Огляд безпекових інцидентів Web3 у 2024 році: аналіз десяти випадків атак
У 2024 році, з постійними інноваціями у технології блокчейн та розширенням екосистеми, сфера Web3 стикається з дедалі серйознішими викликами безпеки. За даними статистичної платформи, на кінець року загальні втрати в індустрії Web3 через хакерські атаки, фішингові шахрайства та зловмисні виходи проектних команд склали 24,91 мільярда доларів.
Ці події не лише виявили технологічні вразливості, такі як управління приватними ключами та смарт-контрактами, але й підкреслили потенційні ризики в аспектах соціальної інженерії та внутрішнього управління. Ця стаття огляне десять найвпливовіших безпекових подій у сфері Web3 у 2024 році, з метою того, щоб галузь могла винести уроки та краще протистояти майбутнім загрозам безпеці.
1. DMM Bitcoin: витік приватних ключів призвів до збитків у 304 мільйони доларів
31 травня 2024 року японська відома криптовалютна біржа DMM Bitcoin зазнала серйозної безпекової аварії. Зловмисники використали виток приватного ключа для безпосереднього переказу біткоїнів на суму понад 300 мільйонів доларів, а потім швидко розподілили вкрадені кошти на понад 10 різних адрес. Цей інцидент виявив серйозні недоліки біржі в управлінні приватними ключами та багаторівневій безпеці.
Незважаючи на те, що біржа намагається відстежити хакерів за допомогою моніторингу в ланцюзі та заморожування коштів, повернення вкрадених біткойнів стикається з величезними труднощами через те, що вони були швидко розподілені та очищені за допомогою міксуючих інструментів. Наприкінці року японська поліція виявила, що цей напад, ймовірно, був здійснений північнокорейською хакерською групою Lazarus Group.
2. PlayDapp: витік приватних ключів призвів до збитків у 2,90 мільярда доларів
9 лютого 2024 року PlayDapp зазнав серйозної безпекової атаки. Хакери успішно викрали приватний ключ і випустили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Оскільки переговори між проектом і хакерами завершилися невдачею, зловмисники протягом короткого часу випустили ще 15,9 мільярда токенів PLA, вартість яких досягла 253,9 мільйона доларів США.
Після того, як частина вкрадених токенів потрапила на торгову платформу, PlayDapp змушений був призупинити роботу контракту PLA і перенести токени на новий контракт PDA. Цей інцидент підкреслює недостатність захисту приватних ключів та механізмів термінового реагування в блокчейн-проектах.
3. WazirX: мережеві атаки та фішинг призвели до збитків у 235 мільйонів доларів
18 липня 2024 року найбільший криптовалютний обмін в Індії WazirX зазнав точного нападу на свій Safe Wallet мультипідписний гаманець. Зловмисники за допомогою соціальної інженерії змусили підписувачів мультипідпису схвалити угоду про оновлення контракту, після чого скористалися правами оновленого контракту для повного перенесення активів з гаманця.
Цей випадок виявив потенційні ризики багатопідписних гаманців у налаштуванні управління правами та прозорості операцій, а також викликав в індустрії глибоке переосмислення внутрішнього контролю проектів та механізмів безпеки.
4. Gala Games: вразливість контролю доступу призвела до збитків у 216 мільйонів доларів
20 травня 2024 року привілейована адреса Gala Games була зламана хакерами. Зловмисники викликали функцію mint у токен-контракті, одноразово випустивши 5 мільярдів токенів GALA. Після цього хакери обміняли ці нові токени на ETH у кількох партіях, що призвело до прямих втрат у розмірі 216 мільйонів доларів.
Команда Gala Games швидко активувала функцію чорного списку після інциденту, заблокувавши деякі облікові записи хакерів, і через судові процедури повернула частину збитків. Цей інцидент підкреслив важливість управління правами контракту.
5. Кріс Ларсен: Витік приватних ключів призвів до крадіжки 112 мільйонів доларів XRP
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Кріс Ларсена стали жертвою хакерської атаки, внаслідок якої було вкрадено XRP на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню атаки через відсутність захисту двофакторної автентифікації за допомогою апаратних пристроїв.
Після події одна з торгових платформ успішно заморозила XRP на суму 4,2 мільйона доларів і допомогла Ларсену відстежити вкрадені активи. Однак більшість коштів вже було очищено через децентралізовані біржі та послуги змішування, і їх повернення є надзвичайно складним.
6. Munchables: атаки соціальної інженерії призвели до втрат у 62,5 мільйона доларів
26 березня 2024 року веб3 ігрова платформа Munchables, основана на Blast, зазнала рідкісної внутрішньої атаки. Зловмисники маскувались під розробників блокчейну та протягом тривалого часу отримали доступ до основного коду та чутливих ключів.
Попри те, що атака призвела до величезних втрат, під тиском громади та команди, хакер зрештою повернув усі вкрадені кошти. Ця подія підкреслила важливість безпеки в ланцюгу постачання, особливо для блокчейн-проєктів, які залежать від сторонніх розробників.
7. BtcTurk: Витік приватного ключа спричинив збитки в 55 мільйонів доларів
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки через витік приватних ключів, у результаті якої було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою однієї з торгових платформ вдалося заморозити 5,3 мільйона доларів США вкрадених коштів, але інші активи досі не були повернуті. Ця подія ще більше загострила занепокоєння ринку щодо здатності централізованих бірж управляти приватними ключами.
8. Radiant Capital: Уразливість багатопідписного гаманця призвела до збитків у 53 мільйони доларів
17 жовтня 2024 року мультипідписний гаманець Radiant Capital зазнав хакерської атаки. Через використання нижчого порогу в моделі підпису 3/11, хакери, отримавши приватні ключі 3 підписувачів, здійснили офлайн-підпис, успішно передавши право власності на контракт гаманця на зловмисну адресу, в результаті чого було вкрадено 53 мільйони доларів.
Варто зазначити, що до цієї атаки Radiant Capital вже втратив 4,5 мільйона доларів через вразливості в контракті, і було вкрадено понад 1900 ETH. Ця низка подій підкреслює необхідність підвищення обізнаності та захисних можливостей проектів Web3.
9. Hedgey Finance: Вразливість контракту призвела до збитків у 44,7 мільйона доларів
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Хакери скористалися вразливістю затвердження в їхньому контракті ClaimCampaigns, в результаті чого успішно вилучили токени з блокчейнів Ethereum та Arbitrum, загальні втрати склали 44,7 мільйона доларів.
Ця подія знову підкреслила важливість аудиту коду, особливо суворої перевірки логіки схвалення токенів.
10. BingX: Злом гарячого гаманця призвів до збитків у 44,7 мільйона доларів
19 вересня 2024 року гарячий гаманець однієї з торгових платформ зазнав хакерської атаки, до якої були залучені кілька блокчейнів, включаючи Ethereum, BNB Chain, Tron та інші. Незважаючи на те, що біржа швидко активувала механізми переведення активів та заморожування виведення, хакерам все ж вдалося вивести активи на суму 44,7 мільйона доларів.
Цей напад знову відображає високі ризики управління гарячими гаманцями централізованих бірж, спонукаючи галузь далі досліджувати більш безпечні рішення для зберігання активів.
Висновок
Часті інциденти безпеки у 2024 році знову нагадують нам, що здоровий розвиток блокчейн-індустрії неможливий без потужного забезпечення безпеки. Від витоку приватних ключів до вразливостей контрактів, від недоліків внутрішнього управління до посилення зовнішніх атак, кожен інцидент звучить як сигнал тривоги для галузі.
Щоб протистояти дедалі складнішим загрозам атак, всім сторонам в галузі необхідно продовжувати збільшувати інвестиції в дослідження та розробки технологій, управлінські норми та контроль ризиків. У майбутньому ми сподіваємося, що через співпрацю в галузі та технологічні інновації ми спільно створимо більш безпечну та надійну екосистему блокчейн, щоб забезпечити кращий захист для користувачів та інвесторів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
18 лайків
Нагородити
18
6
Поділіться
Прокоментувати
0/400
DataOnlooker
· 07-22 11:15
Ці гроші так легко заробити 8
Переглянути оригіналвідповісти на0
ImaginaryWhale
· 07-21 08:58
Ай-йо, Хакер вже розбагатів.
Переглянути оригіналвідповісти на0
BridgeJumper
· 07-21 08:56
Траву знову вибухнула на одну транзакцію.
Переглянути оригіналвідповісти на0
GweiObserver
· 07-21 08:54
Це звук, коли невдахи обдурюють людей, як лохів~
Переглянути оригіналвідповісти на0
CryptoSourGrape
· 07-21 08:46
Знову обдурюювати людей, як лохів, Люди обдурюють інших, а я обдурюю себе.
Аналіз десяти основних інцидентів безпеки Web3 у 2024 році: збитки майже 2,5 мільярда доларів
Огляд безпекових інцидентів Web3 у 2024 році: аналіз десяти випадків атак
У 2024 році, з постійними інноваціями у технології блокчейн та розширенням екосистеми, сфера Web3 стикається з дедалі серйознішими викликами безпеки. За даними статистичної платформи, на кінець року загальні втрати в індустрії Web3 через хакерські атаки, фішингові шахрайства та зловмисні виходи проектних команд склали 24,91 мільярда доларів.
Ці події не лише виявили технологічні вразливості, такі як управління приватними ключами та смарт-контрактами, але й підкреслили потенційні ризики в аспектах соціальної інженерії та внутрішнього управління. Ця стаття огляне десять найвпливовіших безпекових подій у сфері Web3 у 2024 році, з метою того, щоб галузь могла винести уроки та краще протистояти майбутнім загрозам безпеці.
1. DMM Bitcoin: витік приватних ключів призвів до збитків у 304 мільйони доларів
31 травня 2024 року японська відома криптовалютна біржа DMM Bitcoin зазнала серйозної безпекової аварії. Зловмисники використали виток приватного ключа для безпосереднього переказу біткоїнів на суму понад 300 мільйонів доларів, а потім швидко розподілили вкрадені кошти на понад 10 різних адрес. Цей інцидент виявив серйозні недоліки біржі в управлінні приватними ключами та багаторівневій безпеці.
Незважаючи на те, що біржа намагається відстежити хакерів за допомогою моніторингу в ланцюзі та заморожування коштів, повернення вкрадених біткойнів стикається з величезними труднощами через те, що вони були швидко розподілені та очищені за допомогою міксуючих інструментів. Наприкінці року японська поліція виявила, що цей напад, ймовірно, був здійснений північнокорейською хакерською групою Lazarus Group.
2. PlayDapp: витік приватних ключів призвів до збитків у 2,90 мільярда доларів
9 лютого 2024 року PlayDapp зазнав серйозної безпекової атаки. Хакери успішно викрали приватний ключ і випустили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Оскільки переговори між проектом і хакерами завершилися невдачею, зловмисники протягом короткого часу випустили ще 15,9 мільярда токенів PLA, вартість яких досягла 253,9 мільйона доларів США.
Після того, як частина вкрадених токенів потрапила на торгову платформу, PlayDapp змушений був призупинити роботу контракту PLA і перенести токени на новий контракт PDA. Цей інцидент підкреслює недостатність захисту приватних ключів та механізмів термінового реагування в блокчейн-проектах.
3. WazirX: мережеві атаки та фішинг призвели до збитків у 235 мільйонів доларів
18 липня 2024 року найбільший криптовалютний обмін в Індії WazirX зазнав точного нападу на свій Safe Wallet мультипідписний гаманець. Зловмисники за допомогою соціальної інженерії змусили підписувачів мультипідпису схвалити угоду про оновлення контракту, після чого скористалися правами оновленого контракту для повного перенесення активів з гаманця.
Цей випадок виявив потенційні ризики багатопідписних гаманців у налаштуванні управління правами та прозорості операцій, а також викликав в індустрії глибоке переосмислення внутрішнього контролю проектів та механізмів безпеки.
4. Gala Games: вразливість контролю доступу призвела до збитків у 216 мільйонів доларів
20 травня 2024 року привілейована адреса Gala Games була зламана хакерами. Зловмисники викликали функцію mint у токен-контракті, одноразово випустивши 5 мільярдів токенів GALA. Після цього хакери обміняли ці нові токени на ETH у кількох партіях, що призвело до прямих втрат у розмірі 216 мільйонів доларів.
Команда Gala Games швидко активувала функцію чорного списку після інциденту, заблокувавши деякі облікові записи хакерів, і через судові процедури повернула частину збитків. Цей інцидент підкреслив важливість управління правами контракту.
5. Кріс Ларсен: Витік приватних ключів призвів до крадіжки 112 мільйонів доларів XRP
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Кріс Ларсена стали жертвою хакерської атаки, внаслідок якої було вкрадено XRP на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню атаки через відсутність захисту двофакторної автентифікації за допомогою апаратних пристроїв.
Після події одна з торгових платформ успішно заморозила XRP на суму 4,2 мільйона доларів і допомогла Ларсену відстежити вкрадені активи. Однак більшість коштів вже було очищено через децентралізовані біржі та послуги змішування, і їх повернення є надзвичайно складним.
6. Munchables: атаки соціальної інженерії призвели до втрат у 62,5 мільйона доларів
26 березня 2024 року веб3 ігрова платформа Munchables, основана на Blast, зазнала рідкісної внутрішньої атаки. Зловмисники маскувались під розробників блокчейну та протягом тривалого часу отримали доступ до основного коду та чутливих ключів.
Попри те, що атака призвела до величезних втрат, під тиском громади та команди, хакер зрештою повернув усі вкрадені кошти. Ця подія підкреслила важливість безпеки в ланцюгу постачання, особливо для блокчейн-проєктів, які залежать від сторонніх розробників.
7. BtcTurk: Витік приватного ключа спричинив збитки в 55 мільйонів доларів
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки через витік приватних ключів, у результаті якої було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою однієї з торгових платформ вдалося заморозити 5,3 мільйона доларів США вкрадених коштів, але інші активи досі не були повернуті. Ця подія ще більше загострила занепокоєння ринку щодо здатності централізованих бірж управляти приватними ключами.
8. Radiant Capital: Уразливість багатопідписного гаманця призвела до збитків у 53 мільйони доларів
17 жовтня 2024 року мультипідписний гаманець Radiant Capital зазнав хакерської атаки. Через використання нижчого порогу в моделі підпису 3/11, хакери, отримавши приватні ключі 3 підписувачів, здійснили офлайн-підпис, успішно передавши право власності на контракт гаманця на зловмисну адресу, в результаті чого було вкрадено 53 мільйони доларів.
Варто зазначити, що до цієї атаки Radiant Capital вже втратив 4,5 мільйона доларів через вразливості в контракті, і було вкрадено понад 1900 ETH. Ця низка подій підкреслює необхідність підвищення обізнаності та захисних можливостей проектів Web3.
9. Hedgey Finance: Вразливість контракту призвела до збитків у 44,7 мільйона доларів
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Хакери скористалися вразливістю затвердження в їхньому контракті ClaimCampaigns, в результаті чого успішно вилучили токени з блокчейнів Ethereum та Arbitrum, загальні втрати склали 44,7 мільйона доларів.
Ця подія знову підкреслила важливість аудиту коду, особливо суворої перевірки логіки схвалення токенів.
10. BingX: Злом гарячого гаманця призвів до збитків у 44,7 мільйона доларів
19 вересня 2024 року гарячий гаманець однієї з торгових платформ зазнав хакерської атаки, до якої були залучені кілька блокчейнів, включаючи Ethereum, BNB Chain, Tron та інші. Незважаючи на те, що біржа швидко активувала механізми переведення активів та заморожування виведення, хакерам все ж вдалося вивести активи на суму 44,7 мільйона доларів.
Цей напад знову відображає високі ризики управління гарячими гаманцями централізованих бірж, спонукаючи галузь далі досліджувати більш безпечні рішення для зберігання активів.
Висновок
Часті інциденти безпеки у 2024 році знову нагадують нам, що здоровий розвиток блокчейн-індустрії неможливий без потужного забезпечення безпеки. Від витоку приватних ключів до вразливостей контрактів, від недоліків внутрішнього управління до посилення зовнішніх атак, кожен інцидент звучить як сигнал тривоги для галузі.
Щоб протистояти дедалі складнішим загрозам атак, всім сторонам в галузі необхідно продовжувати збільшувати інвестиції в дослідження та розробки технологій, управлінські норми та контроль ризиків. У майбутньому ми сподіваємося, що через співпрацю в галузі та технологічні інновації ми спільно створимо більш безпечну та надійну екосистему блокчейн, щоб забезпечити кращий захист для користувачів та інвесторів.