Обзор десяти основных инцидентов безопасности в области Web3 за 2024 год
В 2024 году индустрия блокчейна, развиваясь и инновационно, сталкивается с все более серьезными угрозами безопасности. Согласно данным мониторинговой платформы, на сегодняшний день общие убытки в области Web3 из-за хакерских атак, мошенничества и побегов со стороны проектов достигли 24,91 миллиарда долларов.
Эти события не только выявили недостатки на техническом уровне, такие как управление приватными ключами и уязвимости смарт-контрактов, но и подчеркнули потенциальные риски в области социального инжиниринга и внутреннего управления. В этой статье будет рассмотрено десять наиболее значительных событий в области безопасности Web3 2024 года, чтобы помочь отрасли извлечь уроки и лучше справляться с будущими угрозами безопасности.
1. DMM Биткойн
Сумма убытков: 304 миллиона долларов СШАСпособ атаки: утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа DMM Bitcoin подверглась серьезной атаке. Хакеры использовали утечку закрытых ключей для прямого перевода биткойнов на сумму более 300 миллионов долларов, быстро разослав похищенные средства на более чем 10 различных адресов. Этот инцидент выявил серьезные недостатки биржи в управлении закрытыми ключами и многоуровневыми мерами безопасности. Несмотря на то, что биржа пыталась отследить хакеров с помощью мониторинга в цепочке и замораживания средств, отслеживание столкнулось с огромными трудностями из-за того, что средства были разосланы и использованы в инструментах смешивания.
24 декабря японская полиция подтвердила, что эту атаку осуществила одна хакерская группа.
2. ПлейДапп
Сумма убытков: 290 миллионов долларов СШАСпособ атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp понес серьезные убытки. Атакующие, похитившие приватный ключ, выпустили 2 миллиарда токенов PLA, первоначальная стоимость которых составила 36,5 миллиона долларов. После неудачных переговоров с хакерами, они выпустили еще 15,9 миллиарда токенов PLA, стоимость которых составила 253,9 миллиона долларов. После того как часть украденных токенов попала на биржи, PlayDapp был вынужден приостановить контракт на PLA и перейти на новый контракт токена PDA. Этот инцидент подчеркивает недостатки блокчейн-проектов в защите приватных ключей и в экстренных мерах реагирования на события.
3. WazirX
Сумма убытков: 235 миллионов долларов СШАСпособы атаки: сетевые атаки и фишинг
18 июля 2024 года крупнейшая криптовалютная биржа Индии WazirX стала жертвой целенаправленной атаки на мультиподписной кошелек. Злоумышленники с помощью социальной инженерии заставили подписантов мультиподписного кошелька подписать сделку по обновлению контракта, после чего воспользовались правами, предоставленными обновленным контрактом, для перевода всех активов из кошелька. Этот инцидент выявил потенциальные риски мультиподписных кошельков в управлении настройками прав и прозрачности операций, а также вызвал глубокие размышления в отрасли о внутренних механизмах контроля и безопасности проектов.
4. Гала-игры
Сумма убытков: 216 миллионов долларов СШАСпособ атаки: Уязвимость управления доступом
20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint токен-контракта, единовременно выпустили 5 миллиардов токенов GALA. Впоследствии эти выпущенные токены были поэтапно обменены на ETH, что напрямую привело к убыткам в размере 216 миллионов долларов. Команда Gala Games после произошедшего экстренно активировала функцию черного списка, заблокировав некоторые аккаунты хакеров, и через судебные меры вернула часть убытков.
5. Соучредитель Ripple подвергся атаке
Сумма убытков: 112 миллионов долларов СШАСпособ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька соучредителя Ripple были взломаны хакерами, что привело к краже 112 миллионов долларов XRP. Эти кошельки могли стать целью атаки из-за отсутствия двойной защиты аппаратных средств. После инцидента одна из бирж успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла отследить украденные активы, но большая часть средств была отмыта через децентрализованные биржи и сервисы микширования.
6. Мунчаблс
Сумма убытка: 62,5 миллиона долларов СШАСпособы атаки: атака социальной инженерии
26 марта 2024 года веб3 игровая платформа Munchables на базе Blast подверглась редкой внутренней атаке. Злоумышленники маскировались под разработчиков блокчейна и в течение длительного времени получали доступ к исходному коду и чувствительным ключам. Хотя это привело к огромным потерям, под давлением сообщества и команды хакеры в конечном итоге вернули все украденные средства. Этот инцидент подчеркнул важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонней разработки.
7. BtcTurk
Сумма убытков: 55 миллионов долларов СШАСпособ атаки: утечка закрытого ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции BtcTurk подверглась атаке с утечкой приватных ключей, в результате чего был потерян криптоактив на сумму более 55 миллионов долларов. С помощью команды одной из бирж удалось заморозить 5,3 миллиона долларов из украденных средств, но другие активы пока не возвращены. Этот инцидент усилил опасения рынка по поводу управления приватными ключами централизованными биржами.
8. Радиант Капитал
Сумма убытков: 53 миллиона долларов СШАСпособ атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования модели проверки подписи с низким порогом 3/11 хакеры, получив доступ к приватным ключам 3 подписантов, инициировали оффлайн-подпись, передав права собственности на контракт кошелька на злонамеренный адрес, что в конечном итоге привело к кражe 53 миллионов долларов. Эта атака вызвала отраслевую реакцию на проектирование мультиподписных кошельков и механизмы управления.
Стоит отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости контракта до этой атаки, было украдено более 1900 ETH, что показывает, что проектам Web3 необходимо повысить уровень внимания к безопасности.
9. Хеджи Финанс
Сумма убытков: 44,7 миллиона долларов СШАСпособ атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в контракте ClaimCampaigns, чтобы успешно извлечь токены с двух цепочек — Ethereum и Arbitrum, что привело к общим потерям в 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. BingX
Сумма убытков: 44,7 миллиона долларов СШАСпособ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек одной из бирж был взломан хакерами, затронув такими блокчейнами, как Ethereum, BNB Chain, Tron и другими. Несмотря на то, что биржа быстро включила механизм перевода активов и заморозки вывода, хакерам все же удалось вывести активы на сумму 44,7 миллиона долларов. Эта атака отражает высокие риски управления горячими кошельками централизованных бирж и далее стимулирует отрасль к поиску более безопасных решений для хранения активов.
Частые случаи атак на безопасность в 2024 году снова напоминают нам о том, что развитие блокчейн-индустрии невозможно без обеспечения безопасности. От утечки приватных ключей до уязвимостей в контрактах, от внутренних управленческих недочетов до усовершенствования внешних методов атак — каждое из этих событий принесло глубокие уроки. Чтобы справиться с все более сложными угрозами атак, всем сторонам в отрасли необходимо продолжать усиливать инвестиции в научные разработки, управление и предотвращение рисков. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы сможем совместно создать более безопасную блокчейн-экосистему, предоставляя пользователям и инвесторам более надежную защиту.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
12 Лайков
Награда
12
5
Поделиться
комментарий
0/400
OnchainUndercover
· 2ч назад
Снова за закрытый ключ, который взорвали другие~
Посмотреть ОригиналОтветить0
RugpullTherapist
· 07-26 05:26
Снова видим цифры убытков, уязвимость контрактов никогда не будет исправлена.
Посмотреть ОригиналОтветить0
GateUser-a180694b
· 07-26 05:24
Потери просто абсурдные.
Посмотреть ОригиналОтветить0
MetadataExplorer
· 07-26 05:20
Уязвимостей действительно очень много.
Посмотреть ОригиналОтветить0
RugPullAlarm
· 07-26 05:07
Данные старой кривой стали привычными. Снова год неудачников, полных слез и крови.
Обзор 10 крупнейших инцидентов безопасности Web3 в 2024 году. Убытки составили 24,91 миллиарда долларов.
Обзор десяти основных инцидентов безопасности в области Web3 за 2024 год
В 2024 году индустрия блокчейна, развиваясь и инновационно, сталкивается с все более серьезными угрозами безопасности. Согласно данным мониторинговой платформы, на сегодняшний день общие убытки в области Web3 из-за хакерских атак, мошенничества и побегов со стороны проектов достигли 24,91 миллиарда долларов.
Эти события не только выявили недостатки на техническом уровне, такие как управление приватными ключами и уязвимости смарт-контрактов, но и подчеркнули потенциальные риски в области социального инжиниринга и внутреннего управления. В этой статье будет рассмотрено десять наиболее значительных событий в области безопасности Web3 2024 года, чтобы помочь отрасли извлечь уроки и лучше справляться с будущими угрозами безопасности.
1. DMM Биткойн
Сумма убытков: 304 миллиона долларов США Способ атаки: утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа DMM Bitcoin подверглась серьезной атаке. Хакеры использовали утечку закрытых ключей для прямого перевода биткойнов на сумму более 300 миллионов долларов, быстро разослав похищенные средства на более чем 10 различных адресов. Этот инцидент выявил серьезные недостатки биржи в управлении закрытыми ключами и многоуровневыми мерами безопасности. Несмотря на то, что биржа пыталась отследить хакеров с помощью мониторинга в цепочке и замораживания средств, отслеживание столкнулось с огромными трудностями из-за того, что средства были разосланы и использованы в инструментах смешивания.
24 декабря японская полиция подтвердила, что эту атаку осуществила одна хакерская группа.
2. ПлейДапп
Сумма убытков: 290 миллионов долларов США Способ атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp понес серьезные убытки. Атакующие, похитившие приватный ключ, выпустили 2 миллиарда токенов PLA, первоначальная стоимость которых составила 36,5 миллиона долларов. После неудачных переговоров с хакерами, они выпустили еще 15,9 миллиарда токенов PLA, стоимость которых составила 253,9 миллиона долларов. После того как часть украденных токенов попала на биржи, PlayDapp был вынужден приостановить контракт на PLA и перейти на новый контракт токена PDA. Этот инцидент подчеркивает недостатки блокчейн-проектов в защите приватных ключей и в экстренных мерах реагирования на события.
3. WazirX
Сумма убытков: 235 миллионов долларов США Способы атаки: сетевые атаки и фишинг
18 июля 2024 года крупнейшая криптовалютная биржа Индии WazirX стала жертвой целенаправленной атаки на мультиподписной кошелек. Злоумышленники с помощью социальной инженерии заставили подписантов мультиподписного кошелька подписать сделку по обновлению контракта, после чего воспользовались правами, предоставленными обновленным контрактом, для перевода всех активов из кошелька. Этот инцидент выявил потенциальные риски мультиподписных кошельков в управлении настройками прав и прозрачности операций, а также вызвал глубокие размышления в отрасли о внутренних механизмах контроля и безопасности проектов.
4. Гала-игры
Сумма убытков: 216 миллионов долларов США Способ атаки: Уязвимость управления доступом
20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint токен-контракта, единовременно выпустили 5 миллиардов токенов GALA. Впоследствии эти выпущенные токены были поэтапно обменены на ETH, что напрямую привело к убыткам в размере 216 миллионов долларов. Команда Gala Games после произошедшего экстренно активировала функцию черного списка, заблокировав некоторые аккаунты хакеров, и через судебные меры вернула часть убытков.
5. Соучредитель Ripple подвергся атаке
Сумма убытков: 112 миллионов долларов США Способ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька соучредителя Ripple были взломаны хакерами, что привело к краже 112 миллионов долларов XRP. Эти кошельки могли стать целью атаки из-за отсутствия двойной защиты аппаратных средств. После инцидента одна из бирж успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла отследить украденные активы, но большая часть средств была отмыта через децентрализованные биржи и сервисы микширования.
6. Мунчаблс
Сумма убытка: 62,5 миллиона долларов США Способы атаки: атака социальной инженерии
26 марта 2024 года веб3 игровая платформа Munchables на базе Blast подверглась редкой внутренней атаке. Злоумышленники маскировались под разработчиков блокчейна и в течение длительного времени получали доступ к исходному коду и чувствительным ключам. Хотя это привело к огромным потерям, под давлением сообщества и команды хакеры в конечном итоге вернули все украденные средства. Этот инцидент подчеркнул важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонней разработки.
7. BtcTurk
Сумма убытков: 55 миллионов долларов США Способ атаки: утечка закрытого ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции BtcTurk подверглась атаке с утечкой приватных ключей, в результате чего был потерян криптоактив на сумму более 55 миллионов долларов. С помощью команды одной из бирж удалось заморозить 5,3 миллиона долларов из украденных средств, но другие активы пока не возвращены. Этот инцидент усилил опасения рынка по поводу управления приватными ключами централизованными биржами.
8. Радиант Капитал
Сумма убытков: 53 миллиона долларов США Способ атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования модели проверки подписи с низким порогом 3/11 хакеры, получив доступ к приватным ключам 3 подписантов, инициировали оффлайн-подпись, передав права собственности на контракт кошелька на злонамеренный адрес, что в конечном итоге привело к кражe 53 миллионов долларов. Эта атака вызвала отраслевую реакцию на проектирование мультиподписных кошельков и механизмы управления.
Стоит отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости контракта до этой атаки, было украдено более 1900 ETH, что показывает, что проектам Web3 необходимо повысить уровень внимания к безопасности.
9. Хеджи Финанс
Сумма убытков: 44,7 миллиона долларов США Способ атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в контракте ClaimCampaigns, чтобы успешно извлечь токены с двух цепочек — Ethereum и Arbitrum, что привело к общим потерям в 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. BingX
Сумма убытков: 44,7 миллиона долларов США Способ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек одной из бирж был взломан хакерами, затронув такими блокчейнами, как Ethereum, BNB Chain, Tron и другими. Несмотря на то, что биржа быстро включила механизм перевода активов и заморозки вывода, хакерам все же удалось вывести активы на сумму 44,7 миллиона долларов. Эта атака отражает высокие риски управления горячими кошельками централизованных бирж и далее стимулирует отрасль к поиску более безопасных решений для хранения активов.
Частые случаи атак на безопасность в 2024 году снова напоминают нам о том, что развитие блокчейн-индустрии невозможно без обеспечения безопасности. От утечки приватных ключей до уязвимостей в контрактах, от внутренних управленческих недочетов до усовершенствования внешних методов атак — каждое из этих событий принесло глубокие уроки. Чтобы справиться с все более сложными угрозами атак, всем сторонам в отрасли необходимо продолжать усиливать инвестиции в научные разработки, управление и предотвращение рисков. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы сможем совместно создать более безопасную блокчейн-экосистему, предоставляя пользователям и инвесторам более надежную защиту.