Обзор десяти крупнейших инцидентов безопасности в области Web3 за 2024 год
В 2024 году отрасль Web3, наряду с инновационным развитием, также сталкивается с все более серьезными вызовами безопасности. Согласно мониторингу данных, по состоянию на сегодняшний день общие убытки в области Web3 в 2024 году из-за хакерских атак, мошенничества и ухода команд проектов составляют 24,91 миллиарда долларов.
Эти события не только выявили уязвимости в таких технологических аспектах, как управление приватными ключами и смарт-контрактами, но и подчеркнули потенциальные риски в области социальной инженерии и внутреннего управления. В этой статье мы рассмотрим десять основных инцидентов безопасности Web3 в 2024 году, чтобы отрасль могла использовать их в качестве примера и лучше подготовиться к будущим угрозам безопасности.
1. Событие DMM Bitcoin
Сумма убытков: 304 миллиона долларов США
Способ атаки: Утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа DMM Bitcoin подверглась серьезной атаке. Хакеры использовали скомпрометированные приватные ключи для прямого перевода биткойнов на сумму более 300 миллионов долларов, быстро распределив украденные средства на более чем 10 различных адресов. Этот инцидент выявил серьезные недостатки в управлении приватными ключами и многоуровневой системе безопасности биржи.
Несмотря на то, что биржа пытается отследить хакеров с помощью мониторинга в цепочке и замораживания средств, украденные биткойны были распылены и очищены с помощью инструментов для смешивания, что значительно усложняет отслеживание. 24 декабря японская полиция подтвердила, что инцидент был осуществлен северокорейской хакерской группой Lazarus Group.
2. Событие атаки PlayDapp
Сумма убытков: 290 миллионов долларов США
Способ атаки: Утечка приватного ключа
9 февраля 2024 года PlayDapp понес серьезные потери. Хакеры, похитив приватные ключи, создали 2 миллиарда токенов PLA, первоначальная стоимость которых составила 36,5 миллиона долларов. Поскольку проект не смог договориться с хакерами, они затем создали еще 15,9 миллиарда токенов PLA, стоимостью 253,9 миллиона долларов. После того как часть токенов поступила на торговые платформы, PlayDapp был вынужден приостановить контракт PLA и перейти на контракт токена PDA. Этот инцидент подчеркивает недостатки блокчейн-проектов в области защиты приватных ключей и экстренного реагирования.
3. Мультиподписной кошелек WazirX подвергся атаке
Сумма убытков: 235 миллионов долларов США
Способы атаки: Сетевая атака и фишинг
18 июля 2024 года, крупнейшая в Индии криптовалютная биржа WazirX подверглась целенаправленной атаке на свой мультиподписной кошелек Safe Wallet. Злоумышленники с помощью социальной инженерии заставили подписанта мультиподписного кошелька подписать сделку по обновлению контракта, а затем использовали права обновленного контракта для перевода всех активов из кошелька. Это дело выявило потенциальные риски мультиподписных кошельков в отношении конфигурации прав и прозрачности операций, а также вызвало глубокие размышления в отрасли о внутренних механизмах управления рисками и безопасности проектов.
4. Событие увеличения эмиссии токенов Gala Games
Сумма убытков: 216 миллионов долларов США
Способ атаки: Уязвимость управления доступом
20 мая 2024 года адрес привилегий Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint токен-контракта, единовременно выпустили 5 миллиардов токенов GALA. Затем хакеры по частям обменяли эти токены на ETH, что непосредственно привело к убыткам в 216 миллионов долларов. Команда Gala Games срочно активировала функцию черного списка, чтобы заблокировать некоторые аккаунты хакеров, и через юридические меры вернула убытки.
5. Личный кошелек соучредителя Ripple был украден
Сумма убытка: 112 миллионов долларов США
Способ атаки: Утечка приватного ключа
31 января 2024 года четыре личных кошелька соучредителя Ripple Кріса Ларсена были взломаны хакерами, в результате чего было украдено 112 миллионов долларов XRP. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты аппаратного обеспечения. После инцидента одна из торговых платформ успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла Ларсену отследить украденные активы, но большая часть средств была отмыта через децентрализованные биржи и услуги по смешиванию.
6. Внутренние проникновения Munchables
Сумма убытков: 6250 миллионов долларов
Способ атаки: Социальная инженерия
26 марта 2024 года платформа Web3 игр Munchables на базе Blast стала жертвой редкой внутренней атаки. Атакующие, замаскировавшиеся под разработчиков блокчейна, были северокорейскими хакерами, которые долгое время скрывались и получили доступ к исходному коду и конфиденциальным ключам. Несмотря на огромные убытки, под давлением сообщества и команды хакеры в конечном итоге вернули все украденные средства. Этот инцидент подчеркнул важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.
7. Случай утечки приватного ключа BtcTurk
Сумма убытков: 55 миллионов долларов США
Способ атаки: Утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции BtcTurk подверглась атаке из-за утечки приватных ключей, в результате чего были потеряны более 55 миллионов долларов в криптоактивах. С помощью одной из торговых платформ было успешно заморожено 5,3 миллиона долларов украденных средств, но другие активы пока не возвращены. Этот инцидент углубил беспокойство рынка по поводу управления приватными ключами централизованными биржами.
8. Многофункциональный кошелек Radiant Capital был взломан
Сумма убытков: 53 миллиона долларов США
Способ атаки: Утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования низкопороговой модели проверки подписей 3/11, хакеры получили доступ к закрытым ключам трех подписантов и инициировали оффлайн-подпись, что привело к передаче прав собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала в отрасли переосмысление дизайна и механизмов управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости в контракте до этой атаки, было украдено более 1900 ETH. Это отражает то, что уровень внимания к безопасности со стороны проектов Web3 все еще требует улучшения.
9. Атака на уязвимость контракта Hedgey Finance
Сумма убытков: 44,7 миллиона долларов США
Способ атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в контракте ClaimCampaigns, чтобы успешно вывести токены с блокчейнов Ethereum и Arbitrum, что привело к общим потерям в 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек биржи BingX был взломан
Сумма убытков: 44,7 миллиона долларов США
Способ атаки: Утечка приватного ключа
19 сентября 2024 года горячий кошелек биржи BingX был взломан хакерами, затронувшим несколько публичных цепочек, включая Ethereum, BNB Chain и Tron. Несмотря на то, что биржа быстро запустила механизмы перевода активов и заморозки выводов, хакеры все равно успешно вывели активы на сумму 44,7 миллиона долларов. Эта атака отражает высокие риски управления горячими кошельками централизованных бирж и подталкивает индустрию к поиску более безопасных решений для хранения активов.
В 2024 году частота инцидентов безопасности вновь увеличилась, что еще раз напоминает нам о том, что развитие отрасли блокчейна невозможно без обеспечения безопасности. От утечек приватных ключей до уязвимостей в контрактах, от упущений в управлении до усовершенствования внешних методов атак — каждый инцидент приносит глубокие уроки. Для противодействия все более сложным угрозам атаки всем участникам отрасли необходимо продолжать усиливать инвестиции в научные исследования, управление и предотвращение рисков. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы сможем совместно создать более безопасную экосистему блокчейна, обеспечивая пользователей и инвесторов более надежной защитой.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
В 2024 году потери от инцидентов безопасности в Web3 составили почти 2,5 миллиарда долларов, утечка Закрытого ключа стала основной причиной.
Обзор десяти крупнейших инцидентов безопасности в области Web3 за 2024 год
В 2024 году отрасль Web3, наряду с инновационным развитием, также сталкивается с все более серьезными вызовами безопасности. Согласно мониторингу данных, по состоянию на сегодняшний день общие убытки в области Web3 в 2024 году из-за хакерских атак, мошенничества и ухода команд проектов составляют 24,91 миллиарда долларов.
Эти события не только выявили уязвимости в таких технологических аспектах, как управление приватными ключами и смарт-контрактами, но и подчеркнули потенциальные риски в области социальной инженерии и внутреннего управления. В этой статье мы рассмотрим десять основных инцидентов безопасности Web3 в 2024 году, чтобы отрасль могла использовать их в качестве примера и лучше подготовиться к будущим угрозам безопасности.
1. Событие DMM Bitcoin
Сумма убытков: 304 миллиона долларов США Способ атаки: Утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа DMM Bitcoin подверглась серьезной атаке. Хакеры использовали скомпрометированные приватные ключи для прямого перевода биткойнов на сумму более 300 миллионов долларов, быстро распределив украденные средства на более чем 10 различных адресов. Этот инцидент выявил серьезные недостатки в управлении приватными ключами и многоуровневой системе безопасности биржи.
Несмотря на то, что биржа пытается отследить хакеров с помощью мониторинга в цепочке и замораживания средств, украденные биткойны были распылены и очищены с помощью инструментов для смешивания, что значительно усложняет отслеживание. 24 декабря японская полиция подтвердила, что инцидент был осуществлен северокорейской хакерской группой Lazarus Group.
2. Событие атаки PlayDapp
Сумма убытков: 290 миллионов долларов США Способ атаки: Утечка приватного ключа
9 февраля 2024 года PlayDapp понес серьезные потери. Хакеры, похитив приватные ключи, создали 2 миллиарда токенов PLA, первоначальная стоимость которых составила 36,5 миллиона долларов. Поскольку проект не смог договориться с хакерами, они затем создали еще 15,9 миллиарда токенов PLA, стоимостью 253,9 миллиона долларов. После того как часть токенов поступила на торговые платформы, PlayDapp был вынужден приостановить контракт PLA и перейти на контракт токена PDA. Этот инцидент подчеркивает недостатки блокчейн-проектов в области защиты приватных ключей и экстренного реагирования.
3. Мультиподписной кошелек WazirX подвергся атаке
Сумма убытков: 235 миллионов долларов США Способы атаки: Сетевая атака и фишинг
18 июля 2024 года, крупнейшая в Индии криптовалютная биржа WazirX подверглась целенаправленной атаке на свой мультиподписной кошелек Safe Wallet. Злоумышленники с помощью социальной инженерии заставили подписанта мультиподписного кошелька подписать сделку по обновлению контракта, а затем использовали права обновленного контракта для перевода всех активов из кошелька. Это дело выявило потенциальные риски мультиподписных кошельков в отношении конфигурации прав и прозрачности операций, а также вызвало глубокие размышления в отрасли о внутренних механизмах управления рисками и безопасности проектов.
4. Событие увеличения эмиссии токенов Gala Games
Сумма убытков: 216 миллионов долларов США Способ атаки: Уязвимость управления доступом
20 мая 2024 года адрес привилегий Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint токен-контракта, единовременно выпустили 5 миллиардов токенов GALA. Затем хакеры по частям обменяли эти токены на ETH, что непосредственно привело к убыткам в 216 миллионов долларов. Команда Gala Games срочно активировала функцию черного списка, чтобы заблокировать некоторые аккаунты хакеров, и через юридические меры вернула убытки.
5. Личный кошелек соучредителя Ripple был украден
Сумма убытка: 112 миллионов долларов США Способ атаки: Утечка приватного ключа
31 января 2024 года четыре личных кошелька соучредителя Ripple Кріса Ларсена были взломаны хакерами, в результате чего было украдено 112 миллионов долларов XRP. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты аппаратного обеспечения. После инцидента одна из торговых платформ успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла Ларсену отследить украденные активы, но большая часть средств была отмыта через децентрализованные биржи и услуги по смешиванию.
6. Внутренние проникновения Munchables
Сумма убытков: 6250 миллионов долларов Способ атаки: Социальная инженерия
26 марта 2024 года платформа Web3 игр Munchables на базе Blast стала жертвой редкой внутренней атаки. Атакующие, замаскировавшиеся под разработчиков блокчейна, были северокорейскими хакерами, которые долгое время скрывались и получили доступ к исходному коду и конфиденциальным ключам. Несмотря на огромные убытки, под давлением сообщества и команды хакеры в конечном итоге вернули все украденные средства. Этот инцидент подчеркнул важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.
7. Случай утечки приватного ключа BtcTurk
Сумма убытков: 55 миллионов долларов США Способ атаки: Утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции BtcTurk подверглась атаке из-за утечки приватных ключей, в результате чего были потеряны более 55 миллионов долларов в криптоактивах. С помощью одной из торговых платформ было успешно заморожено 5,3 миллиона долларов украденных средств, но другие активы пока не возвращены. Этот инцидент углубил беспокойство рынка по поводу управления приватными ключами централизованными биржами.
8. Многофункциональный кошелек Radiant Capital был взломан
Сумма убытков: 53 миллиона долларов США Способ атаки: Утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования низкопороговой модели проверки подписей 3/11, хакеры получили доступ к закрытым ключам трех подписантов и инициировали оффлайн-подпись, что привело к передаче прав собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала в отрасли переосмысление дизайна и механизмов управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости в контракте до этой атаки, было украдено более 1900 ETH. Это отражает то, что уровень внимания к безопасности со стороны проектов Web3 все еще требует улучшения.
9. Атака на уязвимость контракта Hedgey Finance
Сумма убытков: 44,7 миллиона долларов США Способ атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в контракте ClaimCampaigns, чтобы успешно вывести токены с блокчейнов Ethereum и Arbitrum, что привело к общим потерям в 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек биржи BingX был взломан
Сумма убытков: 44,7 миллиона долларов США Способ атаки: Утечка приватного ключа
19 сентября 2024 года горячий кошелек биржи BingX был взломан хакерами, затронувшим несколько публичных цепочек, включая Ethereum, BNB Chain и Tron. Несмотря на то, что биржа быстро запустила механизмы перевода активов и заморозки выводов, хакеры все равно успешно вывели активы на сумму 44,7 миллиона долларов. Эта атака отражает высокие риски управления горячими кошельками централизованных бирж и подталкивает индустрию к поиску более безопасных решений для хранения активов.
В 2024 году частота инцидентов безопасности вновь увеличилась, что еще раз напоминает нам о том, что развитие отрасли блокчейна невозможно без обеспечения безопасности. От утечек приватных ключей до уязвимостей в контрактах, от упущений в управлении до усовершенствования внешних методов атак — каждый инцидент приносит глубокие уроки. Для противодействия все более сложным угрозам атаки всем участникам отрасли необходимо продолжать усиливать инвестиции в научные исследования, управление и предотвращение рисков. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы сможем совместно создать более безопасную экосистему блокчейна, обеспечивая пользователей и инвесторов более надежной защитой.