Tổn thất 2 tỷ đô la trong thị trường tiền điện tử năm 2024! SlowMist tiết lộ 10 sự kiện hacker lớn, có bước tiến lớn trong quản lý tiền điện tử

I. Tóm tắt

Năm 2024, ngành công nghiệp blockchain tiến bước trong cuộc chiến giữa an toàn và đổi mới. Trong bối cảnh này, báo cáo này đã tổng hợp lại các chính sách quản lý và tuân thủ quan trọng trong năm 2024, tóm tắt các sự kiện an toàn blockchain năm 2024 và liệt kê các phương pháp lừa đảo điển hình. Ngoài ra, chúng tôi cũng đã mời nền tảng chống lừa đảo Web3 ScamSniffer viết về các Wallet Drainers lừa đảo, đồng thời phân tích và thống kê về các phương pháp rửa tiền và tình hình lợi nhuận của hacker Bắc Triều Tiên. Chúng tôi hy vọng báo cáo này sẽ cung cấp thông tin hữu ích cho độc giả, giúp các nhà quản lý và người dùng hiểu rõ hơn về tình hình an toàn blockchain và các giải pháp, từ đó góp phần vào sự phát triển an toàn của hệ sinh thái blockchain.

II. Tình hình an toàn blockchain

Theo thống kê từ kho dữ liệu sự kiện bị hack của SlowMist, năm 2024 đã xảy ra 410 sự kiện an toàn, tổn thất lên đến 2,013 triệu đô la. So với năm 2023 (tổng cộng 464 trường hợp, tổn thất khoảng 2,486 triệu đô la), tổn thất đã giảm 19,02%.

Chú thích: Dữ liệu trong báo cáo này dựa trên giá token tại thời điểm xảy ra sự kiện, do biến động giá tiền điện tử và một số tổn thất từ các sự kiện chưa được công khai chưa được đưa vào thống kê, do đó, tổn thất thực tế có thể cao hơn kết quả thống kê.

Nguồn hình ảnh: ForesightNewshttps://hacked.slowmist.io/statistics/?c=all&d=2024

Tổng quan về các sự kiện an toàn blockchain

Xét về lĩnh vực dự án, DeFi vẫn là ngành thường xuyên bị tấn công nhất. Năm 2024 đã xảy ra 339 sự kiện an toàn DeFi, chiếm 82,68% tổng số sự kiện an toàn, tổn thất lên đến 1,029 triệu đô la, so với năm 2023 (tổng cộng 282 sự kiện, tổn thất khoảng 773 triệu đô la), tổn thất đã tăng 33,12% so với năm trước.

Nguồn hình ảnh: ForesightNewsPhân bố và tổn thất sự kiện an toàn của các lĩnh vực năm 2024

Nguồn hình ảnh: ForesightNews2023 và biểu đồ phân bố sự kiện an toàn DeFi 2024 cùng so sánh tổn thất

Xét về sinh thái, Ethereum là nơi chịu tổn thất cao nhất, lên đến 465 triệu đô la. Tiếp theo là BSC, với 87,35 triệu đô la.

Nguồn hình ảnh: ForesightNewsPhân bố và tổn thất sự kiện an toàn của các hệ sinh thái năm 2024

Xét về nguyên nhân sự kiện, sự kiện an toàn do lỗ hổng hợp đồng gây ra nhiều nhất, lên đến 99 sự kiện, gây tổn thất khoảng 214 triệu đô la. Tiếp theo là các sự kiện an toàn do tài khoản bị hack.

Nguồn hình ảnh: ForesightNewsBiểu đồ các phương pháp sự kiện an toàn 2024

Các sự kiện tấn công điển hình

Phần này chọn lọc 10 sự kiện tấn công an toàn có tổn thất cao nhất trong năm 2024. Chi tiết xem trong nội dung PDF ở cuối văn bản.

Nguồn hình ảnh: ForesightNews10 sự kiện tấn công an toàn có tổn thất cao nhất năm 2024

Rug Pull

Rug Pull là một dạng lừa đảo, bản chất là các dự án độc hại tạo ra sự hấp dẫn để thu hút người dùng đầu tư, đến khi thời cơ chín muồi thì 'kéo thảm', lấy tiền rồi bỏ chạy. Theo thống kê từ kho dữ liệu sự kiện bị hack của SlowMist, năm 2024 đã xảy ra 58 sự kiện Rug Pull, gây tổn thất khoảng 106 triệu đô la. Trong đó, hệ sinh thái zkSync chịu tổn thất cao nhất, lên đến 36,95 triệu đô la, hệ sinh thái BSC xảy ra nhiều sự kiện bỏ chạy nhất, với 28 sự kiện.

Nguồn hình ảnh: ForesightNews10 sự kiện bỏ chạy cao nhất năm 2024

Nguồn hình ảnh: ForesightNewsPhân bố và tổn thất sự kiện bỏ chạy của các hệ sinh thái năm 2024

Với sự bùng nổ của meme coin, nhiều người dùng đã bỏ qua rủi ro tiềm ẩn dưới sự thúc đẩy của sự đầu cơ và cảm xúc FOMO. Một số người phát hành thậm chí không cần phải vẽ ra tầm nhìn hoặc cung cấp whitepaper, chỉ với một khái niệm hoặc khẩu hiệu, họ có thể tạo ra sự nóng lên để thu hút người dùng mua token. Chi phí thấp để hành động xấu đã dẫn đến việc các sự kiện bỏ chạy diễn ra liên tục. Sau khi bị các dự án độc hại 'kéo thảm', người dùng thường phải đối mặt với một quá trình đòi lại tiền kéo dài và khó khăn. Đối với điều này, đội ngũ an toàn của SlowMist khuyến nghị người dùng trước khi tham gia vào dự án, cần tìm hiểu kỹ về bối cảnh và thông tin của đội ngũ dự án, lựa chọn cẩn thận các dự án đầu tư để tránh rủi ro tiềm ẩn.

Lừa đảo lừa đảo

Chú thích: Phần nhỏ này tập trung phân tích các cuộc tấn công Wallet Drainer trên chuỗi tương thích EVM, được viết với sự tận tâm của ScamSniffer, xin chân thành cảm ơn.

Wallet Drainer là một phương thức tấn công được triển khai trên các trang web lừa đảo, thông qua việc dẫn dụ người dùng ký kết các giao dịch độc hại để đánh cắp tài sản tiền điện tử. Năm 2024, các cuộc tấn công này gây ra tổn thất khoảng 494 triệu đô la, tăng trưởng 67% so với năm trước. Mặc dù số lượng nạn nhân chỉ tăng 3,7% (đạt 332.000 địa chỉ), nhưng tổn thất mỗi cuộc tấn công đã tăng đáng kể, với số tiền bị đánh cắp lớn nhất đạt 55,48 triệu đô la.

Nguồn hình ảnh: ForesightNewsCác chỉ số dữ liệu quan trọng về cuộc tấn công Wallet Drainer năm 2024

Nguồn hình ảnh: ForesightNews

I. Điểm nút quan trọng

• Pink rút lui (cuối tháng 5): Thị phần 28%, thị phần bị Inferno hấp thụ.

• Angel tiếp quản Inferno (cuối tháng 10): Thị phần của Angel giảm, Inferno duy trì thị phần 40-45%.

II. Sự phát triển của thị trường

• Q1-Q2: Ba dẫn đầu (Angel: 42%, Pink: 28%, Inferno: 22%)

• Q3: Cạnh tranh đôi đầu (Inferno: 43%, Angel: 25%)

• Q4: Cấu trúc mới (Inferno và Angel: 45%, Acedrainer: 20%, Các Drainer mới khác: 25%)

Đến cuối năm 2024, tổn thất đã biết từ chữ ký lừa đảo đạt 790 triệu đô la. Mặc dù trong nửa cuối năm, các cuộc tấn công này đã giảm, nhưng điều này có thể chỉ ra rằng các kẻ tấn công đang chuyển sang các phương thức tấn công khác, như phần mềm độc hại và các phương pháp kín đáo hơn. Với sự phát triển của hệ sinh thái Web3, thách thức bảo vệ an toàn tài sản của người dùng vẫn còn tồn tại. Dù phương thức tấn công có thay đổi thế nào, việc duy trì nhận thức về an toàn và xây dựng khả năng bảo vệ liên tục vẫn là chìa khóa để bảo vệ an toàn tài sản.

Lừa đảo

Phần này chọn lọc một số phương pháp lừa đảo mà chúng tôi đã tiết lộ vào năm 2024:

1. Lừa đảo khai thác

2. Lừa đảo chênh lệch giá

3. Lừa đảo airdrop

4. Lừa đảo đánh cắp X

5. Đánh bạc Pi Yêu

6. Trojan độc hại

III. Tình hình chống rửa tiền

Phần này được chia thành bốn phần: động thái chống rửa tiền và quản lý, dữ liệu chống rửa tiền, hacker Bắc Triều Tiên, công cụ trộn tiền.

Động thái chống rửa tiền và quản lý

Năm 2024, môi trường quản lý tiền điện tử đã có những phát triển đáng kể, nổi bật nhất là EU đã thực hiện quy định MiCA, Mỹ tiến hành lập pháp về stablecoin. Về mặt thực thi, năm nay trên toàn thế giới đã công bố các biện pháp nghiêm ngặt hơn để chống lại các hoạt động bất hợp pháp, quy định về stablecoin, chính sách tiền điện tử xuyên biên giới và các hành động thực thi nhắm vào các đối tượng chính trong ngành công nghiệp tiền điện tử đã đạt được những tiến bộ đáng kể, chi tiết chính sách và hành động thực thi xem trong PDF ở cuối văn bản.

Dữ liệu chống rửa tiền

I. Dữ liệu đóng băng tiền

• Dưới sự hỗ trợ mạnh mẽ từ các đối tác trong mạng lưới thông tin InMist, SlowMist đã hỗ trợ khách hàng, đối tác và công khai đóng băng các sự kiện bị hack với tổng số tiền vượt quá 112 triệu đô la vào năm 2024.

• Năm 2024, Tether đã đóng băng khoảng 540 triệu đô la USDT; năm 2024, Circle đã đóng băng khoảng 13,36 triệu đô la USDC.

Nguồn hình ảnh: ForesightNewshttps://dune.com/misttrack/2024

II. Dữ liệu hoàn trả tiền

Năm 2024 đã xảy ra 410 sự kiện an toàn, trong đó có 24 sự kiện có thể hoàn trả toàn bộ hoặc một phần tổn thất tiền sau khi bị tấn công, theo dữ liệu đã được công bố, tổng cộng khoảng 166 triệu đô la đã được hoàn trả, chiếm 8,25% tổng tổn thất an toàn (khoảng 2,013 triệu đô la).

Hacker Bắc Triều Tiên

Năm 2024, tổ chức hacker Bắc Triều Tiên bị nghi ngờ có liên quan đến nhiều vụ trộm cắp trực tuyến, dẫn đến hàng trăm triệu đô la tiền điện tử bị đánh cắp. Dưới đây là danh sách các sự kiện quan trọng mà tổ chức hacker Bắc Triều Tiên đã thực hiện (nguồn dữ liệu SlowMist Hacked):

Nguồn hình ảnh: SlowMist Hacked

Phần này tập trung phân tích các phương pháp tấn công của hacker Bắc Triều Tiên và giới thiệu các phương pháp rửa tiền của hacker Bắc Triều Tiên thông qua sự kiện BingX mà SlowMist theo dõi.

Công cụ trộn tiền

I. Tornado Cash

Nguồn hình ảnh: Dunehttps://dune.com/misttrack/2024

II. eXch

Nguồn hình ảnh: Dunehttps://dune.com/misttrack/2024

3. Railgun

Railgun đã thực hiện chứng nhận vô tội riêng tư (PPOI), sử dụng bằng chứng không biết để đảm bảo người dùng có thể xác minh rằng tài sản của họ không liên quan đến các hoạt động bất hợp pháp mà không làm tổn hại đến quyền riêng tư. Sáng kiến này đạt được sự cân bằng quan trọng giữa quyền riêng tư và tuân thủ, khiến cho các tác nhân xấu khó khăn hơn trong việc sử dụng nền tảng này để rửa tiền.

IV. Kết luận

Năm 2024, ngành công nghiệp blockchain đối mặt với những cơ hội và thách thức mới trong làn sóng đổi mới và biến đổi không ngừng; các sự kiện an toàn và động thái chống rửa tiền đã cung cấp cho chúng tôi những cảnh báo sâu sắc, đồng thời thúc đẩy chúng tôi chú trọng hơn đến quy định ngành và bảo đảm công nghệ; thông qua phân tích các sự kiện an toàn blockchain và các trường hợp rửa tiền trong năm 2024, chúng tôi hy vọng có thể khơi gợi sự chú ý của tất cả các bên đối với an toàn ngành.

Trong tương lai, khi khung pháp lý dần hoàn thiện và các phương pháp kỹ thuật liên tục được nâng cấp, chúng ta có lý do để tin rằng ngành công nghiệp blockchain sẽ tiến đến một hướng an toàn, minh bạch và tuân thủ hơn. Hy vọng báo cáo này sẽ cung cấp thông tin giá trị cho độc giả, giúp độc giả hiểu rõ hơn về tình hình an toàn và chống rửa tiền trong ngành công nghiệp blockchain, và cũng mong rằng chúng ta sẽ cùng nhau nỗ lực, đóng góp sức lực cho việc xây dựng một hệ sinh thái blockchain an toàn, ổn định và đáng tin cậy hơn.

• Bài viết này được phép chuyển nhượng từ: (ForesightNews)

• Tác giả gốc: Nhóm AML của SlowMist

‘Tổn thất 2 tỷ đô la trong thị trường tiền điện tử năm 2024! SlowMist tiết lộ 10 sự kiện hacker lớn, có bước tiến lớn trong quản lý tiền điện tử’ bài viết này được xuất bản lần đầu tiên trên ‘Thành phố tiền điện tử’