Огляд десяти основних подій безпеки в сфері Web3 у 2024 році
У 2024 році індустрія блокчейн стикається з все більш серйозними викликами безпеки поряд із технологічними інноваціями та розширенням екосистеми. Згідно з даними платформи моніторингу безпеки, на кінець року загальні збитки у сфері Web3 через хакерські атаки, фішингові шахрайства та зникнення проектів досягли 24,91 мільярда доларів.
Ці події не лише виявили технічні недоліки, такі як управління приватними ключами та вразливості смарт-контрактів, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті буде представлено десятку найбільших подій безпеки Web3 у 2024 році, щоб галузь могла взяти уроки та краще реагувати на майбутні загрози безпеці.
1. Подія DMM Bitcoin
Сума збитків: 304 мільйони доларів США
Спосіб атаки: витік приватного ключа
31 травня 2024 року відома японська криптовалютна біржа DMM Bitcoin зазнала значної атаки. Зловмисники скористалися витоками приватних ключів для безпосереднього переміщення біткоїнів на суму понад 300 мільйонів доларів, швидко розподіливши вкрадені кошти на більше ніж 10 різних адрес. Цей інцидент виявив серйозні вразливості біржі в управлінні приватними ключами та багаторівневій безпеці. Хоча біржа намагалася відстежити хакера через моніторинг в блокчейні та заморожування коштів, через розподіл вкрадених біткоїнів та використання інструментів для змішування відстеження зіткнулося з величезними труднощами.
Наприкінці року японська поліція підтвердила, що цей злочин був спланований північнокорейським хакерським угрупуванням.
2. PlayDapp зазнав серйозного удару
Сума збитків: 290 мільйонів доларів США
Спосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозного удару. Хакери, викравши приватний ключ, випустили 2 мільярди токенів PLA на початкову вартість 36,5 мільйона доларів США. Оскільки сторона проекту не змогла досягти угоди з хакерами, ті згодом випустили ще 15,9 мільярда токенів PLA на суму 253,9 мільйона доларів США. Частина викрадених токенів потрапила на біржі, після чого PlayDapp був змушений призупинити контракт PLA та перейти на новий контракт токена PDA. Цей інцидент підкреслює недостатність захисту приватних ключів та оперативної реакції в блокчейн-проектах.
3. WazirX мультипідписний гаманець піддався атаці
Сума збитків: 235 мільйонів доларів США
Спосіб атаки: мережеві атаки та фішинг
18 липня 2024 року найбільший індійський криптовалютний обмін WazirX зазнав точного нападу на свій мультипідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії змусили підписантів мультипідпису підписати угоду про оновлення контракту, після чого скористалися правами оновленого контракту для переведення всіх активів з гаманця. Цей випадок виявив потенційні ризики мультипідписного гаманця в управлінні правами та прозорості операцій, а також викликав глибокі роздуми в індустрії щодо внутрішніх механізмів контролю ризиків проекту.
4. Вразливість контракту Gala Games була використана
Сума збитків: 216 мільйонів доларів США
Спосіб атаки: вразливість контролю доступу
20 травня 2024 року, певна привілейована адреса Gala Games була зламаною хакерами. Зловмисники, викликавши функцію mint токен-контракту, одноразово випустили 5 мільярдів токенів GALA. Після цього хакер частинами обмінював випущені токени на ETH, що безпосередньо призвело до збитків у 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через юридичні заходи повернула частину збитків.
5. Співзасновник Ripple зазнав хакерської атаки
Сума втрат: 112 мільйонів доларів США
Метод атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Криса Ларсена були зламані хакерами, що призвело до крадіжки 112 мільйонів доларів XRP. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту за допомогою апаратного обладнання. Після інциденту одна з торгових платформ успішно заморозила XRP на суму 4,2 мільйона доларів і допомогла відстежити вкрадені активи, але більшість коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Munchables зазнали внутрішнього проникнення
Загальна сума збитків: 6250 мільйонів доларів США
Метод атаки: соціальна інженерія
26 березня 2024 року веб3 платформа Munchables на базі Blast зазнала рідкісної внутрішньої атаки. Зловмисник маскувався під розробника блокчейну та, тривалий час залишаючись непоміченим, отримав доступ до основного коду та чутливих ключів. Незважаючи на величезні втрати, під тиском спільноти та команди хакер врешті-решт повернув усі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальників, особливо для блокчейн проектів, що залежать від розробки сторонніх організацій.
7. Інцидент витоку приватних ключів BtcTurk
Сума збитків: 55 мільйонів доларів США
Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів криптоактивів. Завдяки допомозі однієї з торгових платформ було успішно заморожено 5,3 мільйона доларів викрадених коштів, але інші активи досі не повернуто. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Мультипідписний гаманець Radiant Capital був зламаний
Сума збитків: 53 мільйони доларів США
Спосіб атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital зазнав хакерської атаки. Через використання низькопорога моделі перевірки підписів 3/11, хакер, отримавши приватні ключі 3 підписувачів, ініціював поза-chain підписання, передавши право власності на контракт гаманця на зловмисну адресу, що врешті-решт призвело до крадіжки 53 мільйонів доларів. Ця атака спровокувала роздуми в галузі щодо дизайну та механізмів управління мультипідписними гаманцями.
Варто зазначити, що Radiant Capital перед цією атакою вже втратила 4,5 мільйона доларів через вразливість у контракті, більше 1900 ETH було вкрадено. Це ще раз підкреслює, що проектам Web3 ще є куди вдосконалювати увагу до безпеки.
9. Вразливість контракту Hedgey Finance була використана
Сума збитків: 44,7 мільйона доларів США
Спосіб атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Хакери використали вразливість в контракті ClaimCampaigns, успішно витягнувши токени з блокчейнів Ethereum та Arbitrum, загальні втрати склали 44,7 мільйона доларів США. Цей інцидент підкреслює важливість аудиту коду, особливо щодо ретельної перевірки логіки затвердження токенів.
10. Гарячий гаманець біржі BingX був зламаний
Сума збитків: 44,7 мільйона доларів США
Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець біржі BingX був зламаний хакерами, що стосувалося багатьох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron та інших. Незважаючи на те, що біржа швидко запустила механізм заморожування активів та виведення коштів, хакери все ж змогли вилучити активи вартістю 44,7 мільйона доларів. Ця атака ще раз підкреслила високі ризики управління гарячими гаманцями централізованих бірж, спонукаючи галузь шукати більш безпечні рішення для зберігання активів.
Часті випадки безпеки у 2024 році ще раз попереджають нас про те, що розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від витоку приватних ключів до вразливостей контрактів, від недоліків внутрішнього управління до посилення зовнішніх атак, кожен інцидент приносить глибокі уроки. Щоб протистояти все більш складним загрозам атак, усім сторонам індустрії потрібно постійно посилювати інвестиції в технологічні розробки, управлінські норми та запобігання ризикам. У майбутньому ми сподіваємося, що через співпрацю в індустрії та технологічні інновації ми разом зможемо створити більш безпечну екосистему блокчейну, щоб забезпечити користувачам та інвесторам надійнішу підтримку.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Огляд безпеки Web3 2024 року: десять подій завдали збитків майже 2,5 мільярда доларів
Огляд десяти основних подій безпеки в сфері Web3 у 2024 році
У 2024 році індустрія блокчейн стикається з все більш серйозними викликами безпеки поряд із технологічними інноваціями та розширенням екосистеми. Згідно з даними платформи моніторингу безпеки, на кінець року загальні збитки у сфері Web3 через хакерські атаки, фішингові шахрайства та зникнення проектів досягли 24,91 мільярда доларів.
Ці події не лише виявили технічні недоліки, такі як управління приватними ключами та вразливості смарт-контрактів, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті буде представлено десятку найбільших подій безпеки Web3 у 2024 році, щоб галузь могла взяти уроки та краще реагувати на майбутні загрози безпеці.
1. Подія DMM Bitcoin
Сума збитків: 304 мільйони доларів США Спосіб атаки: витік приватного ключа
31 травня 2024 року відома японська криптовалютна біржа DMM Bitcoin зазнала значної атаки. Зловмисники скористалися витоками приватних ключів для безпосереднього переміщення біткоїнів на суму понад 300 мільйонів доларів, швидко розподіливши вкрадені кошти на більше ніж 10 різних адрес. Цей інцидент виявив серйозні вразливості біржі в управлінні приватними ключами та багаторівневій безпеці. Хоча біржа намагалася відстежити хакера через моніторинг в блокчейні та заморожування коштів, через розподіл вкрадених біткоїнів та використання інструментів для змішування відстеження зіткнулося з величезними труднощами.
Наприкінці року японська поліція підтвердила, що цей злочин був спланований північнокорейським хакерським угрупуванням.
2. PlayDapp зазнав серйозного удару
Сума збитків: 290 мільйонів доларів США Спосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозного удару. Хакери, викравши приватний ключ, випустили 2 мільярди токенів PLA на початкову вартість 36,5 мільйона доларів США. Оскільки сторона проекту не змогла досягти угоди з хакерами, ті згодом випустили ще 15,9 мільярда токенів PLA на суму 253,9 мільйона доларів США. Частина викрадених токенів потрапила на біржі, після чого PlayDapp був змушений призупинити контракт PLA та перейти на новий контракт токена PDA. Цей інцидент підкреслює недостатність захисту приватних ключів та оперативної реакції в блокчейн-проектах.
3. WazirX мультипідписний гаманець піддався атаці
Сума збитків: 235 мільйонів доларів США Спосіб атаки: мережеві атаки та фішинг
18 липня 2024 року найбільший індійський криптовалютний обмін WazirX зазнав точного нападу на свій мультипідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії змусили підписантів мультипідпису підписати угоду про оновлення контракту, після чого скористалися правами оновленого контракту для переведення всіх активів з гаманця. Цей випадок виявив потенційні ризики мультипідписного гаманця в управлінні правами та прозорості операцій, а також викликав глибокі роздуми в індустрії щодо внутрішніх механізмів контролю ризиків проекту.
4. Вразливість контракту Gala Games була використана
Сума збитків: 216 мільйонів доларів США Спосіб атаки: вразливість контролю доступу
20 травня 2024 року, певна привілейована адреса Gala Games була зламаною хакерами. Зловмисники, викликавши функцію mint токен-контракту, одноразово випустили 5 мільярдів токенів GALA. Після цього хакер частинами обмінював випущені токени на ETH, що безпосередньо призвело до збитків у 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через юридичні заходи повернула частину збитків.
5. Співзасновник Ripple зазнав хакерської атаки
Сума втрат: 112 мільйонів доларів США Метод атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Криса Ларсена були зламані хакерами, що призвело до крадіжки 112 мільйонів доларів XRP. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту за допомогою апаратного обладнання. Після інциденту одна з торгових платформ успішно заморозила XRP на суму 4,2 мільйона доларів і допомогла відстежити вкрадені активи, але більшість коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Munchables зазнали внутрішнього проникнення
Загальна сума збитків: 6250 мільйонів доларів США Метод атаки: соціальна інженерія
26 березня 2024 року веб3 платформа Munchables на базі Blast зазнала рідкісної внутрішньої атаки. Зловмисник маскувався під розробника блокчейну та, тривалий час залишаючись непоміченим, отримав доступ до основного коду та чутливих ключів. Незважаючи на величезні втрати, під тиском спільноти та команди хакер врешті-решт повернув усі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальників, особливо для блокчейн проектів, що залежать від розробки сторонніх організацій.
7. Інцидент витоку приватних ключів BtcTurk
Сума збитків: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів криптоактивів. Завдяки допомозі однієї з торгових платформ було успішно заморожено 5,3 мільйона доларів викрадених коштів, але інші активи досі не повернуто. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Мультипідписний гаманець Radiant Capital був зламаний
Сума збитків: 53 мільйони доларів США Спосіб атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital зазнав хакерської атаки. Через використання низькопорога моделі перевірки підписів 3/11, хакер, отримавши приватні ключі 3 підписувачів, ініціював поза-chain підписання, передавши право власності на контракт гаманця на зловмисну адресу, що врешті-решт призвело до крадіжки 53 мільйонів доларів. Ця атака спровокувала роздуми в галузі щодо дизайну та механізмів управління мультипідписними гаманцями.
Варто зазначити, що Radiant Capital перед цією атакою вже втратила 4,5 мільйона доларів через вразливість у контракті, більше 1900 ETH було вкрадено. Це ще раз підкреслює, що проектам Web3 ще є куди вдосконалювати увагу до безпеки.
9. Вразливість контракту Hedgey Finance була використана
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Хакери використали вразливість в контракті ClaimCampaigns, успішно витягнувши токени з блокчейнів Ethereum та Arbitrum, загальні втрати склали 44,7 мільйона доларів США. Цей інцидент підкреслює важливість аудиту коду, особливо щодо ретельної перевірки логіки затвердження токенів.
10. Гарячий гаманець біржі BingX був зламаний
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець біржі BingX був зламаний хакерами, що стосувалося багатьох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron та інших. Незважаючи на те, що біржа швидко запустила механізм заморожування активів та виведення коштів, хакери все ж змогли вилучити активи вартістю 44,7 мільйона доларів. Ця атака ще раз підкреслила високі ризики управління гарячими гаманцями централізованих бірж, спонукаючи галузь шукати більш безпечні рішення для зберігання активів.
Часті випадки безпеки у 2024 році ще раз попереджають нас про те, що розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від витоку приватних ключів до вразливостей контрактів, від недоліків внутрішнього управління до посилення зовнішніх атак, кожен інцидент приносить глибокі уроки. Щоб протистояти все більш складним загрозам атак, усім сторонам індустрії потрібно постійно посилювати інвестиції в технологічні розробки, управлінські норми та запобігання ризикам. У майбутньому ми сподіваємося, що через співпрацю в індустрії та технологічні інновації ми разом зможемо створити більш безпечну екосистему блокчейну, щоб забезпечити користувачам та інвесторам надійнішу підтримку.