В 2024 году блокчейн-индустрия, наряду с техническими инновациями и расширением экосистемы, также сталкивается с все более серьезными вызовами безопасности. По данным, на данный момент общие убытки в области Web3 в 2024 году из-за хакерских атак, фишинга и мошенничества со стороны проектов составляют 2,491 миллиарда долларов.
Эти события не только выявили недостатки в управлении приватными ключами и уязвимостях смарт-контрактов на техническом уровне, но и подчеркнули потенциальные риски в области социального инжиниринга и внутреннего управления. Давайте вместе вспомним о десяти самых значительных инцидентах безопасности в области Web3 в 2024 году, чтобы извлечь уроки из них и лучше подготовиться к будущим угрозам безопасности.
1. Крупная атака на одну японскую криптовалютную биржу
Сумма убытков: 304 миллиона долларов СШАСпособ атаки: утечка закрытого ключа
31 мая 2024 года одна из известных японских криптовалютных бирж подверглась исторической атаке. Злоумышленники использовали скомпрометированные приватные ключи для прямого перевода биткойнов на сумму более 300 миллионов долларов и быстро распределили украденные средства на более чем 10 различных адресов. Эта атака выявила серьезные недостатки биржи в управлении приватными ключами и многоуровневой безопасности. Несмотря на то, что биржа попыталась отследить хакера с помощью мониторинга в цепочке и замораживания средств, украденные биткойны были распределены и использованы с инструментами для микширования, что создало большие трудности для отслеживания.
24 декабря японская полиция установила, что кража в этой бирже была совершена международной хакерской группой.
2. PlayDapp понес значительные потери
Сумма убытков: 290 миллионов долларов СШАСпособ атаки: Утечка частного ключа
9 февраля 2024 года PlayDapp понес серьезный удар: хакеры, похитив приватные ключи, создали 2 миллиарда токенов PLA, начальная стоимость которых составила 36,5 миллиона долларов. Поскольку переговоры между командой проекта и хакерами не увенчались успехом, хакеры в короткие сроки создали еще 15,9 миллиарда токенов PLA, стоимость которых составила 253,9 миллиона долларов. После того как часть этих токенов попала на одну из бирж, PlayDapp был вынужден приостановить контракт на PLA и перейти на контракт токена PDA. Этот инцидент подчеркивает недостатки блокчейн-проектов в защите приватных ключей и в экстренном реагировании на инциденты.
3. Крупнейшая криптовалютная биржа Индии подверглась точной атаке
Сумма убытков: 235 миллионов долларов СШАСпособы атаки: сетевые атаки и фишинг
18 июля 2024 года крупнейшая криптовалютная биржа Индии подверглась целенаправленной атаке хакеров на мультиподписной кошелек Safe Wallet. Злоумышленники с помощью социальной инженерии заставили подписантов мультиподписного кошелька подписать сделку по обновлению контракта, а затем использовали права, полученные от обновленного контракта, чтобы полностью вывести активы из кошелька. Этот случай подчеркивает потенциальные риски мультиподписных кошельков в управлении настройками прав и прозрачности операций, а также вызывает глубокое размышление в отрасли о внутреннем контроле рисков и механизмах безопасности проектов.
4. Gala Games столкнулись с атакой на привилегированные адреса
Сумма убытков: 216 миллионов долларов СШАСпособ атаки: уязвимость контроля доступа
20 мая 2024 года, адрес с привилегиями Gala Games был взломан хакерами, которые, вызвав функцию mint в контракте токена, единовременно выпустили 5 миллиардов токенов GALA. Затем хакеры обменяли выпущенные токены на ETH партиями, что непосредственно привело к убыткам в размере 216 миллионов долларов. Команда Gala Games после произошедшего экстренно активировала функцию черного списка, чтобы заблокировать часть аккаунтов хакеров, и через судебные инстанции попыталась вернуть убытки.
5. Личный кошелек соучредителя Ripple подвергся атаке хакеров
Сумма убытков: 112 миллионов долларов СШАСпособ атаки: Утечка приватного ключа
31 января 2024 года четыре личных кошелька соучредителя Ripple Крис Ларсена были взломаны хакерами, в результате чего было украдено 112 миллионов долларов XRP. Эти кошельки, вероятно, стали мишенью для атаки из-за отсутствия двойной защиты аппаратных устройств. После инцидента одна крупная биржа успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла Ларсену отслеживать украденные активы, но большая часть средств уже была отмыта через децентрализованные биржи и услуги смешивания.
6. Munchables столкнулись с внутренней атакой на проникновение
Сумма убытков: 6250 миллионов долларов СШАСпособ атаки: Социальная инженерия
26 марта 2024 года игровая платформа Munchables на базе Blast столкнулась с редким внутренним проникающим нападением. Злоумышленники, маскирующиеся под разработчиков блокчейна, долгое время скрывались, чтобы получить доступ к исходному коду и конфиденциальным ключам. Несмотря на то, что атака привела к огромным потерям, в конечном итоге, под давлением сообщества и команды, хакеры вернули все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.
7. Крупнейшая криптовалютная биржа Турции подверглась атаке
Сумма убытка: 55 миллионов долларов СШАСпособ атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке из-за утечки приватных ключей, в результате чего было потеряно более 55 миллионов долларов в криптоактивах. При содействии команды одной из бирж удалось заморозить 5,3 миллиона долларов похищенных средств, но другие активы все еще не были возвращены. Этот инцидент усилил опасения рынка по поводу управления приватными ключами централизованными биржами.
8. Мультиподписной кошелек Radiant Capital был взломан
Сумма убытков: 53 миллиона долларов СШАСпособ атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Поскольку он использовал низкий порог верификации с 3/11 подписями, хакеры, получив доступ к закрытым ключам 3 подписантов, инициировали оффлайн-подпись и перенесли право собственности на контракт кошелька на злонамеренный адрес, что в итоге привело к краже 53 миллионов долларов. Эта атака вызвала в индустрии размышления о дизайне и механизмах управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости контракта до этой атаки, было украдено более 1900 ETH. Это подчеркивает необходимость повышения уровня безопасности для проектов Web3.
9. Hedgey Finance столкнулся с атакой на мультисетевые контракты
Сумма убытков: 44,7 миллиона долларов СШАСпособ атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость одобрения в контракте ClaimCampaigns и успешно извлекли токены на двух цепочках: Ethereum и Arbitrum, общая сумма убытков составила 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек известной биржи был взломан
Сумма убытков: 44,7 миллиона долларов СШАСпособ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек одной известной биржи был взломан хакерами, затронуты такие сети, как Ethereum, BNB Chain, Tron и другие публичные блокчейны. Несмотря на то что биржа быстро активировала механизмы перевода активов и заморозки выводов, хакеры успешно вывели активы на сумму 44,7 миллиона долларов. Эта атака отражает высокие риски управления горячими кошельками централизованных бирж и далее подталкивает отрасль к поиску более безопасных решений для хранения активов.
Частые инциденты безопасности в 2024 году еще раз напоминают нам о том, что развитие блокчейн-индустрии невозможно без обеспечения безопасности. От утечки приватных ключей до уязвимостей в контрактах, от недостатков внутреннего управления до повышения уровня внешних атак — каждое происшествие приносит глубокие уроки. Чтобы справиться с все более сложными угрозами атак, всем участникам отрасли необходимо продолжать увеличивать инвестиции в разработку технологий, управление стандартами и предотвращение рисков. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы сможем совместно создать более безопасную экосистему блокчейна, предоставляя пользователям и инвесторам более надежную защиту.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Обзор десяти крупнейших инцидентов безопасности Web3 в 2024 году: убытки почти 2,5 миллиарда долларов
Топ-10 событий безопасности Web3 в 2024 году
В 2024 году блокчейн-индустрия, наряду с техническими инновациями и расширением экосистемы, также сталкивается с все более серьезными вызовами безопасности. По данным, на данный момент общие убытки в области Web3 в 2024 году из-за хакерских атак, фишинга и мошенничества со стороны проектов составляют 2,491 миллиарда долларов.
Эти события не только выявили недостатки в управлении приватными ключами и уязвимостях смарт-контрактов на техническом уровне, но и подчеркнули потенциальные риски в области социального инжиниринга и внутреннего управления. Давайте вместе вспомним о десяти самых значительных инцидентах безопасности в области Web3 в 2024 году, чтобы извлечь уроки из них и лучше подготовиться к будущим угрозам безопасности.
1. Крупная атака на одну японскую криптовалютную биржу
Сумма убытков: 304 миллиона долларов США Способ атаки: утечка закрытого ключа
31 мая 2024 года одна из известных японских криптовалютных бирж подверглась исторической атаке. Злоумышленники использовали скомпрометированные приватные ключи для прямого перевода биткойнов на сумму более 300 миллионов долларов и быстро распределили украденные средства на более чем 10 различных адресов. Эта атака выявила серьезные недостатки биржи в управлении приватными ключами и многоуровневой безопасности. Несмотря на то, что биржа попыталась отследить хакера с помощью мониторинга в цепочке и замораживания средств, украденные биткойны были распределены и использованы с инструментами для микширования, что создало большие трудности для отслеживания.
24 декабря японская полиция установила, что кража в этой бирже была совершена международной хакерской группой.
2. PlayDapp понес значительные потери
Сумма убытков: 290 миллионов долларов США Способ атаки: Утечка частного ключа
9 февраля 2024 года PlayDapp понес серьезный удар: хакеры, похитив приватные ключи, создали 2 миллиарда токенов PLA, начальная стоимость которых составила 36,5 миллиона долларов. Поскольку переговоры между командой проекта и хакерами не увенчались успехом, хакеры в короткие сроки создали еще 15,9 миллиарда токенов PLA, стоимость которых составила 253,9 миллиона долларов. После того как часть этих токенов попала на одну из бирж, PlayDapp был вынужден приостановить контракт на PLA и перейти на контракт токена PDA. Этот инцидент подчеркивает недостатки блокчейн-проектов в защите приватных ключей и в экстренном реагировании на инциденты.
3. Крупнейшая криптовалютная биржа Индии подверглась точной атаке
Сумма убытков: 235 миллионов долларов США Способы атаки: сетевые атаки и фишинг
18 июля 2024 года крупнейшая криптовалютная биржа Индии подверглась целенаправленной атаке хакеров на мультиподписной кошелек Safe Wallet. Злоумышленники с помощью социальной инженерии заставили подписантов мультиподписного кошелька подписать сделку по обновлению контракта, а затем использовали права, полученные от обновленного контракта, чтобы полностью вывести активы из кошелька. Этот случай подчеркивает потенциальные риски мультиподписных кошельков в управлении настройками прав и прозрачности операций, а также вызывает глубокое размышление в отрасли о внутреннем контроле рисков и механизмах безопасности проектов.
4. Gala Games столкнулись с атакой на привилегированные адреса
Сумма убытков: 216 миллионов долларов США Способ атаки: уязвимость контроля доступа
20 мая 2024 года, адрес с привилегиями Gala Games был взломан хакерами, которые, вызвав функцию mint в контракте токена, единовременно выпустили 5 миллиардов токенов GALA. Затем хакеры обменяли выпущенные токены на ETH партиями, что непосредственно привело к убыткам в размере 216 миллионов долларов. Команда Gala Games после произошедшего экстренно активировала функцию черного списка, чтобы заблокировать часть аккаунтов хакеров, и через судебные инстанции попыталась вернуть убытки.
5. Личный кошелек соучредителя Ripple подвергся атаке хакеров
Сумма убытков: 112 миллионов долларов США Способ атаки: Утечка приватного ключа
31 января 2024 года четыре личных кошелька соучредителя Ripple Крис Ларсена были взломаны хакерами, в результате чего было украдено 112 миллионов долларов XRP. Эти кошельки, вероятно, стали мишенью для атаки из-за отсутствия двойной защиты аппаратных устройств. После инцидента одна крупная биржа успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла Ларсену отслеживать украденные активы, но большая часть средств уже была отмыта через децентрализованные биржи и услуги смешивания.
6. Munchables столкнулись с внутренней атакой на проникновение
Сумма убытков: 6250 миллионов долларов США Способ атаки: Социальная инженерия
26 марта 2024 года игровая платформа Munchables на базе Blast столкнулась с редким внутренним проникающим нападением. Злоумышленники, маскирующиеся под разработчиков блокчейна, долгое время скрывались, чтобы получить доступ к исходному коду и конфиденциальным ключам. Несмотря на то, что атака привела к огромным потерям, в конечном итоге, под давлением сообщества и команды, хакеры вернули все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.
7. Крупнейшая криптовалютная биржа Турции подверглась атаке
Сумма убытка: 55 миллионов долларов США Способ атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке из-за утечки приватных ключей, в результате чего было потеряно более 55 миллионов долларов в криптоактивах. При содействии команды одной из бирж удалось заморозить 5,3 миллиона долларов похищенных средств, но другие активы все еще не были возвращены. Этот инцидент усилил опасения рынка по поводу управления приватными ключами централизованными биржами.
8. Мультиподписной кошелек Radiant Capital был взломан
Сумма убытков: 53 миллиона долларов США Способ атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Поскольку он использовал низкий порог верификации с 3/11 подписями, хакеры, получив доступ к закрытым ключам 3 подписантов, инициировали оффлайн-подпись и перенесли право собственности на контракт кошелька на злонамеренный адрес, что в итоге привело к краже 53 миллионов долларов. Эта атака вызвала в индустрии размышления о дизайне и механизмах управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости контракта до этой атаки, было украдено более 1900 ETH. Это подчеркивает необходимость повышения уровня безопасности для проектов Web3.
9. Hedgey Finance столкнулся с атакой на мультисетевые контракты
Сумма убытков: 44,7 миллиона долларов США Способ атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость одобрения в контракте ClaimCampaigns и успешно извлекли токены на двух цепочках: Ethereum и Arbitrum, общая сумма убытков составила 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек известной биржи был взломан
Сумма убытков: 44,7 миллиона долларов США Способ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек одной известной биржи был взломан хакерами, затронуты такие сети, как Ethereum, BNB Chain, Tron и другие публичные блокчейны. Несмотря на то что биржа быстро активировала механизмы перевода активов и заморозки выводов, хакеры успешно вывели активы на сумму 44,7 миллиона долларов. Эта атака отражает высокие риски управления горячими кошельками централизованных бирж и далее подталкивает отрасль к поиску более безопасных решений для хранения активов.
Частые инциденты безопасности в 2024 году еще раз напоминают нам о том, что развитие блокчейн-индустрии невозможно без обеспечения безопасности. От утечки приватных ключей до уязвимостей в контрактах, от недостатков внутреннего управления до повышения уровня внешних атак — каждое происшествие приносит глубокие уроки. Чтобы справиться с все более сложными угрозами атак, всем участникам отрасли необходимо продолжать увеличивать инвестиции в разработку технологий, управление стандартами и предотвращение рисков. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы сможем совместно создать более безопасную экосистему блокчейна, предоставляя пользователям и инвесторам более надежную защиту.