Топ-10 безпекових інцидентів у сфері Web3 у 2024 році
У 2024 році індустрія Web3, постійно інноваційна, також стикається з дедалі серйознішими викликами безпеки. За статистикою, до кінця 2024 року загальні збитки в сфері Web3 через хакерські атаки, шахрайство та втечі проектних команд сягнуть 24,91 мільярда доларів США. Ці події виявили технічні недоліки в управлінні приватними ключами, смарт-контрактах та підкреслили потенційні ризики соціальної інженерії і внутрішнього управління. У цій статті будуть оглянуті десять найзначніших безпекових інцидентів в сфері Web3 у 2024 році, щоб допомогти галузі винести уроки та краще підготуватися до майбутніх загроз безпеці.
1. DMM Bitcoin зазнав атаки на 304 мільйони доларів
31 травня 2024 року японська відома криптовалютна біржа DMM Bitcoin зазнала значної безпекової аварії. Зловмисники використали злиті приватні ключі для безпосереднього переміщення біткойнів вартістю понад 300 мільйонів доларів, швидко розподіливши викрадені кошти на більш ніж 10 різних адрес. Ця атака виявила серйозні недоліки біржі в управлінні приватними ключами та багатошаровій безпековій системі. Незважаючи на те, що біржа намагалася відстежити хакера за допомогою моніторингу в ланцюзі та замороження коштів, викрадені біткойни вже були розподілені і переміщені через інструменти змішування, що ускладнило роботу з відстеження.
24 грудня японська поліція підтвердила, що цей інцидент був здійснений північнокорейською хакерською організацією Lazarus Group.
2. PlayDapp зазнав атаки на 290 мільйонів доларів
9 лютого 2024 року PlayDapp зазнав важкого удару: хакери, викравши приватні ключі, випустили 2 мільярди токенів PLA на початкову вартість 36,5 мільйона доларів США. Оскільки проект не зміг домовитися з хакерами, вони випустили ще 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів США. Після часткового потрапляння токенів на біржу PlayDapp був змушений призупинити контракт на PLA та перейти на новий контракт токенів PDA. Ця подія підкреслила недоліки проектів на блокчейні в захисті приватних ключів та у реагуванні на надзвичайні ситуації.
3. WazirX зазнав атаки на 235 мільйонів доларів
18 липня 2024 року найбільший криптовалютний обмін в Індії WazirX зазнав цілеспрямованої атаки хакерів на мультипідписний гаманець. Зловмисники за допомогою соціальної інженерії змусили підписантів мультипідпису підписати угоду про оновлення контракту, а потім скористалися правами оновленого контракту для перенесення всіх активів з гаманця. Цей випадок підкреслює потенційні ризики мультипідписного гаманця щодо конфігурації прав і прозорості операцій, а також викликав глибоке обговорення в галузі щодо внутрішнього контролю проектів і механізмів безпеки.
4. Gala Games зазнала атаки на суму 216 мільйонів доларів
20 травня 2024 року привілейований адрес Gala Games був зламаний хакерами. Зловмисники, викликавши функцію mint токен-контракту, одночасно випустили 5 мільярдів токенів GALA. Потім хакер поетапно обміняв ці токени на ETH, що призвело до прямих втрат у 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, а також через юридичні канали повернула частину втрат.
5. Співзасновник Ripple Кріс Ларсен зазнав атаки на 112 мільйонів доларів
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Криса Ларсена були зламані хакерами, в результаті чого було вкрадено 112 мільйонів доларів США у XRP. Ці гаманці, ймовірно, стали мішенню атаки через відсутність апаратного забезпечення для двофакторної аутентифікації. Після інциденту одна з бірж успішно заморозила XRP на суму 4,2 мільйона доларів США і допомогла Ларсену відстежити вкрадені активи, але більша частина коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Munchables зазнали атаки на 62,5 мільйона доларів
26 березня 2024 року веб3 ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої кібератаки. Зловмисники, які маскувались під розробників блокчейну, були північнокорейськими хакерами, які протягом тривалого часу залишались у системі, отримавши доступ до вихідного коду та чутливих ключів. Незважаючи на значні втрати, під тиском спільноти та команди, хакери врешті-решт повернули всі вкрадені кошти. Цей інцидент продемонстрував важливість безпеки постачання, особливо для блокчейн-проєктів, що залежать від розробки третьої сторони.
7. BtcTurk зазнав атаки на 55 мільйонів доларів
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою однієї з торгових платформ вдалося заморозити вкрадені кошти на суму 5,3 мільйона доларів, але інші активи ще не були повернуті. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Radiant Capital зазнав атаки на 53 мільйони доларів
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Оскільки він використовував низький поріг моделі верифікації 3/11, хакери, отримавши приватні ключі трьох підписантів, ініціювали поза мережею підписання, передавши право власності на контракт гаманця на зловмисну адресу, що в результаті призвело до крадіжки 53 мільйонів доларів. Ця атака спричинила галузеві роздуми про дизайн багатопідписних гаманців та механізми управління.
Варто зазначити, що Radiant Capital перед цим нападом вже втратила 4,5 мільйона доларів через вразливість у контракті, більше 1900 ETH було вкрадено. Це ще раз підкреслює, що проєкти Web3 повинні більше уваги приділяти питанням безпеки.
9. Hedgey Finance зазнала атаки на 44,7 мільйона доларів
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Зловмисники використали вразливість затвердження в їхньому контракті ClaimCampaigns, успішно витягнувши токени з двох мереж: Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо суворої перевірки логіки затвердження токенів.
10. BingX зазнав атаки на 44,7 мільйона доларів США
19 вересня 2024 року гарячий гаманець біржі BingX був зламаний хакерами, що торкнулося кількох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron тощо. Незважаючи на те, що біржа швидко запустила механізм переміщення активів та замороження виведення, хакери успішно витягли активи на суму 44,7 мільйона доларів. Ця атака відображає високий рівень ризику управління гарячими гаманцями централізованих бірж та подальше стимулювання галузі до пошуку більш безпечних рішень для зберігання активів.
Часті інциденти безпеки у 2024 році ще раз нагадують нам, що розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від витоку приватних ключів до вразливостей у контрактах, від внутрішніх управлінських недоліків до ескалації зовнішніх атак, кожен інцидент приносить глибокі уроки. Щоб впоратися з дедалі складнішими загрозами атак, усі учасники галузі повинні продовжувати посилювати інвестиції в технологічні дослідження, управлінські норми та управління ризиками. У майбутньому ми сподіваємося, що через співпрацю в галузі та технологічні інновації ми спільно створимо більш безпечну екосистему блокчейн для надання більш надійного захисту користувачам та інвесторам.
Переглянути оригінал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
17 лайків
Нагородити
17
6
Поділіться
Прокоментувати
0/400
VibesOverCharts
· 12год тому
Гаманець знову був зламаний
Переглянути оригіналвідповісти на0
ZKProofster
· 07-03 07:17
аматор криптографії. нульова довіра, максимальна конфіденційність. якщо ви не можете довести це математично, я не хочу це чути.
ще один хак у defi... коли вони навчаться правильному управлінню ключами смх
Огляд десяти найбільших інцидентів безпеки Web3 2024 року: збитки майже на 2,5 мільярда доларів попереджають галузь
Топ-10 безпекових інцидентів у сфері Web3 у 2024 році
У 2024 році індустрія Web3, постійно інноваційна, також стикається з дедалі серйознішими викликами безпеки. За статистикою, до кінця 2024 року загальні збитки в сфері Web3 через хакерські атаки, шахрайство та втечі проектних команд сягнуть 24,91 мільярда доларів США. Ці події виявили технічні недоліки в управлінні приватними ключами, смарт-контрактах та підкреслили потенційні ризики соціальної інженерії і внутрішнього управління. У цій статті будуть оглянуті десять найзначніших безпекових інцидентів в сфері Web3 у 2024 році, щоб допомогти галузі винести уроки та краще підготуватися до майбутніх загроз безпеці.
1. DMM Bitcoin зазнав атаки на 304 мільйони доларів
31 травня 2024 року японська відома криптовалютна біржа DMM Bitcoin зазнала значної безпекової аварії. Зловмисники використали злиті приватні ключі для безпосереднього переміщення біткойнів вартістю понад 300 мільйонів доларів, швидко розподіливши викрадені кошти на більш ніж 10 різних адрес. Ця атака виявила серйозні недоліки біржі в управлінні приватними ключами та багатошаровій безпековій системі. Незважаючи на те, що біржа намагалася відстежити хакера за допомогою моніторингу в ланцюзі та замороження коштів, викрадені біткойни вже були розподілені і переміщені через інструменти змішування, що ускладнило роботу з відстеження.
24 грудня японська поліція підтвердила, що цей інцидент був здійснений північнокорейською хакерською організацією Lazarus Group.
2. PlayDapp зазнав атаки на 290 мільйонів доларів
9 лютого 2024 року PlayDapp зазнав важкого удару: хакери, викравши приватні ключі, випустили 2 мільярди токенів PLA на початкову вартість 36,5 мільйона доларів США. Оскільки проект не зміг домовитися з хакерами, вони випустили ще 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів США. Після часткового потрапляння токенів на біржу PlayDapp був змушений призупинити контракт на PLA та перейти на новий контракт токенів PDA. Ця подія підкреслила недоліки проектів на блокчейні в захисті приватних ключів та у реагуванні на надзвичайні ситуації.
3. WazirX зазнав атаки на 235 мільйонів доларів
18 липня 2024 року найбільший криптовалютний обмін в Індії WazirX зазнав цілеспрямованої атаки хакерів на мультипідписний гаманець. Зловмисники за допомогою соціальної інженерії змусили підписантів мультипідпису підписати угоду про оновлення контракту, а потім скористалися правами оновленого контракту для перенесення всіх активів з гаманця. Цей випадок підкреслює потенційні ризики мультипідписного гаманця щодо конфігурації прав і прозорості операцій, а також викликав глибоке обговорення в галузі щодо внутрішнього контролю проектів і механізмів безпеки.
4. Gala Games зазнала атаки на суму 216 мільйонів доларів
20 травня 2024 року привілейований адрес Gala Games був зламаний хакерами. Зловмисники, викликавши функцію mint токен-контракту, одночасно випустили 5 мільярдів токенів GALA. Потім хакер поетапно обміняв ці токени на ETH, що призвело до прямих втрат у 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, а також через юридичні канали повернула частину втрат.
5. Співзасновник Ripple Кріс Ларсен зазнав атаки на 112 мільйонів доларів
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Криса Ларсена були зламані хакерами, в результаті чого було вкрадено 112 мільйонів доларів США у XRP. Ці гаманці, ймовірно, стали мішенню атаки через відсутність апаратного забезпечення для двофакторної аутентифікації. Після інциденту одна з бірж успішно заморозила XRP на суму 4,2 мільйона доларів США і допомогла Ларсену відстежити вкрадені активи, але більша частина коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Munchables зазнали атаки на 62,5 мільйона доларів
26 березня 2024 року веб3 ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої кібератаки. Зловмисники, які маскувались під розробників блокчейну, були північнокорейськими хакерами, які протягом тривалого часу залишались у системі, отримавши доступ до вихідного коду та чутливих ключів. Незважаючи на значні втрати, під тиском спільноти та команди, хакери врешті-решт повернули всі вкрадені кошти. Цей інцидент продемонстрував важливість безпеки постачання, особливо для блокчейн-проєктів, що залежать від розробки третьої сторони.
7. BtcTurk зазнав атаки на 55 мільйонів доларів
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою однієї з торгових платформ вдалося заморозити вкрадені кошти на суму 5,3 мільйона доларів, але інші активи ще не були повернуті. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Radiant Capital зазнав атаки на 53 мільйони доларів
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Оскільки він використовував низький поріг моделі верифікації 3/11, хакери, отримавши приватні ключі трьох підписантів, ініціювали поза мережею підписання, передавши право власності на контракт гаманця на зловмисну адресу, що в результаті призвело до крадіжки 53 мільйонів доларів. Ця атака спричинила галузеві роздуми про дизайн багатопідписних гаманців та механізми управління.
Варто зазначити, що Radiant Capital перед цим нападом вже втратила 4,5 мільйона доларів через вразливість у контракті, більше 1900 ETH було вкрадено. Це ще раз підкреслює, що проєкти Web3 повинні більше уваги приділяти питанням безпеки.
9. Hedgey Finance зазнала атаки на 44,7 мільйона доларів
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Зловмисники використали вразливість затвердження в їхньому контракті ClaimCampaigns, успішно витягнувши токени з двох мереж: Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо суворої перевірки логіки затвердження токенів.
10. BingX зазнав атаки на 44,7 мільйона доларів США
19 вересня 2024 року гарячий гаманець біржі BingX був зламаний хакерами, що торкнулося кількох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron тощо. Незважаючи на те, що біржа швидко запустила механізм переміщення активів та замороження виведення, хакери успішно витягли активи на суму 44,7 мільйона доларів. Ця атака відображає високий рівень ризику управління гарячими гаманцями централізованих бірж та подальше стимулювання галузі до пошуку більш безпечних рішень для зберігання активів.
Часті інциденти безпеки у 2024 році ще раз нагадують нам, що розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від витоку приватних ключів до вразливостей у контрактах, від внутрішніх управлінських недоліків до ескалації зовнішніх атак, кожен інцидент приносить глибокі уроки. Щоб впоратися з дедалі складнішими загрозами атак, усі учасники галузі повинні продовжувати посилювати інвестиції в технологічні дослідження, управлінські норми та управління ризиками. У майбутньому ми сподіваємося, що через співпрацю в галузі та технологічні інновації ми спільно створимо більш безпечну екосистему блокчейн для надання більш надійного захисту користувачам та інвесторам.
ще один хак у defi... коли вони навчаться правильному управлінню ключами смх