Огляд десяти найбільших інцидентів безпеки у сфері Web3 у 2024 році
З розвитком технології блокчейн, у 2024 році індустрія Web3, одночасно з інноваціями та розширенням, також стикається з дедалі серйознішими викликами безпеки. За даними моніторингу платформи, станом на кінець року загальні втрати в сфері Web3 через хакерські атаки, шахрайство та зникнення проектів досягають 24,91 мільярда доларів.
Ці події не лише виявили технічні недоліки в управлінні приватними ключами, смарт-контрактах тощо, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті ми підсумуємо десятку найбільших безпекових інцидентів Web3 2024 року, щоб допомогти галузі винести уроки та краще протистояти майбутнім загрозам безпеці.
1. Японська криптовалютна біржа зазнала значної атаки
Сума збитків: 304 мільйони доларів США
Спосіб атаки: витік приватного ключа
31 травня 2024 року відбулася історична атака на відому японську криптовалютну біржу. Хакери використали злиті приватні ключі, щоб безпосередньо перевести біткойни вартістю понад 300 мільйонів доларів, і швидко розподілили вкрадені кошти на більш ніж 10 різних адрес. Цей інцидент виявив серйозні недоліки в управлінні приватними ключами та багаторівневій безпеці біржі. Незважаючи на спроби біржі відстежити хакерів через моніторинг в ланцюгу та заморожування коштів, вкрадені біткойни вже були розподілені і очищені за допомогою інструментів змішування, що створило величезні труднощі для роботи з відстеження.
Наприкінці року японська поліція підтвердила, що цю атаку здійснила одна з хакерських організацій Північної Кореї.
2. PlayDapp зазнав серйозних збитків
Сума збитків: 290 мільйонів доларів США
Спосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозної атаки. Хакери, викравши приватний ключ, виготовили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів. У зв'язку з невдалими переговорами з хакерами, вони виготовили ще 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів. Після часткового надходження токенів на біржі PlayDapp змушений був призупинити контракт на PLA та перейти на новий токен-контракт. Ця подія підкреслила недоліки проектів на блокчейні в захисті приватних ключів та екстреному реагуванні.
3. Індійська криптовалютна біржа зазнала цілеспрямованої атаки
Сума збитків: 235 мільйонів доларів США
Способи атаки: мережеві атаки та фішинг
18 липня 2024 року найбільша криптовалютна біржа Індії зазнала точного хакерського нападу на мультипідписний гаманець Safe Wallet. Зловмисники використали соціальну інженерію, щоб спонукати підписантів мультипідпису підписати угоду про оновлення контракту, а потім використали права, отримані внаслідок оновлення контракту, для переміщення всіх активів з гаманця. Цей випадок виявив потенційні ризики мультипідписних гаманців у налаштуванні прав і прозорості операцій, а також викликав глибокі роздуми в індустрії щодо внутрішнього контролю ризиків і механізмів безпеки проектів.
4. Gala Games зазнала атаки на випуск токенів
Сума збитків: 216 мільйонів доларів США
Спосіб нападу: вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламаною хакерами. Зловмисники, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Хакер потім поетапно обміняв ці токени на ETH, що призвело до прямих втрат у 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину облікових записів хакерів, і через юридичні канали повернула частину збитків.
5. Засновник відомого проекту цифрової валюти зазнав атаки на особистий гаманець
Сума збитків: 112 мільйонів доларів США
Метод атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці одного з співзасновників відомого проєкту цифрової валюти були зламані хакерами, що призвело до крадіжки 112 мільйонів доларів США у XRP. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту за допомогою апаратних пристроїв. Після інциденту одна велика біржа успішно заморозила XRP на суму 4,2 мільйона доларів США і допомогла в розслідуванні викрадених активів, але більша частина коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Munchables зазнали внутрішньої атаки з проникненням
Сума збитків: 62,5 мільйона доларів США
Метод атаки: соціальна інженерія
26 березня 2024 року веб3 ігрова платформа Munchables на основі Blast зазнала рідкісної внутрішньої атаки з проникненням. Зловмисники, які маскувалися під блокчейн-розробників, протягом тривалого часу отримували доступ до основного коду та чутливих ключів. Незважаючи на те, що атака завдала величезних збитків, під тиском громади та команди зловмисники врешті-решт повернули всі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальників, особливо для блокчейн-проєктів, що залежать від розробки третіх осіб.
7. Один турецький криптовалютний біржа зазнав витоку приватного ключа
Сума збитків: 55 мільйонів доларів США
Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів криптоактивів. За допомогою однієї з великих бірж вдалося заморозити 5,3 мільйона доларів викрадених коштів, але інші активи досі не повернуті. Ця подія поглибила побоювання ринку щодо управління приватними ключами централізованими біржами.
8. Гаманець з мультипідписом Radiant Capital зазнав атаки
Сума збитків: 53 мільйони доларів США
Спосіб атаки: витік приватного ключа
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Через використання низького порогу моделі верифікації 3/11, хакери отримали доступ до приватних ключів трьох підписантів і ініціювали позазначене підписання, перенісши право власності на контракт гаманця на злочинну адресу, що в підсумку призвело до крадіжки 53 мільйонів доларів. Ця атака викликала в індустрії роздуми про проектування та механізми управління багатопідписними гаманцями.
Варто зазначити, що Radiant Capital до цієї атаки вже втратив 4,5 мільйона доларів через вразливість контракту, в результаті чого було вкрадено понад 1900 ETH. Це ще раз нагадує командам Web3 про необхідність приділяти більше уваги питанням безпеки.
9. Hedgey Finance зазнав атаки на багатоланцюговий контракт
Сума збитків: 44,7 мільйона доларів США
Спосіб атаки: уразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Хакери скористалися уразливістю в контракті ClaimCampaigns, успішно витягнувши токени з двох ланцюгів – Ethereum та Arbitrum, загальні втрати склали 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо сувору перевірку логіки схвалення токенів.
10. Гарячий гаманець одного криптовалютного обмінника зазнав атаки
Сума збитків: 44,7 мільйона доларів США
Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець одного з криптовалютних бірж був зламаний хакерами, в атаці були задіяні декілька ланцюгів, включаючи Ethereum, BNB Chain, Tron та інші публічні ланцюги. Незважаючи на те, що біржа швидко активувала механізм переказу активів і замороження виведень, хакерам вдалося успішно вивести активи на суму 44,7 мільйона доларів. Ця атака відображає високий ризик управління гарячими гаманцями централізованих бірж і ще більше підштовхує галузь до пошуку більш безпечних рішень для зберігання активів.
Висновок
Часті випадки атак на безпеку у 2024 році знову нагадують нам, що розвиток блокчейн-індустрії залежить від безпечного супроводу. Від витоку приватних ключів до вразливостей контрактів, від внутрішніх управлінських недоліків до вдосконалення зовнішніх атак, кожен інцидент приніс глибокі уроки. Щоб протистояти усе більш складним загрозам атак, усім сторонам індустрії потрібно продовжувати інвестувати в наукові дослідження, управлінські норми та управління ризиками. У майбутньому ми сподіваємося через співпрацю в індустрії та технологічні інновації спільно створити більш безпечну екосистему блокчейн, щоб забезпечити більш надійний захист для користувачів та інвесторів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Десять найбільших безпекових інцидентів у Web3 у 2024 році. Загальні збитки склали 24,91 мільярда доларів.
Огляд десяти найбільших інцидентів безпеки у сфері Web3 у 2024 році
З розвитком технології блокчейн, у 2024 році індустрія Web3, одночасно з інноваціями та розширенням, також стикається з дедалі серйознішими викликами безпеки. За даними моніторингу платформи, станом на кінець року загальні втрати в сфері Web3 через хакерські атаки, шахрайство та зникнення проектів досягають 24,91 мільярда доларів.
Ці події не лише виявили технічні недоліки в управлінні приватними ключами, смарт-контрактах тощо, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті ми підсумуємо десятку найбільших безпекових інцидентів Web3 2024 року, щоб допомогти галузі винести уроки та краще протистояти майбутнім загрозам безпеці.
1. Японська криптовалютна біржа зазнала значної атаки
Сума збитків: 304 мільйони доларів США Спосіб атаки: витік приватного ключа
31 травня 2024 року відбулася історична атака на відому японську криптовалютну біржу. Хакери використали злиті приватні ключі, щоб безпосередньо перевести біткойни вартістю понад 300 мільйонів доларів, і швидко розподілили вкрадені кошти на більш ніж 10 різних адрес. Цей інцидент виявив серйозні недоліки в управлінні приватними ключами та багаторівневій безпеці біржі. Незважаючи на спроби біржі відстежити хакерів через моніторинг в ланцюгу та заморожування коштів, вкрадені біткойни вже були розподілені і очищені за допомогою інструментів змішування, що створило величезні труднощі для роботи з відстеження.
Наприкінці року японська поліція підтвердила, що цю атаку здійснила одна з хакерських організацій Північної Кореї.
2. PlayDapp зазнав серйозних збитків
Сума збитків: 290 мільйонів доларів США Спосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозної атаки. Хакери, викравши приватний ключ, виготовили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів. У зв'язку з невдалими переговорами з хакерами, вони виготовили ще 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів. Після часткового надходження токенів на біржі PlayDapp змушений був призупинити контракт на PLA та перейти на новий токен-контракт. Ця подія підкреслила недоліки проектів на блокчейні в захисті приватних ключів та екстреному реагуванні.
3. Індійська криптовалютна біржа зазнала цілеспрямованої атаки
Сума збитків: 235 мільйонів доларів США Способи атаки: мережеві атаки та фішинг
18 липня 2024 року найбільша криптовалютна біржа Індії зазнала точного хакерського нападу на мультипідписний гаманець Safe Wallet. Зловмисники використали соціальну інженерію, щоб спонукати підписантів мультипідпису підписати угоду про оновлення контракту, а потім використали права, отримані внаслідок оновлення контракту, для переміщення всіх активів з гаманця. Цей випадок виявив потенційні ризики мультипідписних гаманців у налаштуванні прав і прозорості операцій, а також викликав глибокі роздуми в індустрії щодо внутрішнього контролю ризиків і механізмів безпеки проектів.
4. Gala Games зазнала атаки на випуск токенів
Сума збитків: 216 мільйонів доларів США Спосіб нападу: вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламаною хакерами. Зловмисники, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Хакер потім поетапно обміняв ці токени на ETH, що призвело до прямих втрат у 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину облікових записів хакерів, і через юридичні канали повернула частину збитків.
5. Засновник відомого проекту цифрової валюти зазнав атаки на особистий гаманець
Сума збитків: 112 мільйонів доларів США Метод атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці одного з співзасновників відомого проєкту цифрової валюти були зламані хакерами, що призвело до крадіжки 112 мільйонів доларів США у XRP. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту за допомогою апаратних пристроїв. Після інциденту одна велика біржа успішно заморозила XRP на суму 4,2 мільйона доларів США і допомогла в розслідуванні викрадених активів, але більша частина коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Munchables зазнали внутрішньої атаки з проникненням
Сума збитків: 62,5 мільйона доларів США Метод атаки: соціальна інженерія
26 березня 2024 року веб3 ігрова платформа Munchables на основі Blast зазнала рідкісної внутрішньої атаки з проникненням. Зловмисники, які маскувалися під блокчейн-розробників, протягом тривалого часу отримували доступ до основного коду та чутливих ключів. Незважаючи на те, що атака завдала величезних збитків, під тиском громади та команди зловмисники врешті-решт повернули всі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальників, особливо для блокчейн-проєктів, що залежать від розробки третіх осіб.
7. Один турецький криптовалютний біржа зазнав витоку приватного ключа
Сума збитків: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів криптоактивів. За допомогою однієї з великих бірж вдалося заморозити 5,3 мільйона доларів викрадених коштів, але інші активи досі не повернуті. Ця подія поглибила побоювання ринку щодо управління приватними ключами централізованими біржами.
8. Гаманець з мультипідписом Radiant Capital зазнав атаки
Сума збитків: 53 мільйони доларів США Спосіб атаки: витік приватного ключа
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Через використання низького порогу моделі верифікації 3/11, хакери отримали доступ до приватних ключів трьох підписантів і ініціювали позазначене підписання, перенісши право власності на контракт гаманця на злочинну адресу, що в підсумку призвело до крадіжки 53 мільйонів доларів. Ця атака викликала в індустрії роздуми про проектування та механізми управління багатопідписними гаманцями.
Варто зазначити, що Radiant Capital до цієї атаки вже втратив 4,5 мільйона доларів через вразливість контракту, в результаті чого було вкрадено понад 1900 ETH. Це ще раз нагадує командам Web3 про необхідність приділяти більше уваги питанням безпеки.
9. Hedgey Finance зазнав атаки на багатоланцюговий контракт
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: уразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Хакери скористалися уразливістю в контракті ClaimCampaigns, успішно витягнувши токени з двох ланцюгів – Ethereum та Arbitrum, загальні втрати склали 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо сувору перевірку логіки схвалення токенів.
10. Гарячий гаманець одного криптовалютного обмінника зазнав атаки
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець одного з криптовалютних бірж був зламаний хакерами, в атаці були задіяні декілька ланцюгів, включаючи Ethereum, BNB Chain, Tron та інші публічні ланцюги. Незважаючи на те, що біржа швидко активувала механізм переказу активів і замороження виведень, хакерам вдалося успішно вивести активи на суму 44,7 мільйона доларів. Ця атака відображає високий ризик управління гарячими гаманцями централізованих бірж і ще більше підштовхує галузь до пошуку більш безпечних рішень для зберігання активів.
Висновок
Часті випадки атак на безпеку у 2024 році знову нагадують нам, що розвиток блокчейн-індустрії залежить від безпечного супроводу. Від витоку приватних ключів до вразливостей контрактів, від внутрішніх управлінських недоліків до вдосконалення зовнішніх атак, кожен інцидент приніс глибокі уроки. Щоб протистояти усе більш складним загрозам атак, усім сторонам індустрії потрібно продовжувати інвестувати в наукові дослідження, управлінські норми та управління ризиками. У майбутньому ми сподіваємося через співпрацю в індустрії та технологічні інновації спільно створити більш безпечну екосистему блокчейн, щоб забезпечити більш надійний захист для користувачів та інвесторів.