Theo báo cáo mới được nền tảng an ninh mạng Immunefi công bố, ngành công nghiệp tiền điện tử đã chứng kiến tổng cộng 1,21 tỷ USD tài sản kỹ thuật số bị mất do các vụ tấn công và lừa đảo "rug pull" từ đầu năm đến nay trong năm 2024, qua 154 vụ khai thác riêng lẻ. Con số này đã tăng hơn 15% so với cùng kỳ năm ngoái, khi tổng thiệt chỉ hơn 1 tỷ USD.
"Rug pull" là một thuật ngữ phổ biến trong thế giới tiền điện tử và DeFi (Tài chính phi tập trung). Đây là một hình thức lừa đảo mà nhà phát triển dự án hoặc nhóm đứng sau một đồng tiền điện tử hoặc dự án DeFi đột ngột từ bỏ dự án và trốn đi với tiền của nhà đầu tư. Theo các chuyên gia phân tích, "Rug pull" là một trong những rủi ro lớn trong thị trường tiền điện tử, đặc biệt là với các dự án mới và chưa được kiểm chứng.
Tổng thiệt hại tính từ các vụ tấn công trên thị trường tiền điện tử tính đến tháng 8/2024. Nguồn: Immunefi. |
Diễn biến đáng lo ngại này có thể khiến các tin tặc vượt qua số tiền bị đánh cắp trong năm 2023, theo Mitchell Amador, Nhà sáng lập và CEO của Immunefi: "Khó có thể đưa ra dự đoán nhưng trong hệ sinh thái tiền điện tử luôn có nguy cơ xảy ra một vụ khai thác nghiêm trọng và nếu thành công có thể làm tăng đáng kể những con số vô cùng lớn. Chúng ta phải luôn cảnh giác để giảm thiểu những rủi ro như vậy."
Báo cáo này được công bố hơn một tháng sau khi một tin tặc đánh cắp hơn 230 triệu USD từ WazirX, một sàn giao dịch tiền mã hóa Ấn Độ, trong vụ tấn công tiền điện tử lớn thứ hai của năm 2024 tính đến nay.
Các vụ tấn công hàng tháng giảm 94% trong tháng 8
Mặc dù, dữ liệu đã cho thấy hoạt động tích cực của các nhóm tin tặc trong năm 2024 vượt trội so với các năm trước, song đã có sự sụt giảm đáng kể về số vụ tấn công từ tháng này sang tháng khác.
Cụ thể, tin tặc đã đánh cắp hơn 15 triệu USD tiền điện tử trong tháng 8, giảm 94% so với 274 triệu USD bị đánh cắp trong tháng 7.
Phần lớn số tiền này bị mất bởi hai sự kiện lớn, bao gồm vụ tấn công mạng Ronin trị giá 9,8 triệu USD và vụ khai thác Nexera trị giá 1,5 triệu USD.
Xếp hạng các vụ tấn công tin tặc trong tháng 8. Nguồn: Immunefi. |
Ông Amador của Immunefi lưu ý, cả hai vụ khai thác đều xuất phát từ lỗ hổng trong quá trình nâng cấp mã:
"Cả sự cố Ronin và Convergence trong tháng 8 đều do các lỗ hổng được đưa vào trong quá trình nâng cấp mã. Convergence đã làm rõ trong báo cáo hậu sự cố rằng họ đã 'sửa đổi [phần] mã đó sau khi kiểm toán', điều này nhấn mạnh tầm quan trọng của việc duy trì cách tiếp cận ưu tiên bảo mật ở mọi bước".
Phần lớn thiệt hại năm 2024 là do cơ sở hạ tầng CeFi
Mặc dù tài chính phi tập trung (DeFi) chiếm tất cả các vụ khai thác trong tháng 8, tài chính tập trung (CeFi) vẫn là điểm yếu lớn nhất đối với bảo mật tiền mã hóa. Để dễ hiểu, CeFi là từ viết tắt của "Centralized Finance" (Tài chính tập trung), là thuật ngữ chỉ các dịch vụ tài chính truyền thống được áp dụng trong lĩnh vực tiền điện tử. Đây là cách tiếp cận tập trung để quản lý và giao dịch tiền điện tử. Có thể thấy, CeFi giúp người dùng dễ dàng tiếp cận thị trường tiền mã hóa, nhưng ngược lại, yếu tố niềm tin vào bên thứ ba để quản lý tài sản là thứ quan trọng nhất trên thị trường này.
Thiệt hại theo tháng trong năm 2024. Nguồn: Immunefi. |
Amador giải thích, mặc dù chúng ta thường thấy số lượng khai thác DeFi cao hơn, nhưng các sự cố CeFi có thể gây thiệt hại nặng nề hơn và dẫn đến hàng trăm triệu USD giá trị bị đánh cắp: "Phần lớn thiệt hại trong năm 2024 là do các cuộc tấn công vào cơ sở hạ tầng CeFi. Mặc dù không có báo cáo hoặc tấn công CeFi thành công nào trong tháng này, nhưng điều đó không nhất thiết có nghĩa là những mối đe dọa này không xảy ra hoặc sẽ không dẫn đến thiệt hại trong tương lai."