10 vụ hack và lừa đảo tiền điện tử lớn nhất năm 2023

Năm 2023 là một năm khó khăn đối với vấn đề bảo mật tiền điện tử, nhưng nền tảng nào phải chịu thiệt hại nặng nề nhất?

Kể từ khi ngành công nghiệp tiền điện tử ra đời, tội phạm mạng đã tìm mọi cách để lừa đảo các nhà đầu tư và công ty bằng tài sản phi tập trung của chúng. Trong suốt năm 2023, các vụ hack và lừa đảo tiền điện tử tiếp tục xảy ra, với hàng trăm triệu tiền điện tử bị đánh cắp. Có một số vụ trộm đáng chú ý đã xuất hiện trên các tiêu đề tin tức, để lại một vết lõm lớn trong ví của cả người dùng và nền tảng.

Vì vậy, hãy cùng thảo luận về những vụ hack tiền điện tử lớn nhất năm 2023.

1. Hack tài chính Euler

Vào tháng 3 năm 2023, vụ hack Euler Finance đã gây chấn động ngành công nghiệp tiền điện tử khi tin tặc đánh cắp gần 200 triệu đô la tiền điện tử từ nền tảng cho vay.

Euler Finance biết đến vụ hack khi PeckShield đề cập đến nền tảng này trong một bài đăng trên X (trước đây là Twitter). Trong bài đăng, PeckShield chỉ nói với Euler rằng họ có thể muốn xem xét một loạt giao dịch nhanh chóng và đáng ngờ. Các giao dịch này hóa ra là kết quả của một vụ hack lớn, trong đó 197 triệu USD tiền điện tử đã bị đánh cắp.

Tuy nhiên, trong một diễn biến kỳ lạ, (những) cá nhân chịu trách nhiệm về vụ hack này đã trả lại số tiền bị đánh cắp chỉ vài tuần sau khi nó xảy ra. Thú vị hơn nữa, bên chịu trách nhiệm dường như đã thêm ghi chú xin lỗi vào một trong các giao dịch hoàn trả, như bạn có thể thấy trên Etherscan.

2. Vi phạm Mixin

Vào tháng 9 năm 2023, nền tảng tiền điện tử Mixin cũng chịu số phận tương tự như Euler Finance khi 200 triệu đô la tiền điện tử bị tin tặc đánh cắp. Cuộc tấn công này được thực hiện thông qua việc vi phạm dữ liệu của nhà cung cấp dịch vụ đám mây Mixin. Mixin đã công bố vụ hack trong một bài đăng X, trong đó một người dùng bình luận rằng họ bị cáo buộc đã mất 100.000 USD khi khai thác.

Tại thời điểm viết bài, Mixin vẫn chưa thể truy tìm kẻ tấn công hoặc lấy lại số tiền bị đánh cắp. Tuy nhiên, nền tảng này đã cam kết bồi thường cho mỗi người dùng một nửa số tài sản bị mất của họ.

3. Lừa đảo lừa đảo trả tiền bằng xu

Lừa đảo là một chiến thuật kỹ thuật xã hội rất phổ biến được tội phạm mạng sử dụng và đã gây ra nhiều thiệt hại trong ngành công nghiệp tiền điện tử. Vào tháng 8 năm 2023, bộ xử lý thanh toán tiền điện tử CoinsPaid đã phải hứng chịu một vụ hack trị giá 37 triệu USD khi những kẻ độc hại nhắm vào một nhân viên với lời mời làm việc giả mạo.

Trong quá trình khai thác, nhân viên đã vô tình cài đặt phần mềm độc hại với giả định rằng họ đang làm bài kiểm tra trong quá trình phỏng vấn của người sử dụng lao động giả mạo. Phần mềm độc hại này sau đó được sử dụng để hack cơ sở hạ tầng nội bộ CoinsPaid, cho phép kẻ tấn công truy cập vào hàng triệu quỹ tiền điện tử. Mặc dù nhóm hack Lazarus bị nghi ngờ về vụ hack nhưng vẫn chưa có gì được xác nhận và CoinsPaid vẫn chưa tìm cách lấy lại số tiền bị đánh cắp tại thời điểm viết bài.

4. Hack ví nguyên tử

Nhà cung cấp ví tiền điện tử phần mềm phổ biến Atomic Wallet đã phải chịu một vụ hack trị giá 100 triệu đô la vào tháng 6 năm 2023, trong đó hơn 5.000 tài khoản người dùng đã bị tấn công. Trong khi một số người dùng bị đánh cắp một số tiền, một số lại bị mất ví hoàn toàn. Tại thời điểm viết bài, Atomic Wallet vẫn chưa giải thích vụ hack diễn ra như thế nào.

Nhóm hack Lazarus ban đầu bị đổ lỗi cho việc khai thác, mặc dù mọi thứ bắt đầu thay đổi khi một nhóm hack người Ukraine được coi là thủ phạm có thể là thủ phạm.

Vào tháng 8 năm 2023, Atomic Wallet bị chỉ trích khi công ty phải đối mặt với một vụ kiện tập thể từ nhiều nhà đầu tư bị ảnh hưởng về số tiền bị đánh cắp. Thời gian sẽ trả lời liệu Atomic Wallet có phải đối mặt với hậu quả pháp lý do vụ hack hay không và liệu người dùng bị ảnh hưởng có nhận được tiền bồi thường hay không.

5. Hack tài chính đường cong

Vào cuối tháng 7 năm 2023, Curve Finance đã phải hứng chịu một cuộc tấn công mạng dẫn đến việc đánh cắp hơn 60 triệu đô la tiền điện tử. Trong trường hợp này, nhóm thanh khoản của Curve Finance đã được nhắm mục tiêu, trong đó người dùng đã gửi stablecoin của họ. Các nhóm stablecoin do Curve Finance tổ chức có lỗ hổng mã mà tin tặc khai thác để truy cập vào số tiền bị đánh cắp.

Vào tháng 8 năm 2023, một phần số tiền bị đánh cắp đã được tin tặc trả lại sau khi Curve Finance đưa ra phần thưởng cho những ai có thể xác định được thủ phạm. Các hacker mũ trắng cũng đóng vai trò trong việc trả lại một số khoản tiền, với tổng số 73% số tiền bị đánh cắp đã được lấy lại.

Hơn nữa, Curve cam kết bồi thường cho những người dùng bị ảnh hưởng bởi vụ hack, đồng thời thề sẽ hoàn trả toàn bộ số tiền bị đánh cắp.

6. Lừa đảo TrustWallet

Một nhà cung cấp ví phần mềm phổ biến khác, TrustWallet, đã gây chú ý với các tin tức về tiền điện tử vào tháng 9 năm 2023, khi các tác nhân độc hại bắt đầu nhắm mục tiêu vào người dùng thông qua email lừa đảo.

Trong chiến dịch độc hại này, hàng nghìn email đã được gửi tới người dùng, trong đó tội phạm mạng mạo danh nhân viên của Trust Wallet. Email thông báo cho người nhận rằng tài khoản Trust Wallet của họ sẽ sớm bị tạm ngưng nếu ví không được xác minh. Một liên kết đến trang xác minh đã được cung cấp, mặc dù điều này dẫn đến một trang web độc hại được thiết kế để đánh cắp dữ liệu. Người dùng được yêu cầu cung cấp cụm từ khôi phục của họ, một thông tin quan trọng có thể được sử dụng để truy cập vào ví tiền điện tử.

Sau khi người dùng được nhắm mục tiêu nhập cụm từ hạt giống của họ, tin tặc có quyền truy cập vào quỹ tài khoản TrustWallet của họ, dẫn đến vụ đánh cắp hơn 40 triệu đô la tiền điện tử.

7. Hack/Kéo thảm MultiChain

Vào tháng 7 năm 2023, các nền tảng tin tức về tiền điện tử bắt đầu đưa tin về một vụ hack hoặc có thể xảy ra sự cố kéo thảm xảy ra trên MultiChain, một giao thức chuỗi chéo được sử dụng để kết nối các chuỗi khối. Những nghi ngờ bắt đầu lan truyền khi tổng cộng 125 triệu USD được lấy từ MultiChain thông qua nhiều giao dịch.

Người ta cho rằng vụ hack là kết quả của những người trong cuộc, trong đó Giám đốc điều hành của nền tảng, Zhaojun, bị chính quyền Trung Quốc bắt giữ không lâu sau khi việc rút tiền diễn ra. Các thiết bị của CEO, bao gồm điện thoại, máy tính và ví phần cứng, cũng bị tịch thu trong quá trình bắt giữ. Hơn nữa, khi Zhaojun bị bắt, em gái anh ta cũng đã bị cảnh sát tạm giữ vì nghi ngờ có liên quan đến vụ lợi dụng.

Kể từ vụ hack hoặc kéo thảm, MultiChain đã đóng cửa hoạt động. Công ty đã đăng trên X về quyết định này, liệt kê chuỗi sự kiện dẫn đến việc đóng cửa.

8. Vi phạm dữ liệu LastPass

LastPass không còn xa lạ với các hành vi vi phạm, vì năm 2023 sẽ mang lại nhiều rắc rối hơn cho người quản lý mật khẩu. Mọi người sử dụng LastPass để lưu trữ tất cả các loại thông tin nhạy cảm, bao gồm thông tin xác thực trao đổi tiền điện tử và khóa riêng tư hoặc cụm từ hạt giống cho ví tiền điện tử. Lượng thông tin có giá trị được lưu trữ bằng LastPass đã khiến nó trở thành mục tiêu thường xuyên của tội phạm mạng.

Vào tháng 10 năm 2023, 4,4 triệu đô la tiền điện tử đã bị đánh cắp do vi phạm LastPass diễn ra vào năm trước. Nhiều cụm từ và mật khẩu hạt giống đã được sử dụng để đánh cắp tiền, tất cả đều được LastPass lưu trữ. Hơn 25 người dùng đã bị ảnh hưởng bởi vụ trộm sau khi dữ liệu của họ bị đánh cắp trong vụ vi phạm năm 2022, với số tiền vẫn còn rất lớn.

9. Hack cổ phần

Nền tảng cờ bạc tiền điện tử gây tranh cãi nhưng phổ biến Stake đã bị hack vào tháng 9 năm 2023, trong đó tổng cộng 41 triệu đô la đã bị đánh cắp. Trong vụ hack này, ví nóng tiền điện tử của người dùng đã bị nhắm mục tiêu, với nhiều tài sản khác nhau, chẳng hạn như Ethereum và Dai, bị đánh cắp. Tất cả số tiền đã được gửi đến một địa chỉ ví duy nhất, có thể thuộc sở hữu của (những) hacker chịu trách nhiệm. Từ đó, tiền được gửi đến nhiều ví khác, dàn trải vị trí của chúng và khiến chúng khó theo dõi hơn.

Người ta luôn nghi ngờ rằng hacker Triều Tiên có liên quan gì đó đến vụ trộm này. Nghi ngờ này được xác nhận khi FBI tiết lộ nhóm hack Lazarus đã bị xác định là bên chịu trách nhiệm. Số tiền vẫn chưa được xác định hoặc lấy lại, như trường hợp của nhiều vụ hack tiền điện tử.

10. Hack CoinEx

70 triệu đô la tiền điện tử gây sốc đã bị đánh cắp từ sàn giao dịch tiền điện tử CoinEx vào tháng 9 năm 2023, sau khi nhiều khóa riêng cho ví nóng của người dùng bị tin tặc truy cập.

Nhìn chung, 54 triệu đô la tiền điện tử đã bị đánh cắp thông qua việc khai thác, với số tiền chuyển khoản khổng lồ gần 5.000 Ethereum đã gây ra những nghi ngờ vào đầu tháng. Cùng với đó, 231 Bitcoin, 2.220 Bitcoin Cash, 135.600 Solana và hàng loạt tài sản khác đã bị đánh cắp. Mặc dù không có ví lạnh CoinEx nào bị ảnh hưởng, nhưng những kẻ tấn công vẫn đánh cắp được một lượng tiền khổng lồ, số tiền này vẫn chưa được lấy lại tính đến thời điểm viết bài.

Không có gì ngạc nhiên khi nhóm hack Lazarus bị nghi ngờ là thủ phạm của vụ hack này, họ được cho là đã gây ra nhiều vụ tấn công trong quá khứ.

Hack tiền điện tử sẽ không đi đến đâu

Với hàng tỷ đồng tiền điện tử đã bị đánh cắp trong thập kỷ qua, rất khó có khả năng các vụ lừa đảo và hack dựa trên tiền điện tử sẽ sớm biến mất. Tội phạm mạng không chỉ trở nên tinh vi hơn trong chiến thuật của chúng mà các nền tảng thiếu bảo mật và nhà đầu tư không có kinh nghiệm cũng trở thành mục tiêu dễ dàng.