Огляд десяти основних подій безпеки у сфері Web3 у 2024 році
У 2024 році індустрія блокчейну, перебуваючи в процесі інноваційного розвитку, також стикається з дедалі серйознішими викликами безпеки. Згідно з моніторингом даних платформи, на даний момент загальні втрати в сфері Web3 у 2024 році через хакерські атаки, шахрайство та втечі проектів сягнули 24,91 мільярдів доларів.
Ці події не тільки виявили недоліки на технологічному рівні, такі як управління приватними ключами та вразливості смарт-контрактів, але й підкреслили потенційні ризики в соціальній інженерії та внутрішньому управлінні. Ця стаття перегляне десять найзначніших подій безпеки у Web3 у 2024 році, щоб допомогти галузі засвоїти уроки та краще підготуватися до майбутніх загроз безпеці.
1. DMM Біткойн
Сума втрат: 304 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
31 травня 2024 року відбулася значна атака на відому японську криптовалютну біржу DMM Bitcoin. Хакери використали злиті приватні ключі для безпосереднього переміщення біткоїнів вартістю понад 300 мільйонів доларів, і швидко розподілили викрадені кошти на більш ніж 10 різних адрес. Цей інцидент виявив серйозні недоліки біржі в управлінні приватними ключами та багатошаровій безпеці. Попри спроби біржі відстежити хакера за допомогою моніторингу в ланцюгу та заморожування коштів, відстеження зіткнулося з величезними труднощами через те, що кошти були розподілені та очищені за допомогою міксуючих інструментів.
24 грудня японська поліція підтвердила, що цю атаку здійснила певна хакерська група.
2. Додаток PlayDapp
Сума збитків: 290 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав важкого удару. Зловмисники шляхом крадіжки приватного ключа виготовили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів. Через невдалі переговори з хакерами, останні виготовили ще 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів. Частина викрадених токенів потрапила на біржі, після чого PlayDapp змушений був призупинити контракт PLA та перейти на новий контракт токена PDA. Цей інцидент підкреслює недоліки проектів на основі блокчейн в захисті приватних ключів та реагуванні на надзвичайні ситуації.
3. WazirX
Сума збитків: 235 мільйонів доларів СШАСпособи атаки: мережеві атаки та фішинг
18 липня 2024 року найбільший криптовалютний обмін в Індії WazirX зазнав цілеспрямованої атаки на свій мультипідписний гаманець. Зловмисники за допомогою соціальної інженерії спонукали підписувачів мультипідпису підписати угоду про оновлення контракту, а потім використали права, надані оновленим контрактом, щоб перевести всі активи з гаманця. Цей випадок виявив потенційні ризики мультипідписних гаманців у налаштуванні управлінських прав та прозорості операцій, а також викликав глибокі роздуми в галузі щодо внутрішніх механізмів управління ризиками та безпеки проектів.
4. Гала-ігри
Сума збитків: 216 мільйонів доларів СШАСпосіб атаки: вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламано хакерами. Зловмисники, викликавши функцію mint токен-контракту, одноразово випустили 5 мільярдів токенів GALA. Після цього ці нові токени були частинами обміняні на ETH, що безпосередньо призвело до збитків у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку для блокування частини рахунків хакерів і через юридичні канали повернула частину збитків.
5. Співзасновник Ripple піддався нападу
Сума збитків: 112 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple були зламані хакерами, внаслідок чого було вкрадено 112 мільйонів доларів XRP. Ці гаманці могли стати мішенню для атаки через відсутність двофакторної аутентифікації з використанням апаратних пристроїв. Після інциденту одна з бірж успішно заморозила XRP на суму 4,2 мільйона доларів і допомогла відстежити викрадені активи, але більша частина коштів була очищена через децентралізовані біржі та сервіси змішування.
6. Жувальні страви
Сума збитків: 6250 мільйонів доларів СШАСпосіб атаки: соціальна інженерія
26 березня 2024 року Web3 ігрова платформа Munchables на основі Blast зазнала рідкісної внутрішньої атаки з проникненням. Зловмисники маскувалися під розробників блокчейну і, довго перебуваючи в системі, отримали доступ до основного коду та чутливих ключів. Хоча це призвело до величезних втрат, під тиском громади та команди хакери врешті-решт повернули всі викрадені кошти. Цей інцидент підкреслив важливість безпеки ланцюга постачання, особливо для блокчейн-проектів, що залежать від сторонніх розробників.
7. BtcTurk
Сума збитків: 55 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів у криптоактивах. Завдяки допомозі команди однієї з бірж, 5,3 мільйона доларів вкрадених коштів вдалося успішно заморозити, але інші активи досі не повернуті. Цей інцидент поглибив занепокоєння ринку щодо управління приватними ключами на централізованих біржах.
8. Промениста столиця
Сума збитків: 53 мільйони доларів СШАСпосіб атаки: витік приватного ключа
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Через використання моделі верифікації підпису з низьким порогом 3/11, хакери, отримавши доступ до приватних ключів 3 підписувачів, ініціювали офлайн-підпис, що призвело до передачі прав власності на контракт гаманця до злочинної адреси, в результаті чого було вкрадено 53 мільйони доларів. Ця атака викликала у галузі роздуми щодо дизайну та механізмів управління багатопідписними гаманцями.
Варто зазначити, що Radiant Capital до цієї атаки вже втратив 4,5 мільйона доларів через вразливість контракту, понад 1900 ETH було вкрадено, що свідчить про те, що проекти Web3 повинні підвищити увагу до безпеки.
9. Хеджі Фінанс
Сума збитків: 44,7 мільйона доларів СШАСпосіб атаки: Вразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Хакери використали уразливість затвердження контракту ClaimCampaigns, успішно витягнувши токени з мереж Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів. Ця подія підкреслює важливість аудиту коду, особливо сувору перевірку логіки затвердження токенів.
10. BingX
Сума збитків: 44,7 мільйона доларів СШАСпосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець одного з бірж був зламаний хакерами, що торкнулося кількох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron та інші. Незважаючи на те, що біржа швидко запустила механізм переміщення активів і замороження виведення, хакерам все ж вдалося вивести активи на суму 44,7 мільйона доларів. Ця атака відображає високий ризик управління гарячими гаманцями централізованих бірж і подальше спонукання галузі до пошуку більш безпечних рішень для зберігання активів.
Часті випадки атак на безпеку в 2024 році ще раз нагадують нам, що розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від витоку приватних ключів до вразливостей в контрактах, від внутрішніх управлінських недоліків до еволюції зовнішніх атакуючих методів, кожен випадок приніс глибокі уроки. Щоб впоратися з дедалі складнішими загрозами атак, усі учасники індустрії повинні продовжувати посилювати інвестиції в наукові дослідження, управлінські норми та управління ризиками. У майбутньому ми сподіваємося, що завдяки співпраці в індустрії та технологічним інноваціям ми спільно створимо більш безпечну блокчейн-екосистему, щоб забезпечити користувачів та інвесторів більш надійною підтримкою.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
4
Поділіться
Прокоментувати
0/400
RugpullTherapist
· 07-26 05:26
Знову бачимо цифри втрат Дефект контракту ніколи не буде виправлений
Переглянути оригіналвідповісти на0
GateUser-a180694b
· 07-26 05:24
Втрати просто нереальні.
Переглянути оригіналвідповісти на0
MetadataExplorer
· 07-26 05:20
Дійсно, дірок так багато!
Переглянути оригіналвідповісти на0
RugPullAlarm
· 07-26 05:07
Дані старої кривої вже знайомі. Ще один рік історії сліз і крові невдах.
Огляд десяти найбільших інцидентів безпеки Web3 у 2024 році, збитки склали 24,91 мільярда доларів
Огляд десяти основних подій безпеки у сфері Web3 у 2024 році
У 2024 році індустрія блокчейну, перебуваючи в процесі інноваційного розвитку, також стикається з дедалі серйознішими викликами безпеки. Згідно з моніторингом даних платформи, на даний момент загальні втрати в сфері Web3 у 2024 році через хакерські атаки, шахрайство та втечі проектів сягнули 24,91 мільярдів доларів.
Ці події не тільки виявили недоліки на технологічному рівні, такі як управління приватними ключами та вразливості смарт-контрактів, але й підкреслили потенційні ризики в соціальній інженерії та внутрішньому управлінні. Ця стаття перегляне десять найзначніших подій безпеки у Web3 у 2024 році, щоб допомогти галузі засвоїти уроки та краще підготуватися до майбутніх загроз безпеці.
1. DMM Біткойн
Сума втрат: 304 мільйонів доларів США Спосіб атаки: витік приватного ключа
31 травня 2024 року відбулася значна атака на відому японську криптовалютну біржу DMM Bitcoin. Хакери використали злиті приватні ключі для безпосереднього переміщення біткоїнів вартістю понад 300 мільйонів доларів, і швидко розподілили викрадені кошти на більш ніж 10 різних адрес. Цей інцидент виявив серйозні недоліки біржі в управлінні приватними ключами та багатошаровій безпеці. Попри спроби біржі відстежити хакера за допомогою моніторингу в ланцюгу та заморожування коштів, відстеження зіткнулося з величезними труднощами через те, що кошти були розподілені та очищені за допомогою міксуючих інструментів.
24 грудня японська поліція підтвердила, що цю атаку здійснила певна хакерська група.
2. Додаток PlayDapp
Сума збитків: 290 мільйонів доларів США Спосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав важкого удару. Зловмисники шляхом крадіжки приватного ключа виготовили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів. Через невдалі переговори з хакерами, останні виготовили ще 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів. Частина викрадених токенів потрапила на біржі, після чого PlayDapp змушений був призупинити контракт PLA та перейти на новий контракт токена PDA. Цей інцидент підкреслює недоліки проектів на основі блокчейн в захисті приватних ключів та реагуванні на надзвичайні ситуації.
3. WazirX
Сума збитків: 235 мільйонів доларів США Способи атаки: мережеві атаки та фішинг
18 липня 2024 року найбільший криптовалютний обмін в Індії WazirX зазнав цілеспрямованої атаки на свій мультипідписний гаманець. Зловмисники за допомогою соціальної інженерії спонукали підписувачів мультипідпису підписати угоду про оновлення контракту, а потім використали права, надані оновленим контрактом, щоб перевести всі активи з гаманця. Цей випадок виявив потенційні ризики мультипідписних гаманців у налаштуванні управлінських прав та прозорості операцій, а також викликав глибокі роздуми в галузі щодо внутрішніх механізмів управління ризиками та безпеки проектів.
4. Гала-ігри
Сума збитків: 216 мільйонів доларів США Спосіб атаки: вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламано хакерами. Зловмисники, викликавши функцію mint токен-контракту, одноразово випустили 5 мільярдів токенів GALA. Після цього ці нові токени були частинами обміняні на ETH, що безпосередньо призвело до збитків у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку для блокування частини рахунків хакерів і через юридичні канали повернула частину збитків.
5. Співзасновник Ripple піддався нападу
Сума збитків: 112 мільйонів доларів США Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple були зламані хакерами, внаслідок чого було вкрадено 112 мільйонів доларів XRP. Ці гаманці могли стати мішенню для атаки через відсутність двофакторної аутентифікації з використанням апаратних пристроїв. Після інциденту одна з бірж успішно заморозила XRP на суму 4,2 мільйона доларів і допомогла відстежити викрадені активи, але більша частина коштів була очищена через децентралізовані біржі та сервіси змішування.
6. Жувальні страви
Сума збитків: 6250 мільйонів доларів США Спосіб атаки: соціальна інженерія
26 березня 2024 року Web3 ігрова платформа Munchables на основі Blast зазнала рідкісної внутрішньої атаки з проникненням. Зловмисники маскувалися під розробників блокчейну і, довго перебуваючи в системі, отримали доступ до основного коду та чутливих ключів. Хоча це призвело до величезних втрат, під тиском громади та команди хакери врешті-решт повернули всі викрадені кошти. Цей інцидент підкреслив важливість безпеки ланцюга постачання, особливо для блокчейн-проектів, що залежать від сторонніх розробників.
7. BtcTurk
Сума збитків: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів у криптоактивах. Завдяки допомозі команди однієї з бірж, 5,3 мільйона доларів вкрадених коштів вдалося успішно заморозити, але інші активи досі не повернуті. Цей інцидент поглибив занепокоєння ринку щодо управління приватними ключами на централізованих біржах.
8. Промениста столиця
Сума збитків: 53 мільйони доларів США Спосіб атаки: витік приватного ключа
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Через використання моделі верифікації підпису з низьким порогом 3/11, хакери, отримавши доступ до приватних ключів 3 підписувачів, ініціювали офлайн-підпис, що призвело до передачі прав власності на контракт гаманця до злочинної адреси, в результаті чого було вкрадено 53 мільйони доларів. Ця атака викликала у галузі роздуми щодо дизайну та механізмів управління багатопідписними гаманцями.
Варто зазначити, що Radiant Capital до цієї атаки вже втратив 4,5 мільйона доларів через вразливість контракту, понад 1900 ETH було вкрадено, що свідчить про те, що проекти Web3 повинні підвищити увагу до безпеки.
9. Хеджі Фінанс
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: Вразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Хакери використали уразливість затвердження контракту ClaimCampaigns, успішно витягнувши токени з мереж Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів. Ця подія підкреслює важливість аудиту коду, особливо сувору перевірку логіки затвердження токенів.
10. BingX
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець одного з бірж був зламаний хакерами, що торкнулося кількох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron та інші. Незважаючи на те, що біржа швидко запустила механізм переміщення активів і замороження виведення, хакерам все ж вдалося вивести активи на суму 44,7 мільйона доларів. Ця атака відображає високий ризик управління гарячими гаманцями централізованих бірж і подальше спонукання галузі до пошуку більш безпечних рішень для зберігання активів.
Часті випадки атак на безпеку в 2024 році ще раз нагадують нам, що розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від витоку приватних ключів до вразливостей в контрактах, від внутрішніх управлінських недоліків до еволюції зовнішніх атакуючих методів, кожен випадок приніс глибокі уроки. Щоб впоратися з дедалі складнішими загрозами атак, усі учасники індустрії повинні продовжувати посилювати інвестиції в наукові дослідження, управлінські норми та управління ризиками. У майбутньому ми сподіваємося, що завдяки співпраці в індустрії та технологічним інноваціям ми спільно створимо більш безпечну блокчейн-екосистему, щоб забезпечити користувачів та інвесторів більш надійною підтримкою.