Огляд десяти найбільших інцидентів безпеки Web3 у 2024 році
У 2024 році блокчейн-індустрія, поряд із технологічними інноваціями та розширенням екосистеми, також стикається з дедалі серйознішими викликами у сфері безпеки. За даними, станом на сьогодні, загальні втрати в сфері Web3 у 2024 році через хакерські атаки, фішингові шахрайства та втечі проектних команд становлять 24,91 мільярда доларів.
Ці події не лише виявили технічні недоліки, такі як управління приватними ключами та вразливості смарт-контрактів, але й підкреслили потенційні ризики в соціальному інженерії та внутрішньому управлінні. Давайте разом переглянемо десять найвпливовіших подій безпеки в сфері Web3 у 2024 році, щоб отримати досвід і підготуватися до кращого реагування на загрози безпеці в майбутньому.
1. Одна японська криптовалютна біржа зазнала серйозної атаки
Сума збитків: 3.04 мільярда доларів СШАСпосіб атаки: витік приватного ключа
31 травня 2024 року відбулася історична атака на відому японську криптовалютну біржу. Зловмисники використали витік приватного ключа для безпосереднього переміщення біткойнів вартістю понад 300 мільйонів доларів і швидко розподілили викрадені кошти на більш ніж 10 різних адрес. Ця атака виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій безпеці. Хоча біржа намагалась відстежити хакера через моніторинг в ланцюгу та заморожування коштів, викрадені біткойни були розподілені та очищені за допомогою інструментів змішування, що створило великі труднощі в роботі з追踪ом.
24 грудня японська поліція визнала, що крадіжка на цій біржі була вчинена міжнародною хакерською групою.
2. PlayDapp зазнала тяжких втрат
Сума збитків: 290 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав значних втрат: хакер, викравши приватний ключ, створив 2 мільярди токенів PLA, первісна вартість яких становила 36,5 мільйона доларів. Оскільки переговори між командою проекту та хакером не увінчалися успіхом, хакер за короткий час додатково створив 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів. Частина цих токенів потрапила на одну з бірж, після чого PlayDapp змушений був призупинити контракт PLA та перейти на контракт токена PDA. Цей інцидент підкреслив недоліки проектів на блокчейні у захисті приватних ключів та реагуванні на надзвичайні ситуації.
3. Найбільша криптовалютна біржа Індії зазнала точного нападу
Сума втрат: 235 мільйонів доларів СШАСпосіб атаки: мережеві атаки та фішинг
18 липня 2024 року найбільша криптовалютна біржа Індії зазнала точного нападу хакерів на мультипідписний гаманець Safe Wallet. Злочинці за допомогою соціальної інженерії спонукали підписувачів мультипідпису підписати угоду про оновлення контракту, а потім використали права оновленого контракту, щоб повністю перевести активи з гаманця. Цей випадок підкреслює потенційні ризики мультипідписних гаманців у управлінні конфігурацією прав і прозорістю операцій, а також викликав глибокі роздуми в індустрії щодо внутрішнього контролю та механізмів безпеки проектів.
4. Gala Games зазнала атаки привілейованих адрес
Сума збитків: 216 мільйонів доларів СШАСпосіб атаки: Вразливість контролю доступу
20 травня 2024 року певна привілейована адреса Gala Games була зламаною хакерами, які за допомогою виклику функції mint у токен-контракті одноразово викарбували 5 мільярдів токенів GALA. Після цього хакер обміняв випущені токени на ETH частинами, що безпосередньо призвело до збитків у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через судові процедури повернула втрати.
5. Особистий гаманець співзасновника Ripple став жертвою хакерської атаки
Сума збитків: 112 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Кріс Ларсена були зламані хакерами, внаслідок чого було вкрадено 112 мільйонів доларів США у XRP. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту за допомогою апаратних засобів. Після інциденту одна велика біржа успішно заморозила XRP вартістю 4,2 мільйона доларів США і допомогла Ларсену відстежити вкрадені активи, але більша частина коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Munchables зазнали внутрішньої атаки з проникненням
Сума збитків: 6250 мільйонів доларів СШАМетод атаки: Соціальна інженерія
26 березня 2024 року веб3 ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої атаки. Зловмисники, які маскувалися під розробників блокчейну, отримали доступ до основного коду та чутливих ключів через тривале infiltratsiyu. Незважаючи на значні втрати, через тиск спільноти та команди зловмисники врешті-решт повернули всі вкрадені кошти. Ця подія підкреслила важливість безпеки ланцюга постачання, особливо для блокчейн-проектів, що залежать від сторонніх розробників.
7. Найбільша криптовалютна біржа Туреччини зазнала атаки
Сума збитків: 55 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів у криптоактивах. За допомогою команди однієї з бірж вдалося успішно заморозити 5,3 мільйона доларів викрадених коштів, але інші активи досі не були повернені. Ця подія загострила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Гаманець Radiant Capital з багатопідписом був зламаний
Сума збитків: 53 мільйони доларів СШАСпосіб атаки: витік приватного ключа
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Через те, що він використовував низькопорігну модель перевірки підписів 3/11, хакери, отримавши доступ до приватних ключів трьох підписувачів, ініціювали позацепочковий підпис, що призвело до передачі прав власності на контракт гаманця до злочинної адреси, в результаті чого було вкрадено 53 мільйони доларів. Ця атака викликала галузеве обговорення щодо дизайну багатопідписних гаманців та механізмів управління.
Варто зазначити, що Radiant Capital до цього нападу вже втратила 4,5 мільйона доларів через вразливість контракту, понад 1900 ETH було вкрадено. Це підкреслює, що проекти Web3 повинні підвищити рівень уваги до безпеки.
9. Hedgey Finance зазнала атаки на багаточаткові контракти
Сума збитків: 44,7 мільйона доларів СШАМетод атаки: Уразливість контракту
19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Хакери скористалися вразливістю в контракті ClaimCampaigns, успішно витягнувши токени з мереж Ethereum та Arbitrum, загальні збитки становили 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо суворої перевірки логіки затвердження токенів.
10. Гарячий гаманець відомої біржі був зламаний
Сума збитків: 44,7 мільйона доларів СШАСпосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець відомої біржі був зламаний хакерами, внаслідок чого постраждали такі блокчейни, як Ethereum, BNB Chain, Tron та інші публічні ланцюги. Незважаючи на те, що біржа швидко запустила механізм переведення активів та заморожування виведення, хакерам вдалося успішно вивести активи на суму 44,7 мільйона доларів США. Ця атака відображає високий ризик управління гарячими гаманцями централізованими біржами і подальше сприяє галузі у пошуках більш безпечних рішень для зберігання активів.
Часті випадки атак у 2024 році знову нагадують нам, що розвиток індустрії блокчейну неможливий без безпечного супроводу. Від витоку приватних ключів до вразливостей у контрактах, від недоліків у внутрішньому управлінні до удосконалення зовнішніх методів атаки, кожен випадок приніс глибокі уроки. Щоб протистояти дедалі складнішим загрозам атак, усі учасники індустрії повинні продовжувати інвестувати в наукові дослідження, управлінські норми та управління ризиками. У майбутньому ми сподіваємося, що завдяки співпраці в індустрії та технологічним інноваціям ми спільно створимо більш безпечну екосистему блокчейну, щоб забезпечити більш надійний захист для користувачів та інвесторів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Огляд десяти найбільших інцидентів безпеки Web3 у 2024 році: втрати близько 2,5 мільярда доларів.
Огляд десяти найбільших інцидентів безпеки Web3 у 2024 році
У 2024 році блокчейн-індустрія, поряд із технологічними інноваціями та розширенням екосистеми, також стикається з дедалі серйознішими викликами у сфері безпеки. За даними, станом на сьогодні, загальні втрати в сфері Web3 у 2024 році через хакерські атаки, фішингові шахрайства та втечі проектних команд становлять 24,91 мільярда доларів.
Ці події не лише виявили технічні недоліки, такі як управління приватними ключами та вразливості смарт-контрактів, але й підкреслили потенційні ризики в соціальному інженерії та внутрішньому управлінні. Давайте разом переглянемо десять найвпливовіших подій безпеки в сфері Web3 у 2024 році, щоб отримати досвід і підготуватися до кращого реагування на загрози безпеці в майбутньому.
1. Одна японська криптовалютна біржа зазнала серйозної атаки
Сума збитків: 3.04 мільярда доларів США Спосіб атаки: витік приватного ключа
31 травня 2024 року відбулася історична атака на відому японську криптовалютну біржу. Зловмисники використали витік приватного ключа для безпосереднього переміщення біткойнів вартістю понад 300 мільйонів доларів і швидко розподілили викрадені кошти на більш ніж 10 різних адрес. Ця атака виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій безпеці. Хоча біржа намагалась відстежити хакера через моніторинг в ланцюгу та заморожування коштів, викрадені біткойни були розподілені та очищені за допомогою інструментів змішування, що створило великі труднощі в роботі з追踪ом.
24 грудня японська поліція визнала, що крадіжка на цій біржі була вчинена міжнародною хакерською групою.
2. PlayDapp зазнала тяжких втрат
Сума збитків: 290 мільйонів доларів США Спосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав значних втрат: хакер, викравши приватний ключ, створив 2 мільярди токенів PLA, первісна вартість яких становила 36,5 мільйона доларів. Оскільки переговори між командою проекту та хакером не увінчалися успіхом, хакер за короткий час додатково створив 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів. Частина цих токенів потрапила на одну з бірж, після чого PlayDapp змушений був призупинити контракт PLA та перейти на контракт токена PDA. Цей інцидент підкреслив недоліки проектів на блокчейні у захисті приватних ключів та реагуванні на надзвичайні ситуації.
3. Найбільша криптовалютна біржа Індії зазнала точного нападу
Сума втрат: 235 мільйонів доларів США Спосіб атаки: мережеві атаки та фішинг
18 липня 2024 року найбільша криптовалютна біржа Індії зазнала точного нападу хакерів на мультипідписний гаманець Safe Wallet. Злочинці за допомогою соціальної інженерії спонукали підписувачів мультипідпису підписати угоду про оновлення контракту, а потім використали права оновленого контракту, щоб повністю перевести активи з гаманця. Цей випадок підкреслює потенційні ризики мультипідписних гаманців у управлінні конфігурацією прав і прозорістю операцій, а також викликав глибокі роздуми в індустрії щодо внутрішнього контролю та механізмів безпеки проектів.
4. Gala Games зазнала атаки привілейованих адрес
Сума збитків: 216 мільйонів доларів США Спосіб атаки: Вразливість контролю доступу
20 травня 2024 року певна привілейована адреса Gala Games була зламаною хакерами, які за допомогою виклику функції mint у токен-контракті одноразово викарбували 5 мільярдів токенів GALA. Після цього хакер обміняв випущені токени на ETH частинами, що безпосередньо призвело до збитків у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через судові процедури повернула втрати.
5. Особистий гаманець співзасновника Ripple став жертвою хакерської атаки
Сума збитків: 112 мільйонів доларів США Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Кріс Ларсена були зламані хакерами, внаслідок чого було вкрадено 112 мільйонів доларів США у XRP. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту за допомогою апаратних засобів. Після інциденту одна велика біржа успішно заморозила XRP вартістю 4,2 мільйона доларів США і допомогла Ларсену відстежити вкрадені активи, але більша частина коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Munchables зазнали внутрішньої атаки з проникненням
Сума збитків: 6250 мільйонів доларів США Метод атаки: Соціальна інженерія
26 березня 2024 року веб3 ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої атаки. Зловмисники, які маскувалися під розробників блокчейну, отримали доступ до основного коду та чутливих ключів через тривале infiltratsiyu. Незважаючи на значні втрати, через тиск спільноти та команди зловмисники врешті-решт повернули всі вкрадені кошти. Ця подія підкреслила важливість безпеки ланцюга постачання, особливо для блокчейн-проектів, що залежать від сторонніх розробників.
7. Найбільша криптовалютна біржа Туреччини зазнала атаки
Сума збитків: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів у криптоактивах. За допомогою команди однієї з бірж вдалося успішно заморозити 5,3 мільйона доларів викрадених коштів, але інші активи досі не були повернені. Ця подія загострила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Гаманець Radiant Capital з багатопідписом був зламаний
Сума збитків: 53 мільйони доларів США Спосіб атаки: витік приватного ключа
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Через те, що він використовував низькопорігну модель перевірки підписів 3/11, хакери, отримавши доступ до приватних ключів трьох підписувачів, ініціювали позацепочковий підпис, що призвело до передачі прав власності на контракт гаманця до злочинної адреси, в результаті чого було вкрадено 53 мільйони доларів. Ця атака викликала галузеве обговорення щодо дизайну багатопідписних гаманців та механізмів управління.
Варто зазначити, що Radiant Capital до цього нападу вже втратила 4,5 мільйона доларів через вразливість контракту, понад 1900 ETH було вкрадено. Це підкреслює, що проекти Web3 повинні підвищити рівень уваги до безпеки.
9. Hedgey Finance зазнала атаки на багаточаткові контракти
Сума збитків: 44,7 мільйона доларів США Метод атаки: Уразливість контракту
19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Хакери скористалися вразливістю в контракті ClaimCampaigns, успішно витягнувши токени з мереж Ethereum та Arbitrum, загальні збитки становили 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо суворої перевірки логіки затвердження токенів.
10. Гарячий гаманець відомої біржі був зламаний
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець відомої біржі був зламаний хакерами, внаслідок чого постраждали такі блокчейни, як Ethereum, BNB Chain, Tron та інші публічні ланцюги. Незважаючи на те, що біржа швидко запустила механізм переведення активів та заморожування виведення, хакерам вдалося успішно вивести активи на суму 44,7 мільйона доларів США. Ця атака відображає високий ризик управління гарячими гаманцями централізованими біржами і подальше сприяє галузі у пошуках більш безпечних рішень для зберігання активів.
Часті випадки атак у 2024 році знову нагадують нам, що розвиток індустрії блокчейну неможливий без безпечного супроводу. Від витоку приватних ключів до вразливостей у контрактах, від недоліків у внутрішньому управлінні до удосконалення зовнішніх методів атаки, кожен випадок приніс глибокі уроки. Щоб протистояти дедалі складнішим загрозам атак, усі учасники індустрії повинні продовжувати інвестувати в наукові дослідження, управлінські норми та управління ризиками. У майбутньому ми сподіваємося, що завдяки співпраці в індустрії та технологічним інноваціям ми спільно створимо більш безпечну екосистему блокчейну, щоб забезпечити більш надійний захист для користувачів та інвесторів.