng thông minh của bridge đã bị xâm phạm bởi tin tặc khai thác một lỗi trong mã của nó.

Có những lo ngại rằng chính nhóm có thể phải chịu trách nhiệm về vụ việc, mối lo ngại càng tăng cao do Giám đốc điều hành Multichain Jun Zhao biến mất trước vụ hack.

Trước sự kiện này, anh ta đã bị chính quyền Trung Quốc bắt giữ và được tiết lộ rằng anh ta có quyền kiểm soát độc quyền đối với quỹ của giao thức, mâu thuẫn với các tuyên bố phân cấp trước đó của Multichain. Multichain không còn hoạt động nữa.

Poloniex – 120 triệu USD

Vào tháng 11 năm 2023, tin tặc bị nghi ngờ là Tập đoàn Lazarus của Triều Tiên đã lấy được tiền từ Poloniex Một khoản tiền đáng kinh ngạc trị giá 120 triệu USD đã bị đánh cắp từ ví nóng, rất có thể là do lấy được khóa riêng.

Hậu quả trước mắt có thể dự đoán được: việc giao dịch và rút tiền bị chấm dứt. Sàn giao dịch cho biết họ sẽ bồi thường cho những người dùng bị ảnh hưởng. Poloniex đã hoạt động như một sàn giao dịch tập trung từ năm 2014. Người sáng lập Tron Justin Sun đã mua lại sàn giao dịch này vào năm 2019.

Vào tháng 6 năm 2023, tài khoản ví người dùng của ứng dụng ví tiền điện tử Atomic đã bị xóa. Tin tặc đã đánh cắp tài sản trị giá hơn 100 triệu USD từ khoảng 5.500 người dùng. Nguyên nhân chính đằng sau vụ việc vẫn chưa rõ ràng vì Atomic vẫn chưa đưa ra lời giải thích.

Người ta nghi ngờ rằng lỗ hổng này có thể do một lỗ hổng mã được các nhà phân tích bảo mật tại Least Authority gắn cờ một năm trước khi xảy ra sự cố. Các nhà phân tích tại SlowMist cũng phát hiện ra những vấn đề tiềm ẩn.

Công ty phân tích trên chuỗi Elliptic đã theo dõi hơn 5.500 ví được nhắm mục tiêu và cho biết hiệp hội hacker Triều Tiên Lazarus Group đứng đằng sau vụ tấn công.

Vào tháng 8, một nhóm nạn nhân ở Nga đã đệ đơn kiện tập thể chống lại công ty đứng sau Atomic, cho rằng họ không bảo vệ được tài sản của người dùng. Nhiều tháng sau, công ty phản hồi kiến ​​nghị yêu cầu tòa án Hoa Kỳ bác bỏ vụ kiện.

Heco Bridge, Hợp tác xã — 99 triệu USD

Vào tháng 11, Heco (quận được thành lập bởi Hợp tác xã Exchange A cầu nối chuỗi lớn trên blockchain đã gặp phải lỗ hổng quy mô lớn. Tội phạm đã chiếm quyền kiểm soát các hợp đồng thông minh quan trọng hoặc tài khoản của nhà điều hành trên khắp cây cầu, dẫn đến việc đánh cắp hơn 86 triệu đô la tiền điện tử khác nhau.

Phân tích sơ bộ cho thấy những kẻ xâm nhập đã thao túng mã hợp đồng thông minh của cầu nối chuỗi chéo và phá vỡ các giao thức bảo mật của nó. Thao tác này cho phép tin tặc tạo ra các token trái phép (thông qua hợp đồng cầu nối), sau đó được đổi lấy Ethereum và sau đó được chuyển ra khỏi cầu nối chuỗi chéo.

HTX (trước đây là Huobi) cũng mất 12 triệu USD trong ví nóng của mình. Cố vấn của HTX và người sáng lập Tron Justin Sun cho biết phần thưởng tiền thưởng mũ trắng đã được trao cho những kẻ tấn công. Lời đề nghị dường như đã được chấp nhận và nền tảng này đã thu hồi được 8 triệu USD (trong số 12 triệu USD bị đánh cắp).

Curve - 73 triệu USD

Vào tháng 7, Curve Finance, một trong những sàn giao dịch phi tập trung lớn nhất trong DeFi, đã bị tấn công. Do lỗ hổng trong ngôn ngữ lập trình Vyper mà nó sử dụng, nhiều nhóm thanh khoản trên nền tảng đã bị khai thác, cho phép tin tặc đánh cắp khoảng 73 triệu USD tiền điện tử khác nhau.

Các lỗ hổng bảo mật cho phép kẻ tấn công khai thác logic hợp đồng thông minh của nó để tiêu hao tiền một cách có ác ý. Điều này liên quan đến một cuộc tấn công vào lại, trong đó tin tặc thao túng các hợp đồng thông minh để rút tiền liên tiếp.

Cuộc tấn công được tạo điều kiện thuận lợi bởi thiết bị bảo vệ tái nhập bị trục trặc trong Vyper. Các dự án được xây dựng dựa trên nhóm nhà máy Curve, bao gồm JPEG'd, Metronome và Alchemix, đều bị ảnh hưởng.

Nhóm Curve đã nhanh chóng khắc phục lỗ hổng và cuối cùng đã thu hồi được khoảng 50 triệu USD (70% số tiền bị đánh cắp), xoa dịu mối lo ngại của nhiều người dùng và các bên liên quan. Số tiền thu hồi được sẽ được trả lại trực tiếp bởi các tin tặc đạo đức có liên quan hoặc được giữ lại với sự trợ giúp của các nhà điều hành bot MEV như c0ffeebabe.eth.

CoinEx – 55 triệu USD

Sàn giao dịch tiền điện tử tập trung có trụ sở tại Hồng Kông vào tháng 9 CoinEx báo cáo một vụ hack lớn. Tin tặc đã xâm nhập vào ví nóng của sàn giao dịch, được thiết kế để sử dụng giao dịch tức thời và lấy đi hơn 55 triệu đô la tiền điện tử khác nhau.

Nhóm Lazarus của Triều Tiên một lần nữa bị nghi ngờ có liên quan đến vụ việc này. Các nhà điều tra đã tìm thấy mối liên hệ giữa vụ hack CoinEx và một vụ trộm khác từ nền tảng cờ bạc Stake.com, mà FBI cho rằng có liên quan đến nhóm hack Lazarus. Phân tích cho thấy địa chỉ ví nhận số tiền bị đánh cắp từ Stake.com có ​​tương tác trực tiếp với ví của hacker CoinEx.

KyberSwap — 54 triệu USD

Công cụ tổng hợp sàn giao dịch phi tập trung (DEX) KyberSwap đã huy động được 54 triệu USD thông qua một cuộc tấn công vào nền tảng Elastic đã dẫn đến hành vi trộm cắp khoảng 54 triệu đô la tiền điện tử.

Vụ tấn công ngày 22 tháng 11 bắt nguồn từ một lỗ hổng trong ranh giới khoảng thời gian đánh dấu của nhóm thanh khoản tập trung Kyber, cho phép thủ phạm tăng gấp đôi thanh khoản một cách giả tạo và làm cạn kiệt giá trị của nó.

Trong nỗ lực đàm phán, Kyber đã đề nghị cho hacker 10% tiền thưởng mũ trắng để đổi lấy việc trả lại tiền. Tuy nhiên, hacker không quan tâm đến việc nhận tiền thưởng và đưa ra các yêu cầu khác trong một tin nhắn lạ trên chuỗi, bao gồm cả việc yêu cầu nhóm nắm toàn quyền kiểm soát dự án.

Chỉ riêng nhóm đã thu hồi được 4,7 triệu USD tiền bị chiếm dụng bởi robot MEV của bên thứ ba.

Stake.com — 41 triệu USD

Nền tảng cá cược dựa trên tiền điện tử Stake.com trở thành ví của nó. khai thác khóa riêng. Vào ngày 4 tháng 9 năm 2023, ước tính khoảng 41 triệu đô la tiền điện tử đã bị đánh cắp khỏi nền tảng này.

FBI đổ lỗi vụ tấn công cho Lazarus trong một báo cáo dựa trên phân tích các địa chỉ trên mạng Ethereum, BNB Chain và Polygon đã nhận được số tiền bị đánh cắp từ Stake.com.