Lời nói đầu

Báo cáo nghiên cứu này được khởi xướng bởi Liên minh bảo mật Blockchain và được đồng sáng tạo bởi các thành viên liên minh Beosin và Footprint Analytics. Báo cáo này nhằm mục đích khám phá toàn diện sự phát triển của tình hình bảo mật blockchain toàn cầu vào năm 2024. Thông qua phân tích và đánh giá hiện trạng bảo mật blockchain toàn cầu, báo cáo sẽ tiết lộ những thách thức và mối đe dọa bảo mật hiện tại, đồng thời cung cấp các giải pháp và phương pháp hay nhất.

Thông qua báo cáo này, người đọc sẽ có thể hiểu một cách toàn diện hơn về sự phát triển năng động của tình hình bảo mật chuỗi khối Web3. Điều này sẽ giúp người đọc đánh giá và giải quyết các thách thức bảo mật mà không gian blockchain phải đối mặt. Ngoài ra, người đọc cũng có thể nhận được những gợi ý hữu ích về các biện pháp an ninh và định hướng phát triển ngành từ báo cáo để giúp họ đưa ra những quyết định và hành động sáng suốt trong lĩnh vực mới nổi này. Bảo mật và giám sát chuỗi khối là những vấn đề then chốt trong sự phát triển của kỷ nguyên Web3. Thông qua nghiên cứu và thảo luận chuyên sâu, chúng ta có thể hiểu rõ hơn và ứng phó với những thách thức này, đồng thời thúc đẩy tính bảo mật và phát triển bền vững của công nghệ blockchain.

1. Tổng quan về tình hình bảo mật blockchain Web3 năm 2024

Theo giám sát bởi nền tảng Alert của công ty kiểm toán bảo mật Beosin, tổng thiệt hại do các cuộc tấn công của hacker, lừa đảo lừa đảo và Rug Pull của các bên dự án trong lĩnh vực Web3 vào năm 2024 lên tới 2,513 tỷ USD. Trong số đó, có 131 vụ tấn công lớn, với tổng thiệt hại khoảng 1,792 tỷ USD; 68 vụ Rug Pull liên quan đến các bên tham gia dự án, với tổng thiệt hại khoảng 148 triệu USD và các vụ lừa đảo, với tổng thiệt hại khoảng 574 USD; triệu.

Vào năm 2024, số lượng các cuộc tấn công của hacker và lừa đảo lừa đảo đã tăng đáng kể so với năm 2023, trong đó các vụ lừa đảo lừa đảo tăng 140,66% so với năm 2023. Số tiền thiệt hại mà bên dự án phải gánh chịu trong sự cố Rug Pull đã giảm đáng kể, khoảng 61,94%.

Các loại dự án bị tấn công vào năm 2024 bao gồm DeFi, CEX, DEX, chuỗi công cộng, cầu nối chuỗi, ví, nền tảng thanh toán, nền tảng cờ bạc, nhà môi giới tiền điện tử, cơ sở hạ tầng, trình quản lý mật khẩu, công cụ phát triển, robot MEV, robot TG, v.v. . DeFi là loại dự án bị tấn công thường xuyên nhất, với 75 cuộc tấn công vào DeFi gây thiệt hại tổng cộng khoảng 390 triệu USD. CEX là loại dự án có tổng thiệt hại cao nhất. 10 cuộc tấn công nhằm vào CEX đã gây ra tổng thiệt hại khoảng 724 triệu USD.

Sẽ có nhiều loại chuỗi công khai bị tấn công hơn vào năm 2024 và sẽ có nhiều sự cố bảo mật liên quan đến hành vi trộm cắp trên nhiều chuỗi. Ethereum vẫn là chuỗi công khai có số tiền thiệt hại cao nhất, 66 cuộc tấn công vào Ethereum gây thiệt hại khoảng 844 triệu USD, chiếm 33,57% tổng thiệt hại trong năm.

Từ góc độ các phương thức tấn công, 35 sự cố rò rỉ khóa riêng đã gây ra tổng thiệt hại khoảng 1,306 tỷ USD, chiếm 51,96% tổng thiệt hại. Đây là phương thức tấn công gây ra nhiều tổn thất nhất.

Khai thác lỗ hổng hợp đồng là phương thức tấn công thường xuyên nhất Trong số 131 cuộc tấn công, có 76 vụ đến từ khai thác lỗ hổng hợp đồng, chiếm 58,02%.

Khoảng 531 triệu USD tiền bị đánh cắp đã được thu hồi trong năm, chiếm khoảng 21,13%. Khoảng 109 triệu USD số tiền bị đánh cắp đã được chuyển sang máy trộn tiền xu trong suốt cả năm, chiếm khoảng 4,34% tổng số tiền bị đánh cắp, giảm khoảng 66,97% so với năm 2023.

2. Mười sự cố bảo mật hàng đầu trong hệ sinh thái Web3 năm 2024

Năm 2024, đã xảy ra 5 cuộc tấn công với thiệt hại hơn 100 triệu đô la Mỹ: DMM Bitcoin (304 triệu đô la Mỹ), PlayDapp (290 triệu đô la Mỹ), WazirX (235 triệu đô la Mỹ), Gala Games (216 triệu đô la Mỹ) và Chris Larsen bị đánh cắp (Mỹ). 112 triệu USD) Đô la). Tổng thiệt hại của 10 sự cố bảo mật hàng đầu là khoảng 1,417 tỷ USD, chiếm khoảng 79,07% tổng số tiền sự cố tấn công hàng năm.

Bitcoin DMM số 1

Lỗ: 304 triệu USD

Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 31 tháng 5 năm 2024, sàn giao dịch tiền điện tử DMM Bitcoin của Nhật Bản đã bị tấn công và số Bitcoin trị giá hơn 300 triệu đô la đã bị đánh cắp. Tin tặc đã rải số tiền bị đánh cắp đến hơn 10 địa chỉ nhằm cố gắng làm sạch chúng.

PlayDapp số 2

Lỗ: 290 triệu USD

Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 9 tháng 2 năm 2024, nền tảng trò chơi blockchain PlayDapp đã bị tấn công và tin tặc đã đúc được 2 tỷ mã thông báo PLA trị giá 36,5 triệu đô la Mỹ. Sau khi đàm phán với PlayDapp thất bại, vào ngày 12 tháng 2, tin tặc đã đúc thêm 15,9 tỷ token PLA trị giá 253,9 triệu USD và gửi một số tiền đến sàn giao dịch Gate. Nhóm dự án PlayDapp sau đó đã đình chỉ hợp đồng PLA và chuyển mã thông báo PLA sang mã thông báo PDA.

Số 3 WazirX

Số tiền thiệt hại: 235 triệu USD

Phương thức tấn công: tấn công mạng và lừa đảo

Vào ngày 18 tháng 7 năm 2024, hơn 230 triệu đô la đã bị đánh cắp từ ví đa chữ ký của sàn giao dịch tiền điện tử WazirX của Ấn Độ. Ví đa chữ ký này là ví hợp đồng thông minh Ví an toàn. Kẻ tấn công đã xúi giục những người ký nhiều chữ ký ký giao dịch nâng cấp hợp đồng. Kẻ tấn công trực tiếp chuyển tài sản trong ví thông qua hợp đồng được nâng cấp, và cuối cùng chuyển toàn bộ tài sản trị giá hơn 230 triệu đô la Mỹ.

Trò chơi Gala số 4

Số tiền thiệt hại: 216 triệu USD

Phương thức tấn công: lỗ hổng kiểm soát truy cập

Trò chơi Gala số 4

Số tiền thiệt hại: 216 triệu USD

Phương thức tấn công: lỗ hổng kiểm soát truy cập

Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị kiểm soát. Kẻ tấn công đã gọi chức năng đúc mã thông báo thông qua địa chỉ để trực tiếp đúc 5 tỷ mã thông báo GALA, trị giá khoảng 216 triệu đô la Mỹ và phát hành thêm mã thông báo theo đợt. đổi lấy ETH. Nhóm Gala Games sau đó đã sử dụng tính năng danh sách đen để ngăn chặn tin tặc và phục hồi tổn thất của chúng.

Số 5 Chris Larsen (đồng sáng lập Ripple)

Số tiền thiệt hại: 112 triệu USD

Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 31 tháng 1 năm 2024, người đồng sáng lập Ripple, Chris Larsen, cho biết bốn ví của ông đã bị xâm phạm, dẫn đến tổng thiệt hại khoảng 112 triệu USD. Đội ngũ Binance đã đóng băng thành công số token XRP bị đánh cắp trị giá 4,2 triệu USD.

Đồ ăn vặt số 6

Số tiền thiệt hại: 62,5 triệu USD

Phương pháp tấn công: tấn công kỹ thuật xã hội

Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast là Munchables đã bị tấn công, dẫn đến thiệt hại khoảng 62,5 triệu USD. Dự án bị tấn công vì hacker Triều Tiên được thuê làm nhà phát triển. Tất cả số tiền bị đánh cắp cuối cùng đã được tin tặc trả lại.

Số 7 BTCThổ Nhĩ Kỳ

Số tiền thiệt hại: 55 triệu USD

Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử BTCTurk của Thổ Nhĩ Kỳ đã bị tấn công, dẫn đến thiệt hại khoảng 55 triệu USD. Binance đã giúp đóng băng hơn 5,3 triệu USD số tiền bị đánh cắp.

Vốn rạng ngời số 8

Số tiền thiệt hại: 53 triệu USD

Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 17 tháng 10 năm 2024, giao thức cho vay đa chuỗi Radiant Capital đã bị tấn công. Kẻ tấn công đã lấy được quyền của ba chủ sở hữu một cách bất hợp pháp trong ví đa chữ ký Radiant Capital. Do ví đa chữ ký áp dụng chế độ xác minh chữ ký 3/11, kẻ tấn công sử dụng 3 khóa riêng này để thực hiện chữ ký ngoài chuỗi, sau đó bắt đầu giao dịch trên chuỗi để chuyển quyền sở hữu hợp đồng Radiant Capital sang hợp đồng độc hại do kẻ tấn công kiểm soát, gây thiệt hại hơn 53 triệu USD.

Tài chính phòng hộ số 9

Số tiền thiệt hại: 44,7 triệu USD

Phương thức tấn công: Lỗ hổng hợp đồng

Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã bị những kẻ tấn công tấn công nhiều lần. Kẻ tấn công đã khai thác lỗ hổng phê duyệt mã thông báo để đánh cắp một số lượng lớn mã thông báo trong hợp đồng ClaimCampaigns. Các mã thông báo bị đánh cắp từ chuỗi Ethereum có giá trị hơn 2,1 triệu USD và các mã thông báo bị đánh cắp từ chuỗi Arbitrum có giá trị khoảng 42,6 triệu USD.

Số 10 BingX

Số tiền thiệt hại: 44,7 triệu USD

Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 19 tháng 9 năm 2024, ví nóng của sàn giao dịch BingX đã bị hack. Mặc dù BingX đã đưa ra kế hoạch khẩn cấp, bao gồm chuyển tài sản khẩn cấp và tạm dừng rút tiền, nhưng theo thống kê của Beosin, tổng thiệt hại tài sản từ dòng tiền chảy ra bất thường của ví nóng lên tới 44,7 triệu đô la Mỹ và tài sản bị đánh cắp liên quan đến Ethereum, Chuỗi BNB, Tron, Polygon, Avalanche, Base Chờ nhiều chuỗi khối.

3. Loại dự án bị tấn công

Ngoài các loại phổ biến như DeFi, CEX, DEX, chuỗi công cộng, cầu nối chuỗi và ví, các loại dự án sẽ bị tấn công vào năm 2024 cũng sẽ xuất hiện trên nền tảng thanh toán, nền tảng cờ bạc, môi giới mã hóa, cơ sở hạ tầng, mật khẩu. người quản lý, công cụ phát triển, robot MEV, robot TG và các loại dự án khác.

Đã có 75 cuộc tấn công vào các dự án DeFi vào năm 2024, khiến nó trở thành loại dự án có nhiều cuộc tấn công nhất (khoảng 50,70%). Tổng thiệt hại từ các cuộc tấn công DeFi là khoảng 390 triệu USD, chiếm khoảng 15,50% tổng thiệt hại và là loại dự án có tổn thất lớn thứ tư.

CEX (Sàn giao dịch tập trung) đứng đầu về số lượng thiệt hại, 10 cuộc tấn công đã gây ra tổng thiệt hại khoảng 724 triệu USD, khiến nó trở thành loại dự án có số tiền thiệt hại lớn nhất. Tổng hợp lại, các loại sàn giao dịch sẽ gặp sự cố bảo mật thường xuyên vào năm 2024 và bảo mật sàn giao dịch vẫn là thách thức lớn nhất đối với hệ sinh thái Web3.

Khoản lỗ lớn thứ hai là từ ví cá nhân, với tổng thiệt hại khoảng 445 triệu USD. 12 cuộc tấn công nhằm vào cá voi tiền điện tử cùng một số lượng lớn các cuộc tấn công lừa đảo và tấn công kỹ thuật xã hội nhằm vào người dùng thông thường đã khiến tổng số ví cá nhân bị mất tăng 464,72% so với năm 2023, trở thành thách thức lớn thứ hai sau bảo mật sàn giao dịch.

4. Số tiền thua lỗ trên mỗi chuỗi

So với năm 2023, các loại chuỗi công khai nơi các cuộc tấn công sẽ xảy ra vào năm 2024 cũng rộng rãi hơn. Năm loại hàng đầu về số tiền thua lỗ là Ethereum, Bitcoin, Arbitrum, Ripple và Blast:

Sáu top được xếp hạng theo số lượng sự kiện tấn công là Ethereum, BNB Chain, Arbitrum, Other, Base và Solana:

Sáu vị trí hàng đầu được xếp hạng theo số lượng sự kiện tấn công là Ethereum, BNB Chain, Arbitrum, Other, Base và Solana:

Giống như năm 2023, Ethereum vẫn là chuỗi công khai có số tiền thua lỗ cao nhất. 66 cuộc tấn công vào Ethereum đã gây ra thiệt hại khoảng 844 triệu USD, chiếm 33,59% tổng thiệt hại trong cả năm.

Lưu ý: Tổng số dữ liệu tổn thất này không bao gồm tổn thất do lừa đảo trực tuyến và một số tổn thất trong ví nóng CEX.

Tổn thất mạng Bitcoin đứng thứ hai, với tổn thất từ ​​một sự cố bảo mật lên tới 238 triệu USD. Ở vị trí thứ ba là Arbitrum, với tổng thiệt hại khoảng 114 triệu USD.

5. Phân tích kỹ thuật tấn công

Các phương thức tấn công vào năm 2024 rất đa dạng, ngoài các cuộc tấn công vào lỗ hổng hợp đồng thông thường, còn có nhiều phương thức tấn công khác, bao gồm: tấn công chuỗi cung ứng, tấn công nhà cung cấp dịch vụ bên thứ ba, tấn công man-in-the-middle, tấn công DNS, front- kết thúc các cuộc tấn công, v.v.

Vào năm 2024, 35 sự cố rò rỉ khóa riêng đã gây ra tổng thiệt hại 1,306 tỷ USD, chiếm 51,96% tổng thiệt hại, khiến đây trở thành phương thức tấn công gây ra nhiều tổn thất nhất. Các vụ rò rỉ khóa riêng gây ra tổn thất lớn bao gồm: DMM Bitcoin (304 triệu USD), PlayDapp (290 triệu USD), đồng sáng lập Ripple Chris Larson (112 triệu USD), BTCTurk (55 triệu USD), Radiant Capital (53 triệu USD), BingX (44,7 triệu USD) ), DEXX (21 triệu USD).

Khai thác lỗ hổng hợp đồng là phương thức tấn công thường xuyên nhất Trong số 131 cuộc tấn công, có 76 vụ đến từ khai thác lỗ hổng hợp đồng, chiếm 58,02%. Tổng thiệt hại do sơ hở trong hợp đồng là khoảng 321 triệu USD, đứng thứ ba về số tiền thiệt hại.

Chia theo các lỗ hổng bảo mật, lỗ hổng logic kinh doanh xảy ra thường xuyên nhất và gây ra nhiều tổn thất nhất. Khoảng 53,95% tổn thất trong các sự cố lỗ hổng hợp đồng đến từ các lỗ hổng logic kinh doanh, gây ra tổng thiệt hại khoảng 158 triệu USD.

6. Phân tích các vụ việc chống rửa tiền điển hình

6.1 Sự cố bảo mật của Polter Finance

Tóm tắt sự kiện

6. Phân tích các vụ việc chống rửa tiền điển hình

6.1 Sự cố bảo mật của Polter Finance

Tóm tắt sự kiện

Vào ngày 17 tháng 11 năm 2024, cơ quan giám sát và cảnh báo của Beosin Alert phát hiện ra rằng thỏa thuận cho vay trên chuỗi FTM Polter Finance đã bị tấn công. Kẻ tấn công đã thao túng giá token trong hợp đồng dự án thông qua các khoản vay nhanh để kiếm lợi nhuận.

Phân tích tình trạng dễ bị tổn thương và tài trợ

Hợp đồng LendingPool (0xd47ae558623638f676c1e38dad71b53054f54273) đã bị tấn công trong sự cố này sử dụng 0x6808b5ce79d44e89883c5393b487c4296abb69fe Với tư cách là một oracle, oracle sử dụng hợp đồng nguồn cấp dữ liệu giá được triển khai gần đây (0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe). Hợp đồng nguồn cấp dữ liệu giá này sử dụng dự trữ mã thông báo trong hợp đồng uniswapV2_pair (0xEc71) có thể bị kẻ tấn công sử dụng cho các khoản vay nhanh để tính giá, do đó hợp đồng dễ bị tấn công thao túng giá.

Những kẻ tấn công đã sử dụng các khoản vay nhanh để tăng giá trị của token $BOO một cách giả tạo và cho vay các tài sản tiền điện tử khác. Sau đó, số tiền bị đánh cắp đã được kẻ tấn công chuyển đổi thành mã thông báo FTM, sau đó được liên kết chéo với chuỗi ETH, lưu trữ tất cả số tiền trên chuỗi ETH. Sau đây là sơ đồ của quy trình dòng vốn trên chuỗi ARB và chuỗi ETH:

Vào ngày 20 tháng 11, kẻ tấn công tiếp tục chuyển hơn 2.625 ETH sang Tornado Cash, như trong hình bên dưới:

6.2 Sự cố bảo mật BitForex

Tóm tắt sự kiện

Vào ngày 23 tháng 2 năm 2024, thám tử nổi tiếng trên chuỗi ZachXBT đã tiết lộ thông qua các công cụ phân tích của mình rằng ví nóng của BitForex đã trải qua một đợt rút tiền khoảng 56,5 triệu USD và trong quá trình đó, nền tảng này đã tạm dừng các dịch vụ rút tiền.

Phân tích quỹ

Nhóm bảo mật Beosin đã tiến hành theo dõi và phân tích chuyên sâu về sự cố BitForex thông qua Trace:

Ethereum

Sàn giao dịch Bitforex bắt đầu chuyển 40.771 USDT, 258.700 USDC, 148,01 ETH và 471.405 TRB sang Ethereum lúc 6:11 ngày 24 tháng 2 năm 2024 (UTC+8) Địa chỉ chạy trốn (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f).

Sau đó, vào ngày 9 tháng 8, giờ Bắc Kinh, địa chỉ escape đã chuyển tất cả token ngoại trừ TRB (bao gồm 147,9 ETH, 40.771 USDT và 258.700 USDC) trở lại tài khoản sàn giao dịch Bitforex (0xcce7300829f49b8f2e4aee6123b12da64662a8b8).

Sau đó, vào ngày 9 tháng 8, giờ Bắc Kinh, địa chỉ escape đã chuyển tất cả token ngoại trừ TRB (bao gồm 147,9 ETH, 40.771 USDT và 258.700 USDC) trở lại tài khoản sàn giao dịch Bitforex (0xcce7300829f49b8f2e4aee6123b12da64662a8b8).

Sau đó, từ ngày 9 tháng 11 đến ngày 10 tháng 11, giờ Bắc Kinh, địa chỉ đang chạy đã chuyển 355.000 TRB sang bốn địa chỉ người dùng sàn OKX khác nhau thông qua 7 giao dịch:

0x274c481bf400c2abfd2b5e648a0056ef34970b0a

0x45798ca76a589647acc21040c50562dcc33cf6bf

0x712d2fd67fe65510c5fad49d5a9181514d94183d

0xe8ec263ad9ee6947bf773837a2c86dff3a737bba

Địa chỉ đang chạy sau đó đã chuyển tất cả 116.414,93 TRB còn lại sang một địa chỉ chuyển (0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e), sau đó địa chỉ đó đã chuyển tất cả TRB sang hai người dùng sàn giao dịch Binance khác nhau trong hai giao dịch:

0x431c916ef45e660dae7cd7184e3226a72fa50c0c

0xe7b1fb77baaa3bba9326af2af3cd5857256519df

Chuỗi BNB

Vào ngày 24 tháng 2, sàn giao dịch Bitforex đã rút 166 ETH, 46.905 USDT và 57.810 USDC về địa chỉ Chuỗi BNB (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f), số tiền này đã được gửi cho đến nay.

Đa giác

Vào ngày 24 tháng 2, giờ Bắc Kinh, sàn Bitforex đã rút 99.000 MATIC, 20.300 USDT và 1.700 USDC về địa chỉ chuỗi POL: 0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f.

Trong số đó, 99.000 MATIC đã được chuyển đến địa chỉ 0xcce7300829f49b8f2e4aee6123b12da64662a8b8 vào ngày 9 tháng 8 và đã được rút tiền cho đến nay, các mã thông báo USDT và USDC còn lại cũng đã được chuyển tiền cho đến nay.

Trong số đó, 99.000 MATIC đã được chuyển đến địa chỉ 0xcce7300829f49b8f2e4aee6123b12da64662a8b8 vào ngày 9 tháng 8 và đã được rút tiền cho đến nay, các mã thông báo USDT và USDC còn lại cũng đã được chuyển tiền cho đến nay.

TRON

Vào ngày 24 tháng 2, sàn Bitforex đã rút 44.000 TRX và 657.698 USDT về địa chỉ chuỗi TRON TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o. Vào ngày 9 tháng 8, tất cả các token trên sẽ được chuyển trở lại địa chỉ người dùng sàn giao dịch Bitforex: TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo.

bitcoin

Bắt đầu từ ngày 24 tháng 2, 16 địa chỉ Bitforex đã chuyển tổng cộng 5,7BTC sang địa chỉ chuỗi BTC 3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2. Địa chỉ này đã chuyển toàn bộ 5,7BTC trở lại địa chỉ trao đổi Bitforex vào ngày 9 tháng 8: 11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz.

Tóm lại, vào ngày 24 tháng 2, sàn Bitforex đã chuyển 40.771 USDT, 258.700 USDC, 148,01 ETH và 471.405 TRB sang chuỗi ETH; đã chuyển 44.000 TRX và 657.698 USDT sang chuỗi TRON; ,46.905 USDT và 57.810 USDC đã được chuyển sang Chuỗi BNB; 99.000 MATIC, 20.300 USDT và 1.700 USDC đã được chuyển sang Chuỗi Polygon. Vào ngày 9 tháng 8, tất cả token của chuỗi BTC, tất cả token của chuỗi TRON và chuỗi ETH ngoại trừ token TRB đã được chuyển trở lại sàn giao dịch Bitforex. Vào ngày 9 và 10 tháng 11, tất cả 471.405 TRB đã được chuyển sang 4 tài khoản OKX và 2 Binance. tài khoản. Cho đến nay, tất cả các token của chuỗi ETH, chuỗi TRON và chuỗi BTC đã được chuyển. 166 ETH, 46.905 USDT và 57.810 USDC đã được gửi trên BSC và 99.000 MATIC, 20.300 USDT và 1.700 USDC đã được gửi trên POL.

Đính kèm tiền gửi địa chỉ trao đổi TRB:

Địa chỉ trao đổi TRB gửi kèm theo tiền gửi:

7. Phân tích dòng vốn của tài sản bị đánh cắp

Trong số số tiền bị đánh cắp trong suốt năm 2024, khoảng 1,312 tỷ USD vẫn còn trong các địa chỉ của hacker (bao gồm chuyển khoản qua chuỗi chéo và phân tán đến nhiều địa chỉ), chiếm 52,20% tổng số tiền bị đánh cắp. So với năm ngoái, năm nay tin tặc có nhiều khả năng sử dụng nhiều chuỗi chéo để rửa tiền và truyền bá số tiền bị đánh cắp đến nhiều địa chỉ thay vì trực tiếp sử dụng máy trộn tiền. Sự gia tăng địa chỉ và sự phức tạp của các con đường rửa tiền chắc chắn sẽ khiến việc điều tra trở nên khó khăn hơn đối với các bên tham gia dự án và các cơ quan quản lý.

Khoảng 531 triệu USD số tiền bị đánh cắp đã được thu hồi, chiếm khoảng 21,13%. Vào năm 2023, khoảng 295 triệu USD sẽ được thu hồi.

Khoảng 109 triệu USD số tiền bị đánh cắp đã được chuyển sang các máy trộn tiền xu trong suốt cả năm, chiếm khoảng 4,34% tổng số tiền bị đánh cắp. Kể từ khi OFAC của Hoa Kỳ xử phạt Tornado Cash vào tháng 8 năm 2022, số tiền bị đánh cắp được chuyển vào Tornado Cash đã giảm đáng kể.

8. Phân tích tình hình kiểm toán dự án

Trong số 131 sự cố tấn công, 42 sự cố của các bên dự án chưa được kiểm tra, các bên dự án trong 78 sự cố đã được kiểm toán và không thể xác nhận trạng thái kiểm tra của các bên dự án trong 11 sự cố.

Trong số 42 dự án chưa được kiểm toán, sự cố lỗ hổng hợp đồng chiếm tới 30 trường hợp (tương đương 71,43%). Điều này cho thấy các dự án không có kiểm toán sẽ dễ gặp rủi ro bảo mật tiềm ẩn hơn. Để so sánh, sự cố lỗ hổng hợp đồng chiếm 49 (khoảng 62,82%) trong số 78 dự án được kiểm toán. Điều này cho thấy việc kiểm toán có thể cải thiện tính bảo mật của dự án ở một mức độ nhất định.

Tuy nhiên, do thiếu các tiêu chuẩn quy định hoàn chỉnh trên thị trường Web3, chất lượng kiểm toán không đồng đều và kết quả cuối cùng không như mong đợi. Để đảm bảo an toàn tài sản một cách hiệu quả, dự án nên tìm một công ty bảo vệ chuyên nghiệp để tiến hành kiểm tra trước khi lên mạng.

9. Phân tích kéo thảm

Vào năm 2024, nền tảng Beosin Alert đã giám sát tổng cộng 68 sự cố Rug Pull lớn trong hệ sinh thái Web3, với tổng số tiền liên quan khoảng 148 triệu USD, giảm đáng kể so với 388 triệu USD vào năm 2023.

9. Phân tích kéo thảm

Vào năm 2024, nền tảng Beosin Alert đã giám sát tổng cộng 68 sự cố Rug Pull lớn trong hệ sinh thái Web3, với tổng số tiền liên quan khoảng 148 triệu USD, giảm đáng kể so với 388 triệu USD vào năm 2023.

Xét về số tiền, trong số 68 sự cố Rug Pull, có tổng cộng 9 dự án liên quan đến số tiền hơn một triệu USD, đó là Essence Finance (20 triệu USD), Shido Global (2,4 triệu USD), ETHTrustFund (2,2 triệu USD). ), Nexera (1,8 triệu USD), Grand Base (1,7 triệu USD), SAGA Token (1,6 triệu USD), OrdiZK (140 1,29 triệu USD), MangoFarmSOL (1,29 triệu USD) và RiskOnBlast (1,25 triệu USD), với tổng thiệt hại là 33,64 triệu USD, chiếm 22,73% tổng thiệt hại trong tất cả các sự cố Rug Pull.

Các dự án Rug Pull trên Ethereum và BNB Chain chiếm 82,35% tổng số, lần lượt là 24 và 32 dự án One Rug Pull trị giá hơn 20 triệu đô la Mỹ xảy ra trên Scroll. Một số lượng nhỏ sự kiện Rug Pull đã xảy ra trong các chuỗi công khai khác, bao gồm Polygon, BASE, Solana, v.v.

10. Tóm tắt tình hình bảo mật Blockchain Web3 năm 2024

Vào năm 2024, số lượng hoạt động hack trên chuỗi và sự cố Rug Pull của dự án đã giảm đáng kể so với năm 2023, nhưng số lượng tổn thất vẫn tăng lên và các cuộc tấn công lừa đảo ngày càng tràn lan. Phương thức tấn công tốn kém nhất vẫn là rò rỉ khóa riêng. Những lý do chính cho sự thay đổi này bao gồm:

Sau các hoạt động tràn lan của hacker vào năm ngoái, toàn bộ hệ sinh thái Web3 đã chú ý hơn đến vấn đề bảo mật trong năm nay, từ các bên tham gia dự án đến các công ty bảo mật, những nỗ lực đã được thực hiện ở nhiều khía cạnh khác nhau, chẳng hạn như giám sát trên chuỗi theo thời gian thực, chú trọng hơn vào kiểm tra bảo mật. và các sự cố khai thác lỗ hổng hợp đồng trong quá khứ. Việc tích cực rút kinh nghiệm đã khiến tin tặc khó lấy cắp tiền thông qua lỗ hổng hợp đồng hơn năm ngoái. Tuy nhiên, các bên tham gia dự án cũng cần tăng cường nhận thức về bảo mật về lưu trữ khóa riêng và bảo mật vận hành dự án.

Với sự tích hợp của thị trường tiền điện tử và thị trường truyền thống, tin tặc không còn giới hạn trong việc tấn công DeFi, cầu nối chuỗi chéo, sàn giao dịch, v.v. mà đang chuyển sang tấn công các nền tảng thanh toán, nền tảng cờ bạc, nhà môi giới tiền điện tử, cơ sở hạ tầng, trình quản lý mật khẩu, công cụ phát triển, robot MEV, robot TG và các mục tiêu khác.

Vào năm 2024-2025, thị trường mã hóa sẽ bước vào thị trường giá lên và các quỹ trên chuỗi sẽ hoạt động tích cực, điều này sẽ thu hút nhiều cuộc tấn công của hacker hơn ở một mức độ nhất định. Ngoài ra, các chính sách quản lý đối với tài sản tiền điện tử ở các khu vực khác nhau đang dần được cải thiện để chống lại các hoạt động tội phạm khác nhau sử dụng tài sản tiền điện tử. Với xu hướng như vậy, hoạt động tấn công của hacker dự kiến ​​sẽ vẫn ở mức cao vào năm 2025, đồng thời các cơ quan thực thi pháp luật và cơ quan quản lý toàn cầu vẫn sẽ phải đối mặt với những thách thức nghiêm trọng.