Обзор десяти основных инцидентов безопасности в области Web3 за 2024 год
В 2024 году блокчейн-индустрия сталкивается с все более серьезными угрозами безопасности на фоне технологических инноваций и расширения экосистемы. По данным мониторинга платформы, по состоянию на сегодня общие убытки в области Web3 в 2024 году из-за хакерских атак, фишинга и исчезновения проектных команд составляют 24,91 миллиарда долларов.
Эти события не только выявили технические недостатки, такие как управление приватными ключами и уязвимости смарт-контрактов, но и подчеркнули потенциальные риски социальной инженерии и внутреннего управления. В данной статье будет рассмотрено десять крупнейших инцидентов безопасности Web3 в 2024 году, чтобы отрасль могла извлечь уроки и лучше справляться с будущими угрозами безопасности.
1. DMM Bitcoin
Сумма убытков: 304 миллиона долларов СШАСпособ атаки: утечка частного ключа
31 мая 2024 года японская известная криптовалютная биржа DMM Bitcoin подверглась серьезной атаке. Хакеры использовали утечку закрытого ключа для прямого перевода биткойнов на сумму более 300 миллионов долларов и быстро распределили украденные средства на более чем 10 различных адресов. Этот инцидент выявил серьезные недостатки биржи в управлении закрытыми ключами и многоуровневой защите безопасности. Несмотря на попытки биржи отслеживать хакеров с помощью мониторинга в цепочке и замораживания средств, распределенный перевод украденных биткойнов и использование инструментов для смешивания значительно усложнили задачу отслеживания.
24 декабря полиция Японии подтвердила, что данная атака была осуществлена северокорейской хакерской группой Lazarus Group.
2. ПлейДапп
Сумма убытка: 290 миллионов долларов СШАСпособ атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp понес серьезный удар. Хакеры, получив доступ к приватным ключам, создали 2 миллиарда токенов PLA с первоначальной стоимостью 36,5 миллиона долларов. После неудачных переговоров между командой проекта и хакерами, последние создали еще 15,9 миллиарда токенов PLA, стоимостью 253,9 миллиона долларов. После того как часть токенов попала на биржи, PlayDapp был вынужден приостановить контракт PLA и перейти на контракт токенов PDA. Этот инцидент подчеркивает недостатки блокчейн-проектов в защите приватных ключей и экстренном реагировании.
3. Некая индийская биржа
Сумма убытков: 235 миллионов долларов СШАСпособы атаки: сетевые атаки и фишинг
18 июля 2024 года крупнейшая криптовалютная биржа Индии подверглась целенаправленной атаке на мультиподписной кошелек Safe Wallet. Злоумышленники с помощью социальной инженерии заставили подписантов мультиподписного кошелька подписать транзакцию по обновлению контракта, после чего воспользовались правами обновленного контракта для перемещения всех активов из кошелька. Этот инцидент выявил потенциальные риски мультиподписных кошельков в управлении настройками прав доступа и прозрачностью операций, а также вызвал глубокие размышления в отрасли о внутренних механизмах управления рисками и безопасности проекта.
4. Гала-игры
Сумма убытков: 216 миллионов долларов СШАСпособ атаки: Уязвимость контроля доступа
20 мая 2024 года привилегированный адрес Gala Games был взломан хакером. Злоумышленник, вызвав функцию mint токен-контракта, сразу же выпустил 5 миллиардов токенов GALA. Затем хакер поэтапно обменял эти новосозданные токены на ETH, что привело к прямым убыткам в размере 216 миллионов долларов. Команда Gala Games после инцидента срочно активировала функцию черного списка, заблокировав часть аккаунтов хакера, и через юридические меры вернула часть убытков.
5. Личный кошелек соучредителя Ripple
Сумма убытков: 112 миллионов долларов СШАСпособ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька соучредителя Ripple стали жертвами хакерской атаки, в результате которой было украдено 112 миллионов долларов XRP. Эти кошельки могли стать целью атаки из-за отсутствия двойной защиты с использованием аппаратных устройств. После инцидента одна из торговых платформ успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла в отслеживании украденных активов, но большая часть средств уже была отмыта через децентрализованные биржи и услуги микширования.
6. Мунчаблес
Сумма убытка: 62,5 миллиона долларов СШАСпособ атаки: атака социальной инженерии
26 марта 2024 года веб3 игровая платформа Munchables на основе Blast подверглась редкой внутренней атаке с проникновением. Нападающими оказались хакеры, маскирующиеся под разработчиков блокчейна, которые в течение длительного времени скрывались, чтобы получить доступ к исходному коду и чувствительным ключам. Несмотря на то, что атака привела к огромным потерям, под давлением сообщества и команды хакеры в конечном итоге вернули все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонней разработки.
7. Одна турецкая биржа
Сумма убытков: 55 миллионов долларов СШАСпособ атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке на утечку приватных ключей, в результате чего было потеряно более 55 миллионов долларов в криптоактивах. С помощью одной из торговых платформ удалось заморозить 5,3 миллиона долларов из украденных средств, но другие активы пока не возвращены. Это событие усилило беспокойство рынка по поводу управления приватными ключами централизованными биржами.
8. Радиант Капитал
Сумма убытка: 53 миллиона долларов СШАСпособ атаки: утечка частного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был атакован хакерами. Из-за использования низкопороговой модели проверки подписи 3/11 хакеры получили доступ к приватным ключам 3 подписантов и инициировали оффлайн-подпись, что привело к передаче прав собственности на контракт кошелька на злонамеренный адрес, в результате чего было похищено 53 миллиона долларов. Эта атака вызвала отраслевую рефлексию по поводу дизайна и механизма управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости в контракте до этой атаки, было украдено более 1900 ETH. Это еще раз подчеркивает, что проекты Web3 должны повысить уровень внимания к безопасности.
9. Хеджи Финанс
Сумма убытков: 44,7 миллиона долларов СШАСпособ атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в процессе одобрения контракта ClaimCampaigns и успешно вывели токены на двух цепочках: Ethereum и Arbitrum, общие потери составили 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Некоторый централизованный обменный пункт
Сумма убытков: 44,7 миллиона долларов СШАСпособ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек одной из бирж был взломан хакерами, затронутыми цепями, включая Ethereum, BNB Chain, Tron и другие публичные блокчейны. Несмотря на то, что биржа быстро активировала механизмы перевода активов и заморозки вывода, хакеры уже успели вывести активы на сумму 44,7 миллиона долларов. Эта атака снова подчеркивает высокие риски управления горячими кошельками централизованных бирж и еще больше стимулирует отрасль искать более безопасные решения для хранения активов.
Частые инциденты с безопасностью в 2024 году снова напоминают нам о том, что развитие блокчейн-индустрии невозможно без надежной защиты. От утечек частных ключей до уязвимостей в контрактах, от управленческих ошибок до усовершенствования внешних методов атак — каждый инцидент приносит глубокие уроки. Чтобы противостоять все более сложным угрозам атак, всем участникам отрасли необходимо продолжать усиливать инвестиции в научные разработки, стандарты управления и риск-менеджмент. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы сможем совместно создать более безопасную блокчейн-экосистему, обеспечивая пользователей и инвесторов более надежной защитой.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
12 Лайков
Награда
12
8
Поделиться
комментарий
0/400
TideReceder
· 16ч назад
неудачники разыгрывайте людей как лохов одну за другой…
Посмотреть ОригиналОтветить0
MetaverseMigrant
· 22ч назад
Еще один раунд разыгрывайте людей как лохов завершен
Посмотреть ОригиналОтветить0
FOMOSapien
· 07-21 00:48
неудачники大同萌新本萌
Посмотреть ОригиналОтветить0
NftPhilanthropist
· 07-20 09:25
думаю, нам нужно больше аудитов доказательства воздействия, если честно...
Посмотреть ОригиналОтветить0
SadMoneyMeow
· 07-20 09:19
Снова нет денег на лапшу быстрого приготовления...
Посмотреть ОригиналОтветить0
LeverageAddict
· 07-20 09:16
Столько хакеров заработали.
Посмотреть ОригиналОтветить0
GasSavingMaster
· 07-20 09:10
Скорость потерь денег сравнялась со скоростью их передачи.
Обзор десяти основных событий безопасности Web3 2024 года: убытки почти 2,5 миллиарда долларов
Обзор десяти основных инцидентов безопасности в области Web3 за 2024 год
В 2024 году блокчейн-индустрия сталкивается с все более серьезными угрозами безопасности на фоне технологических инноваций и расширения экосистемы. По данным мониторинга платформы, по состоянию на сегодня общие убытки в области Web3 в 2024 году из-за хакерских атак, фишинга и исчезновения проектных команд составляют 24,91 миллиарда долларов.
Эти события не только выявили технические недостатки, такие как управление приватными ключами и уязвимости смарт-контрактов, но и подчеркнули потенциальные риски социальной инженерии и внутреннего управления. В данной статье будет рассмотрено десять крупнейших инцидентов безопасности Web3 в 2024 году, чтобы отрасль могла извлечь уроки и лучше справляться с будущими угрозами безопасности.
1. DMM Bitcoin
Сумма убытков: 304 миллиона долларов США Способ атаки: утечка частного ключа
31 мая 2024 года японская известная криптовалютная биржа DMM Bitcoin подверглась серьезной атаке. Хакеры использовали утечку закрытого ключа для прямого перевода биткойнов на сумму более 300 миллионов долларов и быстро распределили украденные средства на более чем 10 различных адресов. Этот инцидент выявил серьезные недостатки биржи в управлении закрытыми ключами и многоуровневой защите безопасности. Несмотря на попытки биржи отслеживать хакеров с помощью мониторинга в цепочке и замораживания средств, распределенный перевод украденных биткойнов и использование инструментов для смешивания значительно усложнили задачу отслеживания.
24 декабря полиция Японии подтвердила, что данная атака была осуществлена северокорейской хакерской группой Lazarus Group.
2. ПлейДапп
Сумма убытка: 290 миллионов долларов США Способ атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp понес серьезный удар. Хакеры, получив доступ к приватным ключам, создали 2 миллиарда токенов PLA с первоначальной стоимостью 36,5 миллиона долларов. После неудачных переговоров между командой проекта и хакерами, последние создали еще 15,9 миллиарда токенов PLA, стоимостью 253,9 миллиона долларов. После того как часть токенов попала на биржи, PlayDapp был вынужден приостановить контракт PLA и перейти на контракт токенов PDA. Этот инцидент подчеркивает недостатки блокчейн-проектов в защите приватных ключей и экстренном реагировании.
3. Некая индийская биржа
Сумма убытков: 235 миллионов долларов США Способы атаки: сетевые атаки и фишинг
18 июля 2024 года крупнейшая криптовалютная биржа Индии подверглась целенаправленной атаке на мультиподписной кошелек Safe Wallet. Злоумышленники с помощью социальной инженерии заставили подписантов мультиподписного кошелька подписать транзакцию по обновлению контракта, после чего воспользовались правами обновленного контракта для перемещения всех активов из кошелька. Этот инцидент выявил потенциальные риски мультиподписных кошельков в управлении настройками прав доступа и прозрачностью операций, а также вызвал глубокие размышления в отрасли о внутренних механизмах управления рисками и безопасности проекта.
4. Гала-игры
Сумма убытков: 216 миллионов долларов США Способ атаки: Уязвимость контроля доступа
20 мая 2024 года привилегированный адрес Gala Games был взломан хакером. Злоумышленник, вызвав функцию mint токен-контракта, сразу же выпустил 5 миллиардов токенов GALA. Затем хакер поэтапно обменял эти новосозданные токены на ETH, что привело к прямым убыткам в размере 216 миллионов долларов. Команда Gala Games после инцидента срочно активировала функцию черного списка, заблокировав часть аккаунтов хакера, и через юридические меры вернула часть убытков.
5. Личный кошелек соучредителя Ripple
Сумма убытков: 112 миллионов долларов США Способ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька соучредителя Ripple стали жертвами хакерской атаки, в результате которой было украдено 112 миллионов долларов XRP. Эти кошельки могли стать целью атаки из-за отсутствия двойной защиты с использованием аппаратных устройств. После инцидента одна из торговых платформ успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла в отслеживании украденных активов, но большая часть средств уже была отмыта через децентрализованные биржи и услуги микширования.
6. Мунчаблес
Сумма убытка: 62,5 миллиона долларов США Способ атаки: атака социальной инженерии
26 марта 2024 года веб3 игровая платформа Munchables на основе Blast подверглась редкой внутренней атаке с проникновением. Нападающими оказались хакеры, маскирующиеся под разработчиков блокчейна, которые в течение длительного времени скрывались, чтобы получить доступ к исходному коду и чувствительным ключам. Несмотря на то, что атака привела к огромным потерям, под давлением сообщества и команды хакеры в конечном итоге вернули все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонней разработки.
7. Одна турецкая биржа
Сумма убытков: 55 миллионов долларов США Способ атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке на утечку приватных ключей, в результате чего было потеряно более 55 миллионов долларов в криптоактивах. С помощью одной из торговых платформ удалось заморозить 5,3 миллиона долларов из украденных средств, но другие активы пока не возвращены. Это событие усилило беспокойство рынка по поводу управления приватными ключами централизованными биржами.
8. Радиант Капитал
Сумма убытка: 53 миллиона долларов США Способ атаки: утечка частного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был атакован хакерами. Из-за использования низкопороговой модели проверки подписи 3/11 хакеры получили доступ к приватным ключам 3 подписантов и инициировали оффлайн-подпись, что привело к передаче прав собственности на контракт кошелька на злонамеренный адрес, в результате чего было похищено 53 миллиона долларов. Эта атака вызвала отраслевую рефлексию по поводу дизайна и механизма управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости в контракте до этой атаки, было украдено более 1900 ETH. Это еще раз подчеркивает, что проекты Web3 должны повысить уровень внимания к безопасности.
9. Хеджи Финанс
Сумма убытков: 44,7 миллиона долларов США Способ атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в процессе одобрения контракта ClaimCampaigns и успешно вывели токены на двух цепочках: Ethereum и Arbitrum, общие потери составили 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Некоторый централизованный обменный пункт
Сумма убытков: 44,7 миллиона долларов США Способ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек одной из бирж был взломан хакерами, затронутыми цепями, включая Ethereum, BNB Chain, Tron и другие публичные блокчейны. Несмотря на то, что биржа быстро активировала механизмы перевода активов и заморозки вывода, хакеры уже успели вывести активы на сумму 44,7 миллиона долларов. Эта атака снова подчеркивает высокие риски управления горячими кошельками централизованных бирж и еще больше стимулирует отрасль искать более безопасные решения для хранения активов.
Частые инциденты с безопасностью в 2024 году снова напоминают нам о том, что развитие блокчейн-индустрии невозможно без надежной защиты. От утечек частных ключей до уязвимостей в контрактах, от управленческих ошибок до усовершенствования внешних методов атак — каждый инцидент приносит глубокие уроки. Чтобы противостоять все более сложным угрозам атак, всем участникам отрасли необходимо продолжать усиливать инвестиции в научные разработки, стандарты управления и риск-менеджмент. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы сможем совместно создать более безопасную блокчейн-экосистему, обеспечивая пользователей и инвесторов более надежной защитой.