Обзор десяти крупнейших инцидентов безопасности в области Web3 за 2024 год
В 2024 году блокчейн-отрасль, наряду с технологическими инновациями и расширением экосистемы, сталкивается с все более серьезными вызовами в области безопасности. Согласно данным платформы мониторинга безопасности, к концу года общие убытки в области Web3 из-за хакерских атак, фишинговых мошенничеств и исчезновения проектов составили 24,91 миллиарда долларов.
Эти события не только выявили технические недостатки, такие как управление приватными ключами и уязвимости смарт-контрактов, но и подчеркнули потенциальные риски социального инжиниринга и внутреннего управления. В данной статье будет представлен обзор десяти крупнейших инцидентов безопасности Web3 за 2024 год, чтобы отрасль могла извлечь уроки и лучше подготовиться к будущим угрозам безопасности.
1. Событие DMM Bitcoin
Сумма убытков: 304 миллиона долларов США
Способ атаки: утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа DMM Bitcoin подверглась серьезной атаке. Злоумышленники воспользовались утечкой приватных ключей и напрямую перевели более 300 миллионов долларов в биткойнах, быстро распределив украденные средства на более чем 10 различных адресов. Этот инцидент выявил серьезные уязвимости биржи в управлении приватными ключами и многоуровневой защите. Несмотря на то, что биржа пыталась отследить хакера с помощью мониторинга на блокчейне и замораживания средств, работа по отслеживанию столкнулась с огромными трудностями из-за того, что украденные биткойны были распределены и очищены с помощью инструментов для смешивания.
В конце года японская полиция подтвердила, что этот случай кражи был спланирован северокорейской хакерской группировкой.
2. PlayDapp понес тяжелые потери
Сумма убытка: 290 миллионов долларов США
Способ атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp подвергся серьезному удару. Хакеры, получив доступ к частным ключам, эмитировали 2 миллиарда токенов PLA, первоначальная стоимость которых составила 36,5 миллиона долларов. Поскольку переговоры между проектом и хакерами завершились неудачно, хакеры затем эмитировали еще 15,9 миллиарда токенов PLA на сумму 253,9 миллиона долларов. После того как часть украденных токенов попала на биржу, PlayDapp был вынужден приостановить контракт PLA и перейти на новый контракт токенов PDA. Этот инцидент подчеркивает недостатки проектов на блокчейне в области защиты частных ключей и экстренного реагирования.
3. Мультиподпись WazirX подверглась атаке
Сумма убытков: 235 миллионов долларов США
Способы атаки: сетевые атаки и фишинг
18 июля 2024 года крупнейшая криптовалютная биржа Индии WazirX подверглась целенаправленной атаке на свой мультиподписной кошелек Safe Wallet. Злоумышленники с помощью социальной инженерии заставили подписантов мультиподписного кошелька подписать сделку по обновлению контракта, после чего воспользовались правами, предоставленными обновленным контрактом, чтобы перевести все активы из кошелька. Этот случай выявил потенциальные риски мультиподписных кошельков в отношении управления правами и прозрачности операций, а также побудил业内深入 задуматься о внутренних механизмах контроля рисков проектов.
4. Уязвимость контракта Gala Games была использована
Сумма убытков: 216 миллионов долларов США
Способ атаки: уязвимость контроля доступа
20 мая 2024 года адрес определенного привилегированного аккаунта Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint токен-контракта, единовременно выпустили 5 миллиардов токенов GALA. Затем хакеры поэтапно обменяли выпущенные токены на ETH, что напрямую привело к убыткам в размере 216 миллионов долларов. Команда Gala Games после инцидента срочно активировала функцию черного списка, чтобы заблокировать часть аккаунтов хакеров, и через судебные пути вернула часть убытков.
5. Соучредитель Ripple подвергся хакерской атаке
Сумма убытков: 112 миллионов долларов США
Способ атаки: утечка закрытого ключа
31 января 2024 года четыре личных кошелька соучредителя Ripple Крисом Ларсеном были взломаны хакерами, в результате чего было украдено 112 миллионов долларов XRP. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты с использованием аппаратных устройств. После инцидента одна из торговых платформ успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла отследить украденные активы, но большая часть средств уже была отмыта через децентрализованные биржи и услуги смешивания.
6. Munchables столкнулись с внутренней утечкой
Сумма убытков: 62,5 миллиона долларов США
Способы атаки: атака социальной инженерии
26 марта 2024 года Web3 игровая платформа Munchables на базе Blast подверглась редкой внутренней атаке с проникновением. Злоумышленник маскировался под разработчика блокчейнов и, долго оставаясь незамеченным, получил доступ к исходному коду и конфиденциальным ключам. Несмотря на огромные убытки, под давлением сообщества и команды, хакер в конечном итоге вернул все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.
7. Инцидент с утечкой приватного ключа BtcTurk
Сумма убытка: 55 миллионов долларов США
Способ атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции BtcTurk подверглась атаке с утечкой частных ключей, в результате чего были потеряны криптоактивы на сумму более 55 миллионов долларов. С помощью одной из торговых платформ было успешно заморожено 5,3 миллиона долларов из украденных средств, но другие активы до сих пор не возвращены. Этот инцидент усилил беспокойство рынка по поводу управления частными ключами на централизованных биржах.
8. Мультиподписной кошелек Radiant Capital был взломан
Сумма убытков: 53 миллиона долларов США
Способ атаки: утечка закрытого ключа
17 октября 2024 года мультиподпись кошелька Radiant Capital подверглась атаке хакеров. Из-за использования низкопороговой модели проверки подписи 3/11, хакеры, получив доступ к приватным ключам 3 подписантов, инициировали оффлайн-подпись и перенесли право собственности на контракт кошелька на злонамеренный адрес, что в конечном итоге привело к краже 53 миллионов долларов. Эта атака вызвала в отрасли размышления о дизайне и механизмах управления мультиподписными кошельками.
Стоит отметить, что до этой атаки Radiant Capital уже понесла убытки в размере 4,5 миллиона долларов из-за уязвимости в контракте, было украдено более 1900 ETH. Это еще раз подчеркивает, что проектам Web3 необходимо уделять больше внимания безопасности.
9. Уязвимость контракта Hedgey Finance была использована
Сумма убытков: 44,7 миллиона долларов США
Способ атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в контракте ClaimCampaigns, успешно выведя токены из сетей Ethereum и Arbitrum, общие убытки составили 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек биржи BingX был взломан
Сумма убытков: 44,7 миллиона долларов США
Способ атаки: утечка частного ключа
19 сентября 2024 года горячий кошелек биржи BingX был взломан хакерами, затронувшими несколько публичных цепочек, включая Ethereum, BNB Chain, Tron и другие. Несмотря на то, что биржа быстро активировала механизмы перевода активов и заморозки вывода, хакеры все же смогли вывести активы на сумму 44,7 миллиона долларов. Эта атака снова подчеркнула высокие риски управления горячими кошельками централизованных бирж и подтолкнула отрасль к поиску более безопасных решений для хранения активов.
Частые инциденты безопасности в 2024 году вновь напоминают нам о том, что развитие блокчейн-отрасли невозможно без обеспечения безопасности. От утечки приватных ключей до уязвимостей в контрактах, от внутренних управленческих ошибок до усовершенствования внешних методов атаки — каждое событие приносит глубокие уроки. Чтобы справиться с все более сложными угрозами атак, всем участникам отрасли необходимо продолжать усиливать инвестиции в разработку технологий, установление стандартов управления и предотвращение рисков. В будущем мы надеемся, что через отраслевое сотрудничество и технологические инновации мы сможем совместно создать более безопасную блокчейн-экосистему, обеспечивающую пользователей и инвесторов более надежной защитой.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Обзор безопасности Web3 2024 года: десять событий, приведших к убыткам почти в 2,5 миллиарда долларов
Обзор десяти крупнейших инцидентов безопасности в области Web3 за 2024 год
В 2024 году блокчейн-отрасль, наряду с технологическими инновациями и расширением экосистемы, сталкивается с все более серьезными вызовами в области безопасности. Согласно данным платформы мониторинга безопасности, к концу года общие убытки в области Web3 из-за хакерских атак, фишинговых мошенничеств и исчезновения проектов составили 24,91 миллиарда долларов.
Эти события не только выявили технические недостатки, такие как управление приватными ключами и уязвимости смарт-контрактов, но и подчеркнули потенциальные риски социального инжиниринга и внутреннего управления. В данной статье будет представлен обзор десяти крупнейших инцидентов безопасности Web3 за 2024 год, чтобы отрасль могла извлечь уроки и лучше подготовиться к будущим угрозам безопасности.
1. Событие DMM Bitcoin
Сумма убытков: 304 миллиона долларов США Способ атаки: утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа DMM Bitcoin подверглась серьезной атаке. Злоумышленники воспользовались утечкой приватных ключей и напрямую перевели более 300 миллионов долларов в биткойнах, быстро распределив украденные средства на более чем 10 различных адресов. Этот инцидент выявил серьезные уязвимости биржи в управлении приватными ключами и многоуровневой защите. Несмотря на то, что биржа пыталась отследить хакера с помощью мониторинга на блокчейне и замораживания средств, работа по отслеживанию столкнулась с огромными трудностями из-за того, что украденные биткойны были распределены и очищены с помощью инструментов для смешивания.
В конце года японская полиция подтвердила, что этот случай кражи был спланирован северокорейской хакерской группировкой.
2. PlayDapp понес тяжелые потери
Сумма убытка: 290 миллионов долларов США Способ атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp подвергся серьезному удару. Хакеры, получив доступ к частным ключам, эмитировали 2 миллиарда токенов PLA, первоначальная стоимость которых составила 36,5 миллиона долларов. Поскольку переговоры между проектом и хакерами завершились неудачно, хакеры затем эмитировали еще 15,9 миллиарда токенов PLA на сумму 253,9 миллиона долларов. После того как часть украденных токенов попала на биржу, PlayDapp был вынужден приостановить контракт PLA и перейти на новый контракт токенов PDA. Этот инцидент подчеркивает недостатки проектов на блокчейне в области защиты частных ключей и экстренного реагирования.
3. Мультиподпись WazirX подверглась атаке
Сумма убытков: 235 миллионов долларов США Способы атаки: сетевые атаки и фишинг
18 июля 2024 года крупнейшая криптовалютная биржа Индии WazirX подверглась целенаправленной атаке на свой мультиподписной кошелек Safe Wallet. Злоумышленники с помощью социальной инженерии заставили подписантов мультиподписного кошелька подписать сделку по обновлению контракта, после чего воспользовались правами, предоставленными обновленным контрактом, чтобы перевести все активы из кошелька. Этот случай выявил потенциальные риски мультиподписных кошельков в отношении управления правами и прозрачности операций, а также побудил业内深入 задуматься о внутренних механизмах контроля рисков проектов.
4. Уязвимость контракта Gala Games была использована
Сумма убытков: 216 миллионов долларов США Способ атаки: уязвимость контроля доступа
20 мая 2024 года адрес определенного привилегированного аккаунта Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint токен-контракта, единовременно выпустили 5 миллиардов токенов GALA. Затем хакеры поэтапно обменяли выпущенные токены на ETH, что напрямую привело к убыткам в размере 216 миллионов долларов. Команда Gala Games после инцидента срочно активировала функцию черного списка, чтобы заблокировать часть аккаунтов хакеров, и через судебные пути вернула часть убытков.
5. Соучредитель Ripple подвергся хакерской атаке
Сумма убытков: 112 миллионов долларов США Способ атаки: утечка закрытого ключа
31 января 2024 года четыре личных кошелька соучредителя Ripple Крисом Ларсеном были взломаны хакерами, в результате чего было украдено 112 миллионов долларов XRP. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты с использованием аппаратных устройств. После инцидента одна из торговых платформ успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла отследить украденные активы, но большая часть средств уже была отмыта через децентрализованные биржи и услуги смешивания.
6. Munchables столкнулись с внутренней утечкой
Сумма убытков: 62,5 миллиона долларов США Способы атаки: атака социальной инженерии
26 марта 2024 года Web3 игровая платформа Munchables на базе Blast подверглась редкой внутренней атаке с проникновением. Злоумышленник маскировался под разработчика блокчейнов и, долго оставаясь незамеченным, получил доступ к исходному коду и конфиденциальным ключам. Несмотря на огромные убытки, под давлением сообщества и команды, хакер в конечном итоге вернул все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.
7. Инцидент с утечкой приватного ключа BtcTurk
Сумма убытка: 55 миллионов долларов США Способ атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции BtcTurk подверглась атаке с утечкой частных ключей, в результате чего были потеряны криптоактивы на сумму более 55 миллионов долларов. С помощью одной из торговых платформ было успешно заморожено 5,3 миллиона долларов из украденных средств, но другие активы до сих пор не возвращены. Этот инцидент усилил беспокойство рынка по поводу управления частными ключами на централизованных биржах.
8. Мультиподписной кошелек Radiant Capital был взломан
Сумма убытков: 53 миллиона долларов США Способ атаки: утечка закрытого ключа
17 октября 2024 года мультиподпись кошелька Radiant Capital подверглась атаке хакеров. Из-за использования низкопороговой модели проверки подписи 3/11, хакеры, получив доступ к приватным ключам 3 подписантов, инициировали оффлайн-подпись и перенесли право собственности на контракт кошелька на злонамеренный адрес, что в конечном итоге привело к краже 53 миллионов долларов. Эта атака вызвала в отрасли размышления о дизайне и механизмах управления мультиподписными кошельками.
Стоит отметить, что до этой атаки Radiant Capital уже понесла убытки в размере 4,5 миллиона долларов из-за уязвимости в контракте, было украдено более 1900 ETH. Это еще раз подчеркивает, что проектам Web3 необходимо уделять больше внимания безопасности.
9. Уязвимость контракта Hedgey Finance была использована
Сумма убытков: 44,7 миллиона долларов США Способ атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в контракте ClaimCampaigns, успешно выведя токены из сетей Ethereum и Arbitrum, общие убытки составили 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек биржи BingX был взломан
Сумма убытков: 44,7 миллиона долларов США Способ атаки: утечка частного ключа
19 сентября 2024 года горячий кошелек биржи BingX был взломан хакерами, затронувшими несколько публичных цепочек, включая Ethereum, BNB Chain, Tron и другие. Несмотря на то, что биржа быстро активировала механизмы перевода активов и заморозки вывода, хакеры все же смогли вывести активы на сумму 44,7 миллиона долларов. Эта атака снова подчеркнула высокие риски управления горячими кошельками централизованных бирж и подтолкнула отрасль к поиску более безопасных решений для хранения активов.
Частые инциденты безопасности в 2024 году вновь напоминают нам о том, что развитие блокчейн-отрасли невозможно без обеспечения безопасности. От утечки приватных ключей до уязвимостей в контрактах, от внутренних управленческих ошибок до усовершенствования внешних методов атаки — каждое событие приносит глубокие уроки. Чтобы справиться с все более сложными угрозами атак, всем участникам отрасли необходимо продолжать усиливать инвестиции в разработку технологий, установление стандартов управления и предотвращение рисков. В будущем мы надеемся, что через отраслевое сотрудничество и технологические инновации мы сможем совместно создать более безопасную блокчейн-экосистему, обеспечивающую пользователей и инвесторов более надежной защитой.