Огляд десяти основних подій безпеки Web3 у 2024 році
У 2024 році індустрія Web3 стикається з серйозними викликами безпеки, водночас інновуючи та розвиваючись. За статистикою, цього року загальні збитки, завдані внаслідок хакерських атак, шахрайства та зникнення проектів, становлять 24,91 мільярда доларів США. Ці події виявляють технічні недоліки в управлінні приватними ключами, смарт-контрактах та підкреслюють потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті буде оглянуто десять найвпливовіших безпекових подій у сфері Web3 у 2024 році, з метою отримання уроків для кращої підготовки до майбутніх загроз безпеці.
1. Подія DMM Bitcoin
Сума збитків: 304 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
31 травня 2024 року японська відома криптовалютна біржа DMM Bitcoin зазнала серйозної атаки. Хакери використали витік приватного ключа для безпосереднього переміщення біткойнів на суму понад 300 мільйонів доларів, і швидко розподілили викрадені кошти на кілька адрес. Цей інцидент виявив серйозні недоліки біржі в управлінні приватними ключами та багатошаровій безпеці. Незважаючи на спроби біржі відстежити хакерів через моніторинг у ланцюгу та заморожування коштів, через розподіл коштів та їх очищення за допомогою міксинг-інструментів робота з відстеження зіткнулася з величезними труднощами.
Наприкінці року японська поліція підтвердила, що цю атаку здійснила північнокорейська хакерська група Lazarus Group.
2. PlayDapp зазнав атаки
Сума збитків: 290 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозних збитків. Хакери, викравши приватний ключ, випустили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Через невдалі переговори з хакерами вони випустили ще 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів США. Після того, як частина токенів потрапила на біржі, PlayDapp змушений був призупинити контракт PLA та перейти на новий контракт токена PDA. Ця подія підкреслила недоліки проектів на блокчейні в захисті приватних ключів та управлінні надзвичайними ситуаціями.
3. Багатопідписний гаманець одного з індійських бірж був зламаний
Сума збитків: 235 мільйонів доларів СШАСпособи атаки: мережеві атаки та фішинг
18 липня 2024 року, великий криптовалютний обмін в Індії зазнав точного нападу на багатопідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії спровокували підписантів багатопідпису підписати угоду про оновлення контракту, а потім використали права, отримані в результаті оновлення контракту, для переміщення всіх активів з гаманця. Цей випадок виявив потенційні ризики багатопідписних гаманців у налаштуванні прав і прозорості операцій, що викликало глибокі роздуми в галузі щодо внутрішніх механізмів контролю ризиків і безпеки проектів.
4. Gala Games зазнала атаки на збільшення випуску токенів
Сума збитків: 216 мільйонів доларів СШАСпосіб атаки: вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламаною хакерами. Зловмисники, викликавши функцію mint токен-контракту, одноразово випустили 5 мільярдів токенів GALA. Після цього ці нововипущені токени були поетапно обміняні на ETH, що призвело до прямих втрат у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку для блокування частини рахунків хакерів і через судові процедури повернула частину втрат.
5. Особистий гаманець відомого засновника криптовалюти був вкрадений
Сума збитків: 112 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці одного з засновників відомого криптовалютного проекту були зламані хакерами, через що було вкрадено криптовалюту на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню для атаки через відсутність подвійного захисту на апаратних пристроях. Після інциденту одна велика біржа успішно заморозила вкрадені активи на суму 4,2 мільйона доларів і допомогла відстежити їх, але більшість коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Munchables зіткнулися з внутрішньою інфільтрацією
Сума збитків: 6250 мільйонів доларів СШАСпосіб атаки: соціальна інженерія
26 березня 2024 року веб3 ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої проникнення. Зловмисник маскувався під розробника блокчейну, отримуючи доступ до основного коду та чутливих ключів через тривале перебування в системі. Незважаючи на величезні втрати, під тиском спільноти та команди, хакер зрештою повернув усі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальницького ланцюга, особливо для блокчейн-проектів, що залежать від сторонніх розробників.
7. Один турецький обмін зіткнувся з витоком приватного ключа
Сума збитків: 55 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
22 червня 2024 року велика криптовалютна біржа в Туреччині зазнала атаки через витік приватних ключів, внаслідок чого втрати перевищили 55 мільйонів доларів у криптоактивах. За допомогою інших бірж вдалося заморозити 5,3 мільйона доларів вкрадених коштів, проте інші активи досі не повернуті. Ця подія загострила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Багатопідписний гаманець Radiant Capital був зламаний
Сума збитків: 53 мільйони доларів СШАСпосіб атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital був зламаний хакерами. Через використання моделі перевірки підпису з низьким порогом 3/11, хакери, отримавши доступ до приватних ключів 3 підписувачів, здійснили позаштатний підпис, передавши право власності на контракт гаманця на зловмисну адресу, що в підсумку призвело до крадіжки 53 мільйонів доларів. Ця атака викликала в індустрії роздуми про дизайн та механізми управління мультипідписними гаманцями.
Варто зазначити, що Radiant Capital перед цією атакою вже втратила 4,5 мільйона доларів через вразливості в контракті, та було вкрадено понад 1900 ETH. Це ще раз підкреслює важливість підвищення обізнаності про безпеку для проектів Web3.
9. Hedgey Finance зазнала атаки на контрактні уразливості
Сума збитків: 44,7 мільйона доларів СШАСпосіб атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Хакери використали вразливість затвердження в його контракті ClaimCampaigns, успішно вилучивши токени з мереж Ethereum та Arbitrum, загальні втрати склали 44,7 мільйона доларів США. Цей інцидент підкреслює важливість аудиту коду, особливо суворої перевірки логіки затвердження токенів.
10. Гарячий гаманець певної біржі був зламаний
Сума збитків: 44,7 мільйона доларів СШАСпосіб атаки: витік приватного ключа
19 вересня 2024 року хакери зламали гарячий гаманець криптовалютної біржі, що стосується кількох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron тощо. Незважаючи на те, що біржа швидко запустила механізм переведення активів та заморожування виведення, хакерам вдалося успішно вивести активи на загальну суму 44,7 мільйона доларів. Ця атака відображає високий ризик управління гарячими гаманцями централізованих бірж і подальше стимулювання галузі до пошуку більш безпечних рішень для зберігання активів.
Часті випадки безпеки у 2024 році ще раз нагадують нам, що розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від витоку приватних ключів до вразливостей у контрактах, від недоліків у внутрішньому управлінні до вдосконалення зовнішніх атак, кожен випадок приніс глибокі уроки. Щоб впоратися з дедалі складнішими загрозами атак, сторонам індустрії потрібно постійно посилювати інвестиції в технологічні розробки, управлінські норми й управління ризиками. У майбутньому ми сподіваємося через співпрацю в індустрії та технологічні інновації спільно створити більш безпечну екосистему блокчейн, щоб забезпечити користувачів і інвесторів більш надійним захистом.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
7 лайків
Нагородити
7
4
Поділіться
Прокоментувати
0/400
SybilSlayer
· 13год тому
Обдурювати людей, як лохів обман для дурнів справді швидко
Переглянути оригіналвідповісти на0
CryptoMom
· 13год тому
Тільки місяць пройшов, а людей не стало вже майже 30 мільярдів.
Web3 безпека: Топ-10 подій 2024 року завдали збитків майже 2,5 мільярда доларів
Огляд десяти основних подій безпеки Web3 у 2024 році
У 2024 році індустрія Web3 стикається з серйозними викликами безпеки, водночас інновуючи та розвиваючись. За статистикою, цього року загальні збитки, завдані внаслідок хакерських атак, шахрайства та зникнення проектів, становлять 24,91 мільярда доларів США. Ці події виявляють технічні недоліки в управлінні приватними ключами, смарт-контрактах та підкреслюють потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті буде оглянуто десять найвпливовіших безпекових подій у сфері Web3 у 2024 році, з метою отримання уроків для кращої підготовки до майбутніх загроз безпеці.
1. Подія DMM Bitcoin
Сума збитків: 304 мільйонів доларів США Спосіб атаки: витік приватного ключа
31 травня 2024 року японська відома криптовалютна біржа DMM Bitcoin зазнала серйозної атаки. Хакери використали витік приватного ключа для безпосереднього переміщення біткойнів на суму понад 300 мільйонів доларів, і швидко розподілили викрадені кошти на кілька адрес. Цей інцидент виявив серйозні недоліки біржі в управлінні приватними ключами та багатошаровій безпеці. Незважаючи на спроби біржі відстежити хакерів через моніторинг у ланцюгу та заморожування коштів, через розподіл коштів та їх очищення за допомогою міксинг-інструментів робота з відстеження зіткнулася з величезними труднощами.
Наприкінці року японська поліція підтвердила, що цю атаку здійснила північнокорейська хакерська група Lazarus Group.
2. PlayDapp зазнав атаки
Сума збитків: 290 мільйонів доларів США Спосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозних збитків. Хакери, викравши приватний ключ, випустили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Через невдалі переговори з хакерами вони випустили ще 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів США. Після того, як частина токенів потрапила на біржі, PlayDapp змушений був призупинити контракт PLA та перейти на новий контракт токена PDA. Ця подія підкреслила недоліки проектів на блокчейні в захисті приватних ключів та управлінні надзвичайними ситуаціями.
3. Багатопідписний гаманець одного з індійських бірж був зламаний
Сума збитків: 235 мільйонів доларів США Способи атаки: мережеві атаки та фішинг
18 липня 2024 року, великий криптовалютний обмін в Індії зазнав точного нападу на багатопідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії спровокували підписантів багатопідпису підписати угоду про оновлення контракту, а потім використали права, отримані в результаті оновлення контракту, для переміщення всіх активів з гаманця. Цей випадок виявив потенційні ризики багатопідписних гаманців у налаштуванні прав і прозорості операцій, що викликало глибокі роздуми в галузі щодо внутрішніх механізмів контролю ризиків і безпеки проектів.
4. Gala Games зазнала атаки на збільшення випуску токенів
Сума збитків: 216 мільйонів доларів США Спосіб атаки: вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламаною хакерами. Зловмисники, викликавши функцію mint токен-контракту, одноразово випустили 5 мільярдів токенів GALA. Після цього ці нововипущені токени були поетапно обміняні на ETH, що призвело до прямих втрат у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку для блокування частини рахунків хакерів і через судові процедури повернула частину втрат.
5. Особистий гаманець відомого засновника криптовалюти був вкрадений
Сума збитків: 112 мільйонів доларів США Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці одного з засновників відомого криптовалютного проекту були зламані хакерами, через що було вкрадено криптовалюту на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню для атаки через відсутність подвійного захисту на апаратних пристроях. Після інциденту одна велика біржа успішно заморозила вкрадені активи на суму 4,2 мільйона доларів і допомогла відстежити їх, але більшість коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Munchables зіткнулися з внутрішньою інфільтрацією
Сума збитків: 6250 мільйонів доларів США Спосіб атаки: соціальна інженерія
26 березня 2024 року веб3 ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої проникнення. Зловмисник маскувався під розробника блокчейну, отримуючи доступ до основного коду та чутливих ключів через тривале перебування в системі. Незважаючи на величезні втрати, під тиском спільноти та команди, хакер зрештою повернув усі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальницького ланцюга, особливо для блокчейн-проектів, що залежать від сторонніх розробників.
7. Один турецький обмін зіткнувся з витоком приватного ключа
Сума збитків: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа
22 червня 2024 року велика криптовалютна біржа в Туреччині зазнала атаки через витік приватних ключів, внаслідок чого втрати перевищили 55 мільйонів доларів у криптоактивах. За допомогою інших бірж вдалося заморозити 5,3 мільйона доларів вкрадених коштів, проте інші активи досі не повернуті. Ця подія загострила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Багатопідписний гаманець Radiant Capital був зламаний
Сума збитків: 53 мільйони доларів США Спосіб атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital був зламаний хакерами. Через використання моделі перевірки підпису з низьким порогом 3/11, хакери, отримавши доступ до приватних ключів 3 підписувачів, здійснили позаштатний підпис, передавши право власності на контракт гаманця на зловмисну адресу, що в підсумку призвело до крадіжки 53 мільйонів доларів. Ця атака викликала в індустрії роздуми про дизайн та механізми управління мультипідписними гаманцями.
Варто зазначити, що Radiant Capital перед цією атакою вже втратила 4,5 мільйона доларів через вразливості в контракті, та було вкрадено понад 1900 ETH. Це ще раз підкреслює важливість підвищення обізнаності про безпеку для проектів Web3.
9. Hedgey Finance зазнала атаки на контрактні уразливості
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Хакери використали вразливість затвердження в його контракті ClaimCampaigns, успішно вилучивши токени з мереж Ethereum та Arbitrum, загальні втрати склали 44,7 мільйона доларів США. Цей інцидент підкреслює важливість аудиту коду, особливо суворої перевірки логіки затвердження токенів.
10. Гарячий гаманець певної біржі був зламаний
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: витік приватного ключа
19 вересня 2024 року хакери зламали гарячий гаманець криптовалютної біржі, що стосується кількох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron тощо. Незважаючи на те, що біржа швидко запустила механізм переведення активів та заморожування виведення, хакерам вдалося успішно вивести активи на загальну суму 44,7 мільйона доларів. Ця атака відображає високий ризик управління гарячими гаманцями централізованих бірж і подальше стимулювання галузі до пошуку більш безпечних рішень для зберігання активів.
Часті випадки безпеки у 2024 році ще раз нагадують нам, що розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від витоку приватних ключів до вразливостей у контрактах, від недоліків у внутрішньому управлінні до вдосконалення зовнішніх атак, кожен випадок приніс глибокі уроки. Щоб впоратися з дедалі складнішими загрозами атак, сторонам індустрії потрібно постійно посилювати інвестиції в технологічні розробки, управлінські норми й управління ризиками. У майбутньому ми сподіваємося через співпрацю в індустрії та технологічні інновації спільно створити більш безпечну екосистему блокчейн, щоб забезпечити користувачів і інвесторів більш надійним захистом.