Огляд десяти основних інцидентів безпеки у сфері Web3 у 2024 році
У 2024 році індустрія блокчейну, поряд з технологічними інноваціями та розширенням екосистеми, стикається з дедалі серйознішими викликами безпеки. За даними моніторингових платформ, на сьогоднішній день загальні збитки у сфері Web3 у 2024 році внаслідок хакерських атак, фішингових шахрайств і втечі проєктів досягають 24,91 мільярда доларів.
Ці події не лише виявили такі технічні недоліки, як управління приватними ключами, вразливості смарт-контрактів, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті ми розглянемо десять найбільших інцидентів безпеки Web3 2024 року, щоб галузь могла винести уроки та краще реагувати на майбутні загрози безпеці.
1. DMM Біткойн
Сума збитків: 3,04 мільярда доларів СШАСпосіб атаки: витік приватного ключа
31 травня 2024 року японська відома криптовалютна біржа DMM Bitcoin зазнала значної атаки. Хакери використали злиті приватні ключі для безпосереднього переведення біткоїнів на суму понад 300 мільйонів доларів, і швидко розподілили вкрадені кошти на більш ніж 10 різних адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій безпеці. Хоча біржа намагалася відстежити хакерів за допомогою моніторингу в ланцюгу та заморожування коштів, розподіл вкрадених біткоїнів та використання інструментів змішування значно ускладнили процес відстеження.
24 грудня японська поліція підтвердила, що цю атаку здійснила північнокорейська хакерська група Lazarus Group.
2. Додаток PlayDapp
Сума збитків: 2,90 мільярда доларів СШАСпосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозного удару. Хакери, викравши приватний ключ, випустили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Оскільки переговори проекту з хакерами завершилися невдало, хакери згодом випустили ще 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів США. Після часткового надходження токенів на біржі PlayDapp змушений був призупинити контракт PLA та перейти на контракт токена PDA. Цей інцидент підкреслює недостатність захисту приватних ключів та реагування на надзвичайні ситуації в блокчейн-проектах.
3. Один індійський обмін
Сума збитків: 235 мільйонів доларів СШАМетоди атаки: мережеві атаки та фішинг
18 липня 2024 року, найбільша криптовалютна біржа Індії зазнала точного нападу на свій мультипідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії змусили підписантів мультипідпису підписати угоду про оновлення контракту, після чого використали права, отримані внаслідок оновлення контракту, для переміщення всіх активів з гаманця. Цей випадок виявив потенційні ризики мультипідписних гаманців у налаштуванні управлінських прав та прозорості операцій, а також викликав глибокі роздуми в галузі щодо внутрішнього контролю проектів та механізмів безпеки.
4. Гала-ігри
Сума збитків: 216 мільйонів доларів СШАСпосіб атаки: вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламаною хакерами. Зловмисники, викликавши функцію mint токен-контракту, одночасно випустили 5 мільярдів токенів GALA. Після цього хакер частинами обміняв ці нові випущені токени на ETH, що безпосередньо призвело до збитків у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати деякі рахунки хакерів, і через юридичні канали повернула частину збитків.
5. Особистий гаманець співзасновника Ripple
Сума збитків: 1,12 мільярда доларів СШАСпосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці одного з співзасновників Ripple були зламані, внаслідок чого було викрадено XRP на суму 112 мільйонів доларів. Ці гаманці могли стати мішенню для атаки через відсутність двохфакторної автентифікації апаратних засобів. Після події одна з торгових платформ успішно заморозила XRP на суму 4,2 мільйона доларів і допомогла відстежити викрадені активи, але більша частина коштів вже була очищена через децентралізовані біржі та послуги змішування.
6. Жувальні страви
Сума збитків: 6250 мільйонів доларів СШАМетод атаки: соціальна інженерія
26 березня 2024 року веб3 ігрова платформа Munchables, основана на Blast, зазнала рідкісної внутрішньої атаки. Зловмисник, що маскувався під розробника блокчейн, довго перебував у системі, отримавши доступ до основного коду та чутливих ключів. Незважаючи на величезні збитки від атаки, під тиском спільноти та команди зловмисник врешті-решт повернув усі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальницького ланцюга, особливо для блокчейн-проектів, що залежать від сторонніх розробників.
7. Одна турецька біржа
Сума збитків: 55 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою однієї з торгових платформ вдалося заморозити вкрадені 5,3 мільйона доларів США, але інші активи досі не повернуті. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованих бірж.
8. Промениста столиця
Сума втрат: 53 мільйони доларів СШАСпосіб атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital був зламаний хакерами. Через використання низькопорогової моделі перевірки підписів 3/11, хакери, отримавши приватні ключі трьох підписувачів, ініціювали позасистемне підписування, що призвело до передачі прав власності гаманця на зловмисну адресу, внаслідок чого було вкрадено 53 мільйони доларів. Ця атака спричинила галузеві роздуми про дизайн та механізми управління мультипідписними гаманцями.
Варто зазначити, що Radiant Capital до цього нападу вже втратила 4,5 мільйона доларів через вразливість контракту, і понад 1900 ETH було вкрадено. Це ще раз підтверджує, що проєкти Web3 повинні підвищити свою увагу до безпеки.
9. Хеджі Фінанс
Сума збитків: 44,7 мільйона доларів СШАСпосіб атаки: Уразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атак на кілька смарт-контрактів. Хакери скористалися вразливістю в контракті ClaimCampaigns, успішно витягнувши токени з двох мереж - Ethereum та Arbitrum, загальні втрати склали 44,7 мільйона доларів США. Цей інцидент підкреслює важливість аудиту коду, особливо сувору перевірку логіки затвердження токенів.
10. Деяка централізована біржа
Сума збитків: 44,7 мільйона доларів СШАСпосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець однієї з бірж був зламаний хакерами, уражені ланцюги включають Ethereum, BNB Chain, Tron та інші публічні ланцюги. Незважаючи на те, що біржа швидко запустила механізм переведення активів та замороження виведення, хакери вже успішно вилучили активи на суму 44,7 мільйона доларів. Ця атака ще раз підтвердила високі ризики управління гарячими гаманцями централізованих бірж і ще більше спонукала галузь шукати більш безпечні рішення для зберігання активів.
Часті випадки атак на безпеку в 2024 році ще раз нагадують нам, що розвиток блокчейн-індустрії неможливий без надійної безпеки. Від витоку приватних ключів до вразливостей контрактів, від внутрішніх управлінських недоліків до вдосконалення зовнішніх атак, кожен випадок приносить глибокі уроки. Щоб протистояти зростаючим загрозам атак, усі учасники індустрії повинні продовжувати інвестувати в наукові дослідження, управлінські норми та управління ризиками. У майбутньому ми сподіваємося, що через співпрацю в індустрії та технологічні інновації ми зможемо спільно створити більш безпечну блокчейн-екосистему, щоб забезпечити більш надійний захист для користувачів та інвесторів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
12 лайків
Нагородити
12
8
Поділіться
Прокоментувати
0/400
TideReceder
· 22год тому
невдахи обдурювати людей, як лохів одну за одною…
Переглянути оригіналвідповісти на0
MetaverseMigrant
· 07-21 08:22
Ще один раунд обдурювання людей, як лохів завершено
Переглянути оригіналвідповісти на0
FOMOSapien
· 07-21 00:48
невдахи大同萌新本萌
Переглянути оригіналвідповісти на0
NftPhilanthropist
· 07-20 09:25
гадаю, нам потрібно більше аудитів впливу, якщо чесно...
Переглянути оригіналвідповісти на0
SadMoneyMeow
· 07-20 09:19
Знову немає грошей на купівлю локшини...
Переглянути оригіналвідповісти на0
LeverageAddict
· 07-20 09:16
Так багато хакерів заробили гроші.
Переглянути оригіналвідповісти на0
GasSavingMaster
· 07-20 09:10
Швидкість втрати грошей стала на рівні швидкості переказу грошей.
Огляд десяти найбільших інцидентів безпеки Web3 у 2024 році, збитки становлять близько 2,5 мільярда доларів
Огляд десяти основних інцидентів безпеки у сфері Web3 у 2024 році
У 2024 році індустрія блокчейну, поряд з технологічними інноваціями та розширенням екосистеми, стикається з дедалі серйознішими викликами безпеки. За даними моніторингових платформ, на сьогоднішній день загальні збитки у сфері Web3 у 2024 році внаслідок хакерських атак, фішингових шахрайств і втечі проєктів досягають 24,91 мільярда доларів.
Ці події не лише виявили такі технічні недоліки, як управління приватними ключами, вразливості смарт-контрактів, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті ми розглянемо десять найбільших інцидентів безпеки Web3 2024 року, щоб галузь могла винести уроки та краще реагувати на майбутні загрози безпеці.
1. DMM Біткойн
Сума збитків: 3,04 мільярда доларів США Спосіб атаки: витік приватного ключа
31 травня 2024 року японська відома криптовалютна біржа DMM Bitcoin зазнала значної атаки. Хакери використали злиті приватні ключі для безпосереднього переведення біткоїнів на суму понад 300 мільйонів доларів, і швидко розподілили вкрадені кошти на більш ніж 10 різних адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій безпеці. Хоча біржа намагалася відстежити хакерів за допомогою моніторингу в ланцюгу та заморожування коштів, розподіл вкрадених біткоїнів та використання інструментів змішування значно ускладнили процес відстеження.
24 грудня японська поліція підтвердила, що цю атаку здійснила північнокорейська хакерська група Lazarus Group.
2. Додаток PlayDapp
Сума збитків: 2,90 мільярда доларів США Спосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозного удару. Хакери, викравши приватний ключ, випустили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Оскільки переговори проекту з хакерами завершилися невдало, хакери згодом випустили ще 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів США. Після часткового надходження токенів на біржі PlayDapp змушений був призупинити контракт PLA та перейти на контракт токена PDA. Цей інцидент підкреслює недостатність захисту приватних ключів та реагування на надзвичайні ситуації в блокчейн-проектах.
3. Один індійський обмін
Сума збитків: 235 мільйонів доларів США Методи атаки: мережеві атаки та фішинг
18 липня 2024 року, найбільша криптовалютна біржа Індії зазнала точного нападу на свій мультипідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії змусили підписантів мультипідпису підписати угоду про оновлення контракту, після чого використали права, отримані внаслідок оновлення контракту, для переміщення всіх активів з гаманця. Цей випадок виявив потенційні ризики мультипідписних гаманців у налаштуванні управлінських прав та прозорості операцій, а також викликав глибокі роздуми в галузі щодо внутрішнього контролю проектів та механізмів безпеки.
4. Гала-ігри
Сума збитків: 216 мільйонів доларів США Спосіб атаки: вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламаною хакерами. Зловмисники, викликавши функцію mint токен-контракту, одночасно випустили 5 мільярдів токенів GALA. Після цього хакер частинами обміняв ці нові випущені токени на ETH, що безпосередньо призвело до збитків у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати деякі рахунки хакерів, і через юридичні канали повернула частину збитків.
5. Особистий гаманець співзасновника Ripple
Сума збитків: 1,12 мільярда доларів США Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці одного з співзасновників Ripple були зламані, внаслідок чого було викрадено XRP на суму 112 мільйонів доларів. Ці гаманці могли стати мішенню для атаки через відсутність двохфакторної автентифікації апаратних засобів. Після події одна з торгових платформ успішно заморозила XRP на суму 4,2 мільйона доларів і допомогла відстежити викрадені активи, але більша частина коштів вже була очищена через децентралізовані біржі та послуги змішування.
6. Жувальні страви
Сума збитків: 6250 мільйонів доларів США Метод атаки: соціальна інженерія
26 березня 2024 року веб3 ігрова платформа Munchables, основана на Blast, зазнала рідкісної внутрішньої атаки. Зловмисник, що маскувався під розробника блокчейн, довго перебував у системі, отримавши доступ до основного коду та чутливих ключів. Незважаючи на величезні збитки від атаки, під тиском спільноти та команди зловмисник врешті-решт повернув усі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальницького ланцюга, особливо для блокчейн-проектів, що залежать від сторонніх розробників.
7. Одна турецька біржа
Сума збитків: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою однієї з торгових платформ вдалося заморозити вкрадені 5,3 мільйона доларів США, але інші активи досі не повернуті. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованих бірж.
8. Промениста столиця
Сума втрат: 53 мільйони доларів США Спосіб атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital був зламаний хакерами. Через використання низькопорогової моделі перевірки підписів 3/11, хакери, отримавши приватні ключі трьох підписувачів, ініціювали позасистемне підписування, що призвело до передачі прав власності гаманця на зловмисну адресу, внаслідок чого було вкрадено 53 мільйони доларів. Ця атака спричинила галузеві роздуми про дизайн та механізми управління мультипідписними гаманцями.
Варто зазначити, що Radiant Capital до цього нападу вже втратила 4,5 мільйона доларів через вразливість контракту, і понад 1900 ETH було вкрадено. Це ще раз підтверджує, що проєкти Web3 повинні підвищити свою увагу до безпеки.
9. Хеджі Фінанс
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: Уразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атак на кілька смарт-контрактів. Хакери скористалися вразливістю в контракті ClaimCampaigns, успішно витягнувши токени з двох мереж - Ethereum та Arbitrum, загальні втрати склали 44,7 мільйона доларів США. Цей інцидент підкреслює важливість аудиту коду, особливо сувору перевірку логіки затвердження токенів.
10. Деяка централізована біржа
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець однієї з бірж був зламаний хакерами, уражені ланцюги включають Ethereum, BNB Chain, Tron та інші публічні ланцюги. Незважаючи на те, що біржа швидко запустила механізм переведення активів та замороження виведення, хакери вже успішно вилучили активи на суму 44,7 мільйона доларів. Ця атака ще раз підтвердила високі ризики управління гарячими гаманцями централізованих бірж і ще більше спонукала галузь шукати більш безпечні рішення для зберігання активів.
Часті випадки атак на безпеку в 2024 році ще раз нагадують нам, що розвиток блокчейн-індустрії неможливий без надійної безпеки. Від витоку приватних ключів до вразливостей контрактів, від внутрішніх управлінських недоліків до вдосконалення зовнішніх атак, кожен випадок приносить глибокі уроки. Щоб протистояти зростаючим загрозам атак, усі учасники індустрії повинні продовжувати інвестувати в наукові дослідження, управлінські норми та управління ризиками. У майбутньому ми сподіваємося, що через співпрацю в індустрії та технологічні інновації ми зможемо спільно створити більш безпечну блокчейн-екосистему, щоб забезпечити більш надійний захист для користувачів та інвесторів.