Обзор инцидентов безопасности Web3 2024 года: анализ десяти случаев атак
В 2024 году, с постоянными инновациями в технологии блокчейн и расширением экосистемы, сфера Web3 сталкивается с все более серьезными проблемами безопасности. По данным статистической платформы, к концу года общие убытки в индустрии Web3, вызванные хакерскими атаками, фишингом и злоумышленными выходами со стороны проектов, составили 2,491 миллиарда долларов.
Эти события не только выявили технические уязвимости в управлении приватными ключами и смарт-контрактами, но также подчеркнули потенциальные риски в области социального инжиниринга и внутреннего управления. В данной статье будет рассмотрено десять самых значительных инцидентов безопасности в области Web3 в 2024 году, с целью того, чтобы отрасль могла извлечь из них уроки и лучше справляться с будущими угрозами безопасности.
1. DMM Bitcoin: Утечка приватного ключа привела к убыткам в 304 миллиона долларов
31 мая 2024 года известная японская криптовалютная биржа DMM Bitcoin столкнулась с серьезным инцидентом безопасности. Злоумышленники воспользовались утечкой закрытого ключа и напрямую перевели биткойны на сумму более 300 миллионов долларов, быстро распределив украденные средства на более чем 10 различных адресов. Этот инцидент выявил серьезные недостатки биржи в управлении закрытыми ключами и многослойной безопасности.
Несмотря на то, что биржа пытается отслеживать хакеров с помощью онлайнового мониторинга и замораживания средств, работа по возврату средств сталкивается с огромными трудностями, поскольку украденные биткойны быстро перераспределяются и очищаются с помощью миксинговых инструментов. В конце года японская полиция провела расследование и пришла к выводу, что этот инцидент, вероятно, был осуществлен северокорейской хакерской группой Lazarus Group.
2. PlayDapp: Утечка приватных ключей привела к убыткам в 2,90 миллиарда долларов
9 февраля 2024 года PlayDapp столкнулся с серьезным инцидентом безопасности. Хакеры, похитив приватные ключи, успешно выпустили 2 миллиарда токенов PLA, начальная стоимость которых составила 36,5 миллиона долларов. Поскольку переговоры между проектом и хакерами потерпели неудачу, злоумышленники в короткий срок выпустили еще 15,9 миллиарда токенов PLA, стоимость которых достигла 253,9 миллиона долларов.
После того как часть украденных токенов попала на торговую платформу, PlayDapp был вынужден приостановить работу контракта PLA и перенести токены на новый контракт PDA. Этот инцидент подчеркивает недостатки блокчейн-проектов в области защиты приватных ключей и механизмов экстренного реагирования.
3. WazirX: Убытки в размере 235 миллионов долларов из-за кибератак и фишинга
18 июля 2024 года крупнейшая криптовалютная биржа Индии WazirX подверглась целенаправленной атаке на многофункциональный кошелек Safe Wallet. Злоумышленники с помощью социального инженерства уложили подписантов многофункционального кошелька одобрить сделку по обновлению контракта, а затем использовали права обновленного контракта для полного вывода активов из кошелька.
Дело выявило потенциальные риски многофункционального кошелька в области управления правами и прозрачности операций, а также вызвало глубокие размышления в отрасли о внутреннем контроле и механизмах безопасности проекта.
4. Gala Games: Уязвимость контроля доступа привела к убыткам в размере 216 миллионов долларов
20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint в контракте токенов, единовременно выпустили 5 миллиардов GALA токенов. Затем хакеры обменяли эти новые токены на ETH в несколько партий, что напрямую привело к убыткам в 216 миллионов долларов.
Команда Gala Games быстро включила функцию черного списка после инцидента, заблокировав некоторые хакерские аккаунты и частично вернув утраченные средства через судебные инстанции. Этот инцидент подчеркивает важность управления правами в контрактах.
5. Крис Ларсен: Утечка приватного ключа привела к краже XRP на сумму 112 миллионов долларов
31 января 2024 года четыре личных кошелька соучредителя Ripple Крисом Ларсеном были взломаны хакерами, в результате чего было украдено XRP на сумму 112 миллионов долларов. Эти кошельки, вероятно, стали целью атаки из-за отсутствия защиты с использованием двухфакторной аутентификации на аппаратных устройствах.
После инцидента одна из торговых платформ успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла Ларсену отследить украденные активы. Однако большая часть средств уже была отмыта через децентрализованные биржи и сервисы по смешиванию, и восстановить их будет крайне сложно.
6. Munchables: Социально-инженерные атаки привели к убыткам в 62,5 миллиона долларов
26 марта 2024 года Web3 игровая платформа Munchables на основе Blast подверглась редкой внутренней атаке с проникновением. Злоумышленники выдали себя за разработчиков блокчейна и, долго оставаясь в системе, получили доступ к основному коду и конфиденциальным ключам.
Несмотря на огромные потери от атаки, под давлением сообщества и команды хакер в конечном итоге вернул все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.
7. BtcTurk: Утечка приватных ключей привела к убыткам в 55 миллионов долларов
22 июня 2024 года крупнейшая криптовалютная биржа Турции BtcTurk подверглась атаке утечки частных ключей, в результате чего были потеряны более 55 миллионов долларов в криптоактивах. С помощью одной из торговых платформ было успешно заморожено 5,3 миллиона долларов из украденных средств, однако другие активы до сих пор не возвращены. Этот инцидент еще больше углубил опасения рынка по поводу способности централизованных бирж управлять частными ключами.
8. Radiant Capital: Уязвимость мультиподписного кошелька привела к потерям в 53 миллиона долларов
17 октября 2024 года мультиподписной кошелек Radiant Capital подвергся хакерской атаке. Из-за использования более низкого порога верификации подписей 3/11, хакеры, получив доступ к закрытым ключам трех подписантов, инициировали оффлайн-подпись и успешно перенесли право собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов.
Важно отметить, что Radiant Capital потерял 4,5 миллиона долларов и более 1900 ETH из-за уязвимости в контракте до этой атаки. Эта серия событий подчеркивает необходимость повышения осведомленности о безопасности и защитных способностей со стороны проектов Web3.
9. Hedgey Finance: Уязвимость контракта привела к убыткам в 44,7 миллиона долларов
19 апреля 2024 года Hedgey Finance подверглась атаке на несколько смарт-контрактов. Хакеры использовали уязвимость одобрения в контракте ClaimCampaigns и успешно извлекли токены с цепей Ethereum и Arbitrum, общая сумма убытков составила 44,7 миллиона долларов.
Это событие еще раз подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. BingX: Ущерб в 44,7 миллиона долларов из-за взлома горячего кошелька
19 сентября 2024 года горячий кошелек одной торговой платформы был взломан хакерами, затронутые цепочки включают Ethereum, BNB Chain, Tron и другие публичные цепочки. Несмотря на то, что биржа быстро запустила механизмы перевода активов и заморозки выводов, хакеры все же смогли вывести активы на сумму 44,7 миллиона долларов.
Эта атака вновь продемонстрировала высокие риски управления горячими кошельками централизованных бирж и подтолкнула индустрию к дальнейшему исследованию более безопасных решений для хранения активов.
Заключение
Частые инциденты безопасности в 2024 году еще раз напоминают нам о том, что здоровое развитие блокчейн-индустрии невозможно без надежной безопасности. От утечек приватных ключей до уязвимостей в контрактах, от внутреннего управления до усовершенствования методов внешних атак — каждый инцидент бьет тревогу для отрасли.
Чтобы справиться с все более сложными угрозами атак, сторонам в отрасли необходимо продолжать увеличивать инвестиции в научно-исследовательские разработки, управление стандартами и управление рисками. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы сможем совместно создать более безопасную и надежную экосистему блокчейна, чтобы обеспечить лучшую защиту для пользователей и инвесторов.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
18 Лайков
Награда
18
6
Поделиться
комментарий
0/400
DataOnlooker
· 15ч назад
Эти деньги зарабатывать слишком легко 8
Посмотреть ОригиналОтветить0
ImaginaryWhale
· 07-21 08:58
Ай-ай, Хакер все разбогатели.
Посмотреть ОригиналОтветить0
BridgeJumper
· 07-21 08:56
Трава снова взорвалась на деньги
Посмотреть ОригиналОтветить0
GweiObserver
· 07-21 08:54
Это звук, когда неудачники были разыграны как лохи~
Посмотреть ОригиналОтветить0
CryptoSourGrape
· 07-21 08:46
Снова разыгрывайте людей как лохов. Они разыгрывают других, а я разыгрываю себя.
Анализ десяти крупнейших инцидентов безопасности Web3 в 2024 году: убытки почти 2,5 миллиарда долларов
Обзор инцидентов безопасности Web3 2024 года: анализ десяти случаев атак
В 2024 году, с постоянными инновациями в технологии блокчейн и расширением экосистемы, сфера Web3 сталкивается с все более серьезными проблемами безопасности. По данным статистической платформы, к концу года общие убытки в индустрии Web3, вызванные хакерскими атаками, фишингом и злоумышленными выходами со стороны проектов, составили 2,491 миллиарда долларов.
Эти события не только выявили технические уязвимости в управлении приватными ключами и смарт-контрактами, но также подчеркнули потенциальные риски в области социального инжиниринга и внутреннего управления. В данной статье будет рассмотрено десять самых значительных инцидентов безопасности в области Web3 в 2024 году, с целью того, чтобы отрасль могла извлечь из них уроки и лучше справляться с будущими угрозами безопасности.
1. DMM Bitcoin: Утечка приватного ключа привела к убыткам в 304 миллиона долларов
31 мая 2024 года известная японская криптовалютная биржа DMM Bitcoin столкнулась с серьезным инцидентом безопасности. Злоумышленники воспользовались утечкой закрытого ключа и напрямую перевели биткойны на сумму более 300 миллионов долларов, быстро распределив украденные средства на более чем 10 различных адресов. Этот инцидент выявил серьезные недостатки биржи в управлении закрытыми ключами и многослойной безопасности.
Несмотря на то, что биржа пытается отслеживать хакеров с помощью онлайнового мониторинга и замораживания средств, работа по возврату средств сталкивается с огромными трудностями, поскольку украденные биткойны быстро перераспределяются и очищаются с помощью миксинговых инструментов. В конце года японская полиция провела расследование и пришла к выводу, что этот инцидент, вероятно, был осуществлен северокорейской хакерской группой Lazarus Group.
2. PlayDapp: Утечка приватных ключей привела к убыткам в 2,90 миллиарда долларов
9 февраля 2024 года PlayDapp столкнулся с серьезным инцидентом безопасности. Хакеры, похитив приватные ключи, успешно выпустили 2 миллиарда токенов PLA, начальная стоимость которых составила 36,5 миллиона долларов. Поскольку переговоры между проектом и хакерами потерпели неудачу, злоумышленники в короткий срок выпустили еще 15,9 миллиарда токенов PLA, стоимость которых достигла 253,9 миллиона долларов.
После того как часть украденных токенов попала на торговую платформу, PlayDapp был вынужден приостановить работу контракта PLA и перенести токены на новый контракт PDA. Этот инцидент подчеркивает недостатки блокчейн-проектов в области защиты приватных ключей и механизмов экстренного реагирования.
3. WazirX: Убытки в размере 235 миллионов долларов из-за кибератак и фишинга
18 июля 2024 года крупнейшая криптовалютная биржа Индии WazirX подверглась целенаправленной атаке на многофункциональный кошелек Safe Wallet. Злоумышленники с помощью социального инженерства уложили подписантов многофункционального кошелька одобрить сделку по обновлению контракта, а затем использовали права обновленного контракта для полного вывода активов из кошелька.
Дело выявило потенциальные риски многофункционального кошелька в области управления правами и прозрачности операций, а также вызвало глубокие размышления в отрасли о внутреннем контроле и механизмах безопасности проекта.
4. Gala Games: Уязвимость контроля доступа привела к убыткам в размере 216 миллионов долларов
20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint в контракте токенов, единовременно выпустили 5 миллиардов GALA токенов. Затем хакеры обменяли эти новые токены на ETH в несколько партий, что напрямую привело к убыткам в 216 миллионов долларов.
Команда Gala Games быстро включила функцию черного списка после инцидента, заблокировав некоторые хакерские аккаунты и частично вернув утраченные средства через судебные инстанции. Этот инцидент подчеркивает важность управления правами в контрактах.
5. Крис Ларсен: Утечка приватного ключа привела к краже XRP на сумму 112 миллионов долларов
31 января 2024 года четыре личных кошелька соучредителя Ripple Крисом Ларсеном были взломаны хакерами, в результате чего было украдено XRP на сумму 112 миллионов долларов. Эти кошельки, вероятно, стали целью атаки из-за отсутствия защиты с использованием двухфакторной аутентификации на аппаратных устройствах.
После инцидента одна из торговых платформ успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла Ларсену отследить украденные активы. Однако большая часть средств уже была отмыта через децентрализованные биржи и сервисы по смешиванию, и восстановить их будет крайне сложно.
6. Munchables: Социально-инженерные атаки привели к убыткам в 62,5 миллиона долларов
26 марта 2024 года Web3 игровая платформа Munchables на основе Blast подверглась редкой внутренней атаке с проникновением. Злоумышленники выдали себя за разработчиков блокчейна и, долго оставаясь в системе, получили доступ к основному коду и конфиденциальным ключам.
Несмотря на огромные потери от атаки, под давлением сообщества и команды хакер в конечном итоге вернул все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.
7. BtcTurk: Утечка приватных ключей привела к убыткам в 55 миллионов долларов
22 июня 2024 года крупнейшая криптовалютная биржа Турции BtcTurk подверглась атаке утечки частных ключей, в результате чего были потеряны более 55 миллионов долларов в криптоактивах. С помощью одной из торговых платформ было успешно заморожено 5,3 миллиона долларов из украденных средств, однако другие активы до сих пор не возвращены. Этот инцидент еще больше углубил опасения рынка по поводу способности централизованных бирж управлять частными ключами.
8. Radiant Capital: Уязвимость мультиподписного кошелька привела к потерям в 53 миллиона долларов
17 октября 2024 года мультиподписной кошелек Radiant Capital подвергся хакерской атаке. Из-за использования более низкого порога верификации подписей 3/11, хакеры, получив доступ к закрытым ключам трех подписантов, инициировали оффлайн-подпись и успешно перенесли право собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов.
Важно отметить, что Radiant Capital потерял 4,5 миллиона долларов и более 1900 ETH из-за уязвимости в контракте до этой атаки. Эта серия событий подчеркивает необходимость повышения осведомленности о безопасности и защитных способностей со стороны проектов Web3.
9. Hedgey Finance: Уязвимость контракта привела к убыткам в 44,7 миллиона долларов
19 апреля 2024 года Hedgey Finance подверглась атаке на несколько смарт-контрактов. Хакеры использовали уязвимость одобрения в контракте ClaimCampaigns и успешно извлекли токены с цепей Ethereum и Arbitrum, общая сумма убытков составила 44,7 миллиона долларов.
Это событие еще раз подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. BingX: Ущерб в 44,7 миллиона долларов из-за взлома горячего кошелька
19 сентября 2024 года горячий кошелек одной торговой платформы был взломан хакерами, затронутые цепочки включают Ethereum, BNB Chain, Tron и другие публичные цепочки. Несмотря на то, что биржа быстро запустила механизмы перевода активов и заморозки выводов, хакеры все же смогли вывести активы на сумму 44,7 миллиона долларов.
Эта атака вновь продемонстрировала высокие риски управления горячими кошельками централизованных бирж и подтолкнула индустрию к дальнейшему исследованию более безопасных решений для хранения активов.
Заключение
Частые инциденты безопасности в 2024 году еще раз напоминают нам о том, что здоровое развитие блокчейн-индустрии невозможно без надежной безопасности. От утечек приватных ключей до уязвимостей в контрактах, от внутреннего управления до усовершенствования методов внешних атак — каждый инцидент бьет тревогу для отрасли.
Чтобы справиться с все более сложными угрозами атак, сторонам в отрасли необходимо продолжать увеличивать инвестиции в научно-исследовательские разработки, управление стандартами и управление рисками. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы сможем совместно создать более безопасную и надежную экосистему блокчейна, чтобы обеспечить лучшую защиту для пользователей и инвесторов.