Top 15 vụ hack crypto lớn nhất thế giới: “Nghìn tỷ” bốc hơi trong tích tắc!

Theo lý thuyết, tiền điện tử cho phép chúng ta lấy lại quyền tự do kiểm soát tài chính và trở thành ngân hàng của chính mình. Thế nhưng, sự phụ thuộc vào các loại ví do bên thứ ba phát triển đã khiến cho những đồng coin của người dùng rốt cuộc chỉ an toàn ngang các biện pháp bảo vệ và bảo mật mà nhà cung cấp áp dụng.

Suốt những năm qua, nhiều nhóm hacker đã tập trung khai thác các lỗ hổng bên thứ ba này, và lợi dụng các khoản vay nhanh không cần thế chấp (flash loan) để nhắm mục tiêu vào tiền điện tử. Tính đến nay, số tiền đánh cắp đã tương đương 4 tỷ USD.

Vì bạn gái, Youtuber cặm cụi cắt 115 tiếng phim Naruto cho người yêu dễ xem

Taki: Mạng xã hội “tham gia để kiếm tiền”, dùng token tiền điện tử làm phần thưởng

BANDAI NAMCO khởi động dự án NFT mới “World of Denonbu”

PlayStation Plus Tier: Essential, Extra, Premium là gì?

Konami tìm cách “cứu vớt” eFootball 2022 với bản cập nhật Season 1

Tuy nhiên, như chúng ta đều biết, một số loại crypto đã tăng vọt về giá trị trong thời gian gần đây. Vì thế, nếu hacker giữ lại tất cả các coin đã đánh cắp và chờ đến nay để đổi lấy tiền mặt, họ sẽ có một khối tài sản trị giá hơn 90 tỷ USD.

Vậy những vụ trộm cướp tiền điện tử đã phát triển như thế nào suốt những năm qua? Bao nhiêu tài sản đã bị đánh cắp ở? Bao nhiêu nền tảng phải đóng cửa? Trang Comparitech đã tổng hợp lại thông tin trên thị trường để giúp bạn giải đáp loạt câu hỏi ấy.

Sau đây là những vụ trộm tiền điện tử lớn nhất tính đến nay, dựa trên số tiền bị đánh cắp bằng USD vào thời điểm xảy ra vụ việc.

16. EasyFi – Giá trị tài sản ước tính bị đánh cắp: 81 triệu USD

Bằng cách cài cắm phần mềm độc hại vào máy tính mục tiêu, kẻ tấn công đã đánh cắp thành công khóa key cá nhân thuộc tài khoản quản trị Metamask của EasyFi, lấy đi 6 triệu đô dưới dạng USD, đồng DAI và USDT, cộng với 2,98 triệu token EASY. Tổng tất cả trị giá khoảng 81 triệu USD.

Theo báo cáo, hệ thống máy tính bị xâm nhập để lấy key hầu hết thời gian chỉ chờ ở chế độ ngoại tuyến (offline) và chỉ được bật lên để thực hiện các vụ chuyển giao chính thức cho dự án. Ở thời điểm diễn ra cuộc tấn công, máy đã offline hơn một tuần. Điều này làm chậm phản hồi của nền tảng và cho phép hacker lấy hết tài sản khỏi giao thức.

15. Liquid – 97 triệu USD

Vào tháng 8 năm 2021, sàn giao dịch tiền điện tử Liquid của Nhật Bản phát hiện ra những người không được phép đã truy cập vào ví của họ, trước khi chuyển số tài sản trị giá hơn 97 triệu USD ra khỏi đó.

16,13 triệu đô USDe tài sản ERC-20 nhanh chóng được phong tỏa để ngăn chặn hành động tiếp theo, nhưng phía tội phạm đã kịp chiếm đoạt 69 loại tiền điện tử khác nhau và gửi đến các nền tảng hoặc sàn giao dịch DeFi khác.

14. CoinBene – 105 triệu USD

Vào tháng 3 năm 2019, sau khi ví nóng của CoinBene phát sinh các giao dịch khổng lồ gửi tới một địa chỉ bí ẩn, nền tảng này cho biết nó đang được bảo trì.

Tuy nhiên, với mỗi mã thông báo ERC-20 của nền tảng được báo cáo chuyển vào một ví không xác định (không tồn tại cho đến tận ngày chuyển tiền), cộng đồng nhanh chóng lan truyền tin đồn rằng đây là một cuộc tấn công.

Các nhà khoa học dữ liệu đã phát hiện ra rằng các mã token đã được chuyển nhanh đến Etherdelta, rồi bán đi đổi lấy Ethereum (ETH). Ước tính tổn thất vào khoảng 105 triệu đô la ở thời điểm đó.

13. BadgerDAO – 120,3 triệu USD

Vào tháng 12 năm 2021, một hacker đã tìm ra cách rút tiền từ nhiều ví tiền điện tử khác nhau trên nền tảng BadgerDAO. Nền tảng xác nhận rằng thủ phạm đã sử dụng một đoạn mã độc được đưa vào qua Cloudfare để lấy đi 130 triệu USD. Dù nỗ lực khắc phục, họ chỉ thu hồi lại khoảng 9 triệu trong số đó vì nó chưa được rút.

12. Cream Finance – 130 triệu USD

Đây là vụ tấn công thứ ba mà sàn Cream Finance phải hứng chịu trong năm 2021. Vào tháng 2, hacker đã đánh cắp 37 triệu đô la. Sang tháng 8 thì là là 29 triệu đô la và vào tháng 10 thì lên đến 130 triệu đô la.

Cuộc tấn công lớn này chứng kiến cảnh các ​​hacker khai thác thứ được cho là lỗ hổng trong hệ thống vay nhanh của nền tảng DeFi. Phía tội phạm đã có thể đánh cắp tất cả các mã token và tài sản của Cream Finance trên chuỗi khối Ethereum.

11. Vulcan Forged – 135 triệu USD

Vào tháng 12 năm 2021, hacker đã lấy đi 135 triệu đô la từ công ty trò chơi blockchain Vulcan Forged. Họ truy cập 96 ví khác nhau bằng cách đánh cắp các khóa key riêng, trước khi rút 4,5 triệu token PYR từ chúng.

10. Bitgrail – 150 triệu USD

Bitgrail là một sàn nhỏ của Ý giao dịch các loại tiền điện tử ít được biết đến hơn, chẳng hạn như Nano (XRB). Vào tháng 2 năm 2018, ngay khi giá XRB tăng vọt từ vài xu lên 33 đô la, sàn giao dịch đã bị tấn công. Ví Nano trở thành mục tiêu với ít nhất 17 triệu đồng coin bị đánh cắp, tương đương khoảng 150 triệu USD.

Nhiều người dùng bình luận họ đã nhận thấy vấn đề với sàn trước đợt tấn công (giới hạn rút tiền thấp hơn đáng kể và các vấn đề giao dịch). Các cuộc điều tra cũng tiết lộ rằng số tiền này đã bị đánh cắp từ ví lạnh, không phải ví nóng, cho thấy có “nội gián”.

Các cuộc điều tra vẫn tiếp tục trong vài năm qua. Cảnh sát Ý gần đây đã buộc tội chủ sở hữu Bitgrail đứng sau các vụ tấn công (có liên quan trực tiếp hoặc biết / không hành động để ngăn chặn hành vi trộm cắp thêm sau khi phi vụ đầu tiên được thực hiện).

9. Beanstalk – 182 triệu USD

Vào tháng 4 năm 2022, nền tảng DeFi dựa trên Ethereum, Beanstalk, đã mất khoảng 182 triệu đô la sau khi hacker lợi dụng một lỗ hổng cho phép thực hiện một cuộc tấn công flash loan. Phía tội phạm kiếm được 80 triệu đô la tiền điện tử, nhưng khoản thiệt hại của nền tảng thì lên đến hơn 180 triệu đô la. Các báo cáo cũng gợi ý rằng hacker đã gửi 250 nghìn USDC vào ví tiền điện tử ví quyên góp cho Ukraine.

8. Bitmart – 196 triệu USD

Gần 200 triệu đô la đã bị đánh cắp trong một vụ xâm nhập ví nóng của Bitmart vào tháng 12 năm 2021. Ban đầu, 100 triệu đô la được xác định là đã bị đánh cắp qua chuỗi khối Ethereum, nhưng một cuộc điều tra thêm cho thấy 96 triệu đô la khác đã bị đánh cắp trên chuỗi khối Binance Smart Chain.

Hơn 20 token đã bị đánh cắp, bao gồm các loại coin thay thế như BSC-USD, Binance Coin (BNB), BNBBPay (BPay) và Safemoon, trong khi một lượng lớn Moonshot, Floki và BabyDoge cũng bị xâm phạm.

7. PancakeBunny – 200 triệu USD

Trong một đợt tấn công flash loan diễn ra vào tháng 5 năm 2021, phía hacker đã rút đến 200 triệu đô la khỏi nền tảng. Để thực hiện cuộc tấn công, bọn tội phạm đã cho vay một lượng lớn Binance Coin (BNB) trước khi thao túng giá của nó và bán phá giá trên sàn BUNNY/BNB của PancakeBunny.

Điều này cho phép hacker nhận về một lượng lớn BUNNY thông qua một khoản vay nhanh, rồi bán tất cả trên thị trường để kéo giá xuống, trước khi trả lại BNB qua PancakeSwap.

6. KuCoin – 281 triệu USD

Tháng 9 năm 2020, KuCoin xác nhận rằng hacker đã lấy khóa cá nhân truy cập vào ví nóng của họ, trước khi rút một lượng lớn ethereum (ETH) và bitcoin (BTC), cũng như Bitcoin SV (BSV), Litecoin ( LTC), XRP (XRP), Stellar Lumens (XLM), Tron (TRX) và Tether (USDT).

Sau vụ hack, các dự án tiền điện tử đã nhanh chóng tiến hành cập nhật blockchain của họ để đóng băng, hoặc làm cho hầu hết các tài sản trở nên vô giá trị. Giám đốc điều hành CEO Johnny Lyu cho biết số tiền mã hóa trị giá 204 triệu đô la, tương đương 72% tổng số từ vụ hack, “nằm ngoài tầm kiểm soát của các địa chỉ đáng ngờ.”

Phía KuCoin cũng nói rằng họ có đủ tiền trong ngân hàng để trang trải tất cả các khoản thiệt hại và quyết tâm điều tra kỹ lưỡng nhằm tìm ra các nghi phạm của sự cố bảo mật.

5. Wormhole – 326 triệu USD

Trong vụ trộm tiền điện tử lớn đầu tiên vào năm 2022, nền tảng tiền điện tử của Wormhole đã bị khai thác với số tiền 326 triệu đô la. Nền tảng này hoạt động như một cầu nối giao tiếp giữa Solana (một đối thủ của Ethereum gần đây đã thu hút nhiều sự chú ý) và các mạng tài chính phi tập trung khác.

Vào ngày 2 tháng 2 năm 2022, hacker đã khai thác một lỗ hổng khiến Wormhole phải đóng cửa nền tảng trong khi tiến hành điều tra. Sau đó, ban quản lý báo cáo rằng 120 nghìn wETH đã bị đánh cắp.

4. MT Gox – 470 triệu USD

Đây là vụ hack quy mô lớn đầu tiên trên một sàn giao dịch và vẫn là vụ trộm Bitcoin lớn nhất từ ​​một sàn giao dịch. Tuy nhiên, vụ trộm MT Gox không chỉ là một sự kiện đơn lẻ. Bởi thực chất, nền tảng này đã bị rò rỉ tiền từ năm 2011 cho đến khi được phát hiện vào tháng 2 năm 2014.

Trong khoảng thời gian vài năm, hacker đã đánh cắp 100.000 Bitcoin từ sàn và 750.000 Bitcoin từ khách hàng của sàn. Ở thời điểm đó, những đồng crypto này trị giá “chỉ” 470 triệu đô la. Nhưng ngày nay, chúng sẽ có giá trị gấp khoảng 10 lần (4,7 tỷ đô la). MT Gox đã bị thanh lý ngay sau vụ hack và các nhà thanh lý cũng nỗ lực thu hồi lại được khoảng 200.000 Bitcoin.

3. Coincheck – 532 triệu USD

Vào tháng 1 năm 2018, Coincheck có trụ sở tại Nhật Bản đã bị đánh cắp token NEM (XEM) với trị giá hơn 530 triệu đô la. Hacker đã khai thác việc coin được giữ trong ví “nóng”, đang kết nối với máy chủ và ở trạng thái “trực tuyến”. Bởi nếu dùng “ví lạnh” thì tiền sẽ được lưu trữ ngoại tuyến, nên về cơ bản sẽ an toàn trước những đợt tấn công online.

Các nhà phát triển NEM đã xác định và đánh dấu các coin bị đánh cắp. Tuy nhiên, đồng tiền đã mất giá rất nhiều sau cuộc tấn công. Ngày nay, giá trị các đồng coin thấp hơn đến 83% so với trước, chỉ còn vào khoảng 90 triệu đô la.

2. Poly Network – 610 triệu USD

Vào tháng 8 năm 2021, một hacker đã tấn công Poly Network bằng cách khai thác lỗ hổng trong hệ thống và đánh cắp số tiền trị giá hơn 600 triệu USD. Tuy nhiên, họ lại không biến mất với số tiền kiếm được. Thay vào đó, vị hacker quyết định trò chuyện với nền tảng và đồng ý trả lại hầu hết số tiền, ngoại trừ 33 triệu đô la Tether (USDT) bị nhà phát hành đóng băng.

Nhưng đó chưa phải kết thúc, bởi 200 triệu đô la trong số tiền bị đánh cắp đã bị mắc kẹt trong một tài khoản yêu cầu mật khẩu từ cả hacker lẫn Poly Network. Suốt một quãng thời gian, phía hacker từ chối bàn giao password bên họ. Vì thế, Poly Network quyết định bỏ ra 500.000 đô la để “thưởng” cho công sức phát hiện lỗ hổng hệ thống và thậm chí đề nghị trao cho hacker một công việc hẳn hoi. Kết quả, nền tảng sau đó tiết lộ rằng vị “Mr. White Hat ”đã trao cho họ khóa key cá nhân.

1. Ronin Network (Axie Infinity) – 620 triệu USD

Vào ngày 29 tháng 3 năm 2022, Ronin Network thông báo mạng lưới đã bị tấn công và bị đánh cắp tổng cộng 620 triệu USD. Số tiền này được tạo thành từ 173.600 ETH (trị giá khoảng 595 triệu USD) và 25,5 triệu USD, khiến đây trở thành vụ trộm tiền điện tử lớn nhất từ trước đến nay.

Mạng Ronin đóng vai trò là cầu nối giữa trò chơi Axie Infinity nổi tiếng do hãng Sky Mavis phát triển và chuỗi khối Ethereum và được sử dụng để thực hiện các giao dịch và chuyển tiền điện tử cả trong lẫn ngoài game.

Công ty cho biết đã có một lỗ hổng bảo mật trên chính mạng Ronin, khiến các node xác thực Ronin và Axie DAO của họ bị xâm phạm. Kết quả là số tiền lớn bị rút hết chỉ trong hai giao dịch.

Theo Comparitech