Обзор крупных инцидентов безопасности в области Web3 за 2024 год
В 2024 году блокчейн-отрасль сталкивается с все более серьезными вызовами безопасности на фоне технологических инноваций и расширения экосистемы. Согласно данным одной из платформ мониторинга безопасности, к концу года общие потери в области Web3 из-за хакерских атак, фишинга и сбежавших проектов составили 24,91 миллиарда долларов.
Эти события не только выявили технические недостатки в управлении приватными ключами, смарт-контрактах и других областях, но также подчеркнули потенциальные риски социального инжиниринга и внутреннего управления. В данной статье будет рассмотрено десять основных инцидентов безопасности Web3 2024 года, чтобы отрасль могла извлечь уроки и лучше подготовиться к будущим угрозам безопасности.
1. Некоторой японской бирже был нанесён серьёзный удар.
Сумма убытков: 304 миллиона долларов США
Способ атаки: утечка закрытого ключа
31 мая 2024 года известная японская криптовалютная биржа подверглась исторической атаке. Злоумышленники использовали утечку приватных ключей для прямого перевода биткойнов на сумму более 300 миллионов долларов, быстро распределив украденные средства на несколько различных адресов. Этот инцидент выявил серьезные недостатки биржи в управлении приватными ключами и многоуровневой системе безопасности. Несмотря на попытки биржи отслеживать хакеров с помощью мониторинга в блокчейне и замораживания средств, украденные биткойны были распределены и использованы с инструментами для смешивания, что создало огромные трудности для отслеживания.
В конце года местная полиция установила, что инцидент был совершён международной хакерской группировкой.
2. PlayDapp понес серьезные убытки
Сумма убытков: 290 миллионов долларов США
Способ атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp понесла серьезные убытки: хакеры, похитившие приватные ключи, создали 2 миллиарда токенов PLA, начальная стоимость которых составила 36,5 миллиона долларов. Из-за неудачных переговоров между командой проекта и хакерами, в короткие сроки хакеры выпустили еще 15,9 миллиарда токенов PLA, стоимость которых составила 253,9 миллиона долларов. После частичного поступления этих токенов на биржи, PlayDapp была вынуждена приостановить контракт PLA и перейти на контракт токена PDA. Этот инцидент подчеркивает недостатки блокчейн-проектов в защите приватных ключей и экстренном реагировании на инциденты.
3. Крупнейшая криптовалютная биржа Индии подверглась атаке
Сумма убытков: 235 миллионов долларов США
Способы атаки: сетевые атаки и фишинг
18 июля 2024 года многофункциональный кошелек крупнейшей криптовалютной биржи Индии стал объектом целенаправленной атаки хакеров. Злоумышленники использовали социальную инженерию, чтобы заставить подписантов многофункционального кошелька подписать сделку по обновлению контракта, а затем воспользовались правами, полученными после обновления контракта, чтобы полностью вывести активы из кошелька. Этот инцидент подчеркивает потенциальные риски многофункциональных кошельков в управлении настройками прав и прозрачности операций, а также вызывает глубокую рефлексию в отрасли по поводу внутренних систем контроля и безопасности проектов.
4. Gala Games подвергся атаке на эмиссию токенов
Сумма убытков: 216 миллионов долларов США
Способ атаки: уязвимость контроля доступа
20 мая 2024 года адрес с определенными привилегиями Gala Games был взломан хакерами, которые, вызвав функцию mint в контракте токена, единовременно выпустили 5 миллиардов токенов GALA. Затем хакеры поэтапно обменяли выпущенные токены на ETH, что привело к прямым потерям в 216 миллионов долларов. Команда Gala Games после инцидента срочно активировала функцию черного списка, заблокировав некоторые счета хакеров, и через судебные процедуры вернула часть убытков.
5. Личный кошелек соучредителя Ripple подвергся атаке
Сумма убытков: 112 миллионов долларов США
Способ атаки: утечка закрытого ключа
31 января 2024 года четыре личных кошелька соучредителя Ripple Криса Ларсена были взломаны хакерами, в результате чего было украдено 112 миллионов долларов XRP. Эти кошельки, вероятно, стали целью атаки из-за отсутствия аппаратных средств двуфакторной аутентификации. После инцидента одна из бирж успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла отследить украденные активы, но большая часть средств уже была отмыта через децентрализованные биржи и сервисы смешивания.
6. Munchables сталкивается с внутренним проникновением
Сумма убытка: 62,5 миллиона долларов США
Способы атаки: атаки социальной инженерии
26 марта 2024 года веб3 игровая платформа Munchables, основанная на Blast, столкнулась с редкой внутренней утечкой. Нападающие, маскируясь под разработчиков блокчейна, смогли получить доступ к исходному коду и чувствительным ключам после длительного нахождения внутри системы. Несмотря на то, что атака привела к огромным потерям, в итоге, под давлением сообщества и команды, хакеры вернули все украденные средства. Это событие подчеркивает важность безопасности цепочки поставок, особенно для блокчейн проектов, зависящих от сторонних разработок.
7. Крупная биржа в Турции столкнулась с утечкой приватных ключей
Сумма убытков: 55 миллионов долларов США
Способы атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке с утечкой приватных ключей, в результате которой было утеряно более 55 миллионов долларов в криптоактивах. При содействии команды одной из бирж было успешно заморожено 5,3 миллиона долларов из украденных средств, однако другие активы пока не удалось вернуть. Этот инцидент усилил беспокойство рынка по поводу управления приватными ключами централизованными биржами.
8. Мультиподписной кошелек Radiant Capital был взломан
Сумма убытков: 53 миллиона долларов США
Способ атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования низкопороговой модели проверки подписи 3/11 хакеры, получив доступ к приватным ключам трех подписантов, инициировали оффлайн-подпись, что привело к передаче прав собственности на контракт кошелька на злонамеренный адрес и в конечном итоге к краже 53 миллионов долларов. Эта атака вызвала в индустрии переосмысление дизайна и механизмов управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости контракта до этой атаки, было украдено более 1900 ETH. Это еще раз подчеркивает, что уровень внимания команд Web3 к безопасности все еще нуждается в улучшении.
9. Hedgey Finance многоцепочные контракты подверглись атаке
Сумма убытков: 44,7 миллиона долларов США
Способ атаки: уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость одобрения в контракте ClaimCampaigns и успешно извлекли токены на двух цепочках: Ethereum и Arbitrum, общие потери составили 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек одной из бирж был взломан
Сумма убытков: 44,7 миллиона долларов США
Способ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек одной из бирж был взломан хакерами, затронуты такие блокчейны, как Ethereum, BNB Chain, Tron и другие публичные цепочки. Несмотря на то, что биржа быстро запустила механизмы переноса активов и заморозки вывода, хакеры смогли успешно вывести активы на сумму 44,7 миллиона долларов. Эта атака отражает высокие риски управления горячими кошельками централизованных бирж и further подталкивает отрасль к поиску более безопасных решений для хранения активов.
Заключение
Частые инциденты безопасности в 2024 году снова напоминают нам о том, что развитие индустрии блокчейна невозможно без надежной защиты. От утечки приватных ключей до уязвимостей в контрактах, от внутренних управленческих недочетов до эволюции внешних атакующих методов — каждое такое происшествие приносит глубокие уроки. Чтобы справиться с все более сложными угрозами атак, всем сторонам в отрасли необходимо продолжать усиливать инвестиции в научные разработки, управленческие нормы и профилактику рисков. В будущем мы надеемся, что благодаря сотрудничеству в отрасли и технологическим инновациям мы сможем совместно создать более безопасную экосистему блокчейна, обеспечив более надежную защиту для пользователей и инвесторов.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
7
Репост
Поделиться
комментарий
0/400
NullWhisperer
· 44м назад
просто еще один день в web3... утечки приватных ключей становятся скучно предсказуемыми, если честно
Посмотреть ОригиналОтветить0
NoodlesOrTokens
· 08-12 16:27
Снова разыгрывается жизнь на грани смерти.
Посмотреть ОригиналОтветить0
Ramen_Until_Rich
· 08-12 11:14
25 миллиардов долларов? разыгрывайте людей как лохов только одно слово
Посмотреть ОригиналОтветить0
EntryPositionAnalyst
· 08-11 23:38
Как хранить этот Кошелек? Это немного абсурдно.
Посмотреть ОригиналОтветить0
BoredWatcher
· 08-11 23:28
Неужели снова пройдет год впустую?
Посмотреть ОригиналОтветить0
ShadowStaker
· 08-11 23:27
хмм... старая история - еще один год централизованных бирж, доказывающих, что они просто приманки с модным интерфейсом. Сетевое сопротивление ничего не значит, когда ваши приватные ключи обрабатываются недосыпающим стажером, если честно.
Посмотреть ОригиналОтветить0
CryptoNomics
· 08-11 23:16
*вздох* статистически предсказуемо... корреляция между слабым управлением ключами и катастрофическими потерями именно по этой причине я выступаю за многопартийные вычисления с 2019 года.
Обзор событий безопасности Web3 за 2024 год: 10 крупнейших случаев с убытками почти 2,5 миллиарда долларов США
Обзор крупных инцидентов безопасности в области Web3 за 2024 год
В 2024 году блокчейн-отрасль сталкивается с все более серьезными вызовами безопасности на фоне технологических инноваций и расширения экосистемы. Согласно данным одной из платформ мониторинга безопасности, к концу года общие потери в области Web3 из-за хакерских атак, фишинга и сбежавших проектов составили 24,91 миллиарда долларов.
Эти события не только выявили технические недостатки в управлении приватными ключами, смарт-контрактах и других областях, но также подчеркнули потенциальные риски социального инжиниринга и внутреннего управления. В данной статье будет рассмотрено десять основных инцидентов безопасности Web3 2024 года, чтобы отрасль могла извлечь уроки и лучше подготовиться к будущим угрозам безопасности.
1. Некоторой японской бирже был нанесён серьёзный удар.
Сумма убытков: 304 миллиона долларов США Способ атаки: утечка закрытого ключа
31 мая 2024 года известная японская криптовалютная биржа подверглась исторической атаке. Злоумышленники использовали утечку приватных ключей для прямого перевода биткойнов на сумму более 300 миллионов долларов, быстро распределив украденные средства на несколько различных адресов. Этот инцидент выявил серьезные недостатки биржи в управлении приватными ключами и многоуровневой системе безопасности. Несмотря на попытки биржи отслеживать хакеров с помощью мониторинга в блокчейне и замораживания средств, украденные биткойны были распределены и использованы с инструментами для смешивания, что создало огромные трудности для отслеживания.
В конце года местная полиция установила, что инцидент был совершён международной хакерской группировкой.
2. PlayDapp понес серьезные убытки
Сумма убытков: 290 миллионов долларов США Способ атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp понесла серьезные убытки: хакеры, похитившие приватные ключи, создали 2 миллиарда токенов PLA, начальная стоимость которых составила 36,5 миллиона долларов. Из-за неудачных переговоров между командой проекта и хакерами, в короткие сроки хакеры выпустили еще 15,9 миллиарда токенов PLA, стоимость которых составила 253,9 миллиона долларов. После частичного поступления этих токенов на биржи, PlayDapp была вынуждена приостановить контракт PLA и перейти на контракт токена PDA. Этот инцидент подчеркивает недостатки блокчейн-проектов в защите приватных ключей и экстренном реагировании на инциденты.
3. Крупнейшая криптовалютная биржа Индии подверглась атаке
Сумма убытков: 235 миллионов долларов США Способы атаки: сетевые атаки и фишинг
18 июля 2024 года многофункциональный кошелек крупнейшей криптовалютной биржи Индии стал объектом целенаправленной атаки хакеров. Злоумышленники использовали социальную инженерию, чтобы заставить подписантов многофункционального кошелька подписать сделку по обновлению контракта, а затем воспользовались правами, полученными после обновления контракта, чтобы полностью вывести активы из кошелька. Этот инцидент подчеркивает потенциальные риски многофункциональных кошельков в управлении настройками прав и прозрачности операций, а также вызывает глубокую рефлексию в отрасли по поводу внутренних систем контроля и безопасности проектов.
4. Gala Games подвергся атаке на эмиссию токенов
Сумма убытков: 216 миллионов долларов США Способ атаки: уязвимость контроля доступа
20 мая 2024 года адрес с определенными привилегиями Gala Games был взломан хакерами, которые, вызвав функцию mint в контракте токена, единовременно выпустили 5 миллиардов токенов GALA. Затем хакеры поэтапно обменяли выпущенные токены на ETH, что привело к прямым потерям в 216 миллионов долларов. Команда Gala Games после инцидента срочно активировала функцию черного списка, заблокировав некоторые счета хакеров, и через судебные процедуры вернула часть убытков.
5. Личный кошелек соучредителя Ripple подвергся атаке
Сумма убытков: 112 миллионов долларов США Способ атаки: утечка закрытого ключа
31 января 2024 года четыре личных кошелька соучредителя Ripple Криса Ларсена были взломаны хакерами, в результате чего было украдено 112 миллионов долларов XRP. Эти кошельки, вероятно, стали целью атаки из-за отсутствия аппаратных средств двуфакторной аутентификации. После инцидента одна из бирж успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла отследить украденные активы, но большая часть средств уже была отмыта через децентрализованные биржи и сервисы смешивания.
6. Munchables сталкивается с внутренним проникновением
Сумма убытка: 62,5 миллиона долларов США Способы атаки: атаки социальной инженерии
26 марта 2024 года веб3 игровая платформа Munchables, основанная на Blast, столкнулась с редкой внутренней утечкой. Нападающие, маскируясь под разработчиков блокчейна, смогли получить доступ к исходному коду и чувствительным ключам после длительного нахождения внутри системы. Несмотря на то, что атака привела к огромным потерям, в итоге, под давлением сообщества и команды, хакеры вернули все украденные средства. Это событие подчеркивает важность безопасности цепочки поставок, особенно для блокчейн проектов, зависящих от сторонних разработок.
7. Крупная биржа в Турции столкнулась с утечкой приватных ключей
Сумма убытков: 55 миллионов долларов США Способы атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке с утечкой приватных ключей, в результате которой было утеряно более 55 миллионов долларов в криптоактивах. При содействии команды одной из бирж было успешно заморожено 5,3 миллиона долларов из украденных средств, однако другие активы пока не удалось вернуть. Этот инцидент усилил беспокойство рынка по поводу управления приватными ключами централизованными биржами.
8. Мультиподписной кошелек Radiant Capital был взломан
Сумма убытков: 53 миллиона долларов США Способ атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования низкопороговой модели проверки подписи 3/11 хакеры, получив доступ к приватным ключам трех подписантов, инициировали оффлайн-подпись, что привело к передаче прав собственности на контракт кошелька на злонамеренный адрес и в конечном итоге к краже 53 миллионов долларов. Эта атака вызвала в индустрии переосмысление дизайна и механизмов управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости контракта до этой атаки, было украдено более 1900 ETH. Это еще раз подчеркивает, что уровень внимания команд Web3 к безопасности все еще нуждается в улучшении.
9. Hedgey Finance многоцепочные контракты подверглись атаке
Сумма убытков: 44,7 миллиона долларов США Способ атаки: уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость одобрения в контракте ClaimCampaigns и успешно извлекли токены на двух цепочках: Ethereum и Arbitrum, общие потери составили 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек одной из бирж был взломан
Сумма убытков: 44,7 миллиона долларов США Способ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек одной из бирж был взломан хакерами, затронуты такие блокчейны, как Ethereum, BNB Chain, Tron и другие публичные цепочки. Несмотря на то, что биржа быстро запустила механизмы переноса активов и заморозки вывода, хакеры смогли успешно вывести активы на сумму 44,7 миллиона долларов. Эта атака отражает высокие риски управления горячими кошельками централизованных бирж и further подталкивает отрасль к поиску более безопасных решений для хранения активов.
Заключение
Частые инциденты безопасности в 2024 году снова напоминают нам о том, что развитие индустрии блокчейна невозможно без надежной защиты. От утечки приватных ключей до уязвимостей в контрактах, от внутренних управленческих недочетов до эволюции внешних атакующих методов — каждое такое происшествие приносит глубокие уроки. Чтобы справиться с все более сложными угрозами атак, всем сторонам в отрасли необходимо продолжать усиливать инвестиции в научные разработки, управленческие нормы и профилактику рисков. В будущем мы надеемся, что благодаря сотрудничеству в отрасли и технологическим инновациям мы сможем совместно создать более безопасную экосистему блокчейна, обеспечив более надежную защиту для пользователей и инвесторов.