Огляд десяти найбільших інцидентів безпеки у сфері Web3 у 2024 році
У 2024 році індустрія Web3, розвиваючись інноваційно, також стикається з усе більшими викликами безпеки. За даними платформи моніторингу, на даний момент загальні збитки в сфері Web3 у 2024 році через хакерські атаки, шахрайство та зникнення проектів становлять 24,91 мільярда доларів.
Ці події не лише виявили вразливості на технологічному рівні, такі як управління приватними ключами та смарт-контрактами, але й підкреслили потенційні ризики в соціальному інженерії та внутрішньому управлінні. У цій статті буде розглянуто десять найбільших інцидентів безпеки Web3 у 2024 році для того, щоб галузь могла взяти з них приклад і краще реагувати на майбутні загрози безпеці.
1. Подія DMM Bitcoin
Сума збитків: 3.04 мільярда доларів США
Спосіб атаки: витік приватного ключа
31 травня 2024 року японська відома криптовалютна біржа DMM Bitcoin зазнала серйозної атаки. Хакери використали витік приватного ключа для безпосереднього переказу біткоїнів на суму понад 300 мільйонів доларів і швидко розподілили викрадені кошти на понад 10 різних адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багатошаровій безпеці.
Хоча біржа намагалася відстежити хакерів через моніторинг в ланцюгу та заморожування коштів, але вкрадені біткоїни були розподілені та очищені за допомогою інструментів для змішування, що значно ускладнило процес відстеження. 24 грудня японська поліція підтвердила, що цей інцидент був здійснений північнокорейською хакерською групою Lazarus Group.
2. Інцидент атаки PlayDapp
Сума втрат: 2.90 мільярдів доларів
Спосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозного удару. Хакери, викравши приватний ключ, згенерували 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Через невдалі переговори проекту з хакерами, ті згенерували ще 15,9 мільярдів токенів PLA, вартістю 253,9 мільйона доларів США. Після частини токенів, що потрапили на торгові платформи, PlayDapp був змушений призупинити контракт PLA і перейти на контракт токена PDA. Ця подія підкреслила недоліки проектів у блокчейні щодо захисту приватних ключів та реагування на надзвичайні ситуації.
3. Гаманець WazirX з мультипідписом зазнав атаки
Сума збитків: 2,35 мільярда доларів
Спосіб атаки: мережеві атаки та фішинг
18 липня 2024 року найбільша криптовалютна біржа Індії WazirX зазнала точкової атаки на свій мультипідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії змусили підписувачів мультипідпису підписати угоду про оновлення контракту, а потім використали права, надані оновленим контрактом, для переміщення всіх активів з гаманця. Цей випадок виявив потенційні ризики мультипідписних гаманців у конфігурації прав та прозорості операцій, а також спровокував глибоке роздуми в галузі щодо внутрішнього контролю проектів та механізмів безпеки.
4. Подія збільшення емісії токенів Gala Games
Сума збитків: 216 мільйонів доларів
Метод атаки: вразливість контролю доступу
20 травня 2024 року, привілейована адреса Gala Games була зламано хакерами. Зловмисники, викликавши функцію mint контракту токенів, одноразово викарбували 5 мільярдів токенів GALA. Після цього хакери частинами обміняли ці токени на ETH, що безпосередньо призвело до збитків у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через судові процедури повернула втрачені кошти.
Сума збитків: 1,12 мільярда доларів
Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Кріс Ларсена стали жертвами хакерської атаки, внаслідок чого було вкрадено 112 мільйонів доларів США у XRP. Ці гаманці, ймовірно, стали мішенню для атаки через відсутність апаратного забезпечення для двофакторної автентифікації. Після інциденту одна з торгових платформ успішно заморозила XRP на суму 4,2 мільйона доларів США та допомогла Ларсену відстежити вкрадені активи, але більша частина коштів була очищена через децентралізовані біржі та сервіси змішування.
6. Внутрішня атака на Munchables
Сума збитків: 6250 мільйонів доларів
Метод атаки: Соціальна інженерія
26 березня 2024 року веб3 ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої атаки з проникненням. Зловмисники, що маскувалися під розробників блокчейну, були північнокорейськими хакерами, які протягом тривалого часу залишалися непоміченими, отримавши доступ до основного коду та чутливих ключів. Незважаючи на величезні збитки, під тиском спільноти та команди хакери зрештою повернули всі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальницького ланцюга, особливо для блокчейн-проєктів, які залежать від сторонніх розробників.
7. Інцидент з витоком приватних ключів BtcTurk
Сума втрат: 55 мільйонів доларів США
Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки на витік приватних ключів, внаслідок чого були втрачені активи на понад 55 мільйонів доларів. Завдяки допомозі однієї з торгових платформ вдалося заморозити 5,3 мільйона доларів викрадених коштів, але інші активи досі не повернені. Цей інцидент поглибив занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Мультипідписний гаманець Radiant Capital був зламаний
Сума втрат: 53 мільйони доларів США
Спосіб атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital зазнав хакерської атаки. Через використання низькопорогової моделі перевірки підписів 3/11, хакери, отримавши приватні ключі трьох підписувачів, ініціювали позасистемний підпис, передавши права власності на контракт гаманця на зловмисну адресу, що зрештою призвело до крадіжки 53 мільйонів доларів. Ця атака спровокувала галузеві роздуми щодо дизайну та механізму управління мультипідписними гаманцями.
Варто зазначити, що Radiant Capital перед цією атакою вже втратила 4,5 мільйона доларів через вразливість контракту, понад 1900 ETH було вкрадено. Це відображає те, що проекти Web3 все ще повинні підвищити свою увагу до безпеки.
9. Атака на вразливість контракту Hedgey Finance
Сума збитків: 44,7 мільйона доларів США
Метод атаки: Вразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Хакери використали вразливість затвердження в їхньому контракті ClaimCampaigns, успішно витягнувши токени з двох мереж - Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо строгого підтвердження логіки затвердження токенів.
10. Гарячий гаманець біржі BingX був зламаний
Сума збитків: 4470 мільйонів доларів
Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець біржі BingX зазнав хакерської атаки, що стосується кількох блокчейнів, зокрема Ethereum, BNB Chain, Tron та інших. Незважаючи на те, що біржа швидко активувала механізм переміщення активів та замороження виведення, хакери все ж змогли витягти активи на суму 44,7 мільйона доларів США. Ця атака відображає високий ризик управління гарячими гаманцями централізованих бірж, спонукаючи галузь шукати більш безпечні рішення для зберігання активів.
У 2024 році частота атак на безпеку зростає, що ще раз нагадує нам, що розвиток індустрії блокчейн неможливий без забезпечення безпеки. Від витоку приватних ключів до вразливостей у контрактах, від внутрішніх управлінських недоліків до модернізації зовнішніх атак, кожен випадок приносить глибокі уроки. Щоб протистояти дедалі складнішим загрозам атак, усі сторони в індустрії повинні продовжувати посилювати інвестиції в технологічні дослідження, управлінські норми та управління ризиками. У майбутньому ми сподіваємося на те, що завдяки співпраці в індустрії та технологічним інноваціям ми спільно створимо більш безпечну екосистему блокчейн, щоб надати користувачам та інвесторам надійнішу підтримку.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
У 2024 році збитки від безпекових інцидентів Web3 склали майже 2,5 мільярда доларів, причиною яких стало витік Закритий ключ.
Огляд десяти найбільших інцидентів безпеки у сфері Web3 у 2024 році
У 2024 році індустрія Web3, розвиваючись інноваційно, також стикається з усе більшими викликами безпеки. За даними платформи моніторингу, на даний момент загальні збитки в сфері Web3 у 2024 році через хакерські атаки, шахрайство та зникнення проектів становлять 24,91 мільярда доларів.
Ці події не лише виявили вразливості на технологічному рівні, такі як управління приватними ключами та смарт-контрактами, але й підкреслили потенційні ризики в соціальному інженерії та внутрішньому управлінні. У цій статті буде розглянуто десять найбільших інцидентів безпеки Web3 у 2024 році для того, щоб галузь могла взяти з них приклад і краще реагувати на майбутні загрози безпеці.
1. Подія DMM Bitcoin
Сума збитків: 3.04 мільярда доларів США Спосіб атаки: витік приватного ключа
31 травня 2024 року японська відома криптовалютна біржа DMM Bitcoin зазнала серйозної атаки. Хакери використали витік приватного ключа для безпосереднього переказу біткоїнів на суму понад 300 мільйонів доларів і швидко розподілили викрадені кошти на понад 10 різних адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багатошаровій безпеці.
Хоча біржа намагалася відстежити хакерів через моніторинг в ланцюгу та заморожування коштів, але вкрадені біткоїни були розподілені та очищені за допомогою інструментів для змішування, що значно ускладнило процес відстеження. 24 грудня японська поліція підтвердила, що цей інцидент був здійснений північнокорейською хакерською групою Lazarus Group.
2. Інцидент атаки PlayDapp
Сума втрат: 2.90 мільярдів доларів Спосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозного удару. Хакери, викравши приватний ключ, згенерували 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Через невдалі переговори проекту з хакерами, ті згенерували ще 15,9 мільярдів токенів PLA, вартістю 253,9 мільйона доларів США. Після частини токенів, що потрапили на торгові платформи, PlayDapp був змушений призупинити контракт PLA і перейти на контракт токена PDA. Ця подія підкреслила недоліки проектів у блокчейні щодо захисту приватних ключів та реагування на надзвичайні ситуації.
3. Гаманець WazirX з мультипідписом зазнав атаки
Сума збитків: 2,35 мільярда доларів Спосіб атаки: мережеві атаки та фішинг
18 липня 2024 року найбільша криптовалютна біржа Індії WazirX зазнала точкової атаки на свій мультипідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії змусили підписувачів мультипідпису підписати угоду про оновлення контракту, а потім використали права, надані оновленим контрактом, для переміщення всіх активів з гаманця. Цей випадок виявив потенційні ризики мультипідписних гаманців у конфігурації прав та прозорості операцій, а також спровокував глибоке роздуми в галузі щодо внутрішнього контролю проектів та механізмів безпеки.
4. Подія збільшення емісії токенів Gala Games
Сума збитків: 216 мільйонів доларів Метод атаки: вразливість контролю доступу
20 травня 2024 року, привілейована адреса Gala Games була зламано хакерами. Зловмисники, викликавши функцію mint контракту токенів, одноразово викарбували 5 мільярдів токенів GALA. Після цього хакери частинами обміняли ці токени на ETH, що безпосередньо призвело до збитків у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через судові процедури повернула втрачені кошти.
5. Вкрадено особистий гаманець співзасновника Ripple
Сума збитків: 1,12 мільярда доларів Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Кріс Ларсена стали жертвами хакерської атаки, внаслідок чого було вкрадено 112 мільйонів доларів США у XRP. Ці гаманці, ймовірно, стали мішенню для атаки через відсутність апаратного забезпечення для двофакторної автентифікації. Після інциденту одна з торгових платформ успішно заморозила XRP на суму 4,2 мільйона доларів США та допомогла Ларсену відстежити вкрадені активи, але більша частина коштів була очищена через децентралізовані біржі та сервіси змішування.
6. Внутрішня атака на Munchables
Сума збитків: 6250 мільйонів доларів Метод атаки: Соціальна інженерія
26 березня 2024 року веб3 ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої атаки з проникненням. Зловмисники, що маскувалися під розробників блокчейну, були північнокорейськими хакерами, які протягом тривалого часу залишалися непоміченими, отримавши доступ до основного коду та чутливих ключів. Незважаючи на величезні збитки, під тиском спільноти та команди хакери зрештою повернули всі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальницького ланцюга, особливо для блокчейн-проєктів, які залежать від сторонніх розробників.
7. Інцидент з витоком приватних ключів BtcTurk
Сума втрат: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки на витік приватних ключів, внаслідок чого були втрачені активи на понад 55 мільйонів доларів. Завдяки допомозі однієї з торгових платформ вдалося заморозити 5,3 мільйона доларів викрадених коштів, але інші активи досі не повернені. Цей інцидент поглибив занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Мультипідписний гаманець Radiant Capital був зламаний
Сума втрат: 53 мільйони доларів США Спосіб атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital зазнав хакерської атаки. Через використання низькопорогової моделі перевірки підписів 3/11, хакери, отримавши приватні ключі трьох підписувачів, ініціювали позасистемний підпис, передавши права власності на контракт гаманця на зловмисну адресу, що зрештою призвело до крадіжки 53 мільйонів доларів. Ця атака спровокувала галузеві роздуми щодо дизайну та механізму управління мультипідписними гаманцями.
Варто зазначити, що Radiant Capital перед цією атакою вже втратила 4,5 мільйона доларів через вразливість контракту, понад 1900 ETH було вкрадено. Це відображає те, що проекти Web3 все ще повинні підвищити свою увагу до безпеки.
9. Атака на вразливість контракту Hedgey Finance
Сума збитків: 44,7 мільйона доларів США Метод атаки: Вразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Хакери використали вразливість затвердження в їхньому контракті ClaimCampaigns, успішно витягнувши токени з двох мереж - Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо строгого підтвердження логіки затвердження токенів.
10. Гарячий гаманець біржі BingX був зламаний
Сума збитків: 4470 мільйонів доларів Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець біржі BingX зазнав хакерської атаки, що стосується кількох блокчейнів, зокрема Ethereum, BNB Chain, Tron та інших. Незважаючи на те, що біржа швидко активувала механізм переміщення активів та замороження виведення, хакери все ж змогли витягти активи на суму 44,7 мільйона доларів США. Ця атака відображає високий ризик управління гарячими гаманцями централізованих бірж, спонукаючи галузь шукати більш безпечні рішення для зберігання активів.
У 2024 році частота атак на безпеку зростає, що ще раз нагадує нам, що розвиток індустрії блокчейн неможливий без забезпечення безпеки. Від витоку приватних ключів до вразливостей у контрактах, від внутрішніх управлінських недоліків до модернізації зовнішніх атак, кожен випадок приносить глибокі уроки. Щоб протистояти дедалі складнішим загрозам атак, усі сторони в індустрії повинні продовжувати посилювати інвестиції в технологічні дослідження, управлінські норми та управління ризиками. У майбутньому ми сподіваємося на те, що завдяки співпраці в індустрії та технологічним інноваціям ми спільно створимо більш безпечну екосистему блокчейн, щоб надати користувачам та інвесторам надійнішу підтримку.