Hơn 239 triệu USD thiệt hại trong quý 1/2024 đến từ rủi ro bảo mật Private Key

Theo báo cáo của CertiK, trong quý đầu tiên năm 2024, khoảng 503 triệu USD đã bị mất do các lỗ hổng bảo mật on-chain. Trong số đó, gần một nửa (khoảng 239 triệu USD) bị mất do xâm phạm private key, mặc dù hình thức tấn công này chỉ chiếm 12% tổng số sự cố bảo mật.

Cuộc tấn công nổi tiếng nhất trong quý đầu tiên nhắm vào đồng sáng lập và chủ tịch điều hành của Ripple, Chris Larsen vào cuối tháng 01/2024.

Lỗ hổng này được chú ý đầu tiên bởi thám tử onchain ZachXBT, người đã đăng thông tin chi tiết về vụ xâm phạm này. Thủ phạm lấy đi khoảng 212 triệu token XRP trị giá khoảng 112.5 triệu USD.

Trong bài đăng trên X, Larsen xác nhận vụ tấn công nhưng không tiết lộ số tiền, đồng thời cho biết rằng các ví cá nhân của ông đã bị "truy cập trái phép". 

Larsen nhấn mạnh rằng đây là tài sản của ông chứ không phải của Ripple. Tuy nhiên, vụ tấn công này đã dẫn đến các cuộc kêu gọi trong cộng đồng XRP về tính minh bạch và bảo mật cao hơn, đặc biệt liên quan đến sự phân biệt giữa tài sản cá nhân và tài sản của tổ chức, báo cáo của CertiK cho biết.

Báo cáo cũng trình bày chi tiết về việc vào ngày 16/03/2024, nhiều ví thuộc sở hữu của người sáng lập Milady Maker, Charlotte Fang, đã bị xâm phạm số tiền khoảng 3 triệu USD. Một cuộc điều tra hậu kỳ cho thấy các khóa đa chữ ký (multi-sig key) được lưu trữ không an toàn trong một tài khoản Bitwarden, mà không có bản sao lưu hoặc biện pháp bảo vệ đẩy đủ như thời gian khóa tài khoản trên kho bạc (treasury). 

Các vụ xâm phạm private key đã tăng vọt 1,171% so với quý 1/2023, ghi nhận thiệt hại lên tới khoảng 19 triệu USD. Chỉ riêng ba tháng đầu năm 2024 đã ghi nhận 26 vụ, trong khi cùng kỳ năm ngoái chỉ có 11 vụ. 

Nền tảng gaming crypto PlayDapp và sàn giao dịch FixedFloat đã gặp phải các lỗ hổng private key trong tháng 02/2024, dẫn đến các khoản thiệt hại lần lượt là 32 triệu USD và 26 triệu USD.

Đọc thêm: Ngành công nghiệp tiền điện tử bị chỉ trích nặng nề tại “SEC Speaks”