Обзор десяти самых крупных инцидентов безопасности в области Web3 за 2024 год
С развитием технологий блокчейн в 2024 году индустрия Web3, наряду с инновациями и расширением, также сталкивается с все более серьезными проблемами безопасности. Согласно данным мониторинговой платформы, к концу года общие потери в области Web3 из-за хакерских атак, мошенничества и ухода проектов составят 24,91 миллиарда долларов.
Эти события не только выявили технические недостатки в управлении приватными ключами, смарт-контрактах и других аспектах, но и подчеркнули потенциальные риски, связанные с социальной инженерией и внутренним управлением. В этой статье будут рассмотрены десять крупнейших инцидентов безопасности в Web3 в 2024 году, чтобы помочь отрасли извлечь уроки и лучше справляться с будущими угрозами безопасности.
1. Некоторой японской криптовалютной бирже был нанесен серьезный удар
Сумма убытков: 304 миллиона долларов США
Способ атаки: утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа столкнулась с исторической атакой. Хакеры использовали скомпрометированные приватные ключи для непосредственного перевода биткойнов на сумму более 300 миллионов долларов, быстро распределив украденные средства на более чем 10 различных адресов. Этот инцидент выявил серьезные недостатки биржи в управлении приватными ключами и многоуровневой системе безопасности. Несмотря на то, что биржа пыталась отследить хакеров с помощью мониторинга в блокчейне и замораживания средств, украденные биткойны были распределены и очищены с помощью инструментов смешивания, что создало огромные трудности для работы по отслеживанию.
В конце года японская полиция подтвердила, что эту атаку осуществила одна из хакерских групп Северной Кореи.
2. PlayDapp понес серьезные потери
Сумма убытков: 290 миллионов долларов США
Способ атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp подвергся серьезной атаке. Хакеры, завладев частными ключами, выпустили 2 миллиарда токенов PLA, начальная стоимость которых составила 36,5 миллиона долларов. После неудачных переговоров с хакерами они выпустили еще 15,9 миллиарда токенов PLA, стоимость которых составила 253,9 миллиона долларов. После того как часть токенов поступила на биржу, PlayDapp был вынужден приостановить контракт на PLA и перейти на новый контракт токенов. Этот инцидент подчеркивает недостатки проектов на базе блокчейна в защите частных ключей и экстренной реакции.
3. Одна индийская криптовалютная биржа подверглась целевому нападению
Сумма убытков: 235 миллионов долларов США
Способы атаки: сетевые атаки и фишинг
18 июля 2024 года крупнейшая криптовалютная биржа Индии подверглась целенаправленной атаке хакеров на мультиподписной кошелек Safe Wallet. Злоумышленники с помощью социальной инженерии заставили подписантов мультиподписного кошелька подписать сделку по обновлению контракта, после чего использовали права обновленного контракта для перемещения всех активов из кошелька. Этот случай выявил потенциальные риски мультиподписных кошельков в отношении конфигурации прав и прозрачности операций, а также вызвал глубокие размышления в отрасли о внутренних механизмах управления рисками и безопасности проектов.
4. Gala Games столкнулись с атакой на увеличение эмиссии токенов
Сумма убытков: 216 миллионов долларов США
Способы атаки: уязвимости контроля доступа
20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint в токен-контракте, за один раз выпустили 5 миллиардов токенов GALA. Затем хакеры поэтапно обменяли эти токены на ETH, что привело к убыткам в размере 216 миллионов долларов. Команда Gala Games после происшествия срочно активировала функцию черного списка, чтобы заблокировать некоторые счета хакеров, и через судебные методы вернула часть убытков.
5. Основатель известного проекта цифровой валюты стал жертвой атаки на личный кошелек
Сумма убытка: 112 миллионов долларов США
Способ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька одного из соучредителей известного проекта цифровой валюты были взломаны хакерами, что привело к краже 112 миллионов долларов XRP. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты с помощью аппаратных устройств. После инцидента одна крупная биржа успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла в отслеживании украденных активов, однако большая часть средств была вымыта через децентрализованные биржи и сервисы микширования.
6. Munchables столкнулся с внутренней атакой внедрения
Сумма убытков: 62,5 миллиона долларов США
Способы атаки: атака социальной инженерии
26 марта 2024 года веб3 игровая платформа Munchables на базе Blast столкнулась с редким внутренним проникновением. Злоумышленник, выдававший себя за разработчика блокчейна, в течение длительного времени скрывался, чтобы получить доступ к исходному коду и чувствительным ключам. Несмотря на то, что атака привела к огромным потерям, под давлением сообщества и команды злоумышленник в конечном итоге вернул все похищенные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависимых от сторонней разработки.
Сумма убытков: 55 миллионов долларов США
Способы атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке утечки приватных ключей, в результате чего потеряно более 55 миллионов долларов в криптоактивах. При содействии одной из крупных бирж удалось заморозить 5,3 миллиона долларов украденных средств, однако другие активы до сих пор не возвращены. Этот инцидент усилил беспокойство рынка по поводу управления приватными ключами централизованными биржами.
8. Мультиподписной кошелек Radiant Capital подвергся атаке
Сумма убытков: 53 миллиона долларов США
Способ атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования низкопороговой модели подтверждения подписей 3/11 хакеры, получив доступ к приватным ключам 3 подписантов, инициировали оффлайн-подпись и передали право собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала отраслевую рефлексию по поводу дизайна и механизмов управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости контракта до этой атаки, более 1900 ETH было украдено. Это еще раз напоминает проектам Web3 о необходимости более серьезно относиться к вопросам безопасности.
9. Hedgey Finance подвергся атаке на мультичейновые контракты
Сумма потерь: 44,7 миллиона долларов США
Способ атаки: уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры воспользовались уязвимостью одобрения в контракте ClaimCampaigns, успешно извлекая токены на двух цепочках: Ethereum и Arbitrum, общие убытки составили 44,7 миллиона долларов. Этот инцидент подчеркнул важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек определенной криптовалютной биржи был взломан
Сумма убытков: 44,7 миллиона долларов США
Способ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек одной криптовалютной биржи был взломан хакерами, в результате чего пострадали несколько блокчейнов, включая Ethereum, BNB Chain, Tron и другие публичные цепочки. Несмотря на то, что биржа быстро запустила механизм перевода активов и заморозки вывода, хакеры успешно извлекли активы на сумму 44,7 миллиона долларов. Эта атака отражает высокие риски управления горячими кошельками централизованных бирж и дополнительно подталкивает отрасль к поиску более безопасных решений для хранения активов.
Заключение
Частые инциденты безопасности в 2024 году вновь напоминают нам о том, что развитие блокчейн-индустрии невозможно без надежной защиты. От утечек приватных ключей до уязвимостей в контрактах, от внутренних управленческих недочетов до усовершенствования внешних методов атак — каждое из этих событий принесло глубокие уроки. Чтобы справиться с все более сложными угрозами атак, всем сторонам в отрасли необходимо продолжать усиливать инвестиции в научно-исследовательские разработки, нормативное управление и профилактику рисков. В будущем мы надеемся, что благодаря сотрудничеству в отрасли и технологическим инновациям мы совместно создадим более безопасную блокчейн-экосистему, предоставляющую пользователям и инвесторам более надежную защиту.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Топ-10 инцидентов безопасности в индустрии Web3 в 2024 году с общими убытками в 24,91 миллиарда долларов США
Обзор десяти самых крупных инцидентов безопасности в области Web3 за 2024 год
С развитием технологий блокчейн в 2024 году индустрия Web3, наряду с инновациями и расширением, также сталкивается с все более серьезными проблемами безопасности. Согласно данным мониторинговой платформы, к концу года общие потери в области Web3 из-за хакерских атак, мошенничества и ухода проектов составят 24,91 миллиарда долларов.
Эти события не только выявили технические недостатки в управлении приватными ключами, смарт-контрактах и других аспектах, но и подчеркнули потенциальные риски, связанные с социальной инженерией и внутренним управлением. В этой статье будут рассмотрены десять крупнейших инцидентов безопасности в Web3 в 2024 году, чтобы помочь отрасли извлечь уроки и лучше справляться с будущими угрозами безопасности.
1. Некоторой японской криптовалютной бирже был нанесен серьезный удар
Сумма убытков: 304 миллиона долларов США Способ атаки: утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа столкнулась с исторической атакой. Хакеры использовали скомпрометированные приватные ключи для непосредственного перевода биткойнов на сумму более 300 миллионов долларов, быстро распределив украденные средства на более чем 10 различных адресов. Этот инцидент выявил серьезные недостатки биржи в управлении приватными ключами и многоуровневой системе безопасности. Несмотря на то, что биржа пыталась отследить хакеров с помощью мониторинга в блокчейне и замораживания средств, украденные биткойны были распределены и очищены с помощью инструментов смешивания, что создало огромные трудности для работы по отслеживанию.
В конце года японская полиция подтвердила, что эту атаку осуществила одна из хакерских групп Северной Кореи.
2. PlayDapp понес серьезные потери
Сумма убытков: 290 миллионов долларов США Способ атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp подвергся серьезной атаке. Хакеры, завладев частными ключами, выпустили 2 миллиарда токенов PLA, начальная стоимость которых составила 36,5 миллиона долларов. После неудачных переговоров с хакерами они выпустили еще 15,9 миллиарда токенов PLA, стоимость которых составила 253,9 миллиона долларов. После того как часть токенов поступила на биржу, PlayDapp был вынужден приостановить контракт на PLA и перейти на новый контракт токенов. Этот инцидент подчеркивает недостатки проектов на базе блокчейна в защите частных ключей и экстренной реакции.
3. Одна индийская криптовалютная биржа подверглась целевому нападению
Сумма убытков: 235 миллионов долларов США Способы атаки: сетевые атаки и фишинг
18 июля 2024 года крупнейшая криптовалютная биржа Индии подверглась целенаправленной атаке хакеров на мультиподписной кошелек Safe Wallet. Злоумышленники с помощью социальной инженерии заставили подписантов мультиподписного кошелька подписать сделку по обновлению контракта, после чего использовали права обновленного контракта для перемещения всех активов из кошелька. Этот случай выявил потенциальные риски мультиподписных кошельков в отношении конфигурации прав и прозрачности операций, а также вызвал глубокие размышления в отрасли о внутренних механизмах управления рисками и безопасности проектов.
4. Gala Games столкнулись с атакой на увеличение эмиссии токенов
Сумма убытков: 216 миллионов долларов США Способы атаки: уязвимости контроля доступа
20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint в токен-контракте, за один раз выпустили 5 миллиардов токенов GALA. Затем хакеры поэтапно обменяли эти токены на ETH, что привело к убыткам в размере 216 миллионов долларов. Команда Gala Games после происшествия срочно активировала функцию черного списка, чтобы заблокировать некоторые счета хакеров, и через судебные методы вернула часть убытков.
5. Основатель известного проекта цифровой валюты стал жертвой атаки на личный кошелек
Сумма убытка: 112 миллионов долларов США Способ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька одного из соучредителей известного проекта цифровой валюты были взломаны хакерами, что привело к краже 112 миллионов долларов XRP. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты с помощью аппаратных устройств. После инцидента одна крупная биржа успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла в отслеживании украденных активов, однако большая часть средств была вымыта через децентрализованные биржи и сервисы микширования.
6. Munchables столкнулся с внутренней атакой внедрения
Сумма убытков: 62,5 миллиона долларов США Способы атаки: атака социальной инженерии
26 марта 2024 года веб3 игровая платформа Munchables на базе Blast столкнулась с редким внутренним проникновением. Злоумышленник, выдававший себя за разработчика блокчейна, в течение длительного времени скрывался, чтобы получить доступ к исходному коду и чувствительным ключам. Несмотря на то, что атака привела к огромным потерям, под давлением сообщества и команды злоумышленник в конечном итоге вернул все похищенные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависимых от сторонней разработки.
7. Турецкая криптовалютная биржа подверглась утечке приватных ключей
Сумма убытков: 55 миллионов долларов США Способы атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке утечки приватных ключей, в результате чего потеряно более 55 миллионов долларов в криптоактивах. При содействии одной из крупных бирж удалось заморозить 5,3 миллиона долларов украденных средств, однако другие активы до сих пор не возвращены. Этот инцидент усилил беспокойство рынка по поводу управления приватными ключами централизованными биржами.
8. Мультиподписной кошелек Radiant Capital подвергся атаке
Сумма убытков: 53 миллиона долларов США Способ атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования низкопороговой модели подтверждения подписей 3/11 хакеры, получив доступ к приватным ключам 3 подписантов, инициировали оффлайн-подпись и передали право собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала отраслевую рефлексию по поводу дизайна и механизмов управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости контракта до этой атаки, более 1900 ETH было украдено. Это еще раз напоминает проектам Web3 о необходимости более серьезно относиться к вопросам безопасности.
9. Hedgey Finance подвергся атаке на мультичейновые контракты
Сумма потерь: 44,7 миллиона долларов США Способ атаки: уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры воспользовались уязвимостью одобрения в контракте ClaimCampaigns, успешно извлекая токены на двух цепочках: Ethereum и Arbitrum, общие убытки составили 44,7 миллиона долларов. Этот инцидент подчеркнул важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек определенной криптовалютной биржи был взломан
Сумма убытков: 44,7 миллиона долларов США Способ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек одной криптовалютной биржи был взломан хакерами, в результате чего пострадали несколько блокчейнов, включая Ethereum, BNB Chain, Tron и другие публичные цепочки. Несмотря на то, что биржа быстро запустила механизм перевода активов и заморозки вывода, хакеры успешно извлекли активы на сумму 44,7 миллиона долларов. Эта атака отражает высокие риски управления горячими кошельками централизованных бирж и дополнительно подталкивает отрасль к поиску более безопасных решений для хранения активов.
Заключение
Частые инциденты безопасности в 2024 году вновь напоминают нам о том, что развитие блокчейн-индустрии невозможно без надежной защиты. От утечек приватных ключей до уязвимостей в контрактах, от внутренних управленческих недочетов до усовершенствования внешних методов атак — каждое из этих событий принесло глубокие уроки. Чтобы справиться с все более сложными угрозами атак, всем сторонам в отрасли необходимо продолжать усиливать инвестиции в научно-исследовательские разработки, нормативное управление и профилактику рисков. В будущем мы надеемся, что благодаря сотрудничеству в отрасли и технологическим инновациям мы совместно создадим более безопасную блокчейн-экосистему, предоставляющую пользователям и инвесторам более надежную защиту.