Vào năm 2024, các lỗ hổng kiểm soát truy cập đã trở thành nguyên nhân chính dẫn đến những tổn thất do các hacker tiền điện tử gây ra, chiếm 75% tổng số tổn thất trong lĩnh vực tài chính phi tập trung (DeFi), tài chính tập trung (CeFi) và các lĩnh vực trò chơi/metaverse, với tổng tổn thất lên tới 1,70 tỷ. Một báo cáo của Hacken cho thấy tỷ lệ này đã tăng đáng kể từ 50% trong năm 2023, với việc truy cập trái phép và đánh cắp khóa riêng là những nguyên nhân chính. Lĩnh vực CeFi đã chứng kiến những tổn thất lớn từ DMM Exchange và WazirX, trong khi lĩnh vực DeFi đã trải qua một sự cố hack tại Radiant Capital dẫn đến tổn thất 55 triệu. Trong lĩnh vực trò chơi/metaverse, các lỗ hổng tại PlayDapp đã dẫn đến tổn thất 290 triệu. Để giải quyết những mối đe dọa này, Hacken khuyến nghị các doanh nghiệp triển khai quản lý nhiều chữ ký, phản ứng sự cố tự động và tuân thủ các Tiêu chuẩn Bảo mật Tiền điện tử (CCSS). Mặc dù tổn thất trong lĩnh vực DeFi đã giảm, nhưng các lĩnh vực trò chơi và metaverse vẫn phải đối mặt với những thách thức, với tổn thất đạt 389 triệu vào năm 2024.

DEFI

Các lỗ hổng kiểm soát truy cập đã nổi lên như nguyên nhân hàng đầu gây ra thiệt hại từ các vụ hack tiền điện tử trong năm 2024, chiếm tới 75% tổng thiệt hại trên các lĩnh vực tài chính phi tập trung (DeFi), tài chính tập trung (CeFi) và trò chơi/metaverse, không bao gồm các cuộc tấn công lừa đảo.Theo Hacken, điều này đánh dấu một sự gia tăng đáng kể từ 50% trong năm 2023, với thiệt hại liên quan đến truy cập trái phép và đánh cắp khóa riêng tăng vọt lên 1,7 tỷ USD, tăng từ dưới 1 tỷ USD năm trước. Ngược lại, các lỗ hổng nhắm vào các lỗ hổng hợp đồng thông minh chỉ đóng góp 14% vào tổng thiệt hại.<h2>Tăng cao các lỗ hổng kiểm soát truy cập trong năm 2024</h2>Báo cáo của Hacken cho thấy các cuộc tấn công kiểm soát truy cập trở nên phổ biến trên tất cả các danh mục của Web3 trong năm 2024, với các dự án CeFi, DeFi và trò chơi/metaverse bị ảnh hưởng nghiêm trọng. Trong CeFi, các sự cố lớn tại DMM Exchange và WazirX đã dẫn đến tổng thiệt hại vượt quá 500 triệu USD. Lĩnh vực DeFi cũng chịu thiệt hại từ việc quản lý hợp đồng thông minh bị xâm phạm, như trong vụ hack Radiant Capital đã gây ra thiệt hại 55 triệu USD.Lĩnh vực trò chơi/metaverse cũng phải đối mặt với thiệt hại đáng kể, điển hình là vụ khai thác PlayDapp trị giá 290 triệu USD. Tại trung tâm của những cuộc tấn công này là sự xâm phạm khóa riêng, xuất phát từ các thực hành quản lý khóa yếu kém, kỹ thuật xã hội và phương pháp sao lưu không an toàn.Để bảo vệ trước những mối đe dọa này, Hacken đã chỉ ra rằng các doanh nghiệp cần triển khai quản lý multisig tiên tiến, phản ứng sự cố tự động và tuân thủ Tiêu chuẩn An ninh Tiền điện tử (CCSS) để đảm bảo an toàn hơn cho khóa riêng và giảm thiểu các lỗ hổng hoạt động trên toàn bộ Web3.<h2>Thiệt hại DeFi giảm nhưng trò chơi và metaverse vẫn gặp khó khăn</h2>Lĩnh vực DeFi đã chứng kiến sự giảm đáng kể trong tổng thiệt hại vào năm 2024 so với năm trước. Trong khi thiệt hại liên quan đến DeFi trong năm 2023 tăng lên 787 triệu USD, con số năm 2024 ghi nhận sự giảm 40% chủ yếu do các biện pháp an ninh được cải thiện trong toàn lĩnh vực, đặc biệt là trong các cầu nối phi tập trung.Trong năm 2024, DeFi đã chứng kiến sự cải thiện trong khả năng hoạt động giữa các chuỗi, điều này đóng vai trò quan trọng trong việc giảm thiểu các cuộc tấn công cầu nối. Khi các cầu nối từ lâu đã là mục tiêu hàng đầu của các hacker, sự giảm thiểu thiệt hại – 338 triệu USD trong năm 2023 so với chỉ 114 triệu USD trong năm 2024 – đã chứng minh hiệu quả ngày càng tăng của các giao thức an ninh mới.Báo cáo đã chỉ ra rằng các công cụ như Tính toán Đối tác Đa (MPC) và mật mã Không Kiến thức (ZK) đã trở thành thiết yếu cho các nhà phát triển cầu nối, cải thiện an ninh và làm cho các cuộc tấn công ít ảnh hưởng hơn. Những tiến bộ này đã giảm đáng kể tần suất và mức độ nghiêm trọng của các cuộc tấn công nhắm vào các cầu nối giữa các chuỗi.Điều tương tự không thể nói đối với các lĩnh vực trò chơi và metaverse đã trải qua thiệt hại đáng kể. Trong năm 2024, nhóm Web 3 này ghi nhận 389 triệu USD thiệt hại, chiếm gần 20% tổng số vụ hack tiền điện tử. Một phần lớn trong số các thiệt hại này xuất phát từ các lỗ hổng kiểm soát truy cập.Ba sự cố lớn đã chịu trách nhiệm cho 358 triệu USD trong tổng thiệt hại, chiếm hơn 80% các vụ hack trò chơi và metaverse trong năm. Sự tập trung của các thiệt hại này trong quý 1 đã nhấn mạnh khó khăn mà các dự án này phải đối mặt trong việc bảo mật quản lý truy cập, đặc biệt là trên các nền tảng mới như Blast, nơi cũng đã gặp phải nhiều vụ lừa đảo.

Các lỗ hổng kiểm soát truy cập trong năm 2024 dẫn đến sự gia tăng đáng kể trong việc thất thoát tiền điện tử.