Огляд безпекових інцидентів Web3 у 2024 році: десять атак, які завдали збитків на майже 2,5 мільярда доларів
У 2024 році сфера Web3 стикається з серйозними викликами безпеки. За даними моніторингових платформ, на сьогоднішній день загальні втрати через хакерські атаки, фішингові шахрайства та втечу проектних команд досягають 24,91 мільярда доларів. Ці події не лише виявили технічні дефекти, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті ми ознайомимося з десяткою найбільших інцидентів безпеки Web3 у 2024 році, щоб винести уроки та краще підготуватися до майбутніх загроз безпеці.
1. DMM Біткойн
Сума збитків: 304 мільйони доларів СШАСпосіб атаки: витік приватного ключа
31 травня 2024 року японська відома криптовалютна біржа DMM Bitcoin зазнала значної атаки. Зловмисники використали скомпрометований приватний ключ для безпосереднього переказу біткоїнів на суму понад 300 мільйонів доларів, а також швидко розподілили вкрадені кошти на кілька адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневою безпекою. Хоча біржа намагалася відстежити хакера через моніторинг в ланцюгу та заморожування коштів, розподіл вкрадених біткоїнів і змішування зробили цю задачу надзвичайно складною.
24 грудня японська поліція підтвердила, що цю атаку здійснила північнокорейська хакерська група Lazarus Group.
2. Додаток PlayDapp
Сума збитків: 290 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозного удару. Хакери, викравши приватний ключ, викарбували 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів. Через невдачу в переговорах з хакерами, вони потім викарбували ще 15,9 мільярда токенів PLA на суму 253,9 мільйона доларів. Після того, як частина токенів потрапила на торгові платформи, PlayDapp був змушений призупинити контракт PLA та перейти на контракт токена PDA. Цей інцидент підкреслює недоліки проектів на базі блокчейну в захисті приватних ключів і управлінні надзвичайними ситуаціями.
3. WazirX
Сума збитків: 235 мільйонів доларів СШАМетоди атаки: мережеві атаки та фішинг
18 липня 2024 року найбільша криптовалютна біржа Індії WazirX зазнала цілеспрямованого нападу на свій багатопідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії спонукали підписувачів багатопідпису затвердити угоду про оновлення контракту, після чого використали права, надані оновленим контрактом, щоб перевести всі активи з гаманця. Цей інцидент підкреслює потенційні ризики багатопідписних гаманців у керуванні конфігурацією прав та прозорістю операцій, а також викликав глибоке обговорення в індустрії щодо внутрішнього контролю ризиків та механізмів безпеки проектів.
4. Гала-ігри
Сума збитків: 216 мільйонів доларів СШАСпосіб атаки: вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламана хакером. Зловмисник викликав функцію mint у контракті токенів, одночасно випустивши 5 мільярдів токенів GALA. Після цього хакер поетапно обмінював надруковані токени на ETH, що безпосередньо призвело до збитків у 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакера, та повернула збитки через юридичні заходи.
5. Інцидент з Крісом Ларсеном
Сума збитків: 1,12 мільйона доларів СШАСпосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Криса Ларсена були зламані хакерами, внаслідок чого було вкрадено 112 мільйонів доларів США XRP. Ці гаманці, ймовірно, стали мішенню для атаки через відсутність подвійного захисту за допомогою апаратних пристроїв. Після інциденту одна з торгових платформ успішно заморозила XRP на суму 4,2 мільйона доларів США та допомогла відстежити вкрадені активи, але більша частина коштів вже була відмита через децентралізовані біржі та сервіси змішування.
6. Жувальні страви
Сума втрат: 6250 мільйонів доларів СШАМетод атаки: Соціальна інженерія
26 березня 2024 року веб3 ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої атаки з проникненням. Зловмисник, який маскувався під розробника блокчейну, виявився північнокорейським хакером, який, тривалий час залишаючися в тіні, отримав доступ до основного коду та чутливих ключів. Незважаючи на величезні збитки, під тиском спільноти та команди, хакер врешті-решт повернув усі вкрадені кошти. Ця подія підкреслила важливість безпеки постачання, особливо для блокчейн-проектів, які залежать від розробки третьої сторони.
7. BtcTurk
Сума збитків: 55 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки через виток приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою однієї з торгових платформ вдалося заморозити 5,3 мільйона доларів США викрадених коштів, але інші активи досі не були повернені. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Промениста столиця
Сума збитків: 53 мільйони доларів СШАСпосіб атаки: витік приватного ключа
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Завдяки використанню низького порогу верифікації 3/11 підписів, хакери, отримавши приватні ключі трьох підписувачів, ініціювали офлайн-підписання, передавши право власності на контракт гаманця на зловмисну адресу, що в результаті призвело до крадіжки 53 мільйонів доларів. Ця атака викликала галузеві роздуми про дизайн багатопідписних гаманців та механізми управління.
Варто зазначити, що перед цією атакою Radiant Capital вже зазнав збитків у розмірі 4,5 мільйона доларів через вразливість контракту, було вкрадено понад 1900 ETH. Це ще раз підкреслює, що проєкти Web3 повинні підвищити рівень уваги до безпеки.
9. Хеджі Фінанс
Сума втрат: 44,7 мільйона доларів СШАСпосіб атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Хакери використали вразливість затвердження в їхньому контракті ClaimCampaigns, успішно витягнувши токени на двох ланцюгах Ethereum та Arbitrum, загальні втрати склали 44,7 мільйона доларів. Ця подія підкреслює важливість аудиту коду, особливо суворої перевірки логіки затвердження токенів.
10. BingX
Сума збитків: 44,7 мільйона доларів СШАМетод атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець біржі BingX був зламаний хакерами, що торкнулося декількох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron тощо. Незважаючи на те, що біржа швидко запустила механізм переказу активів та заморожування висновків, хакерам вдалося успішно вилучити активи на загальну суму 44,7 мільйона доларів. Ця атака відображає високий ризик управління гарячими гаманцями централізованих бірж і подальше стимулювання галузі до пошуку більш безпечних рішень для зберігання активів.
Часті інциденти безпеки у 2024 році знову нагадують нам, що розвиток індустрії блокчейн неможливий без забезпечення безпеки. Від витоку приватних ключів до вразливостей контрактів, від внутрішніх управлінських недоліків до вдосконалення зовнішніх атакуючих методів, кожен інцидент приніс глибокі уроки. Щоб протистояти дедалі складнішим загрозам атак, усі сторони в індустрії повинні продовжувати інвестувати в наукові дослідження, управлінські норми та запобігання ризикам. У майбутньому ми сподіваємось на те, що через співпрацю в індустрії та технологічні інновації ми зможемо спільно створити більш безпечну екосистему блокчейн, щоб забезпечити користувачів і інвесторів надійнішими гарантіями.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
21 лайків
Нагородити
21
3
Репост
Поділіться
Прокоментувати
0/400
TokenCreatorOP
· 08-17 03:06
Щодня все ще втрачаю гроші.
Переглянути оригіналвідповісти на0
GasFeeCrying
· 08-14 03:44
Знову втратив на маргіналі
Переглянути оригіналвідповісти на0
FastLeaver
· 08-14 03:24
Ха-ха, знову витік закритого ключа, за рік не раз таке траплялося.
10 найбільших інцидентів безпеки Web3 у 2024 році завдали збитків на майже 2,5 мільярда доларів.
Огляд безпекових інцидентів Web3 у 2024 році: десять атак, які завдали збитків на майже 2,5 мільярда доларів
У 2024 році сфера Web3 стикається з серйозними викликами безпеки. За даними моніторингових платформ, на сьогоднішній день загальні втрати через хакерські атаки, фішингові шахрайства та втечу проектних команд досягають 24,91 мільярда доларів. Ці події не лише виявили технічні дефекти, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті ми ознайомимося з десяткою найбільших інцидентів безпеки Web3 у 2024 році, щоб винести уроки та краще підготуватися до майбутніх загроз безпеці.
1. DMM Біткойн
Сума збитків: 304 мільйони доларів США Спосіб атаки: витік приватного ключа
31 травня 2024 року японська відома криптовалютна біржа DMM Bitcoin зазнала значної атаки. Зловмисники використали скомпрометований приватний ключ для безпосереднього переказу біткоїнів на суму понад 300 мільйонів доларів, а також швидко розподілили вкрадені кошти на кілька адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневою безпекою. Хоча біржа намагалася відстежити хакера через моніторинг в ланцюгу та заморожування коштів, розподіл вкрадених біткоїнів і змішування зробили цю задачу надзвичайно складною.
24 грудня японська поліція підтвердила, що цю атаку здійснила північнокорейська хакерська група Lazarus Group.
2. Додаток PlayDapp
Сума збитків: 290 мільйонів доларів США Спосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозного удару. Хакери, викравши приватний ключ, викарбували 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів. Через невдачу в переговорах з хакерами, вони потім викарбували ще 15,9 мільярда токенів PLA на суму 253,9 мільйона доларів. Після того, як частина токенів потрапила на торгові платформи, PlayDapp був змушений призупинити контракт PLA та перейти на контракт токена PDA. Цей інцидент підкреслює недоліки проектів на базі блокчейну в захисті приватних ключів і управлінні надзвичайними ситуаціями.
3. WazirX
Сума збитків: 235 мільйонів доларів США Методи атаки: мережеві атаки та фішинг
18 липня 2024 року найбільша криптовалютна біржа Індії WazirX зазнала цілеспрямованого нападу на свій багатопідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії спонукали підписувачів багатопідпису затвердити угоду про оновлення контракту, після чого використали права, надані оновленим контрактом, щоб перевести всі активи з гаманця. Цей інцидент підкреслює потенційні ризики багатопідписних гаманців у керуванні конфігурацією прав та прозорістю операцій, а також викликав глибоке обговорення в індустрії щодо внутрішнього контролю ризиків та механізмів безпеки проектів.
4. Гала-ігри
Сума збитків: 216 мільйонів доларів США Спосіб атаки: вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламана хакером. Зловмисник викликав функцію mint у контракті токенів, одночасно випустивши 5 мільярдів токенів GALA. Після цього хакер поетапно обмінював надруковані токени на ETH, що безпосередньо призвело до збитків у 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакера, та повернула збитки через юридичні заходи.
5. Інцидент з Крісом Ларсеном
Сума збитків: 1,12 мільйона доларів США Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Криса Ларсена були зламані хакерами, внаслідок чого було вкрадено 112 мільйонів доларів США XRP. Ці гаманці, ймовірно, стали мішенню для атаки через відсутність подвійного захисту за допомогою апаратних пристроїв. Після інциденту одна з торгових платформ успішно заморозила XRP на суму 4,2 мільйона доларів США та допомогла відстежити вкрадені активи, але більша частина коштів вже була відмита через децентралізовані біржі та сервіси змішування.
6. Жувальні страви
Сума втрат: 6250 мільйонів доларів США Метод атаки: Соціальна інженерія
26 березня 2024 року веб3 ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої атаки з проникненням. Зловмисник, який маскувався під розробника блокчейну, виявився північнокорейським хакером, який, тривалий час залишаючися в тіні, отримав доступ до основного коду та чутливих ключів. Незважаючи на величезні збитки, під тиском спільноти та команди, хакер врешті-решт повернув усі вкрадені кошти. Ця подія підкреслила важливість безпеки постачання, особливо для блокчейн-проектів, які залежать від розробки третьої сторони.
7. BtcTurk
Сума збитків: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки через виток приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою однієї з торгових платформ вдалося заморозити 5,3 мільйона доларів США викрадених коштів, але інші активи досі не були повернені. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Промениста столиця
Сума збитків: 53 мільйони доларів США Спосіб атаки: витік приватного ключа
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Завдяки використанню низького порогу верифікації 3/11 підписів, хакери, отримавши приватні ключі трьох підписувачів, ініціювали офлайн-підписання, передавши право власності на контракт гаманця на зловмисну адресу, що в результаті призвело до крадіжки 53 мільйонів доларів. Ця атака викликала галузеві роздуми про дизайн багатопідписних гаманців та механізми управління.
Варто зазначити, що перед цією атакою Radiant Capital вже зазнав збитків у розмірі 4,5 мільйона доларів через вразливість контракту, було вкрадено понад 1900 ETH. Це ще раз підкреслює, що проєкти Web3 повинні підвищити рівень уваги до безпеки.
9. Хеджі Фінанс
Сума втрат: 44,7 мільйона доларів США Спосіб атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Хакери використали вразливість затвердження в їхньому контракті ClaimCampaigns, успішно витягнувши токени на двох ланцюгах Ethereum та Arbitrum, загальні втрати склали 44,7 мільйона доларів. Ця подія підкреслює важливість аудиту коду, особливо суворої перевірки логіки затвердження токенів.
10. BingX
Сума збитків: 44,7 мільйона доларів США Метод атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець біржі BingX був зламаний хакерами, що торкнулося декількох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron тощо. Незважаючи на те, що біржа швидко запустила механізм переказу активів та заморожування висновків, хакерам вдалося успішно вилучити активи на загальну суму 44,7 мільйона доларів. Ця атака відображає високий ризик управління гарячими гаманцями централізованих бірж і подальше стимулювання галузі до пошуку більш безпечних рішень для зберігання активів.
Часті інциденти безпеки у 2024 році знову нагадують нам, що розвиток індустрії блокчейн неможливий без забезпечення безпеки. Від витоку приватних ключів до вразливостей контрактів, від внутрішніх управлінських недоліків до вдосконалення зовнішніх атакуючих методів, кожен інцидент приніс глибокі уроки. Щоб протистояти дедалі складнішим загрозам атак, усі сторони в індустрії повинні продовжувати інвестувати в наукові дослідження, управлінські норми та запобігання ризикам. У майбутньому ми сподіваємось на те, що через співпрацю в індустрії та технологічні інновації ми зможемо спільно створити більш безпечну екосистему блокчейн, щоб забезпечити користувачів і інвесторів надійнішими гарантіями.