The latest Web3 industry security report by gate Research pointed out that there were 40 security incidents in January, resulting in a loss of approximately 87.94 million USD. The types of incidents are diverse, with account hacking being the main threat, accounting for 52% of the total loss. The report also provides a detailed analysis of key security incidents, including Phemex sàn giao dịch being attacked by Hackers, NoOnes experiencing a major security vulnerability, and Moby experiencing a private key leak. Account hacking and contract vulnerabilities have been identified as the main security risks this month, highlighting the need for the industry to continuously strengthen security measures.
Tóm tắt
- Tháng 1 năm 2025, ngành công nghiệp Web3 đã xảy ra 40 sự cố về an ninh, gây thiệt hại khoảng 8,794 triệu đô la, tăng mạnh so với tháng trước.
- Sự cố an ninh trong tháng này chủ yếu liên quan đến lỗ hổng hợp đồng, tài khoản bị đánh cắp và các phương pháp tấn công khác.
- Tài khoản bị Hacker vẫn là mối đe dọa chính, chiếm 52% tổng thiệt hại của ngành công nghiệp mã hóa.
- Đa phần các thiệt hại xảy ra trên các chuỗi công khai lớn: BSC, Ethereum, Solana và nhiều hơn nữa.
- Sự kiện quan trọng trong tháng này bao gồm sàn giao dịch Phemex bị Hacker tấn công (mất 7,000 triệu USD), NoOnes gặp phải một lỗ hổng bảo mật lớn (mất 720 triệu USD), Moby bị tiết lộ Khóa riêng (mất 250 triệu USD).
Tổng quan về sự kiện bảo mật
The data from Slowmist shows that there were 40 security incidents recorded in January 2025, with a total loss of $87.94 million. The attacks mainly involved contract vulnerabilities, account Hacker attacks, and other methods. Compared to December 2024, the total loss amount increased by 20 times. Account hacking was the main cause of the attacks, with 21 related Hacker attacks, accounting for 52% of the total. Official X accounts and websites are still the main targets of Hackers. [1]
![]()
Phân bổ sự cố bảo mật hệ sinh thái chuỗi công khai trong tháng này cho thấy sáu dự án gặp sự cố bảo mật bao gồm AST, BUIDL, FortuneWheel, HORS, IPC, Mosca đều thuộc hệ sinh thái BSC, tổng thiệt hại vượt quá 600.000 đô la. Năm dự án gặp sự cố bảo mật bao gồm Moonray, UniLend, SuperVerse, Sorra, LAURA đều thuộc hệ sinh thái ETH, tổng thiệt hại vượt quá 280.000 đô la. Holoworld AI và DAWN là hai dự án trong hệ sinh thái Solana gặp sự cố bảo mật. Chuỗi sự cố bảo mật này cho thấy sự cần thiết phải tăng cường tính an toàn của các dự án hệ sinh thái công khai. Đối mặt với các cuộc tấn công và lỗ hổng xảy ra thường xuyên, BSC cần tăng cường việc xem xét hợp đồng thông minh, cơ chế quản lý rủi ro và phương tiện giám sát trên chuỗi để nâng cao tiêu chuẩn an ninh toàn diện.
Tháng này đã có một số dự án blockchain gặp phải các sự cố bảo mật lớn dẫn đến tổn thất tài chính đáng kể. Những sự kiện đáng chú ý bao gồm sàn giao dịch Phemex bị tấn công bởi Hacker gây thiệt hại 70 triệu USD, NoOnes gặp lỗ hổng bảo mật nghiêm trọng gây thiệt hại 7,2 triệu USD và Moby bị rò rỉ Khóa riêng gây thiệt hại 2,5 triệu USD.
Sự kiện an ninh quan trọng trong tháng Một
Theo thông tin chính thức, tổng số thiệt hại mà các dự án sau đã chịu đựng trong tháng 1 vượt quá 79,7 triệu đô la. Những sự kiện này làm nổi bật rằng việc tài khoản bị hack và lỗ hổng hợp đồng là hai mối đe dọa chính.
![]()
- Trong sự kiện bị Hacker tấn công của Phemex, kẻ tấn công đã rút ra một lượng lớn tài sản từ nhiều chuỗi cùng một lúc, ưu tiên đổi các loại tiền ổn định có thể bị đóng băng (như USDC và USDT), sau đó thanh toán các loại token khác theo thứ tự giá trị. Những hành động này không phải là tự động hóa, mà là hoàn tất bằng tay, tài sản được gửi bằng tay đến địa chỉ mới để đổi, một khi hoàn tất, sẽ được chuyển đến một địa chỉ mới khác.
- Ví tiền nóng NoOnes đã xảy ra hàng trăm giao dịch chuyển tiền có vấn đề với số tiền từng giao dịch thấp hơn 7,000 đô la Mỹ. CEO của NoOnes, Ray Youssef, đã xác nhận trên kênh Telegram rằng cuộc tấn công của Hacker đã xảy ra vào ngày 1 tháng 1, vì lý do là cầu nối Solana của họ đã xuất hiện lỗ hổng.
- Moby nghi ngờ đã bị rò rỉ Khóa riêng, Hacker sửa đổi hợp đồng thông qua việc sử dụng hàm emergencyWithdrawERC20 để rút 207 ETH, 3,7 BTC, 1.470.191 USDC, tổng giá trị khoảng 250 triệu đô la.
Phemex
Dự án Tổng quan: Phemex là một sàn giao dịch tài chính tiền mã hóa. Sàn giao dịch này đặt tại Singapore, được thành lập bởi cựu quản lý cấp cao của Morgan Stanley(Morgan Stanley) vào năm 2019. Sàn giao dịch này có phí giao dịch thấp, thanh khoản cao, tốc độ phát triển khá nhanh, cung cấp giao diện biểu đồ và ví tiện lợi.
Tình hình sự kiện:
Phemex đã bị tấn công vào ngày 23 tháng 1, mất hơn 70 triệu đô la Mỹ tiền điện tử. Cuộc tấn công này có vẻ giống với mẫu tấn công lỗ hổng của các sàn giao dịch tiền điện tử nổi tiếng khác. Taylor Monahan, nhà nghiên cứu an ninh chính của MetaMask, cho biết: “Kẻ tấn công đã rút tiền từ nhiều chuỗi đồng thời, ưu tiên đổi các đồng tiền ổn định có thể đóng băng (như USDC và USDT), sau đó thanh toán các đồng token khác theo thứ tự giá trị. Những hoạt động này không phải là tự động hóa, mà được thực hiện thủ công, tài sản được gửi thủ công đến địa chỉ mới để đổi tiền, và khi hoàn thành, chúng sẽ được chuyển đến một địa chỉ mới khác. Sau đó, các tài sản này sẽ được lưu trữ mãi mãi cho đến khi đội ngũ rửa tiền thực sự lấy chúng vào tuần tới hoặc tháng tới.” 【2】
Sau sự cố, đề nghị:
- Giám sát và nhận dạng mô hình bất thường qua mạng xuyên chuỗi: triển khai hệ thống giám sát thời gian thực hỗ trợ luồng tài sản qua nhiều chuỗi, kết hợp với phân tích hành vi AI, nhận dạng các đặc điểm bất thường của hoạt động thủ công không dựa trên kịch bản (như chuyển khoản số lượng lớn tài sản qua nhiều chuỗi trong thời gian ngắn, thay đổi địa chỉ tần suất cao, v.v.) và thiết lập cảnh báo ngưỡng động.
- Xây dựng mạng lưới cảnh báo rủi ro cấp ngành: Thiết lập kênh truyền thông trực tiếp với các nhà phát hành tiền ổn định hàng đầu như USDT, USDC, ký kết thỏa thuận tiền sẵn sàng, cho phép sàn giao dịch kích hoạt yêu cầu đóng băng tài sản thông qua giao diện API sau khi xác nhận tấn công, rút ngắn thời gian phản ứng.
- Quản lý ví lạnh và ví nóng phân tán: Lưu trữ hơn 90% tài sản trong ví lạnh đa ký, phân bổ hạn mức cho ví nóng theo nhu cầu và lưu trữ khóa bằng công nghệ chia khối để tránh mất mát toàn cầu do việc đột phá điểm duy nhất.
NoOnes
Dự án tổng quan: NoOnes là một ứng dụng siêu ứng dụng tài chính thông tin, giúp ủng hộ việc kết nối mọi người với cuộc trò chuyện toàn cầu và hệ thống tài chính thế giới để thanh toán. Người dân ở các nước đang phát triển sẽ có khả năng gửi tin nhắn cho bất kỳ ai một cách tự do, giao dịch khoảng 250 phương thức thanh toán trên thị trường của họ và thực hiện thanh toán ngang hàng - tất cả đều có thể thực hiện thông qua ví Bitcoin làm phương tiện lưu trữ giá trị.
Sự kiện tổng quan: NoOnes bị tấn công trên Ethereum, Tron, Solana và BSC vào ngày 1 tháng 1 năm 2025, tổn thất khoảng 7,2 triệu đô la. Ví nóng của NoOnes đã ghi nhận hàng trăm giao dịch rút tiền có số tiền từ 7.000 đô la trở xuống, gây nghi ngờ. Giám đốc điều hành của NoOnes, Ray Youssef, xác nhận trên kênh Telegram rằng cuộc tấn công của Hacker xảy ra vào ngày 1 tháng 1 và nguyên nhân là do cầu nối liên chuỗi Solana của họ có lỗ hổng. Hiện tại, nền tảng đã đóng cầu nối liên chuỗi Solana bị ảnh hưởng và cho biết sẽ không khôi phục hỗ trợ Solana cho đến khi hoàn thành kiểm thử đột nhập toàn diện. [3]
Sau sự cố, đề nghị:
- Tăng cường kiểm tra an ninh cầu chuyển chuỗi: Đề xuất kiểm tra an ninh toàn diện cho tất cả các cầu chuyển chuỗi, đặc biệt là các lỗ hổng về hợp đồng thông minh và giao thức chuyển chuỗi. Thuê công ty an ninh bên thứ ba để thực hiện kiểm tra xâm nhập và xem xét mã nguồn, đảm bảo an toàn của cầu chuyển chuỗi.
- Triển khai cơ chế đa chữ ký và lưu trữ ví lạnh: Để giảm thiểu nguy cơ tấn công ví nóng, đề xuất sử dụng cơ chế đa chữ ký (Multi-Signature), yêu cầu sự cho phép của nhiều người trước khi hoàn thành giao dịch lớn. Đồng thời, lưu trữ hầu hết các tài sản trong ví lạnh, chỉ giữ một lượng nhỏ tài sản trong ví nóng để sử dụng cho giao dịch hàng ngày.
- Đưa vào hệ thống giám sát thời gian thực và cảnh báo giao dịch bất thường: triển khai hệ thống giám sát giao dịch thời gian thực, theo dõi và phân tích hành vi giao dịch của ví nóng. Thiết lập cảnh báo giao dịch bất thường, ví dụ như khi số tiền giao dịch một lần vượt quá ngưỡng nhất định hoặc khi có số lượng chuyển tiền nhỏ lẻ lớn trong thời gian ngắn, tự động kích hoạt cảnh báo và tạm dừng chức năng giao dịch.
Moby
Dự án Tổng quan: Moby là một giao thức quyền chọn trên chuỗi được điều hành bởi mô hình SLE (Synchronous Liquidity Engine), cung cấp mức chênh lệch nhỏ nhất trên thị trường, độ thanh khoản lớn nhất và giao diện người dùng UX/UI cỡ Robinhood.
Sự kiện tổng quan: Hợp đồng quyền chọn trên chuỗi Moby có vẻ đã bị rò rỉ Khóa riêng, Hacker đã sửa đổi hợp đồng thông qua việc sử dụng hàm emergencyWithdrawERC20 để rút 207 ETH, 3.7 BTC và 1,470,191 USDC, tổng trị giá khoảng 250 triệu USD. Hợp đồng quyền chọn trên chuỗi Moby đã đăng bài trên nền tảng X, khuyến nghị rút các giao dịch được phê duyệt liên quan đến các địa chỉ sau đây để bảo vệ tài sản của người dùng trong tình hình gần đây: PositionManager, SettleManager, sRewardRouterV2, mRewardRouterV2. Moby cho biết, những biện pháp này là biện pháp phòng ngừa để đảm bảo an toàn cho ví, hiện đang nỗ lực khôi phục và duy trì môi trường ổn định và an toàn.
Sau sự cố, đề nghị:
- Xây dựng cơ chế quản lý quyền kiểm soát nhiều chữ ký lớp: Nâng cấp lưu trữ Khóa riêng thành ví lạnh cấp phần cứng + giải pháp nhiều chữ ký, tách biệt quyền phát triển và quyền kiểm soát quốc tế. Đối với các chức năng quan trọng của hợp đồng nhân vật chính (như emergencyWithdrawERC20), thêm khóa thời gian + xác thực kép DAO, thiết lập giai đoạn thực hiện trì hoãn 72 giờ, các hoạt động quan trọng cần xác nhận bởi nhiều chữ ký cộng đồng.
- Xây dựng hệ thống giám sát ủy quyền động: Phát triển bảng theo dõi ủy quyền trên chuỗi, tích hợp vào bảng điều khiển người dùng, hiển thị tất cả các quyền tương tác hợp đồng và mức độ rủi ro. Triển khai robot thu hồi ủy quyền tự động khi phát hiện chuyển tiền lớn phi thường hoặc hợp đồng bất thường, kích hoạt việc thu hồi ủy quyền cấp độ hợp đồng thông minh.
- Thiết lập hệ thống phản ứng cắt kết nối an toàn: triển khai mô-đun phát hiện giao dịch bất thường dựa trên học máy, thiết lập các quy tắc kiểm soát rủi ro đa chiều cho các hàm nhạy cảm emergencyWithdraw (ngưỡng ba chiều về thời gian/tần suất/số lượng). Phát triển công tắc tạm dừng khẩn cấp, khi cảnh báo xảy ra do hoạt động bất thường, hợp đồng sẽ tự động bị đóng băng và tiến hành quy trình xác minh toàn bộ nút.
Tóm tắt
Trong tháng 1 năm 2025, nhiều dự án DeFi đã bị tấn công với lỗ hổng bảo mật, tổng thiệt hại hàng triệu USD. Các sự kiện này bao gồm cuộc tấn công của Hacker vào sàn giao dịch Phemex, lỗ hổng bảo mật lớn của NoOnes và thông tin Khóa riêng của Moby bị rò rỉ. Những sự kiện này đã phơi bày các rủi ro quan trọng liên quan đến an ninh hợp đồng thông minh, tính kết hợp của giao thức liên chuỗi và quản lý quỹ tiền. Ngành công nghiệp đòi hỏi tăng cường kiểm định hợp đồng thông minh, giám sát thời gian thực và cung cấp các cơ chế bảo vệ đa tầng để tăng cường an ninh của nền tảng và sự tin tưởng của người dùng. Gate.io nhắc nhở người dùng để chú ý đến các tin tức về an ninh, chọn các nền tảng đáng tin cậy và tăng cường bảo vệ tài sản cá nhân.
Tham khảo:
- Slowmist, https://hacked.slowmist.io/zh/statistics
- X, https://x.com/wublockchain12/status/1882605904761340362
- X, https://x.com/wublockchain12/status/1883310710132035999
- X, https://x.com/BeosinAlert/status/1877180521710596452
**gate Viện nghiên cứu**
Gate Research là một nền tảng nghiên cứu blockchain và tiền điện tử toàn diện cung cấp cho độc giả nội dung chuyên sâu, bao gồm phân tích kỹ thuật, thông tin chi tiết nóng, đánh giá thị trường, nghiên cứu ngành, dự báo xu hướng và phân tích chính sách kinh tế vĩ mô.
Nhấp vào [liên kết] ( https://www.gate.io/learn/category/research) để đi ngay
Disclaimer
Đầu tư vào thị trường tiền điện tử liên quan đến rủi ro cao, người dùng được khuyến nghị nên tiến hành nghiên cứu độc lập và hiểu rõ tính chất của tài sản và sản phẩm mà họ mua trước khi đưa ra bất kỳ quyết định đầu tư nào. Gate.io không chịu trách nhiệm đối với bất kỳ thiệt hại hoặc tổn thất nào do quyết định đầu tư như vậy gây ra.
