1,49 tỷ USD “bốc hơi” vì hack và lừa đảo trong năm 2024

Năm 2024, ngành công nghiệp tiền điện tử đã chứng kiến những thiệt hại lên tới 1,49 tỷ đô la Mỹ do tấn công mạng và lừa đảo, giảm 17% so với năm 2023.
Theo báo cáo từ Immunefi, một nền tảng bảo mật blockchain, các vụ tấn công mạng chiếm phần lớn nguyên nhân gây thiệt hại, lên tới 1,47 tỷ đô la Mỹ, tương đương 98,1% tổng thiệt hại trên 192 vụ việc.
Mặc dù chỉ chiếm 1,9% tổng thiệt hại với 28 triệu đô la Mỹ, các vụ lừa đảo, bao gồm cả “rug pull” (dự án ma) và các chiêu trò gian lận khác, lại cho thấy sự gia tăng đáng kể 72% so với cùng kỳ năm ngoái.
Cho thấy rằng, trong khi các biện pháp bảo mật đang được cải thiện để ngăn chặn các cuộc tấn công mạng, thì người dùng tiền điện tử vẫn cần phải cảnh giác hơn với các hình thức lừa đảo tinh vi ngày càng gia tăng. Các nhà đầu tư cần phải thận trọng hơn trong việc lựa chọn dự án, tìm hiểu kỹ thông tin và không nên tin tưởng vào những lời hứa hẹn lợi nhuận cao bất thường.
Ghi nhận sự sụt giảm 27% số vụ hack
Mặc dù năm 2024 là năm mà ngành công nghiệp tiền điện tử chao đảo với những vụ tấn công mạng và lừa đảo gây thiệt hại hàng tỷ đô la, nhưng vẫn có những điểm sáng le lói mang lại hy vọng cho tương lai.
Báo cáo của Immunefi đã chỉ ra một sự thật đáng mừng: số lượng các cuộc tấn công mạng thành công đã giảm đáng kể. Cụ thể, con số này đã giảm 27,5% so với năm 2023, từ 320 vụ xuống còn 232 vụ. Điều này cho thấy những nỗ lực cải thiện an ninh mạng trong ngành đang dần phát huy hiệu quả.
Tuy nhiên, không vì thế mà chúng ta có thể chủ quan. Báo cáo đã nêu bật hai vụ việc điển hình cho thấy mức độ tinh vi và quy mô thiệt hại khổng lồ mà các cuộc tấn công mạng có thể gây ra.
Vào tháng 5, sàn giao dịch DMM Bitcoin của Nhật Bản đã trở thành nạn nhân của một vụ rò rỉ khóa bí mật, khiến họ thiệt hại tới 305 triệu đô la Mỹ. Chưa đầy hai tháng sau, vào tháng 7, WazirX, sàn giao dịch tiền điện tử lớn nhất Ấn Độ, cũng phải hứng chịu một đòn tấn công chí mạng nhắm vào ví đa chữ ký (multisig wallet) dựa trên Ethereum của họ, gây thiệt hại lên đến 235 triệu đô la Mỹ.
Hai vụ việc này đã chiếm tới 36% tổng thiệt hại do tấn công mạng trong cả năm, gióng lên hồi chuông cảnh báo về sự cần thiết phải tăng cường an ninh mạng, đặc biệt là đối với các sàn giao dịch lớn.
Mặc dù số lượng vụ tấn công giảm, nhưng các giao thức tài chính phi tập trung (DeFi) vẫn là miếng mồi béo bở cho tin tặc, chiếm tới 51,4% tổng thiệt hại. Điều này cho thấy DeFi, với đặc thù là sự phân tán và thiếu sự kiểm soát tập trung, vẫn còn tồn tại nhiều lỗ hổng bảo mật cần được khắc phục.
Ngược lại, các nền tảng tài chính tập trung (CeFi) tuy chỉ chiếm 48,6% tổng thiệt hại, nhưng lại ghi nhận mức tăng trưởng đáng báo động về số tiền bị đánh cắp.
Thiệt hại của CeFi đã tăng vọt 77,5% so với năm 2023, lên tới 726 triệu đô la Mỹ. Cho thấy rằng, ngay cả những tổ chức tài chính được cho là có hệ thống bảo mật mạnh mẽ cũng không thể hoàn toàn tránh khỏi sự nhòm ngó của tội phạm mạng.
Báo cáo cũng chỉ ra rằng Ethereum và Binance Smart Chain là hai blockchain bị nhắm mục tiêu nhiều nhất trong năm 2024. Với 104 vụ tấn công, Ethereum phải gánh chịu tới 44% tổng thiệt hại trên tất cả các blockchain. Một phần là do Ethereum là nền tảng blockchain phổ biến nhất hiện nay, thu hút lượng lớn người dùng và giá trị giao dịch, khiến nó trở thành mục tiêu hấp dẫn cho tin tặc.
Một điểm đáng chú ý khác trong báo cáo là sự xuất hiện của các nhóm tin tặc có liên quan đến Triều Tiên. Với kỹ thuật tấn công tinh vi và quy mô hoạt động lớn, các nhóm này đã gây ra thiệt hại lên tới 285 triệu đô la Mỹ cho các nền tảng như WazirX và Radiant Capital.
Chúng sử dụng nhiều phương thức tấn công khác nhau, từ kỹ thuật xã hội (social engineering) lừa người dùng cung cấp thông tin nhạy cảm, đến việc phát tán mã độc thông qua các tệp PDF nhắm vào các nhà phát triển. Sự trỗi dậy của các nhóm tin tặc này đặt ra thách thức lớn đối với cộng đồng tiền điện tử, đòi hỏi sự hợp tác chặt chẽ giữa các quốc gia và các tổ chức để ngăn chặn hoạt động của chúng
Quý 2 năm 2024 ghi nhận thiệt hại nặng nề nhất
Phân tích sâu hơn về tình hình thiệt hại theo từng quý, báo cáo của Immunefi cho thấy quý 2 năm 2024 là giai đoạn đen tối nhất của ngành công nghiệp tiền điện tử, với tổng thiệt hại lên tới 572,6 triệu đô la Mỹ.
Nguyên nhân chủ yếu là do hai vụ tấn công quy mô lớn nhắm vào sàn giao dịch DMM Bitcoin và BtcTurk. Ngược lại, quý 4 ghi nhận mức thiệt hại thấp nhất, chỉ 150,5 triệu đô la Mỹ, cho thấy khả năng phục hồi và ứng phó với các cuộc tấn công của ngành đã được cải thiện đáng kể trong năm.
Mặc dù tổng thiệt hại do tấn công mạng và lừa đảo là rất lớn, nhưng vẫn có những tia hy vọng le lói. Theo báo cáo, 115,6 triệu đô la Mỹ đã được thu hồi trong 14 vụ việc, tương đương 7,7% tổng số tiền bị đánh cắp. Điển hình là trường hợp của Munchables, dự án đã thành công lấy lại 62,8 triệu đô la Mỹ sau khi nhà phát triển tiết lộ các khóa bí mật bị xâm phạm.
Hay như Thala, cũng đã khôi phục được 25,5 triệu đô la Mỹ nhờ sự can thiệp của cơ quan thực thi pháp luật. Những thành công này cho thấy rằng, việc hợp tác chặt chẽ giữa các dự án, cơ quan chức năng và các chuyên gia bảo mật có thể mang lại hiệu quả tích cực trong việc truy tìm và thu hồi tài sản bị đánh cắp.
Nhìn nhận về tình hình an ninh mạng trong ngành công nghiệp tiền điện tử, ông Mitchell Amador, Giám đốc điều hành của Immunefi, nhận định: “Mặc dù đã có những tiến bộ trong việc nâng cao an ninh cho tiền điện tử, đặc biệt là về số lượng vụ tấn công trên mỗi đô la, nhưng ngành này vẫn phải đối mặt với những thách thức đáng kể.”
Ông cũng dự đoán: “Với mức độ rủi ro ngày càng cao, chúng ta sẽ chứng kiến sự bùng nổ chưa từng có của các tiến bộ bảo mật, với các công cụ hỗ trợ bởi trí tuệ nhân tạo (AI) và các giải pháp bảo mật phi tập trung sẽ trở thành yếu tố thiết yếu trong cuộc chiến bảo vệ hệ sinh thái.”
Trong bối cảnh an ninh mạng đang là vấn đề nóng, Cơ quan Thị trường Tài chính New Zealand (FMA) gần đây đã đưa ra cảnh báo về làn sóng lừa đảo tiền điện tử ngày càng gia tăng nhắm vào người dùng mạng xã hội.
Theo FMA, những kẻ lừa đảo thường hoạt động thông qua các kênh YouTube và nền tảng nhắn tin như WhatsApp và Telegram, dụ dỗ người dùng nhẹ dạ cả tin bằng những lời hứa hẹn về cơ hội đầu tư sinh lời hấp dẫn.
Cùng thời điểm, Ủy ban Chống Tội phạm Kinh tế và Tài chính Nigeria (EFCC) đã bắt giữ 792 người liên quan đến một vụ lừa đảo tình cảm (romance scam) quy mô lớn sử dụng tiền điện tử. Vụ bắt giữ diễn ra vào ngày 10 tháng 12 tại một tòa nhà ở Lagos, thành phố lớn nhất Nigeria, được cho là trung tâm của các hoạt động lừa đảo.