Огляд значних інцидентів безпеки у сфері Web3 у 2024 році
У 2024 році індустрія блокчейну, паралельно з технологічними інноваціями та розширенням екосистеми, також стикається з дедалі серйознішими викликами безпеки. За даними однієї платформи моніторингу безпеки, станом на кінець року загальні збитки в сфері Web3 через хакерські атаки, фішингові шахрайства та втечі проектів сягнули 24,91 мільярда доларів.
Ці події не тільки виявили технологічні недоліки в управлінні приватними ключами, смарт-контрактах та інших аспектах, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті буде оглянуто десятку найбільших інцидентів безпеки Web3 у 2024 році, щоб галузь могла винести уроки та краще протистояти майбутнім загрозам безпеці.
1. Один японський обмінник зазнав суттєвої атаки
Сума збитків: 304 мільйони доларів США
Спосіб атаки: витік приватного ключа
31 травня 2024 року відома японська криптовалютна біржа зазнала історичної атаки. Зловмисники використали витік приватного ключа для безпосереднього перенесення біткоїнів на суму понад 300 мільйонів доларів, швидко розподіливши вкрадені кошти на кілька різних адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій системі безпеки. Хоча біржа намагалася відстежити хакера за допомогою моніторингу в ланцюгу та заморожування коштів, вкрадені біткоїни були розподілені та очищені за допомогою інструментів змішування, що ускладнило роботу з відстеження.
Наприкінці року місцева поліція встановила, що цей інцидент є справою міжнародної хакерської організації.
2. PlayDapp зазнав серйозних збитків
Сума втрат: 2,90 мільярда доларів США
Спосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозного удару: хакери, вкрадучи приватні ключі, випустили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів. Оскільки переговори між проектом та хакерами завершилися невдачею, хакери за короткий час додатково випустили 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів. Після часткового надходження цих токенів на біржі PlayDapp був змушений призупинити контракт PLA та перейти на контракт токенів PDA. Ця подія підкреслила недоліки проектів у сфері захисту приватних ключів і реагування на надзвичайні ситуації.
3. Найбільша криптовалютна біржа Індії зазнала атаки
Сума збитків: 235 мільйонів доларів США
Спосіб атаки: мережеві атаки та фішинг
18 липня 2024 року найбільший криптовалютний обмін в Індії зазнав точної атаки з боку хакерів на свій мультипідписний гаманець. Зловмисники за допомогою соціальної інженерії спонукали підписантів мультипідпису підписати угоду про оновлення контракту, після чого скористалися правами, що надаються оновленим контрактом, щоб вивести всі активи з гаманця. Цей випадок підкреслює потенційні ризики мультипідписних гаманців у налаштуванні управлінських прав та прозорості операцій, а також викликав глибоке обговорення внутрішніх механізмів контролю ризиків та безпеки в індустрії.
4. Gala Games зазнала атаки на випуск токенів
Сума збитків: 216 мільйонів доларів США
Метод атаки: вразливість контролю доступу
20 травня 2024 року, привілейована адреса Gala Games була зламаною хакерами, які через виклик функції mint в токен-контракті одноразово випустили 5 мільярдів токенів GALA. Після цього хакер, обмінюючи випущені токени на ETH партіями, спричинив пряму втрату в 216 мільйонів доларів. Після інциденту команда Gala Games терміново активувала функцію чорного списку, заблокувавши частину рахунків хакерів, та через судові процедури повернула частину втрат.
5. Особистий гаманець співзасновника Ripple зазнав атаки
Сума збитків: 112 мільйонів доларів США
Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Кріс Ларсена були зламані хакерами, внаслідок чого було вкрадено 112 мільйонів доларів США XRP. Ці гаманці, ймовірно, стали мішенню для атаки через відсутність двофакторної аутентифікації на апаратних пристроях. Після інциденту одна з бірж успішно заморозила XRP на суму 4,2 мільйона доларів США та допомогла відстежити вкрадені активи, але більша частина коштів вже була очищена через децентралізовані біржі та послуги змішування.
6. Munchables зазнають внутрішнього проникнення
Сума збитків: 6250 мільйонів доларів США
Метод атаки: соціоінженерна атака
26 березня 2024 року Web3 ігрова платформа Munchables, основана на Blast, зазнала рідкісної внутрішньої атаки вторгнення. Зловмисник, що маскувався під розробника блокчейну, тривалий час перебував на платформі та отримав доступ до основного коду та чутливих ключів. Незважаючи на те, що атака спричинила величезні втрати, під тиском спільноти та команди зловмисник врешті-решт повернув усі вкрадені кошти. Цей інцидент підкреслив важливість безпеки постачальницького ланцюга, особливо для блокчейн-проектів, які залежать від розробки третіми сторонами.
7. Великий турецький біржовий майданчик зазнав витоку приватних ключів
Сума збитків: 55 мільйонів доларів США
Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою команди однієї з бірж, 5,3 мільйона доларів США викрадених коштів вдалося успішно заморозити, але інші активи досі не повернуті. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Багатопідписний гаманець Radiant Capital був зламаний
Сума збитків: 53 мільйони доларів США
Спосіб атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital був зламаний хакерами. Оскільки він використовував низький поріг верифікації підписів 3/11, хакери, отримавши приватні ключі 3 підписувачів, ініціювали позашляхове підписання, передавши право власності на контракт гаманця до зловмисної адреси, що в результаті призвело до крадіжки 53 мільйонів доларів. Ця атака викликала в індустрії роздуми над дизайном і механізмами управління мультипідписними гаманцями.
Слід зазначити, що Radiant Capital перед цією атакою вже втратила 4,5 мільйона доларів через вразливість контракту, з яких було вкрадено понад 1900 ETH. Це ще раз підтверджує, що проєкти Web3 повинні підвищити увагу до безпеки.
9. Hedgey Finance багатоцільовий контракт піддався атаці
Сума втрат: 44,7 мільйона доларів США
Способи атаки: вразливості контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Хакери використали вразливість затвердження в контракті ClaimCampaigns, успішно витягнувши токени з мереж Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів США. Цей інцидент підкреслює важливість аудиту коду, особливо ретельної перевірки логіки затвердження токенів.
10. Гарячий гаманець певної біржі було зламано
Сума збитків: 44,7 мільйона доларів США
Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець одного з обмінників був зламаний хакерами, і в атаці були задіяні такі блокчейни, як Ethereum, BNB Chain, Tron та інші публічні ланцюги. Незважаючи на те, що обмінник швидко активував механізми перенесення активів і заморожування виведення, хакерам вдалося успішно вивести активи на суму 44,7 мільйона доларів. Ця атака відображає високий ризик управління гарячими гаманцями централізованих обмінників і додатково спонукає галузь шукати більш безпечні рішення для зберігання активів.
Висновок
Часті випадки атак на безпеку у 2024 році ще раз нагадують нам, що розвиток блокчейн-індустрії не може обійтися без надійного захисту. Від витоку приватних ключів до вразливостей у контрактах, від внутрішніх управлінських недоліків до вдосконалення зовнішніх атакуючих методів, кожен випадок приносить глибокі уроки. Щоб протистояти дедалі складнішим загрозам атак, усі учасники індустрії повинні продовжувати посилювати інвестиції в технологічні розробки, управлінські норми та управління ризиками. У майбутньому ми сподіваємося на спільну роботу в індустрії та технологічні інновації для створення більш безпечної блокчейн-екосистеми, щоб забезпечити користувачам та інвесторам надійніші гарантії.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
6
Репост
Поділіться
Прокоментувати
0/400
NoodlesOrTokens
· 08-12 16:27
Знову відбувається швидка гра на виживання.
Переглянути оригіналвідповісти на0
Ramen_Until_Rich
· 08-12 11:14
25 мільярдів доларів? обдурювати людей, як лохів лише одне слово
Переглянути оригіналвідповісти на0
EntryPositionAnalyst
· 08-11 23:38
Як зберігати цей гаманець? Це трохи безглуздо.
Переглянути оригіналвідповісти на0
BoredWatcher
· 08-11 23:28
Чи знову минає рік марної праці?
Переглянути оригіналвідповісти на0
ShadowStaker
· 08-11 23:27
хм... стара історія - ще один рік централізованих бірж, які доводять, що вони всього лише honeypot з розкішним інтерфейсом. стійкість мережі нічого не означає, коли твої приватні ключі обробляє недосипаючий стажист, якщо чесно.
Переглянути оригіналвідповісти на0
CryptoNomics
· 08-11 23:16
*с sigh* статистично передбачувано... кореляція між слабким управлінням ключами та катастрофічними втратами є точною причиною, чому я пропагую мультипартитні обчислення з 2019 року.
Огляд подій безпеки Web3 2024 року: 10 основних випадків з втратами майже 2,5 мільярда доларів
Огляд значних інцидентів безпеки у сфері Web3 у 2024 році
У 2024 році індустрія блокчейну, паралельно з технологічними інноваціями та розширенням екосистеми, також стикається з дедалі серйознішими викликами безпеки. За даними однієї платформи моніторингу безпеки, станом на кінець року загальні збитки в сфері Web3 через хакерські атаки, фішингові шахрайства та втечі проектів сягнули 24,91 мільярда доларів.
Ці події не тільки виявили технологічні недоліки в управлінні приватними ключами, смарт-контрактах та інших аспектах, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті буде оглянуто десятку найбільших інцидентів безпеки Web3 у 2024 році, щоб галузь могла винести уроки та краще протистояти майбутнім загрозам безпеці.
1. Один японський обмінник зазнав суттєвої атаки
Сума збитків: 304 мільйони доларів США Спосіб атаки: витік приватного ключа
31 травня 2024 року відома японська криптовалютна біржа зазнала історичної атаки. Зловмисники використали витік приватного ключа для безпосереднього перенесення біткоїнів на суму понад 300 мільйонів доларів, швидко розподіливши вкрадені кошти на кілька різних адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій системі безпеки. Хоча біржа намагалася відстежити хакера за допомогою моніторингу в ланцюгу та заморожування коштів, вкрадені біткоїни були розподілені та очищені за допомогою інструментів змішування, що ускладнило роботу з відстеження.
Наприкінці року місцева поліція встановила, що цей інцидент є справою міжнародної хакерської організації.
2. PlayDapp зазнав серйозних збитків
Сума втрат: 2,90 мільярда доларів США Спосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозного удару: хакери, вкрадучи приватні ключі, випустили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів. Оскільки переговори між проектом та хакерами завершилися невдачею, хакери за короткий час додатково випустили 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів. Після часткового надходження цих токенів на біржі PlayDapp був змушений призупинити контракт PLA та перейти на контракт токенів PDA. Ця подія підкреслила недоліки проектів у сфері захисту приватних ключів і реагування на надзвичайні ситуації.
3. Найбільша криптовалютна біржа Індії зазнала атаки
Сума збитків: 235 мільйонів доларів США Спосіб атаки: мережеві атаки та фішинг
18 липня 2024 року найбільший криптовалютний обмін в Індії зазнав точної атаки з боку хакерів на свій мультипідписний гаманець. Зловмисники за допомогою соціальної інженерії спонукали підписантів мультипідпису підписати угоду про оновлення контракту, після чого скористалися правами, що надаються оновленим контрактом, щоб вивести всі активи з гаманця. Цей випадок підкреслює потенційні ризики мультипідписних гаманців у налаштуванні управлінських прав та прозорості операцій, а також викликав глибоке обговорення внутрішніх механізмів контролю ризиків та безпеки в індустрії.
4. Gala Games зазнала атаки на випуск токенів
Сума збитків: 216 мільйонів доларів США Метод атаки: вразливість контролю доступу
20 травня 2024 року, привілейована адреса Gala Games була зламаною хакерами, які через виклик функції mint в токен-контракті одноразово випустили 5 мільярдів токенів GALA. Після цього хакер, обмінюючи випущені токени на ETH партіями, спричинив пряму втрату в 216 мільйонів доларів. Після інциденту команда Gala Games терміново активувала функцію чорного списку, заблокувавши частину рахунків хакерів, та через судові процедури повернула частину втрат.
5. Особистий гаманець співзасновника Ripple зазнав атаки
Сума збитків: 112 мільйонів доларів США Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Кріс Ларсена були зламані хакерами, внаслідок чого було вкрадено 112 мільйонів доларів США XRP. Ці гаманці, ймовірно, стали мішенню для атаки через відсутність двофакторної аутентифікації на апаратних пристроях. Після інциденту одна з бірж успішно заморозила XRP на суму 4,2 мільйона доларів США та допомогла відстежити вкрадені активи, але більша частина коштів вже була очищена через децентралізовані біржі та послуги змішування.
6. Munchables зазнають внутрішнього проникнення
Сума збитків: 6250 мільйонів доларів США Метод атаки: соціоінженерна атака
26 березня 2024 року Web3 ігрова платформа Munchables, основана на Blast, зазнала рідкісної внутрішньої атаки вторгнення. Зловмисник, що маскувався під розробника блокчейну, тривалий час перебував на платформі та отримав доступ до основного коду та чутливих ключів. Незважаючи на те, що атака спричинила величезні втрати, під тиском спільноти та команди зловмисник врешті-решт повернув усі вкрадені кошти. Цей інцидент підкреслив важливість безпеки постачальницького ланцюга, особливо для блокчейн-проектів, які залежать від розробки третіми сторонами.
7. Великий турецький біржовий майданчик зазнав витоку приватних ключів
Сума збитків: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою команди однієї з бірж, 5,3 мільйона доларів США викрадених коштів вдалося успішно заморозити, але інші активи досі не повернуті. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Багатопідписний гаманець Radiant Capital був зламаний
Сума збитків: 53 мільйони доларів США Спосіб атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital був зламаний хакерами. Оскільки він використовував низький поріг верифікації підписів 3/11, хакери, отримавши приватні ключі 3 підписувачів, ініціювали позашляхове підписання, передавши право власності на контракт гаманця до зловмисної адреси, що в результаті призвело до крадіжки 53 мільйонів доларів. Ця атака викликала в індустрії роздуми над дизайном і механізмами управління мультипідписними гаманцями.
Слід зазначити, що Radiant Capital перед цією атакою вже втратила 4,5 мільйона доларів через вразливість контракту, з яких було вкрадено понад 1900 ETH. Це ще раз підтверджує, що проєкти Web3 повинні підвищити увагу до безпеки.
9. Hedgey Finance багатоцільовий контракт піддався атаці
Сума втрат: 44,7 мільйона доларів США Способи атаки: вразливості контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Хакери використали вразливість затвердження в контракті ClaimCampaigns, успішно витягнувши токени з мереж Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів США. Цей інцидент підкреслює важливість аудиту коду, особливо ретельної перевірки логіки затвердження токенів.
10. Гарячий гаманець певної біржі було зламано
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець одного з обмінників був зламаний хакерами, і в атаці були задіяні такі блокчейни, як Ethereum, BNB Chain, Tron та інші публічні ланцюги. Незважаючи на те, що обмінник швидко активував механізми перенесення активів і заморожування виведення, хакерам вдалося успішно вивести активи на суму 44,7 мільйона доларів. Ця атака відображає високий ризик управління гарячими гаманцями централізованих обмінників і додатково спонукає галузь шукати більш безпечні рішення для зберігання активів.
Висновок
Часті випадки атак на безпеку у 2024 році ще раз нагадують нам, що розвиток блокчейн-індустрії не може обійтися без надійного захисту. Від витоку приватних ключів до вразливостей у контрактах, від внутрішніх управлінських недоліків до вдосконалення зовнішніх атакуючих методів, кожен випадок приносить глибокі уроки. Щоб протистояти дедалі складнішим загрозам атак, усі учасники індустрії повинні продовжувати посилювати інвестиції в технологічні розробки, управлінські норми та управління ризиками. У майбутньому ми сподіваємося на спільну роботу в індустрії та технологічні інновації для створення більш безпечної блокчейн-екосистеми, щоб забезпечити користувачам та інвесторам надійніші гарантії.