Mặc dù số tiền bị đánh cắp của các sự cố bảo mật này đã lên tới hàng tỷ đô la, hầu hết người dùng của các dự án bị đánh cắp đều được bồi thường đầy đủ.
Vào cuối tháng 3, Ronin Network sidechain của game blockchain nổi tiếng Axie Infinity, đã hack mất 620 triệu đô, trở thành vụ hack DeFi nghiêm trọng nhất cho đến nay làm dấy lên mối lo ngại của người dùng về bảo mật trong thế giới tiền điện tử.
Trong 2 năm qua mặc dù có một lượng tiền lớn chảy vào ngành công nghiệp tiền điện tửnhưng hiện tại bảo mật trong nghành có vẻ vẫn còn chưa mạnh mẽ. Hacker đã tấn các sàn giao dịch tập trung và các dự án DeFi thông qua những lỗi về code. Số lượng, tần suất và quy mô của các sự cố khác nhau và cấp độ đang ngày càng tăng.
Theo thống kê của SlowMist tổng thiệt hại từ các sự cố bảo mật blockchain vào năm 2021 vượt quá 9,8 tỷ đô qua tổng cộng 231 cuộc tấn công. Mặc dù một phần tiền trong các vụ tấn công đã được các bên dự án thu hồi hoặc bồi thường, tuy nhiên ngành công nghiệp tiền điện tử vẫn bị ảnh hưởng và tăng lo ngại cho người dùng.
Bài viết này sẽ nói đến 20 vụ hack hàng đầu tính theo số tiền bị mất tính đến tháng 04/2022.
Ronin Network, 624 triệu USD
Vào 29/03/2022, Ronin chính thức tuyên bố cross-chain bridge của nó đã bị tấn công và bị mất 173.600 ETH và 25,5 triệu USDC tổng giá trị khoảng 620 triệu đô.
Lý do vụ hack là 5 validator đã bị lộ private key. Vào tháng 11 năm ngoái, Sky Mavis và Axie DAO đã thiết lập gas-free RPC node với mục đích ban đầu là giảm phí cho người dùng, điều này yêu cầu Axie DAO trở thành validator cho Sky Mavis. Hacker đã đánh cắp Axie DAO signature thu thập được sự đồng thuận hợp lệ của 5 validator và thay thế nó bằng privatekey để rút tiền.
Hiện tại, người đồng sáng lập Axie Infinity Aleksander L. Larsen đã tweet rằng nhóm Axie Infinity đang làm việc chăm chỉ để liên lạc với hacker để thoả thuận rồi sau đó lên kế hoạch bồi thường.
Poly Network, 611 triệu USD
Vào 10/08/2021, các smartcontract được triển khai bởi giao thức tương tác chuỗi chéo Poly Network trên Ethereum, BSC và Polygon đồng thời bị tấn công và mất hơn 610 triệu đô.
Theo phân tích của nhóm SlowMist, kẻ tấn công sử dụng một chức năng để sửa đổi người nắm giữ hợp đồng EthCrossChainData. Sau khi thay thế được vai trò người nắm giữ thì hacker kiểm soát các giao dịch theo ý muốn và rút bất kỳ khoản tiền nào từ hợp đồng.
Sau nhiều lần liên lạc on-chain với hacker, hacker cuối cùng đã trả lại tất cả tài sản bị đánh cắp cho bên dự án và tất cả người dùng không phải chịu tổn thất nào.
Wormhole, 326 triệu USD
Vào 03/02/2022, giao thức chuỗi chéo Wormhole đã bị tấn công và bị đánh cắp 120.000 ETH (khoảng 326 triệu đô).
Theo điều tra, lỗ hổng trong cuộc tấn công này là một lỗi trong mã xác minh chữ ký của hợp đồng Wormhole cho phép kẻ tấn công giả mạo một tin nhắn từ "Guardian" để mint whETH. Kẻ tấn công chuyển 120.000 ETH thông qua Wormhole bằng cách mint whETH vô hạn trên Solana.
Sau vụ việc, hacker đã không trả lời liên lạc từ bên dự án. Công ty con của Wormhole Jump Crypto đã quyết định dùng tiền túi bỏ 120.000 ETH vào hợp đồng thông minh cầu nối chuỗi chéo để giúp Wormhole hoạt động trở lại.
BitMart, 196 triệu USD
Vào 05/12/2021, ví nóng Ethereum và BSC của sàn giao dịch tiền điện tử BitMart đã bị đánh cắp khoảng 196 triệu đô trong đó 100 triệu đô của Ethereum và khoảng 96 triệu đô của BSC.
Những kẻ tấn công đã chuyển tiền từ ví nóng BitMart sang ví chính của họ và giao dịch các token thành ETH và BNB thông qua 1inch, sau đó trộn chúng bằng TornadoCash để ẩn danh và cuối cùng đã thoát. Một số tài sản đã được thu hồi thông qua hợp tác với bên dự án.
Người sáng lập BitMart Sheldon Xia đã thông báo rằng các quỹ của nền tảng sẽ được sử dụng để bồi thường cho người dùng bị ảnh hưởng và tính năng gửi và rút tiền sẽ sớm được mở.
Vulcan Forged, 140 triệu USD
Vào 13/12/2021, dự án gameFi Vulcan Forged cho biết 148 ví chứa PYR đã bị tấn công và hơn 4,5 triệu PYR đã bị đánh cắp với tổng thiệt hại hơn 140 triệu đô. Nhóm dự án đã quyết định lấy PYR trong vault để bồi thường cho người dùng bị ảnh hưởng.
Cream Finance, 130 triệu USD
Vào 27/10/2021, nền tảng cho vay thế chấp Cream Finance đã bị tấn công flashloan và mất khoảng 130 triệu đô.
Những kẻ tấn công đã tạo ra một số lượng lớn token yUSD bằng cách vay flashloan DAI từ MakerDAO. Đồng thời, bằng cách thao túng pool thanh khoản multi-asset, oracle đã được sử dụng để tính giá của yUSD và giá của yUSD tăng lên khiến vị thế của kẻ tấn công tăng lên, tạo ra đủ giới hạn vay để bù lại thanh khoản của thị trường Cream Ethereum v1.
Vào 13/11, Cream Finance đã công bố kế hoạch bồi thường cho người dùng bị ảnh hưởng. Nó sẽ sử dụng các token còn lại trong vault của mình và những token Cream còn lại của nhóm dự án sẽ được loại bỏ và phát hành thêm 1.453.415 token Cream cho người dùng bị ảnh hưởng.
Badger 120 triệu USD
Vào 02/12/2021, giao diện người dùng Badger đã bị hack tổng thiệt hại khoảng 2.100 BTC và 151 ETH, tương đương khoảng 120 triệu đô.
Sự cố này gây ra bởi một "đoạn mã độc" của Cloudflare, một nền tảng ứng dụng chạy trên mạng đám mây Badger. Tin tặc đưa mã độc vào bằng cách sử dụng các khóa API có thể xâm nhập để có được sự cho phép không giới hạn từ ví của người dùng.
Sau đó, Badger tuyên bố rằng họ đã thuê công ty an ninh mạng Mandiant và công ty phân tích blockchain Chainalysis để điều tra vụ tấn công và đang làm việc với cả hai công ty, cũng như các nhà chức trách ở Mỹ và Canada để thu hồi bất kỳ khoản tiền nào có thể. Đồng thời, thông qua bỏ phiếu cộng đồng, dự án đã quyết định bồi thường cho người dùng bị ảnh hưởng một phần tài sản trong ngân quỹ và một phần doanh thu từ giao thức với chu kỳ khoảng 1 năm.
Qubit Finance, 80 triệu USD
Vào 28/01/2022, dự án cho vay BSC Qubit đã bị hack, các tin tặc đã mint một lượng lớn tài sản thế chấp xETH và đánh cắp khoảng 80 triệu đô.
Nhóm phát triển của Qubit Finance Team Mound, nhóm đã quyết định tái cấu trúc và đưa ra một kế hoạch bồi thường sau cuộc tấn công, nhóm sẽ không lấy token phân phối mà dùng nó để bồi thường cho cộng đồng.
AscendEX, 77 triệu USD
Vào 12/12/2021, ví nóng Ethereum, BSC và Polygon của sàn giao dịch tiền điện tử AscendEX đã bị đánh cắp tổng cộng hơn 77 triệu đô.
Sau sự cố, sàn giao dịch tuyên bố rằng họ sẽ tiến hành kiểm tra bảo mật toàn diện và nếu tiền của bất kỳ người dùng nào bị ảnh hưởng bởi sự cố AscendEX sẽ trả 100%.
EasyFi, 59 triệu USD
Vào ngày 20 tháng 4 năm 2021, người sáng lập giao thức cho vay Layer2 DeFi EasyFi Ankitt Gaur cho biết pool thanh khoản giao thức đã bị tấn công 6 triệu đô stablecoin và 2,98 triệu token EASY với tổng thiệt hại khoảng 59 triệu đô.
Lý do cho việc này là mnemonic phrase key MetaMask của quản trị viên đã bị tấn công từ xa chứ không phải lỗi code hợp đồng thông minh EasyFi. EasyFi đã liên hệ với Binance và nhóm AscendEx khiến các tin tặc đã không di chuyển các token ra khỏi ví và không thể được bán trong DEX do hạn chế về thanh khoản.
Sau đó, dự án tuyên bố rằng nó sẽ đền bù 100% số dư ròng của người cho vay/người gửi tiền bằng cách snapshot và sẽ chia làm 2 phần trả cho người dùng, 25% thanh toán trước và 75% còn lại được thanh toán trong EZ, bằng token EASY V2 tỷ lệ 1: 1 với EZ.
Uranium Finance, 57 triệu USD
Vào 28/04/2021, Uranium Finance, giao thức AMM trên Binance Smart Chain, đã tweet rằng Uranium đã bị tấn công và thiệt hại lên tới khoảng 57 triệu đô.
Sau đó, Uranium Finance đã xuất bản một bài báo phân tích lỗ hổng và kêu gọi người dùng lấy tiền về càng sớm càng tốt và không add thanh khoản cho hợp đồng nữa. Kể từ đó, không có bản cập nhật chính thức nào về Uranium Finance và dường như nó đã ngừng hoạt động.
bZx, 55 triệu USD
Vào 06/11/2021, giao thức cho vay phi tập trung bZx đã bị đánh cắp hơn 55 triệu đô la do lộ private key trên chuỗi Polygon và BSC.
Đây không phải là một vụ hack nhắm vào lỗ hổng giao thức, mà nó lừa các nhà phát triển bZx bằng cách gửi mail đính kèm file Word có chứa macro độc hại. Mở tài liệu này ra sẽ bị đánh cắp ví privatekey của nhà phát triển. Tin tặc đã kiểm soát hợp đồng và rút tiền.
Cashio, 48 triệu USD
Vào 23/03/2022, stablecoin thuật toán Cashio trong hệ sinh thái Solana đã tweet để cảnh báo người dùng không nên mint bất kỳ token nào và rút tiền từ pool càng sớm càng tốt. Có một lỗi mint vô hạn trong giao thức trị giá khoảng 48 triệu đô.
Cashio Dollar là một stablecoin thuật toán được hỗ trợ bởi các token LP USDT-USDC. Tin tặc đã phát hành bất hợp pháp 2 tỷ token CASH bằng cách bỏ qua một tài khoản chưa được xác minh và chuyển đổi token CASH thành token CASH thông qua nhiều ứng dụng. UST, USDC và USDT-USDC LP với tổng giá trị lợi nhuận khoảng 48 triệu USD.
Sau khi bị tin tặc tấn công, nhóm dự án tuyên bố rằng họ không có đủ tiền để đền bù thiệt hại. Nếu tin tặc trả lại tiền họ sẵn sàng thưởng 1 triệu USDC cho họ. Hacker cho biết sẽ hoàn trả cho các nạn nhân bị mất ít hơn 100.000$.
Pancake Bunny, 46 triệu USD
Vào ngày 20 tháng 5 năm 2021, PancakeBunny công ty tổng hợp doanh thu trên Binance Smart Chain BSC bị tấn công và mất khoảng 46 triệu đô.
Đây là một cuộc tấn công flashloan. Điểm mấu chốt là cách tính giá của WBNB-BUNNY LP có sai sót và số lượng BUNNY được mint bởi hợp đồng BunnyMinterV2 phụ thuộc vào phương pháp tính toán sai sót này, cuối cùng dẫn đến việc kẻ tấn công sử dụng flashloan để thao túng WBNB, do đó Bunny pool đã tăng giá LP, làm cho hợp đồng BunnyMinterV2 mint một số lượng lớn token BUNNY cho kẻ tấn công.
Nhóm PancakeBunny đã phát hành một kế hoạch đánh giá và bồi thường sau cuộc tấn công flashloan bằng cách phát hành token pBUNNY mới và tạo ra một pool bồi thường từ việc thu phí từ khai thác và quỹ airdrop token QFI.
Kucoin, 45 triệu USD
Vào 20/09/2020, ví nóng Kucoin đã bị tấn công và mất hơn 280 triệu đô.
Kể từ đó, Giám đốc điều hành Kucoin Johnny Lyu cho biết ông đã thu hồi được 222 triệu đô (78%) thông qua hợp tác với các sàn giao dịch và các bên dự án và tiếp tục hợp tác với các cơ quan thực thi pháp luật và an ninh để thu hồi 17,45 triệu đô (6%). Cuối cùng, KuCoin đã sử dụng quỹ bảo hiểm để bù đắp cho khoản mất còn lại của quỹ, khoảng 45 triệu đô (16%) và không có người dùng nào bị tổn thất trong sự kiện này.
Secretswap, hơn 40 triệu USD
Vào 14/09/2021, dự án DEX Secretswap đã bị tin tặc tấn công và lấy hơn 40 triệu đô trong pool thanh khoản. Sau vụ việc, dự án đã ngưng việc sử dụng cầu nối giữa Secretswap và Secret Network để ngăn chặn hacker chuyển tài sản từ cầu nối chuỗi chéo sang mạng Ethereum.
Sau khi điều tra, lỗ hổng này liên quan đến một hợp đồng LP cho phần thưởng staking SecretSwap, không có tiền bị đánh cắp nào rời khỏi mạng, không có hợp đồng cầu nối/token nào bị tấn công và bản thân mạng không bị tấn công.
Vài ngày sau, Secret Network khôi phục mạng lưới thông qua một đợt hard fork, trả lại tài sản bị đánh cắp vào pool thanh khoản của người dùng và tiếp tục sử dụng các cầu nối chuỗi chéo.
Alpha Finance, 37 triệu USD
Vào 13/02/2021, Alpha Finance Lab đã tuyên bố trên Twitter chính thức của mình rằng tin tặc đã khai thác lỗ hổng Alpha Homora V2 để cho vay ETH, DAI, USDC và các tài sản khác từ Iron Bank (Cream V2) dẫn đến các khoản nợ giữa Alpha Homora v2 và Cream v2 và mất khoảng 37 triệu đô.
Phương thức hoàn trả của nhóm Alpha như sau: 1000 ETH được kẻ tấn công gửi vào hợp đồng Alpha Homora V2 để thanh toán các khoản nợ, 1000 ETH được kẻ tấn công gửi vào hợp đồng Cream V2 để trả nợ, Tornado Cash Foundation sẽ trả lại 100 ETH cho Alpha Homora để trả nợ, Alpha sẽ cam kết hoàn trả số tiền còn lại bằng cách sử dụng 20% quỹ dự trữ Alpha Homora V1 và V2, thanh toán hàng tháng cho Cream V2 Iron Bank cho đến khi hết khoản nợ mới.
Vee Finance 37 triệu USD
Vào 21/09/2021, nền tảng cho vay sinh thái Avalanche Vee Finance đã bị tấn công gây thiệt hại khoảng 37 triệu đô.
Phát hiện lỗ hỏng trong quá trình tạo lệnh giao dịch ký quỹ, Oracle chỉ sử dụng giá của Pangolin làm nguồn cấp dữ liệu giá và giá của pool dao động hơn 3%. Các oracle làm mới giá khiến kẻ tấn công thao túng giá của Pangolin pool. Việc thao túng giá Oracle của Vee Finance và giá Oracle mua lại không được thập phân, dẫn đến việc kiểm tra slippage dự kiến trước khi việc swap không thành công.
Vee.Finance đã công bố phần thưởng 500.000$ để theo dõi những kẻ tấn công và sẽ bồi thường cho tất cả người cho vay và người gửi tiền bằng doanh thu nền tảng và token VEE trong quỹ dự trữ và đồng thời token của team sẽ không phát hành cho đến khi các khoản đền bù thực hiện xong.
Crypto.com 33 triệu USD
Vào 18/01/2022, một số tài khoản của sàn giao dịch tiền điện tử Crypto.com bị tấn công, dẫn đến mất khoảng 33 triệu đô.
Hacker đã dùng cách để trở thành “withdrawal whitelist” để bỏ qua các bước xác minh 2FA. Tổng cộng có 483 tài khoản đã bị bẻ khóa, 4836 ETH và 444 BTC đã bị đánh cắp và ETH đã được gửi đến Tornado Cash để ẩn danh nguồn gốc.
Crypto.com tuyên bố rằng họ đã bồi thường thiệt hại cho tất cả người dùng và khôi phục tài sản trong tài khoản của họ về vị trí ban đầu.
MonoX Finance 31 triệu USD
Vào 30/11/2021, giao thức AMM MonoX đã bị tấn công flashloan và bị đánh cắp khoảng 31 triệu đô trên Ethereum và Polygon.
Hacker đã sử dụng swap contract đẩy giá MONO lên cao ngất ngưởng và sau đó sử dụng MONO để mua tất cả các tài sản khác trong pool.
Sau đó, nhóm dự án tuyên bố rằng họ sẽ phát hành token dMONO cho tất cả các tài sản bị đánh cắp và triển khai vault dMONO, sẽ sử dụng doanh thu nền tảng để buyback MONO và gửi MONO đến vault này, bất kỳ chủ sở hữu dMONO nào cũng có thể burn dMONO để đổi lấy MONO và rút khỏi vault.
Mặc dù số tiền bị đánh cắp của các sự cố bảo mật này đã lên tới hàng tỷ đô la, hầu hết người dùng của các dự án bị đánh cắp đều được bồi thường đầy đủ. Trong số đó, những tài sản bị đánh cắp trong vụ Poly Network và Secretswap đã được lấy lại. Số tiền gốc trong vụ Wormhole và 8 dự án khác đều được dự án trả và hầu hết các dự án còn lại được dự án bồi thướng dưới dạng token riêng nhưng thường do giá token sẽ giảm, số tiền bồi thường thực tế có thể sẽ thấp hơn số tiền bị mất. Chỉ có Uranium Finance không thực hiện bất kỳ khoản bồi thường nào cho người dùng.
Qua đó có thể thấy rằng các cuộc tấn công của hacker không khủng khiếp như tưởng tượng. Điều quan trọng là nguồn lực của nền tảng dự án và trách nhiệm đối với người dùng. Người dùng tiền điện tử nên ưu tiên tham gia vào các dự án có mức độ bảo mật tốt các hoạt động đầu tư và khai thác được thực hiện trong phạm vi cho phép đảm bảo sự an toàn của quỹ.
Tuyên bố miễn trừ trách nhiệm: Là một nền tảng thông tin blockchain, thông tin được cung cấp trên trang web này không đại diện cho bất kỳ đề xuất đầu tư nào.