Обзор событий безопасности Web3 за 2024 год: Десять атак, приведших к убыткам почти в 2,5 миллиарда долларов
В 2024 году область Web3 сталкивается с серьезными проблемами безопасности. По данным мониторинговой платформы, на данный момент общие убытки из-за хакерских атак, фишинговых мошенничеств и бегства проектных команд составляют 24,91 миллиарда долларов. Эти события не только выявили технические недостатки, но и подчеркнули потенциальные риски социальной инженерии и внутреннего управления. В данной статье будет рассмотрено десять основных событий безопасности Web3 в 2024 году, чтобы извлечь уроки и лучше подготовиться к будущим угрозам безопасности.
1. DMM Биткойн
Сумма убытков: 304 миллиона долларов СШАСпособ атаки: утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа DMM Bitcoin подверглась серьезной атаке. Злоумышленники использовали утечку приватных ключей для непосредственного перемещения биткойнов на сумму более 300 миллионов долларов, а затем быстро распределили украденные средства по нескольким адресам. Этот инцидент выявил серьезные недостатки биржи в управлении приватными ключами и многоуровневыми мерами безопасности. Несмотря на то, что биржа пыталась отслеживать хакеров с помощью мониторинга в цепочке и замораживания средств, распределенное перемещение украденных биткойнов и отмывание средств создали огромные проблемы для отслеживания.
24 декабря японская полиция подтвердила, что эту атаку осуществила северокорейская хакерская группа Lazarus Group.
2. ПлейДапп
Сумма убытков: 290 миллионов долларов СШАСпособ атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp понесла значительные потери. Хакеры, украдя приватные ключи, создали 2 миллиарда токенов PLA с первоначальной стоимостью 36,5 миллиона долларов. Из-за неудачных переговоров с хакерами они затем создали еще 15,9 миллиарда токенов PLA на сумму 253,9 миллиона долларов. После того как часть токенов попала на торговые платформы, PlayDapp была вынуждена приостановить контракт на PLA и перейти на контракт токенов PDA. Этот инцидент подчеркивает недостатки блокчейн-проектов в области защиты приватных ключей и экстренного реагирования.
3. WazirX
Сумма убытков: 235 миллионов долларов СШАСпособы атаки: сетевые атаки и фишинг
18 июля 2024 года крупнейшая в Индии криптовалютная биржа WazirX подверглась целенаправленной атаке на мультиподписной кошелек Safe Wallet. Злоумышленники с помощью социальной инженерии вынудили подписантов мультиподписного кошелька одобрить транзакцию по обновлению контракта, после чего использовали разрешения обновленного контракта для перевода всех активов из кошелька. Этот инцидент подчеркивает потенциальные риски мультиподписных кошельков в управлении конфигурацией разрешений и прозрачности операций, а также вызывает глубокие размышления в отрасли о внутренних механизмах контроля и безопасности проектов.
4. Гала-игры
Сумма убытков: 216 миллионов долларов СШАСпособ атаки: уязвимость контроля доступа
20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники вызвали функцию mint в контракте токена и единовременно создали 5 миллиардов токенов GALA. Затем хакеры поэтапно обменяли выпущенные токены на ETH, что привело к прямым убыткам в размере 216 миллионов долларов. Команда Gala Games после инцидента срочно активировала функцию черного списка, чтобы заблокировать некоторые аккаунты хакеров, и через судебные пути попыталась вернуть убытки.
5. Событие Крис Ларсена
Сумма убытков: 112 миллионов долларов СШАСпособ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька соучредителя Ripple Кріса Ларсена были взломаны хакерами, в результате чего было украдено 112 миллионов долларов XRP. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты с использованием аппаратных средств. После инцидента одна из торговых платформ успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла отследить украденные активы, но большая часть средств уже была отмыта через децентрализованные биржи и услуги смешивания.
6. Мунчаблс
Сумма убытков: 62,5 миллиона долларов СШАСпособы атаки: Социальная инженерия
26 марта 2024 года веб-игровая платформа Munchables на основе Blast подверглась редкой внутренней атаке с проникновением. Нападающий, маскирующийся под разработчика блокчейна, был северокорейским хакером, который долгосрочно скрывался, чтобы получить доступ к исходному коду и чувствительным ключам. Несмотря на огромные убытки, под давлением сообщества и команды хакер в конечном итоге вернул все украденные средства. Этот инцидент подчеркнул важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.
7. BtcTurk
Сумма убытков: 55 миллионов долларов СШАСпособ атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции BtcTurk подверглась атаке с утечкой приватных ключей, в результате чего были потеряны более 55 миллионов долларов в криптоактивах. С помощью одной из торговых платформ было успешно заморожено 5,3 миллиона долларов из украденных средств, но другие активы пока не возвращены. Этот инцидент усилил беспокойство рынка по поводу управления приватными ключами централизованными биржами.
8. Радиант Капитал
Сумма убытков: 53 миллиона долларов СШАСпособ атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования низкопороговой модели проверки подписей 3/11 хакеры получили доступ к приватным ключам трех подписантов и инициировали оффлайн-подпись, что привело к передаче прав собственности на смарт-контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала в отрасли размышления о дизайне и механизмах управления мультиподписными кошельками.
Важно отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости контракта до этой атаки, и более 1900 ETH были украдены. Это еще раз подчеркивает необходимость повышения уровня безопасности для проектов Web3.
9. Хеджи Финанс
Сумма убытков: 44,7 миллиона долларов СШАСпособ атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость одобрения в их контракте ClaimCampaigns, успешно извлекая токены на цепочках Ethereum и Arbitrum, с общими убытками в 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. BingX
Сумма убытков: 44,7 миллиона долларов СШАСпособ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек биржи BingX был взломан хакерами, затронувшими такие блокчейны, как Ethereum, BNB Chain, Tron и другие. Несмотря на то, что биржа быстро активировала механизмы перевода активов и заморозки выводов, хакерам удалось успешно вывести активы на сумму 44,7 миллиона долларов. Эта атака отражает высокие риски управления горячими кошельками централизованных бирж и далее подталкивает индустрию к поиску более безопасных решений для хранения активов.
Частые инциденты с безопасностью в 2024 году снова напоминают нам о том, что развитие блокчейн-отрасли невозможно без обеспечения безопасности. От утечки приватных ключей до уязвимостей в контрактах, от внутренних управленческих недочетов до усовершенствования внешних методов атаки — каждый инцидент приносит глубокие уроки. Чтобы справиться с всё более сложными угрозами атак, всем сторонам отрасли необходимо продолжать усиливать инвестиции в научные разработки, управление стандартами и профилактику рисков. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы совместно создадим более безопасную блокчейн-экосистему, обеспечивая более надежную защиту для пользователей и инвесторов.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
21 Лайков
Награда
21
3
Репост
Поделиться
комментарий
0/400
TokenCreatorOP
· 08-17 03:06
Каждый день все еще теряю деньги.
Посмотреть ОригиналОтветить0
GasFeeCrying
· 08-14 03:44
Снова потерял деньги.
Посмотреть ОригиналОтветить0
FastLeaver
· 08-14 03:24
Ха-ха, снова утечка закрытого ключа. За год таких сцен немало.
Топ-10 инцидентов безопасности Web3 в 2024 году привели к убыткам почти в 2,5 миллиарда долларов.
Обзор событий безопасности Web3 за 2024 год: Десять атак, приведших к убыткам почти в 2,5 миллиарда долларов
В 2024 году область Web3 сталкивается с серьезными проблемами безопасности. По данным мониторинговой платформы, на данный момент общие убытки из-за хакерских атак, фишинговых мошенничеств и бегства проектных команд составляют 24,91 миллиарда долларов. Эти события не только выявили технические недостатки, но и подчеркнули потенциальные риски социальной инженерии и внутреннего управления. В данной статье будет рассмотрено десять основных событий безопасности Web3 в 2024 году, чтобы извлечь уроки и лучше подготовиться к будущим угрозам безопасности.
1. DMM Биткойн
Сумма убытков: 304 миллиона долларов США Способ атаки: утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа DMM Bitcoin подверглась серьезной атаке. Злоумышленники использовали утечку приватных ключей для непосредственного перемещения биткойнов на сумму более 300 миллионов долларов, а затем быстро распределили украденные средства по нескольким адресам. Этот инцидент выявил серьезные недостатки биржи в управлении приватными ключами и многоуровневыми мерами безопасности. Несмотря на то, что биржа пыталась отслеживать хакеров с помощью мониторинга в цепочке и замораживания средств, распределенное перемещение украденных биткойнов и отмывание средств создали огромные проблемы для отслеживания.
24 декабря японская полиция подтвердила, что эту атаку осуществила северокорейская хакерская группа Lazarus Group.
2. ПлейДапп
Сумма убытков: 290 миллионов долларов США Способ атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp понесла значительные потери. Хакеры, украдя приватные ключи, создали 2 миллиарда токенов PLA с первоначальной стоимостью 36,5 миллиона долларов. Из-за неудачных переговоров с хакерами они затем создали еще 15,9 миллиарда токенов PLA на сумму 253,9 миллиона долларов. После того как часть токенов попала на торговые платформы, PlayDapp была вынуждена приостановить контракт на PLA и перейти на контракт токенов PDA. Этот инцидент подчеркивает недостатки блокчейн-проектов в области защиты приватных ключей и экстренного реагирования.
3. WazirX
Сумма убытков: 235 миллионов долларов США Способы атаки: сетевые атаки и фишинг
18 июля 2024 года крупнейшая в Индии криптовалютная биржа WazirX подверглась целенаправленной атаке на мультиподписной кошелек Safe Wallet. Злоумышленники с помощью социальной инженерии вынудили подписантов мультиподписного кошелька одобрить транзакцию по обновлению контракта, после чего использовали разрешения обновленного контракта для перевода всех активов из кошелька. Этот инцидент подчеркивает потенциальные риски мультиподписных кошельков в управлении конфигурацией разрешений и прозрачности операций, а также вызывает глубокие размышления в отрасли о внутренних механизмах контроля и безопасности проектов.
4. Гала-игры
Сумма убытков: 216 миллионов долларов США Способ атаки: уязвимость контроля доступа
20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники вызвали функцию mint в контракте токена и единовременно создали 5 миллиардов токенов GALA. Затем хакеры поэтапно обменяли выпущенные токены на ETH, что привело к прямым убыткам в размере 216 миллионов долларов. Команда Gala Games после инцидента срочно активировала функцию черного списка, чтобы заблокировать некоторые аккаунты хакеров, и через судебные пути попыталась вернуть убытки.
5. Событие Крис Ларсена
Сумма убытков: 112 миллионов долларов США Способ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька соучредителя Ripple Кріса Ларсена были взломаны хакерами, в результате чего было украдено 112 миллионов долларов XRP. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты с использованием аппаратных средств. После инцидента одна из торговых платформ успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла отследить украденные активы, но большая часть средств уже была отмыта через децентрализованные биржи и услуги смешивания.
6. Мунчаблс
Сумма убытков: 62,5 миллиона долларов США Способы атаки: Социальная инженерия
26 марта 2024 года веб-игровая платформа Munchables на основе Blast подверглась редкой внутренней атаке с проникновением. Нападающий, маскирующийся под разработчика блокчейна, был северокорейским хакером, который долгосрочно скрывался, чтобы получить доступ к исходному коду и чувствительным ключам. Несмотря на огромные убытки, под давлением сообщества и команды хакер в конечном итоге вернул все украденные средства. Этот инцидент подчеркнул важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.
7. BtcTurk
Сумма убытков: 55 миллионов долларов США Способ атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции BtcTurk подверглась атаке с утечкой приватных ключей, в результате чего были потеряны более 55 миллионов долларов в криптоактивах. С помощью одной из торговых платформ было успешно заморожено 5,3 миллиона долларов из украденных средств, но другие активы пока не возвращены. Этот инцидент усилил беспокойство рынка по поводу управления приватными ключами централизованными биржами.
8. Радиант Капитал
Сумма убытков: 53 миллиона долларов США Способ атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования низкопороговой модели проверки подписей 3/11 хакеры получили доступ к приватным ключам трех подписантов и инициировали оффлайн-подпись, что привело к передаче прав собственности на смарт-контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала в отрасли размышления о дизайне и механизмах управления мультиподписными кошельками.
Важно отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости контракта до этой атаки, и более 1900 ETH были украдены. Это еще раз подчеркивает необходимость повышения уровня безопасности для проектов Web3.
9. Хеджи Финанс
Сумма убытков: 44,7 миллиона долларов США Способ атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость одобрения в их контракте ClaimCampaigns, успешно извлекая токены на цепочках Ethereum и Arbitrum, с общими убытками в 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. BingX
Сумма убытков: 44,7 миллиона долларов США Способ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек биржи BingX был взломан хакерами, затронувшими такие блокчейны, как Ethereum, BNB Chain, Tron и другие. Несмотря на то, что биржа быстро активировала механизмы перевода активов и заморозки выводов, хакерам удалось успешно вывести активы на сумму 44,7 миллиона долларов. Эта атака отражает высокие риски управления горячими кошельками централизованных бирж и далее подталкивает индустрию к поиску более безопасных решений для хранения активов.
Частые инциденты с безопасностью в 2024 году снова напоминают нам о том, что развитие блокчейн-отрасли невозможно без обеспечения безопасности. От утечки приватных ключей до уязвимостей в контрактах, от внутренних управленческих недочетов до усовершенствования внешних методов атаки — каждый инцидент приносит глубокие уроки. Чтобы справиться с всё более сложными угрозами атак, всем сторонам отрасли необходимо продолжать усиливать инвестиции в научные разработки, управление стандартами и профилактику рисков. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы совместно создадим более безопасную блокчейн-экосистему, обеспечивая более надежную защиту для пользователей и инвесторов.