Огляд десяти найважливіших інцидентів безпеки у сфері Web3 у 2024 році
У 2024 році галузь блокчейн, поряд із технічними інноваціями та розширенням екосистеми, також стикається з дедалі серйознішими викликами безпеки. За даними платформи моніторингу, на сьогоднішній день загальні втрати в сфері Web3 у 2024 році через хакерські атаки, фішинг та втечі проектних команд становлять 24,91 мільярда доларів.
Ці події не лише виявили технічні недоліки, такі як управління приватними ключами та вразливості смарт-контрактів, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті ми розглянемо десять найважливіших інцидентів безпеки Web3 у 2024 році, з метою отримання уроків для кращого реагування на майбутні загрози безпеці.
1. DMM Біткойн
Сума збитків: 304 мільйони доларів СШАСпосіб атаки: витік приватного ключа
31 травня 2024 року відома японська криптовалютна біржа DMM Bitcoin зазнала серйозної безпекової аварії. Зловмисники використали витік приватного ключа для безпосереднього переведення біткойнів на суму понад 300 мільйонів доларів, а потім швидко розподілили вкрадені кошти на понад 10 різних адрес. Ця атака виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій системі безпеки. Незважаючи на те, що біржа намагалася відстежити хакера через моніторинг в блокчейні та замороження коштів, розподілене переміщення вкрадених біткойнів і їх змішування суттєво ускладнили цю роботу.
24 грудня японська поліція підтвердила, що цю подію вчинила північнокорейська хакерська група Lazarus Group.
2. Додаток PlayDapp
Сума збитків: 290 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав значних втрат. Хакери, викравши приватні ключі, випустили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів. Оскільки переговори між проектом та хакерами зазнали невдачі, хакери в короткий термін випустили ще 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів. Частина токенів потрапила на біржу, після чого PlayDapp був змушений призупинити контракт PLA і перейти на новий контракт токена PDA. Цей інцидент підкреслив недоліки проектів на блокчейні в захисті приватних ключів і в управлінні надзвичайними ситуаціями.
3. Один індійський криптовалютний обмін
Сума збитків: 235 мільйонів доларів СШАСпособи атаки: мережеві атаки та фішинг
18 липня 2024 року найбільший криптобіржевий обмін в Індії зазнав точної атаки на свій багатопідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії спонукали підписувачів багатопідпису підписати угоду на оновлення контракту, а потім, використовуючи права оновленого контракту, перевели всі активи з гаманця. Цей інцидент підкреслює потенційні ризики багатопідписних гаманців у керуванні конфігурацією прав та прозорістю операцій, а також викликав глибокі роздуми в галузі щодо внутрішнього ризик-менеджменту та механізмів безпеки проектів.
4. Гала-ігри
Сума збитків: 216 мільйонів доларів СШАСпосіб атаки: Вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламана хакером. Зловмисник, викликавши функцію mint у токен-контракті, одноразово випустив 5 мільярдів токенів GALA. Після цього хакер поетапно обміняв ці токени на ETH, що безпосередньо призвело до втрат у розмірі 216 мільйонів доларів. Команда Gala Games після інциденту терміново активувала функцію чорного списку, щоб заблокувати частину акаунтів хакера, а також через правові канали повернула частину збитків.
5. Співзасновник певного криптовалютного проєкту
Сума збитків: 112 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці спільного засновника відомого криптовалютного проекту були зламані хакерами, в результаті чого було вкрадено криптовалюти на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню для атаки через відсутність апаратних засобів подвійного захисту. Після інциденту одна з торгових платформ успішно заморозила викрадені активи на суму 4,2 мільйона доларів і допомогла у їх відстеженні, але більшість коштів вже були очищені через децентралізовані біржі та сервіси змішування.
6. Жувальні страви
Сума збитків: 62,5 мільйона доларів СШАСпосіб атаки: соціальна інженерія
26 березня 2024 року Web3 ігрова платформа Munchables, що базується на Blast, зазнала рідкісної внутрішньої атаки. Зловмисник, який маскувався під розробника блокчейну, довгий час перебував у системі, отримавши доступ до основного коду та чутливих ключів. Незважаючи на величезні втрати, під тиском спільноти та команди зловмисник зрештою повернув усі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальників, особливо для блокчейн-проєктів, що залежать від сторонніх розробників.
7. BtcTurk
Сума втрат: 55 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки на витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів криптоактивів. Завдяки співпраці з командою певної торгової платформи, 5,3 мільйона доларів було успішно заморожено, але інші активи поки не повернуті. Ця подія загострила занепокоєння на ринку щодо управління приватними ключами централізованими біржами.
8. Промениста столиця
Сума збитків: 53 мільйони доларів СШАМетод атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital був зламаний хакерами. Через використання низького порогу моделі верифікації 3/11, хакери, отримавши доступ до приватних ключів 3 підписувачів, здійснили офлайн підписання, перевівши право власності на контракт гаманця на зловмисну адресу, що врешті-решт призвело до викрадення 53 мільйонів доларів. Ця атака викликала в індустрії роздуми про дизайн і механізми управління мультипідписними гаманцями.
Варто зауважити, що Radiant Capital до цієї атаки вже втратила 4,5 мільйона доларів через вразливість в контракті, понад 1900 ETH було вкрадено. Це свідчить про те, що проекти Web3 повинні підвищити увагу до безпеки.
9. Хеджі Фінанс
Сума збитків: 44,7 мільйона доларів СШАСпосіб атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Зловмисники використали вразливість в контракті ClaimCampaigns, вдало вилучивши токени з двох мереж: Ethereum та Arbitrum, загальні втрати склали 44,7 мільйона доларів США. Цей інцидент підкреслює важливість аудиту коду, особливо суворої перевірки логіки затвердження токенів.
10. BingX
Сума збитків: 44,7 мільйона доларів СШАСпосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець біржі BingX був зламаний хакерами, що торкнулося кількох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron тощо. Хоча біржа швидко активувала механізми переказу активів та заморожування виведення, хакери успішно вилучили активи на загальну суму 44,7 мільйона доларів. Ця атака відображає високі ризики управління гарячими гаманцями централізованих бірж і ще більше стимулює галузь до пошуку більш безпечних рішень для зберігання активів.
Підсумок
Часті випадки атак у 2024 році ще раз нагадують нам, що розвиток індустрії блокчейну неможливий без забезпечення безпеки. Від витоку приватних ключів до вразливостей контрактів, від недоліків внутрішнього управління до вдосконалення зовнішніх атакувальних методів, кожен випадок приніс глибокі уроки. Щоб впоратися з дедалі складнішими загрозами атак, усім учасникам галузі потрібно продовжувати інвестувати в наукові дослідження, управлінські норми та управління ризиками. У майбутньому ми сподіваємося на спільну роботу в галузі та технологічні інновації для створення більш безпечного екосистеми блокчейну, щоб забезпечити надійнішу підтримку для користувачів та інвесторів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
12 лайків
Нагородити
12
5
Поділіться
Прокоментувати
0/400
ShibaSunglasses
· 07-25 14:40
Гаманець Закритий ключ втратив дійсно жахливо...
Переглянути оригіналвідповісти на0
PessimisticOracle
· 07-24 06:27
Знову рік Рект~
Переглянути оригіналвідповісти на0
LightningClicker
· 07-22 15:16
Знову великі гроші в гаманець!
Переглянути оригіналвідповісти на0
PensionDestroyer
· 07-22 15:14
Знову стільки втрат, смішно до сліз.
Переглянути оригіналвідповісти на0
rugdoc.eth
· 07-22 14:50
Шахрайство дивляться, навіть кажуть, що це професійно~
У 2024 році в сфері Web3 втрати склали 24,91 мільярда доларів: огляд десяти основних інцидентів безпеки.
Огляд десяти найважливіших інцидентів безпеки у сфері Web3 у 2024 році
У 2024 році галузь блокчейн, поряд із технічними інноваціями та розширенням екосистеми, також стикається з дедалі серйознішими викликами безпеки. За даними платформи моніторингу, на сьогоднішній день загальні втрати в сфері Web3 у 2024 році через хакерські атаки, фішинг та втечі проектних команд становлять 24,91 мільярда доларів.
Ці події не лише виявили технічні недоліки, такі як управління приватними ключами та вразливості смарт-контрактів, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті ми розглянемо десять найважливіших інцидентів безпеки Web3 у 2024 році, з метою отримання уроків для кращого реагування на майбутні загрози безпеці.
1. DMM Біткойн
Сума збитків: 304 мільйони доларів США Спосіб атаки: витік приватного ключа
31 травня 2024 року відома японська криптовалютна біржа DMM Bitcoin зазнала серйозної безпекової аварії. Зловмисники використали витік приватного ключа для безпосереднього переведення біткойнів на суму понад 300 мільйонів доларів, а потім швидко розподілили вкрадені кошти на понад 10 різних адрес. Ця атака виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій системі безпеки. Незважаючи на те, що біржа намагалася відстежити хакера через моніторинг в блокчейні та замороження коштів, розподілене переміщення вкрадених біткойнів і їх змішування суттєво ускладнили цю роботу.
24 грудня японська поліція підтвердила, що цю подію вчинила північнокорейська хакерська група Lazarus Group.
2. Додаток PlayDapp
Сума збитків: 290 мільйонів доларів США Спосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав значних втрат. Хакери, викравши приватні ключі, випустили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів. Оскільки переговори між проектом та хакерами зазнали невдачі, хакери в короткий термін випустили ще 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів. Частина токенів потрапила на біржу, після чого PlayDapp був змушений призупинити контракт PLA і перейти на новий контракт токена PDA. Цей інцидент підкреслив недоліки проектів на блокчейні в захисті приватних ключів і в управлінні надзвичайними ситуаціями.
3. Один індійський криптовалютний обмін
Сума збитків: 235 мільйонів доларів США Способи атаки: мережеві атаки та фішинг
18 липня 2024 року найбільший криптобіржевий обмін в Індії зазнав точної атаки на свій багатопідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії спонукали підписувачів багатопідпису підписати угоду на оновлення контракту, а потім, використовуючи права оновленого контракту, перевели всі активи з гаманця. Цей інцидент підкреслює потенційні ризики багатопідписних гаманців у керуванні конфігурацією прав та прозорістю операцій, а також викликав глибокі роздуми в галузі щодо внутрішнього ризик-менеджменту та механізмів безпеки проектів.
4. Гала-ігри
Сума збитків: 216 мільйонів доларів США Спосіб атаки: Вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламана хакером. Зловмисник, викликавши функцію mint у токен-контракті, одноразово випустив 5 мільярдів токенів GALA. Після цього хакер поетапно обміняв ці токени на ETH, що безпосередньо призвело до втрат у розмірі 216 мільйонів доларів. Команда Gala Games після інциденту терміново активувала функцію чорного списку, щоб заблокувати частину акаунтів хакера, а також через правові канали повернула частину збитків.
5. Співзасновник певного криптовалютного проєкту
Сума збитків: 112 мільйонів доларів США Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці спільного засновника відомого криптовалютного проекту були зламані хакерами, в результаті чого було вкрадено криптовалюти на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню для атаки через відсутність апаратних засобів подвійного захисту. Після інциденту одна з торгових платформ успішно заморозила викрадені активи на суму 4,2 мільйона доларів і допомогла у їх відстеженні, але більшість коштів вже були очищені через децентралізовані біржі та сервіси змішування.
6. Жувальні страви
Сума збитків: 62,5 мільйона доларів США Спосіб атаки: соціальна інженерія
26 березня 2024 року Web3 ігрова платформа Munchables, що базується на Blast, зазнала рідкісної внутрішньої атаки. Зловмисник, який маскувався під розробника блокчейну, довгий час перебував у системі, отримавши доступ до основного коду та чутливих ключів. Незважаючи на величезні втрати, під тиском спільноти та команди зловмисник зрештою повернув усі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальників, особливо для блокчейн-проєктів, що залежать від сторонніх розробників.
7. BtcTurk
Сума втрат: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки на витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів криптоактивів. Завдяки співпраці з командою певної торгової платформи, 5,3 мільйона доларів було успішно заморожено, але інші активи поки не повернуті. Ця подія загострила занепокоєння на ринку щодо управління приватними ключами централізованими біржами.
8. Промениста столиця
Сума збитків: 53 мільйони доларів США Метод атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital був зламаний хакерами. Через використання низького порогу моделі верифікації 3/11, хакери, отримавши доступ до приватних ключів 3 підписувачів, здійснили офлайн підписання, перевівши право власності на контракт гаманця на зловмисну адресу, що врешті-решт призвело до викрадення 53 мільйонів доларів. Ця атака викликала в індустрії роздуми про дизайн і механізми управління мультипідписними гаманцями.
Варто зауважити, що Radiant Capital до цієї атаки вже втратила 4,5 мільйона доларів через вразливість в контракті, понад 1900 ETH було вкрадено. Це свідчить про те, що проекти Web3 повинні підвищити увагу до безпеки.
9. Хеджі Фінанс
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Зловмисники використали вразливість в контракті ClaimCampaigns, вдало вилучивши токени з двох мереж: Ethereum та Arbitrum, загальні втрати склали 44,7 мільйона доларів США. Цей інцидент підкреслює важливість аудиту коду, особливо суворої перевірки логіки затвердження токенів.
10. BingX
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець біржі BingX був зламаний хакерами, що торкнулося кількох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron тощо. Хоча біржа швидко активувала механізми переказу активів та заморожування виведення, хакери успішно вилучили активи на загальну суму 44,7 мільйона доларів. Ця атака відображає високі ризики управління гарячими гаманцями централізованих бірж і ще більше стимулює галузь до пошуку більш безпечних рішень для зберігання активів.
Підсумок
Часті випадки атак у 2024 році ще раз нагадують нам, що розвиток індустрії блокчейну неможливий без забезпечення безпеки. Від витоку приватних ключів до вразливостей контрактів, від недоліків внутрішнього управління до вдосконалення зовнішніх атакувальних методів, кожен випадок приніс глибокі уроки. Щоб впоратися з дедалі складнішими загрозами атак, усім учасникам галузі потрібно продовжувати інвестувати в наукові дослідження, управлінські норми та управління ризиками. У майбутньому ми сподіваємося на спільну роботу в галузі та технологічні інновації для створення більш безпечного екосистеми блокчейну, щоб забезпечити надійнішу підтримку для користувачів та інвесторів.