Khai thác DeFi và hack kiểm soát truy cập khiến các nhà đầu tư tiền điện tử thiệt hại hàng tỷ USD vào năm 2022: Báo cáo

Tội phạm mạng đã sử dụng nhiều cách mới để thực hiện các vụ hack và khai thác vào năm 2022, với hơn 2,8 tỷ USD tiền điện tử bị đánh cắp vào năm ngoái.
Theo báo cáo từ CoinGecko sử dụng dữ liệu có nguồn từ Cơ sở dữ liệu REKT của DeFiYield, gần một nửa tổng số tiền điện tử bị đánh cắp vào năm 2022 đã bị đánh cắp bằng nhiều phương pháp khác nhau. Điều này bao gồm việc bỏ qua các quy trình xác minh, thao túng thị trường, 'cướp bóc đám đông' cũng như khai thác hợp đồng thông minh và cầu nối.
Vụ hack lớn nhất năm 2022 được thực hiện thông qua vụ hack kiểm soát truy cập. Sky Mavis, nhà phát triển trò chơi nổi tiếng Axie Infinity, đã chứng kiến ​​cây cầu Ronin của họ bị hack vào tháng 3 năm 2022, khiến 625 triệu USD bị rút khỏi cầu nối giữa chuỗi Ronin và mạng Ethereum.
Sau đó, người ta tiết lộ rằng nhóm hack Triều Tiên Lazarus đã giành được quyền truy cập vào 5 khóa riêng tư được sử dụng để ký các giao dịch từ 5 nút xác thực của Mạng Ronon. Đây là cách tin tặc rút 173.600 ETH và 25,5 triệu USDC từ cây cầu.
Theo CoinGecko, việc khai thác kiểm soát truy cập được thực hiện bởi những kẻ tấn công đã giành được quyền truy cập vào ví hoặc tài khoản thông qua các khóa riêng, mạng hoặc hệ thống bảo mật bị xâm phạm. Như Cointelegraph đã khám phá vào năm ngoái, các vụ hack cầu nối chuỗi đã phổ biến vào năm 2022 với 65% số tiền bị đánh cắp chỉ từ các kiểu tấn công này.
Liên quan: Tổn thất khai thác tiền điện tử trong tháng 1 giảm gần 93% so với cùng kỳ năm ngoái
Vụ khai thác lớn thứ hai trong năm 2022 diễn ra vào tháng 2 năm 2022, khi những kẻ tấn công bỏ qua quá trình xác minh bằng chữ ký giả mạo trên cầu mã thông báo Wormhole trước khi khai thác số tiền điện tử trị giá 326 triệu đô la. Việc Wormhole không xác thực được các tài khoản ‘người giám hộ’ đã cho phép tin tặc đúc token mà không cần tài sản thế chấp cần thiết.
‘Cướp bóc đám đông’ xuất hiện vào tháng 8 năm 2022, khi cấu hình hợp đồng thông minh không an toàn trên cầu mã thông báo Tài chính phi tập trung (DeFi) Nomad cho phép người dùng rút số tiền không giới hạn. Hàng trăm ví đã lợi dụng lỗ hổng này và khiến hơn 190 triệu USD bị rút sạch.
Mango Markets đã bị khai thác thao túng thị trường vào tháng 10 năm 2022, khi một hacker mua và thổi phồng giả tạo mã thông báo Mango (MNGO) trước khi vay các khoản vay không được thế chấp từ kho bạc của dự án. 116 triệu USD đã bị đánh cắp trong vụ tấn công cho vay chớp nhoáng.
Các cuộc tấn công Reentrancy, trong đó những kẻ tấn công sử dụng một hợp đồng thông minh độc hại nhằm rút tiền từ mục tiêu bằng các lệnh rút tiền lặp đi lặp lại, đã đánh cắp tới 81 triệu USD vào năm ngoái.
Các vụ hack của Oracle đã khiến 54 triệu USD tiền bị đánh cắp. Phương pháp này cho thấy tin tặc có quyền truy cập vào dịch vụ oracle và thao túng dịch vụ dữ liệu nguồn cấp dữ liệu giá của nó để thực thi lỗi hợp đồng thông minh hoặc thực hiện các cuộc tấn công cho vay nhanh.
Các cuộc tấn công lừa đảo chỉ lên tới 17 triệu đô la tiền điện tử bị đánh cắp vào năm 2022. Phương thức này phổ biến từ năm 2017 đến năm 2020, khi những kẻ tấn công săn lùng nạn nhân vô tình thông qua các phương pháp kỹ thuật xã hội để đánh cắp thông tin đăng nhập và khóa riêng.
Cuộc tấn công oracle vào tháng 2 năm 2023 là vụ hack lớn nhất tính đến thời điểm hiện tại trong năm mới. Tin tặc đã thao túng giá của token AllianceBlock thông qua một vụ hack oracle, dẫn đến ước tính khoảng 120 triệu USD bị đánh cắp khỏi giao thức.