Обзор десяти главных инцидентов безопасности в области Web3 за 2024 год
В 2024 году блокчейн-отрасль, наряду с технологическими инновациями и расширением экосистемы, сталкивается с все более серьезными угрозами безопасности. Согласно мониторингу данных, по состоянию на сегодняшний день общие потери в области Web3 в 2024 году из-за хакерских атак, фишинговых мошенничеств и бегства проектных команд составляют 2,491 миллиарда долларов США.
Эти события не только выявили технические недостатки, такие как управление закрытыми ключами и уязвимости смарт-контрактов, но и подчеркнули потенциальные риски социальной инженерии и внутреннего управления. В данной статье будет рассмотрено десять основных событий безопасности Web3 в 2024 году с целью извлечь уроки и лучше подготовиться к будущим угрозам безопасности.
1. DMM Bitcoin
Сумма убытка: 304 миллиона долларов СШАСпособ атаки: утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа DMM Bitcoin столкнулась с серьезной проблемой безопасности. Злоумышленники использовали утечку приватных ключей для непосредственного перевода биткойнов на сумму более 300 миллионов долларов, а затем быстро распределили похищенные средства на более чем 10 различных адресов. Эта атака выявила серьезные недостатки биржи в управлении приватными ключами и многоуровневой защите. Несмотря на то, что биржа попыталась отследить хакеров с помощью мониторинга на блокчейне и заморозки средств, распределенный перевод похищенных биткойнов и отмывание средств значительно усложнили работу по отслеживанию.
24 декабря японская полиция подтвердила, что это происшествие было совершено северокорейской хакерской группой Lazarus Group.
2. ПлейДапп
Сумма убытка: 290 миллионов долларов СШАСпособ атаки: утечка закрытого ключа
9 февраля 2024 года PlayDapp понесла серьезный удар. Хакеры, похитившие приватные ключи, выпустили 2 миллиарда токенов PLA, первоначальная стоимость которых составила 36,5 миллиона долларов. В связи с неудачными переговорами между проектом и хакерами, хакеры в короткие сроки выпустили еще 15,9 миллиардов токенов PLA, стоимость которых составила 253,9 миллиона долларов. После того как часть токенов попала на биржи, PlayDapp была вынуждена приостановить контракт PLA и перейти на новый контракт токена PDA. Этот инцидент подчеркивает недостатки блокчейн-проектов в защите приватных ключей и экстренных мерах реагирования на инциденты.
3. Некоторая индийская криптовалютная биржа
Сумма убытков: 235 миллионов долларов СШАСпособы атаки: кибератаки и фишинг
18 июля 2024 года крупнейший криптовалютный обменник Индии подвергся целенаправленной атаке на многофункциональный кошелек Safe Wallet. Злоумышленники с помощью социальной инженерии заставили подписантов многофункционального кошелька подписать сделку по обновлению контракта, после чего они использовали права, полученные от обновленного контракта, для перевода всех активов из кошелька. Этот инцидент подчеркивает потенциальные риски многофункциональных кошельков в управлении конфигурацией прав и прозрачности операций, а также вызывает глубокую рефлексию в отрасли по вопросам внутреннего контроля и механизмов безопасности проектов.
4. Гала-игры
Сумма убытков: 216 миллионов долларов СШАСпособ атаки: Уязвимость управления доступом
20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint в токен-контракте, единовременно выпустили 5 миллиардов токенов GALA. Затем хакеры по частям обменяли эти токены на ETH, что напрямую привело к убыткам в размере 216 миллионов долларов. Команда Gala Games после происшествия срочно активировала функцию черного списка, заблокировав часть аккаунтов хакеров, и через юридические пути вернула часть убытков.
5. Соучредитель某 криптовалютного проекта
Сумма убытка: 112 миллионов долларов СШАСпособ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька соучредителя известного криптовалютного проекта были взломаны хакерами, что привело к краже криптовалюты на сумму 112 миллионов долларов. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты с использованием аппаратных устройств. После инцидента одна из торговых платформ успешно заморозила украденные активы на сумму 4,2 миллиона долларов и помогла в отслеживании, но большая часть средств уже была отмыта через децентрализованные биржи и сервисы смешивания.
6. Мунчеблз
Сумма убытков: 62,5 миллиона долларов СШАСпособ атаки: атака социальной инженерии
26 марта 2024 года веб3 игровая платформа Munchables на основе Blast подверглась редкой внутренней атаке на проникновение. Нападающие, маскирующиеся под разработчиков блокчейна, долгое время находились в системе и получили доступ к исходному коду и конфиденциальным ключам. Несмотря на то, что атака привела к огромным потерям, под давлением сообщества и команды хакеры в конечном итоге вернули все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.
7. BtcTurk
Сумма убытков: 55 миллионов долларов СШАСпособ атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции BtcTurk подверглась атаке утечки приватных ключей, потеряв более 55 миллионов долларов в криптоактивах. Благодаря помощи команды одной из торговых платформ, 5,3 миллиона долларов украденных средств были успешно заморожены, но другие активы до сих пор не возвращены. Этот инцидент усилил опасения на рынке по поводу управления приватными ключами централизованными биржами.
8. Радиант Капитал
Сумма убытков: 53 миллиона долларов СШАСпособ атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования низкопороговой модели проверки подписи 3/11, хакеры, получив доступ к приватным ключам 3 подписантов, инициировали оффлайн-подпись, что привело к передаче прав собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала отраслевую рефлексию по поводу дизайна и механизмов управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости контракта до этой атаки, в результате чего было украдено более 1900 ETH. Это указывает на то, что проектам Web3 необходимо повысить уровень внимания к безопасности.
9. Хеджи Финанс
Сумма убытка: 44,7 миллиона долларов СШАСпособ атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в контракте ClaimCampaigns, успешно извлекая токены на двух блокчейнах, Ethereum и Arbitrum, с общими потерями в 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. BingX
Сумма убытков: 44,7 миллиона долларов СШАСпособ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек биржи BingX был взломан хакерами, затронувшими такие публичные цепочки, как Ethereum, BNB Chain, Tron и другие. Несмотря на то, что биржа быстро активировала механизмы перевода активов и заморозки вывода, хакеры успешно извлекли активы на сумму 44,7 миллиона долларов. Эта атака отражает высокие риски управления горячими кошельками централизованных бирж и способствует дальнейшему исследованию более безопасных решений для хранения активов в отрасли.
Резюме
Частые случаи атак на безопасность в 2024 году вновь напоминают нам о том, что развитие блокчейн-индустрии невозможно без обеспечения безопасности. От утечки приватных ключей до уязвимостей в контрактах, от внутренних управленческих упущений до усовершенствования внешних методов атак — каждое происшествие приносит глубокие уроки. Чтобы противостоять все более сложным угрозам атак, всем сторонам индустрии необходимо продолжать усиливать инвестиции в разработки технологий, стандарты управления и меры по предотвращению рисков. В будущем мы надеемся на совместное построение более безопасной блокчейн-экосистемы через сотрудничество в отрасли и технологические инновации, чтобы предоставить пользователям и инвесторам более надежную защиту.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
12 Лайков
Награда
12
5
Поделиться
комментарий
0/400
ShibaSunglasses
· 07-25 14:40
Кошелек Закрытый ключ потерян, это действительно ужасно...
В 2024 году в области Web3 было потеряно 24,91 миллиарда долларов: обзор десяти крупнейших инцидентов безопасности
Обзор десяти главных инцидентов безопасности в области Web3 за 2024 год
В 2024 году блокчейн-отрасль, наряду с технологическими инновациями и расширением экосистемы, сталкивается с все более серьезными угрозами безопасности. Согласно мониторингу данных, по состоянию на сегодняшний день общие потери в области Web3 в 2024 году из-за хакерских атак, фишинговых мошенничеств и бегства проектных команд составляют 2,491 миллиарда долларов США.
Эти события не только выявили технические недостатки, такие как управление закрытыми ключами и уязвимости смарт-контрактов, но и подчеркнули потенциальные риски социальной инженерии и внутреннего управления. В данной статье будет рассмотрено десять основных событий безопасности Web3 в 2024 году с целью извлечь уроки и лучше подготовиться к будущим угрозам безопасности.
1. DMM Bitcoin
Сумма убытка: 304 миллиона долларов США Способ атаки: утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа DMM Bitcoin столкнулась с серьезной проблемой безопасности. Злоумышленники использовали утечку приватных ключей для непосредственного перевода биткойнов на сумму более 300 миллионов долларов, а затем быстро распределили похищенные средства на более чем 10 различных адресов. Эта атака выявила серьезные недостатки биржи в управлении приватными ключами и многоуровневой защите. Несмотря на то, что биржа попыталась отследить хакеров с помощью мониторинга на блокчейне и заморозки средств, распределенный перевод похищенных биткойнов и отмывание средств значительно усложнили работу по отслеживанию.
24 декабря японская полиция подтвердила, что это происшествие было совершено северокорейской хакерской группой Lazarus Group.
2. ПлейДапп
Сумма убытка: 290 миллионов долларов США Способ атаки: утечка закрытого ключа
9 февраля 2024 года PlayDapp понесла серьезный удар. Хакеры, похитившие приватные ключи, выпустили 2 миллиарда токенов PLA, первоначальная стоимость которых составила 36,5 миллиона долларов. В связи с неудачными переговорами между проектом и хакерами, хакеры в короткие сроки выпустили еще 15,9 миллиардов токенов PLA, стоимость которых составила 253,9 миллиона долларов. После того как часть токенов попала на биржи, PlayDapp была вынуждена приостановить контракт PLA и перейти на новый контракт токена PDA. Этот инцидент подчеркивает недостатки блокчейн-проектов в защите приватных ключей и экстренных мерах реагирования на инциденты.
3. Некоторая индийская криптовалютная биржа
Сумма убытков: 235 миллионов долларов США Способы атаки: кибератаки и фишинг
18 июля 2024 года крупнейший криптовалютный обменник Индии подвергся целенаправленной атаке на многофункциональный кошелек Safe Wallet. Злоумышленники с помощью социальной инженерии заставили подписантов многофункционального кошелька подписать сделку по обновлению контракта, после чего они использовали права, полученные от обновленного контракта, для перевода всех активов из кошелька. Этот инцидент подчеркивает потенциальные риски многофункциональных кошельков в управлении конфигурацией прав и прозрачности операций, а также вызывает глубокую рефлексию в отрасли по вопросам внутреннего контроля и механизмов безопасности проектов.
4. Гала-игры
Сумма убытков: 216 миллионов долларов США Способ атаки: Уязвимость управления доступом
20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint в токен-контракте, единовременно выпустили 5 миллиардов токенов GALA. Затем хакеры по частям обменяли эти токены на ETH, что напрямую привело к убыткам в размере 216 миллионов долларов. Команда Gala Games после происшествия срочно активировала функцию черного списка, заблокировав часть аккаунтов хакеров, и через юридические пути вернула часть убытков.
5. Соучредитель某 криптовалютного проекта
Сумма убытка: 112 миллионов долларов США Способ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька соучредителя известного криптовалютного проекта были взломаны хакерами, что привело к краже криптовалюты на сумму 112 миллионов долларов. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты с использованием аппаратных устройств. После инцидента одна из торговых платформ успешно заморозила украденные активы на сумму 4,2 миллиона долларов и помогла в отслеживании, но большая часть средств уже была отмыта через децентрализованные биржи и сервисы смешивания.
6. Мунчеблз
Сумма убытков: 62,5 миллиона долларов США Способ атаки: атака социальной инженерии
26 марта 2024 года веб3 игровая платформа Munchables на основе Blast подверглась редкой внутренней атаке на проникновение. Нападающие, маскирующиеся под разработчиков блокчейна, долгое время находились в системе и получили доступ к исходному коду и конфиденциальным ключам. Несмотря на то, что атака привела к огромным потерям, под давлением сообщества и команды хакеры в конечном итоге вернули все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.
7. BtcTurk
Сумма убытков: 55 миллионов долларов США Способ атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции BtcTurk подверглась атаке утечки приватных ключей, потеряв более 55 миллионов долларов в криптоактивах. Благодаря помощи команды одной из торговых платформ, 5,3 миллиона долларов украденных средств были успешно заморожены, но другие активы до сих пор не возвращены. Этот инцидент усилил опасения на рынке по поводу управления приватными ключами централизованными биржами.
8. Радиант Капитал
Сумма убытков: 53 миллиона долларов США Способ атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования низкопороговой модели проверки подписи 3/11, хакеры, получив доступ к приватным ключам 3 подписантов, инициировали оффлайн-подпись, что привело к передаче прав собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала отраслевую рефлексию по поводу дизайна и механизмов управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости контракта до этой атаки, в результате чего было украдено более 1900 ETH. Это указывает на то, что проектам Web3 необходимо повысить уровень внимания к безопасности.
9. Хеджи Финанс
Сумма убытка: 44,7 миллиона долларов США Способ атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в контракте ClaimCampaigns, успешно извлекая токены на двух блокчейнах, Ethereum и Arbitrum, с общими потерями в 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. BingX
Сумма убытков: 44,7 миллиона долларов США Способ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек биржи BingX был взломан хакерами, затронувшими такие публичные цепочки, как Ethereum, BNB Chain, Tron и другие. Несмотря на то, что биржа быстро активировала механизмы перевода активов и заморозки вывода, хакеры успешно извлекли активы на сумму 44,7 миллиона долларов. Эта атака отражает высокие риски управления горячими кошельками централизованных бирж и способствует дальнейшему исследованию более безопасных решений для хранения активов в отрасли.
Резюме
Частые случаи атак на безопасность в 2024 году вновь напоминают нам о том, что развитие блокчейн-индустрии невозможно без обеспечения безопасности. От утечки приватных ключей до уязвимостей в контрактах, от внутренних управленческих упущений до усовершенствования внешних методов атак — каждое происшествие приносит глубокие уроки. Чтобы противостоять все более сложным угрозам атак, всем сторонам индустрии необходимо продолжать усиливать инвестиции в разработки технологий, стандарты управления и меры по предотвращению рисков. В будущем мы надеемся на совместное построение более безопасной блокчейн-экосистемы через сотрудничество в отрасли и технологические инновации, чтобы предоставить пользователям и инвесторам более надежную защиту.