Огляд десяти основних інцидентів безпеки у Web3-індустрії 2024 року
З розвитком технологій блокчейн та розширенням екосистеми, у 2024 році галузь Web3 стикається з дедалі суворішими викликами безпеки. За даними моніторингових платформ, до кінця року загальні втрати в сфері Web3 через хакерські атаки, фішингові шахрайства та втечі проектних команд досягли 2.491 мільярда доларів. Ці події не лише виявили технічні недоліки в управлінні приватними ключами та смарт-контрактами, а й підкреслили важливість атак соціальної інженерії та ризиків внутрішнього управління.
У цій статті буде розглянуто десять найвпливовіших подій у сфері безпеки Web3 у 2024 році, щоб галузь могла винести уроки та краще реагувати на майбутні загрози безпеці.
1. DMM Bitcoin: витік приватних ключів призвів до збитків у 304 мільйони доларів
31 травня 2024 року відома японська криптовалютна біржа DMM Bitcoin зазнала значної безпекової аварії. Зловмисники використали витік приватного ключа для прямого переказу біткойнів на суму понад 300 мільйонів доларів, і швидко розподілили вкрадені кошти на більш ніж 10 різних адрес. Цей інцидент виявив серйозні вразливості біржі в управлінні приватними ключами та багатоетапному захисті.
Хоча біржі намагалися відстежити хакерів за допомогою моніторингу в ланцюгу та заморожування коштів, повернення вкрадених біткоїнів стикається з величезними труднощами через те, що вони були швидко розподілені та очищені за допомогою міксерів. Наприкінці року японська поліція підтвердила, що цей інцидент був здійснений північнокорейською хакерською групою Lazarus Group.
2. PlayDapp: витік приватного ключа призвів до збитків у 2,90 мільярда доларів
9 лютого 2024 року PlayDapp зазнав серйозної атаки. Хакери шляхом викрадення приватного ключа створили 2 мільярди токенів PLA, початкова вартість яких склала 36,5 мільйона доларів. Оскільки проект не зміг домовитися з хакерами, вони пізніше випустили ще 15,9 мільярдів токенів PLA, вартість яких становила 253,9 мільйона доларів. Частина вкрадених токенів потрапила на торгові платформи, після чого PlayDapp був змушений призупинити контракт PLA та перейти на новий контракт токенів PDA. Цей інцидент підкреслює значні недоліки проектів на блокчейні у захисті приватних ключів та управлінні надзвичайними ситуаціями.
3. WazirX: мережеві атаки та фішинг призвели до збитків у 235 мільйонів доларів
18 липня 2024 року найбільша криптовалютна біржа Індії WazirX зазнала точної атаки на свій багатопідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії змусили підписантів багатопідпису підписати угоду на оновлення контракту, а потім використали права, отримані внаслідок оновлення контракту, для переміщення всіх активів з гаманця. Цей інцидент виявив потенційні ризики багатопідписних гаманців у налаштуванні управлінських прав і прозорості операцій, а також спровокував глибокі роздуми в індустрії про внутрішні механізми контролю ризиків та безпеки проектів.
4. Gala Games: Вразливість контролю доступу призвела до збитків у 216 мільйонів доларів
20 травня 2024 року привілейована адреса Gala Games була зламана хакерами. Зловмисники, викликавши функцію mint токен-контракту, одноразово випустили 5 мільярдів токенів GALA. Після цього ці додаткові токени були поетапно обміняні на ETH, що призвело до прямих збитків у 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через судові канали повернула частину збитків.
5. Співзасновник Ripple Кріс Ларсен: витік приватних ключів призвів до збитків у 112 мільйонів доларів
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Криса Ларсена були зламані хакерами, внаслідок чого було вкрадено 112 мільйонів доларів XRP. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту апаратного забезпечення. Після інциденту одна з торгових платформ успішно заморозила XRP на суму 4,2 мільйона доларів та допомогла Ларсену відстежити вкрадені активи, але більша частина коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Munchables: Утрати внаслідок соціальної інженерії склали 62,5 мільйона доларів
26 березня 2024 року веб3 ігрова платформа Munchables, заснована на Blast, зазнала рідкісної внутрішньої атаки вторгнення. Зловмисник, що маскувався під розробника блокчейну, отримав доступ до основного коду та чутливих ключів завдяки тривалій прихованій діяльності. Хоча атака призвела до величезних збитків, під тиском спільноти та команди зловмисник зрештою повернув усі вкрадені кошти. Цей інцидент підкреслює важливість безпеки постачальників, особливо для блокчейн-проектів, що залежать від сторонніх розробників.
7. BtcTurk: витік приватних ключів призвів до втрат у 55 мільйонів доларів
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки на витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою команди однієї з торгових платформ вдалося заморозити 5,3 мільйона доларів США викрадених коштів, але інші активи досі не були повернуті. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Radiant Capital: витік приватного ключа призвів до збитків у 53 мільйони доларів
17 жовтня 2024 року мультипідписний гаманець Radiant Capital був зламаний хакерами. Через використання низькопорогової моделі верифікації 3/11 хакери, отримавши приватні ключі 3-х підписантів, здійснили офлайн-підписання та передали право власності на контракт гаманця на злочинну адресу, що в результаті призвело до крадіжки 53 мільйонів доларів. Ця атака викликала в індустрії роздуми про дизайн мультипідписних гаманців та механізми управління.
Варто зазначити, що Radiant Capital зазнав збитків у розмірі 4,5 мільйона доларів через вразливість у контракті до цієї атаки, понад 1900 ETH було вкрадено. Це ще раз підкреслює важливість підвищення обізнаності щодо безпеки для проектів Web3.
9. Hedgey Finance: Втрата 44,7 мільйона доларів через вразливість контракту
19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Хакери скористалися уразливістю в контракті ClaimCampaigns, успішно витягнувши токени з Ethereum та Arbitrum, загальні втрати склали 44,7 мільйонів доларів. Ця подія підкреслює важливість аудиту коду, особливо ретельної перевірки логіки схвалення токенів.
10. Торговельна платформа: витік приватного ключа призвів до втрати 44,7 мільйона доларів
19 вересня 2024 року гаряче гаманце певної торговельної платформи був зламаний хакерами, що торкнулося Ethereum, BNB Chain, Tron та інших публічних блокчейнів. Незважаючи на те, що біржа швидко активувала механізми переміщення активів та заморожування виведення, хакери вже успішно витягли активи на суму 44,7 мільйона доларів США. Цей напад знову виявив високі ризики управління гарячими гаманцями централізованих бірж, що спонукало галузь до подальшого дослідження більш безпечних рішень для зберігання активів.
Висновок
Часті випадки безпеки, що відбуваються у 2024 році, ще раз нагадують нам про те, що розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від управління приватними ключами до вразливостей контрактів, від внутрішніх управлінських помилок до оновлення зовнішніх атакуючих засобів, кожен випадок приносить глибокі уроки для галузі. Щоб впоратися зі все більш складними загрозами безпеці, усі сторони в індустрії повинні продовжувати збільшувати інвестиції в дослідження та розробки технологій, управлінські норми та контроль ризиків. У майбутньому ми сподіваємося на спільну роботу в галузі та технологічні інновації, щоб разом створити більш безпечну та надійну екосистему блокчейн, яка забезпечить потужнішу захист для користувачів та інвесторів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
8 лайків
Нагородити
8
4
Поділіться
Прокоментувати
0/400
AltcoinHunter
· 07-31 14:16
Блокчейн невдахи глядачі, кит падає у мрію
Переглянути оригіналвідповісти на0
LiquidationAlert
· 07-31 14:15
обдурювати людей, як лохів完一年又一年
Переглянути оригіналвідповісти на0
StakeOrRegret
· 07-31 14:03
Ще один рік Рект. Коли ж нарешті безпека Web3 буде на висоті?
Переглянути оригіналвідповісти на0
ProofOfNothing
· 07-31 13:49
Хакер виводить гроші, і все закінчено. Капітал не покриває борги, закривайте крамницю.
Огляд десяти найбільших інцидентів безпеки Web3 у 2024 році: збитки досягли 24,91 мільярда доларів США
Огляд десяти основних інцидентів безпеки у Web3-індустрії 2024 року
З розвитком технологій блокчейн та розширенням екосистеми, у 2024 році галузь Web3 стикається з дедалі суворішими викликами безпеки. За даними моніторингових платформ, до кінця року загальні втрати в сфері Web3 через хакерські атаки, фішингові шахрайства та втечі проектних команд досягли 2.491 мільярда доларів. Ці події не лише виявили технічні недоліки в управлінні приватними ключами та смарт-контрактами, а й підкреслили важливість атак соціальної інженерії та ризиків внутрішнього управління.
У цій статті буде розглянуто десять найвпливовіших подій у сфері безпеки Web3 у 2024 році, щоб галузь могла винести уроки та краще реагувати на майбутні загрози безпеці.
1. DMM Bitcoin: витік приватних ключів призвів до збитків у 304 мільйони доларів
31 травня 2024 року відома японська криптовалютна біржа DMM Bitcoin зазнала значної безпекової аварії. Зловмисники використали витік приватного ключа для прямого переказу біткойнів на суму понад 300 мільйонів доларів, і швидко розподілили вкрадені кошти на більш ніж 10 різних адрес. Цей інцидент виявив серйозні вразливості біржі в управлінні приватними ключами та багатоетапному захисті.
Хоча біржі намагалися відстежити хакерів за допомогою моніторингу в ланцюгу та заморожування коштів, повернення вкрадених біткоїнів стикається з величезними труднощами через те, що вони були швидко розподілені та очищені за допомогою міксерів. Наприкінці року японська поліція підтвердила, що цей інцидент був здійснений північнокорейською хакерською групою Lazarus Group.
2. PlayDapp: витік приватного ключа призвів до збитків у 2,90 мільярда доларів
9 лютого 2024 року PlayDapp зазнав серйозної атаки. Хакери шляхом викрадення приватного ключа створили 2 мільярди токенів PLA, початкова вартість яких склала 36,5 мільйона доларів. Оскільки проект не зміг домовитися з хакерами, вони пізніше випустили ще 15,9 мільярдів токенів PLA, вартість яких становила 253,9 мільйона доларів. Частина вкрадених токенів потрапила на торгові платформи, після чого PlayDapp був змушений призупинити контракт PLA та перейти на новий контракт токенів PDA. Цей інцидент підкреслює значні недоліки проектів на блокчейні у захисті приватних ключів та управлінні надзвичайними ситуаціями.
3. WazirX: мережеві атаки та фішинг призвели до збитків у 235 мільйонів доларів
18 липня 2024 року найбільша криптовалютна біржа Індії WazirX зазнала точної атаки на свій багатопідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії змусили підписантів багатопідпису підписати угоду на оновлення контракту, а потім використали права, отримані внаслідок оновлення контракту, для переміщення всіх активів з гаманця. Цей інцидент виявив потенційні ризики багатопідписних гаманців у налаштуванні управлінських прав і прозорості операцій, а також спровокував глибокі роздуми в індустрії про внутрішні механізми контролю ризиків та безпеки проектів.
4. Gala Games: Вразливість контролю доступу призвела до збитків у 216 мільйонів доларів
20 травня 2024 року привілейована адреса Gala Games була зламана хакерами. Зловмисники, викликавши функцію mint токен-контракту, одноразово випустили 5 мільярдів токенів GALA. Після цього ці додаткові токени були поетапно обміняні на ETH, що призвело до прямих збитків у 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через судові канали повернула частину збитків.
5. Співзасновник Ripple Кріс Ларсен: витік приватних ключів призвів до збитків у 112 мільйонів доларів
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Криса Ларсена були зламані хакерами, внаслідок чого було вкрадено 112 мільйонів доларів XRP. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту апаратного забезпечення. Після інциденту одна з торгових платформ успішно заморозила XRP на суму 4,2 мільйона доларів та допомогла Ларсену відстежити вкрадені активи, але більша частина коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Munchables: Утрати внаслідок соціальної інженерії склали 62,5 мільйона доларів
26 березня 2024 року веб3 ігрова платформа Munchables, заснована на Blast, зазнала рідкісної внутрішньої атаки вторгнення. Зловмисник, що маскувався під розробника блокчейну, отримав доступ до основного коду та чутливих ключів завдяки тривалій прихованій діяльності. Хоча атака призвела до величезних збитків, під тиском спільноти та команди зловмисник зрештою повернув усі вкрадені кошти. Цей інцидент підкреслює важливість безпеки постачальників, особливо для блокчейн-проектів, що залежать від сторонніх розробників.
7. BtcTurk: витік приватних ключів призвів до втрат у 55 мільйонів доларів
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки на витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою команди однієї з торгових платформ вдалося заморозити 5,3 мільйона доларів США викрадених коштів, але інші активи досі не були повернуті. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Radiant Capital: витік приватного ключа призвів до збитків у 53 мільйони доларів
17 жовтня 2024 року мультипідписний гаманець Radiant Capital був зламаний хакерами. Через використання низькопорогової моделі верифікації 3/11 хакери, отримавши приватні ключі 3-х підписантів, здійснили офлайн-підписання та передали право власності на контракт гаманця на злочинну адресу, що в результаті призвело до крадіжки 53 мільйонів доларів. Ця атака викликала в індустрії роздуми про дизайн мультипідписних гаманців та механізми управління.
Варто зазначити, що Radiant Capital зазнав збитків у розмірі 4,5 мільйона доларів через вразливість у контракті до цієї атаки, понад 1900 ETH було вкрадено. Це ще раз підкреслює важливість підвищення обізнаності щодо безпеки для проектів Web3.
9. Hedgey Finance: Втрата 44,7 мільйона доларів через вразливість контракту
19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Хакери скористалися уразливістю в контракті ClaimCampaigns, успішно витягнувши токени з Ethereum та Arbitrum, загальні втрати склали 44,7 мільйонів доларів. Ця подія підкреслює важливість аудиту коду, особливо ретельної перевірки логіки схвалення токенів.
10. Торговельна платформа: витік приватного ключа призвів до втрати 44,7 мільйона доларів
19 вересня 2024 року гаряче гаманце певної торговельної платформи був зламаний хакерами, що торкнулося Ethereum, BNB Chain, Tron та інших публічних блокчейнів. Незважаючи на те, що біржа швидко активувала механізми переміщення активів та заморожування виведення, хакери вже успішно витягли активи на суму 44,7 мільйона доларів США. Цей напад знову виявив високі ризики управління гарячими гаманцями централізованих бірж, що спонукало галузь до подальшого дослідження більш безпечних рішень для зберігання активів.
Висновок
Часті випадки безпеки, що відбуваються у 2024 році, ще раз нагадують нам про те, що розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від управління приватними ключами до вразливостей контрактів, від внутрішніх управлінських помилок до оновлення зовнішніх атакуючих засобів, кожен випадок приносить глибокі уроки для галузі. Щоб впоратися зі все більш складними загрозами безпеці, усі сторони в індустрії повинні продовжувати збільшувати інвестиції в дослідження та розробки технологій, управлінські норми та контроль ризиків. У майбутньому ми сподіваємося на спільну роботу в галузі та технологічні інновації, щоб разом створити більш безпечну та надійну екосистему блокчейн, яка забезпечить потужнішу захист для користувачів та інвесторів.