В 2024 году индустрия Web3, наряду с инновационным развитием, также сталкивается с серьезными вызовами безопасности. Согласно статистике, в этом году общие убытки из-за хакерских атак, мошенничества и бегства проектов составили 24,91 миллиарда долларов США. Эти события выявили технические недостатки в управлении приватными ключами, смарт-контрактах и других областях, а также подчеркнули потенциальные риски социальных инженерий и внутреннего управления. В данной статье будет представлен обзор десяти самых значительных событий безопасности в области Web3 за 2024 год с целью извлечь уроки и лучше подготовиться к будущим угрозам безопасности.
1. Событие DMM Bitcoin
Сумма убытков: 304 миллиона долларов СШАСпособ атаки: утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа DMM Bitcoin подверглась серьезной атаке. Хакеры использовали утекший приватный ключ для прямого перевода биткойнов на сумму более 300 миллионов долларов и быстро распределили украденные средства по нескольким адресам. Этот инцидент выявил серьезные недостатки в управлении приватными ключами и многоуровневыми мерами безопасности на бирже. Несмотря на попытки биржи отслеживать хакеров с помощью мониторинга на цепочке и замораживания средств, работа по отслеживанию столкнулась с огромными трудностями из-за распределенного перевода средств и их очистки с помощью инструментов смешивания.
В конце года японская полиция подтвердила, что эту атаку осуществила северокорейская хакерская группа Lazarus Group.
2. PlayDapp подвергся атаке
Сумма убытков: 290 миллионов долларов СШАМетод атаки: утечка закрытого ключа
9 февраля 2024 года PlayDapp понес серьезные потери. Хакеры, похитив приватные ключи, выпустили 2 миллиарда токенов PLA с первоначальной стоимостью 36,5 миллиона долларов. После неудачных переговоров с хакерами, они выпустили еще 15,9 миллиарда токенов PLA на сумму 253,9 миллиона долларов. После того как часть токенов поступила на биржу, PlayDapp был вынужден приостановить контракт PLA и перейти на новый контракт токена PDA. Этот инцидент подчеркивает недостатки проектов на блокчейне в защите приватных ключей и экстренных мерах.
3. Мультиподписной кошелек одной индийской биржи был взломан
Сумма убытка: 235 миллионов долларов СШАСпособы атаки: сетевые атаки и фишинг
18 июля 2024 года крупная криптовалютная биржа в Индии подверглась целенаправленной атаке на мультиподписной кошелек Safe Wallet. Злоумышленники с помощью социальных манипуляций заставили подписантов мультиподписного кошелька подписать сделку по обновлению контракта, а затем воспользовались правами обновленного контракта для перевода всех активов из кошелька. Этот случай выявил потенциальные риски мультиподписных кошельков в области настройки прав и прозрачности операций, что вызвало глубокие размышления в отрасли о внутренних механизмах управления рисками и безопасности проектов.
4. Gala Games столкнулся с атакой на эмиссию токенов
Сумма убытка: 216 миллионов долларов СШАСпособ атаки: Уязвимость контроля доступа
20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники вызвали функцию mint токен-контракта и в один момент создали 5 миллиардов токенов GALA. Затем эти дополнительно выпущенные токены были обменены на ETH партиями, что непосредственно привело к убыткам в размере 216 миллионов долларов. Команда Gala Games срочно включила функции черного списка, чтобы заблокировать некоторые учетные записи хакеров, и через судебные процессы вернула часть убытков.
5. Личный кошелек известного основателя криптовалюты был украден
Сумма убытков: 112 миллионов долларов СШАСпособ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька одного из соучредителей известного криптовалютного проекта были взломаны хакерами, в результате чего было украдено криптовалюты на сумму 112 миллионов долларов. Эти кошельки, вероятно, стали объектом атаки из-за отсутствия двойной защиты с помощью аппаратных устройств. После инцидента одна крупная биржа успешно заморозила украденные активы на сумму 4,2 миллиона долларов и помогла в отслеживании, но большая часть средств уже была отмыта через децентрализованные биржи и услуги по смешиванию.
6. Munchables столкнулись с внутренним проникновением
Сумма убытков: 62,5 миллиона долларов СШАСпособ атаки: Социальная инженерия
26 марта 2024 года веб3 игровая платформа Munchables на основе Blast подверглась редкой внутренней атаке. Атакующие, маскируясь под разработчиков блокчейна, в течение длительного времени скрывались и получили доступ к исходному коду и чувствительным ключам. Несмотря на огромные убытки, под давлением сообщества и команды хакеры в конечном итоге вернули все украденные средства. Этот инцидент подчеркнул важность безопасности цепочки поставок, особенно для блокчейн проектов, зависящих от сторонней разработки.
7. Одна турецкая биржа столкнулась с утечкой приватных ключей
Сумма убытков: 55 миллионов долларов СШАСпособ атаки: утечка приватного ключа
22 июня 2024 года крупная криптовалютная биржа в Турции подверглась атаке с утечкой приватных ключей, в результате чего были утеряны криптоактивы на сумму более 55 миллионов долларов. При помощи других бирж было успешно заморожено 5,3 миллиона долларов из украденных средств, но остальные активы пока не возвращены. Этот инцидент усугубил опасения рынка по поводу управления приватными ключами централизованными биржами.
8. Мультиподписной кошелек Radiant Capital был захвачен
Сумма убытков: 53 миллиона долларов СШАСпособ атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования низкопороговой модели проверки подписей 3/11 хакеры смогли инициировать оффлайн-подпись, получив доступ к закрытым ключам 3 подписантов, и передали право собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала отраслевую переоценку дизайна и механизмов управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital до этой атаки уже потеряла 4,5 миллиона долларов из-за уязвимости в контракте, было украдено более 1900 ETH. Это еще раз подчеркивает важность повышения осведомленности о безопасности для проектов Web3.
9. Hedgey Finance столкнулась с атакой на уязвимость контракта
Сумма убытков: 44,7 миллиона долларов СШАСпособ атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в контракте ClaimCampaigns, чтобы успешно вывести токены на двух цепях - Ethereum и Arbitrum, общие убытки составили 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек одной из бирж был взломан
Сумма убытков: 44,7 миллиона долларов СШАСпособ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек криптовалютной биржи был взломан хакерами, что затронуло несколько публичных цепей, таких как Ethereum, BNB Chain и Tron. Несмотря на то, что биржа быстро активировала механизмы перевода активов и заморозки выводов, хакеры смогли успешно вывести активы на сумму 44,7 миллиона долларов. Эта атака отражает высокие риски управления горячими кошельками централизованных бирж и дополнительно побуждает индустрию исследовать более безопасные решения для хранения активов.
Частые инциденты безопасности в 2024 году еще раз напоминают нам о том, что развитие блокчейн-индустрии невозможно без обеспечения безопасности. От утечек приватных ключей до уязвимостей в контрактах, от внутренних управленческих упущений до усовершенствованных внешних методов атак — каждое событие принесло глубокие уроки. Для борьбы с все более сложными угрозами атак участники рынка должны продолжать усиливать инвестиции в научно-исследовательскую деятельность, управление и предотвращение рисков. В будущем мы надеемся, что через сотрудничество в индустрии и технологические инновации мы сможем совместно создать более безопасную блокчейн-экосистему, обеспечивающую более надежную защиту для пользователей и инвесторов.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Web3 безопасность: Топ-10 событий 2024 года с потерями почти 2,5 миллиарда долларов
Топ-10 инцидентов безопасности Web3 за 2024 год
В 2024 году индустрия Web3, наряду с инновационным развитием, также сталкивается с серьезными вызовами безопасности. Согласно статистике, в этом году общие убытки из-за хакерских атак, мошенничества и бегства проектов составили 24,91 миллиарда долларов США. Эти события выявили технические недостатки в управлении приватными ключами, смарт-контрактах и других областях, а также подчеркнули потенциальные риски социальных инженерий и внутреннего управления. В данной статье будет представлен обзор десяти самых значительных событий безопасности в области Web3 за 2024 год с целью извлечь уроки и лучше подготовиться к будущим угрозам безопасности.
1. Событие DMM Bitcoin
Сумма убытков: 304 миллиона долларов США Способ атаки: утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа DMM Bitcoin подверглась серьезной атаке. Хакеры использовали утекший приватный ключ для прямого перевода биткойнов на сумму более 300 миллионов долларов и быстро распределили украденные средства по нескольким адресам. Этот инцидент выявил серьезные недостатки в управлении приватными ключами и многоуровневыми мерами безопасности на бирже. Несмотря на попытки биржи отслеживать хакеров с помощью мониторинга на цепочке и замораживания средств, работа по отслеживанию столкнулась с огромными трудностями из-за распределенного перевода средств и их очистки с помощью инструментов смешивания.
В конце года японская полиция подтвердила, что эту атаку осуществила северокорейская хакерская группа Lazarus Group.
2. PlayDapp подвергся атаке
Сумма убытков: 290 миллионов долларов США Метод атаки: утечка закрытого ключа
9 февраля 2024 года PlayDapp понес серьезные потери. Хакеры, похитив приватные ключи, выпустили 2 миллиарда токенов PLA с первоначальной стоимостью 36,5 миллиона долларов. После неудачных переговоров с хакерами, они выпустили еще 15,9 миллиарда токенов PLA на сумму 253,9 миллиона долларов. После того как часть токенов поступила на биржу, PlayDapp был вынужден приостановить контракт PLA и перейти на новый контракт токена PDA. Этот инцидент подчеркивает недостатки проектов на блокчейне в защите приватных ключей и экстренных мерах.
3. Мультиподписной кошелек одной индийской биржи был взломан
Сумма убытка: 235 миллионов долларов США Способы атаки: сетевые атаки и фишинг
18 июля 2024 года крупная криптовалютная биржа в Индии подверглась целенаправленной атаке на мультиподписной кошелек Safe Wallet. Злоумышленники с помощью социальных манипуляций заставили подписантов мультиподписного кошелька подписать сделку по обновлению контракта, а затем воспользовались правами обновленного контракта для перевода всех активов из кошелька. Этот случай выявил потенциальные риски мультиподписных кошельков в области настройки прав и прозрачности операций, что вызвало глубокие размышления в отрасли о внутренних механизмах управления рисками и безопасности проектов.
4. Gala Games столкнулся с атакой на эмиссию токенов
Сумма убытка: 216 миллионов долларов США Способ атаки: Уязвимость контроля доступа
20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники вызвали функцию mint токен-контракта и в один момент создали 5 миллиардов токенов GALA. Затем эти дополнительно выпущенные токены были обменены на ETH партиями, что непосредственно привело к убыткам в размере 216 миллионов долларов. Команда Gala Games срочно включила функции черного списка, чтобы заблокировать некоторые учетные записи хакеров, и через судебные процессы вернула часть убытков.
5. Личный кошелек известного основателя криптовалюты был украден
Сумма убытков: 112 миллионов долларов США Способ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька одного из соучредителей известного криптовалютного проекта были взломаны хакерами, в результате чего было украдено криптовалюты на сумму 112 миллионов долларов. Эти кошельки, вероятно, стали объектом атаки из-за отсутствия двойной защиты с помощью аппаратных устройств. После инцидента одна крупная биржа успешно заморозила украденные активы на сумму 4,2 миллиона долларов и помогла в отслеживании, но большая часть средств уже была отмыта через децентрализованные биржи и услуги по смешиванию.
6. Munchables столкнулись с внутренним проникновением
Сумма убытков: 62,5 миллиона долларов США Способ атаки: Социальная инженерия
26 марта 2024 года веб3 игровая платформа Munchables на основе Blast подверглась редкой внутренней атаке. Атакующие, маскируясь под разработчиков блокчейна, в течение длительного времени скрывались и получили доступ к исходному коду и чувствительным ключам. Несмотря на огромные убытки, под давлением сообщества и команды хакеры в конечном итоге вернули все украденные средства. Этот инцидент подчеркнул важность безопасности цепочки поставок, особенно для блокчейн проектов, зависящих от сторонней разработки.
7. Одна турецкая биржа столкнулась с утечкой приватных ключей
Сумма убытков: 55 миллионов долларов США Способ атаки: утечка приватного ключа
22 июня 2024 года крупная криптовалютная биржа в Турции подверглась атаке с утечкой приватных ключей, в результате чего были утеряны криптоактивы на сумму более 55 миллионов долларов. При помощи других бирж было успешно заморожено 5,3 миллиона долларов из украденных средств, но остальные активы пока не возвращены. Этот инцидент усугубил опасения рынка по поводу управления приватными ключами централизованными биржами.
8. Мультиподписной кошелек Radiant Capital был захвачен
Сумма убытков: 53 миллиона долларов США Способ атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования низкопороговой модели проверки подписей 3/11 хакеры смогли инициировать оффлайн-подпись, получив доступ к закрытым ключам 3 подписантов, и передали право собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала отраслевую переоценку дизайна и механизмов управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital до этой атаки уже потеряла 4,5 миллиона долларов из-за уязвимости в контракте, было украдено более 1900 ETH. Это еще раз подчеркивает важность повышения осведомленности о безопасности для проектов Web3.
9. Hedgey Finance столкнулась с атакой на уязвимость контракта
Сумма убытков: 44,7 миллиона долларов США Способ атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в контракте ClaimCampaigns, чтобы успешно вывести токены на двух цепях - Ethereum и Arbitrum, общие убытки составили 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек одной из бирж был взломан
Сумма убытков: 44,7 миллиона долларов США Способ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек криптовалютной биржи был взломан хакерами, что затронуло несколько публичных цепей, таких как Ethereum, BNB Chain и Tron. Несмотря на то, что биржа быстро активировала механизмы перевода активов и заморозки выводов, хакеры смогли успешно вывести активы на сумму 44,7 миллиона долларов. Эта атака отражает высокие риски управления горячими кошельками централизованных бирж и дополнительно побуждает индустрию исследовать более безопасные решения для хранения активов.
Частые инциденты безопасности в 2024 году еще раз напоминают нам о том, что развитие блокчейн-индустрии невозможно без обеспечения безопасности. От утечек приватных ключей до уязвимостей в контрактах, от внутренних управленческих упущений до усовершенствованных внешних методов атак — каждое событие принесло глубокие уроки. Для борьбы с все более сложными угрозами атак участники рынка должны продолжать усиливать инвестиции в научно-исследовательскую деятельность, управление и предотвращение рисков. В будущем мы надеемся, что через сотрудничество в индустрии и технологические инновации мы сможем совместно создать более безопасную блокчейн-экосистему, обеспечивающую более надежную защиту для пользователей и инвесторов.