У 2024 році індустрія блокчейн, швидко розвиваючись, також стикається з дедалі серйознішими викликами безпеки. За статистикою, станом на сьогодні, загальні збитки у сфері Web3 через різноманітні інциденти безпеки досягли 2,491 мільярда доларів США. Ці події не тільки виявили вразливості технологічного рівня, але й підкреслили потенційні ризики в управлінні та соціальній інженерії. У цій статті буде оглянуто десять найвпливовіших інцидентів безпеки у сфері Web3 2024 року з метою отримання уроків, які можуть слугувати орієнтиром для майбутнього захисту.
1. DMM Bitcoin зазнав серйозних втрат
Сума збитків: 304 мільйони доларів СШАСпосіб атаки: витік приватного ключа
31 травня 2024 року відома японська криптовалютна біржа DMM Bitcoin зазнала безпрецедентної атаки. Зловмисники використали витік приватного ключа для безпосереднього переказу понад 300 мільйонів доларів США у біткоїнах і швидко розподілили кошти на кілька адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій безпеці. Незважаючи на те, що біржа вжила заходів, таких як моніторинг в блокчейні та заморожування коштів, повернення коштів стало величезним викликом через те, що хакери використовували інструменти для змішування транзакцій.
Варто зазначити, що японська поліція 24 грудня підтвердила, що цю атаку здійснила північнокорейська хакерська група Lazarus Group.
2. PlayDapp зазнав витоку приватних ключів
Сума збитків: 2,90 мільярда доларів СШАСпосіб атаки: витік приватного ключа
9 лютого 2024 року проект PlayDapp зазнав важкого удару. Хакери, викравши приватний ключ, виготовили велику кількість токенів PLA, що призвело до початкових збитків у 36,5 мільйона доларів. У зв'язку з провалом переговорів, хакери потім додатково виготовили 15,9 мільярда токенів PLA, що призвело до загального збитку у 253,9 мільйона доларів. Ця подія змусила PlayDapp призупинити контракт PLA та перейти на новий контракт токенів PDA, підкресливши недоліки проектів блокчейну в захисті приватних ключів та надзвичайному реагуванні.
3. Біржа в Індії WazirX зазнала точного удару
Сума збитків: 235 мільйонів доларів СШАМетоди атаки: мережеві атаки та фішинг
18 липня 2024 року найбільша криптовалютна біржа Індії WazirX стала жертвою ретельно спланованої атаки хакерів на свій багатосторонній гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії змусили підписувачів багатостороннього гаманця затвердити угоду на оновлення контракту, після чого скористалися правами оновленого контракту для перенесення всіх активів з гаманця. Ця подія виявила потенційні ризики багатосторонніх гаманців в управлінні правами та прозорості операцій, а також викликала глибокі роздуми в галузі щодо внутрішніх механізмів ризик-менеджменту проектів.
4. Gala Games зазнає значних втрат
Сума втрат: 216 мільйонів доларів СШАСпосіб атаки: вразливість контролю доступу
20 травня 2024 року привілейовану адресу Gala Games зламали хакери. Зловмисники, викликавши функцію mint токен-контракту, одноразово викували 5 мільярдів токенів GALA. Потім ці токени були обміняні на ETH партіями, що безпосередньо призвело до втрат у розмірі 216 мільйонів доларів. Команда Gala Games швидко активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через судові процедури повернула частину втрат.
5. Співзасновник Ripple зазнав крадіжки особистого гаманця
Сума збитків: 112 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Кріс Ларсена були зламані хакерами, що призвело до крадіжки 112 мільйонів доларів XRP. Ці гаманці могли стати мішенню атаки через відсутність подвійного захисту апаратних пристроїв. Одна з торгових платформ успішно заморозила XRP на суму 4,2 мільйона доларів і допомогла у відстеженні, але більшість коштів вже були очищені через децентралізовані біржі та сервіси змішування.
6. Munchables зазнає внутрішньої інфільтрації
Сума збитків: 6250 мільйонів доларів СШАСпосіб атаки: Соціальна інженерія
26 березня 2024 року, веб3 ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої атаки. Зловмисник замаскувався під розробника блокчейн-технологій і, тривалий час перебуваючи в системі, отримав доступ до основного коду та чутливих ключів. Незважаючи на величезні втрати, під тиском спільноти та команди зловмисник зрештою повернув усі вкрадені кошти. Цей інцидент підкреслює важливість безпеки постачання, особливо для блокчейн-проєктів, які залежать від сторонніх розробників.
7. Турецька біржа BtcTurk зазнала атаки
Сума збитків: 55 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки на витік приватного ключа, внаслідок чого було втрачено понад 55 мільйонів доларів криптоактивів. Завдяки допомозі однієї торгової платформи було успішно заморожено 5,3 мільйона доларів викрадених коштів, але більшість активів досі не повернуто. Ця подія поглибила стурбованість ринку щодо управління приватними ключами централізованими біржами.
8. Багатопідписаний гаманець Radiant Capital був зламаний
Сума збитків: 53 мільйони доларів СШАСпосіб атаки: витік приватного ключа
17 жовтня 2024 року мульти-підписний гаманець Radiant Capital зазнав хакерської атаки. Через використання моделі верифікації підписів з низьким порогом 3/11, хакери, отримавши приватні ключі 3 підписантів, ініціювали офлайн-підпис, що призвело до передачі прав власності на контракт гаманця до зловмисної адреси, в результаті чого було вкрадено 53 мільйони доларів. Ця атака спровокувала роздуми в галузі щодо дизайну та механізмів управління мульти-підписними гаманцями.
Варто зазначити, що Radiant Capital перед цією атакою вже втратило 4,5 мільйона доларів через вразливість у контракті, понад 1900 ETH було вкрадено, що свідчить про те, що проекти Web3 все ще повинні підвищити увагу до безпеки.
9. Hedgey Finance зазнала атаки через вразливість контракту
Сума збитків: 44,7 мільйона доларів СШАСпосіб атаки: Уразливість контракту
19 квітня 2024 року кілька смарт-контрактів Hedgey Finance стали жертвами атаки. Хакери скористалися вразливістю затвердження в їхньому контракті ClaimCampaigns, успішно вилучивши токени на двох ланцюгах: Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів США. Ця подія підкреслює важливість аудиту коду, особливо строгого контролю логіки затвердження токенів.
10. Гарячий гаманець певної біржі зазнав атаки
Сума збитків: 44,7 мільйона доларів СШАСпосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець одного з обмінників був зламаний хакерами, що торкнулося кількох публічних ланцюгів, таких як Ethereum, BNB Chain, Tron тощо. Незважаючи на те, що обмінник швидко запустив механізм переведення активів та заморожування виведення, хакери вже успішно витягли активи на суму 44,7 мільйона доларів США. Ця атака ще раз відображає високу ризикованість управління гарячими гаманцями централізованих обмінників, підштовхуючи галузь до пошуку більш безпечних рішень для зберігання активів.
Часті інциденти безпеки в 2024 році знову нагадують нам, що здоровий розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від управління приватними ключами до вразливостей контрактів, від внутрішнього управління до вдосконалення зовнішніх методів атак, кожен інцидент б'є на сполох для індустрії. Щоб впоратися з дедалі складнішими загрозами безпеці, галузі потрібно продовжувати інвестувати в наукові дослідження технологій, управлінські норми та управління ризиками. У майбутньому ми сподіваємося, що через співпрацю в індустрії та технологічні інновації ми спільно побудуємо більш безпечну та надійну екосистему блокчейн, щоб забезпечити кращий захист для користувачів і інвесторів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
5
Репост
Поділіться
Прокоментувати
0/400
FlyingLeek
· 5год тому
Кожного року обдурювати людей, як лохів, невдахи щороку зелені.
Переглянути оригіналвідповісти на0
LiquidityHunter
· 08-16 19:58
Глибокої ночі підрахував, що через аварії безпеки ліквідність впала до 24,91 млрд доларів, ефективність ринку помітно постраждала.
Переглянути оригіналвідповісти на0
LiquidityOracle
· 08-16 19:55
падіння до нуля відлік три два один! А сусід не втратив всі 24 угоди?
У 2024 році загальні втрати від десяти найбільших інцидентів безпеки в сфері Web3 склали 2,491 мільярда доларів, найбільші втрати поніс DMM Bitcoin.
Топ-10 безпекових подій у сфері Web3 за 2024 рік
У 2024 році індустрія блокчейн, швидко розвиваючись, також стикається з дедалі серйознішими викликами безпеки. За статистикою, станом на сьогодні, загальні збитки у сфері Web3 через різноманітні інциденти безпеки досягли 2,491 мільярда доларів США. Ці події не тільки виявили вразливості технологічного рівня, але й підкреслили потенційні ризики в управлінні та соціальній інженерії. У цій статті буде оглянуто десять найвпливовіших інцидентів безпеки у сфері Web3 2024 року з метою отримання уроків, які можуть слугувати орієнтиром для майбутнього захисту.
1. DMM Bitcoin зазнав серйозних втрат
Сума збитків: 304 мільйони доларів США Спосіб атаки: витік приватного ключа
31 травня 2024 року відома японська криптовалютна біржа DMM Bitcoin зазнала безпрецедентної атаки. Зловмисники використали витік приватного ключа для безпосереднього переказу понад 300 мільйонів доларів США у біткоїнах і швидко розподілили кошти на кілька адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій безпеці. Незважаючи на те, що біржа вжила заходів, таких як моніторинг в блокчейні та заморожування коштів, повернення коштів стало величезним викликом через те, що хакери використовували інструменти для змішування транзакцій.
Варто зазначити, що японська поліція 24 грудня підтвердила, що цю атаку здійснила північнокорейська хакерська група Lazarus Group.
2. PlayDapp зазнав витоку приватних ключів
Сума збитків: 2,90 мільярда доларів США Спосіб атаки: витік приватного ключа
9 лютого 2024 року проект PlayDapp зазнав важкого удару. Хакери, викравши приватний ключ, виготовили велику кількість токенів PLA, що призвело до початкових збитків у 36,5 мільйона доларів. У зв'язку з провалом переговорів, хакери потім додатково виготовили 15,9 мільярда токенів PLA, що призвело до загального збитку у 253,9 мільйона доларів. Ця подія змусила PlayDapp призупинити контракт PLA та перейти на новий контракт токенів PDA, підкресливши недоліки проектів блокчейну в захисті приватних ключів та надзвичайному реагуванні.
3. Біржа в Індії WazirX зазнала точного удару
Сума збитків: 235 мільйонів доларів США Методи атаки: мережеві атаки та фішинг
18 липня 2024 року найбільша криптовалютна біржа Індії WazirX стала жертвою ретельно спланованої атаки хакерів на свій багатосторонній гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії змусили підписувачів багатостороннього гаманця затвердити угоду на оновлення контракту, після чого скористалися правами оновленого контракту для перенесення всіх активів з гаманця. Ця подія виявила потенційні ризики багатосторонніх гаманців в управлінні правами та прозорості операцій, а також викликала глибокі роздуми в галузі щодо внутрішніх механізмів ризик-менеджменту проектів.
4. Gala Games зазнає значних втрат
Сума втрат: 216 мільйонів доларів США Спосіб атаки: вразливість контролю доступу
20 травня 2024 року привілейовану адресу Gala Games зламали хакери. Зловмисники, викликавши функцію mint токен-контракту, одноразово викували 5 мільярдів токенів GALA. Потім ці токени були обміняні на ETH партіями, що безпосередньо призвело до втрат у розмірі 216 мільйонів доларів. Команда Gala Games швидко активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через судові процедури повернула частину втрат.
5. Співзасновник Ripple зазнав крадіжки особистого гаманця
Сума збитків: 112 мільйонів доларів США Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Кріс Ларсена були зламані хакерами, що призвело до крадіжки 112 мільйонів доларів XRP. Ці гаманці могли стати мішенню атаки через відсутність подвійного захисту апаратних пристроїв. Одна з торгових платформ успішно заморозила XRP на суму 4,2 мільйона доларів і допомогла у відстеженні, але більшість коштів вже були очищені через децентралізовані біржі та сервіси змішування.
6. Munchables зазнає внутрішньої інфільтрації
Сума збитків: 6250 мільйонів доларів США Спосіб атаки: Соціальна інженерія
26 березня 2024 року, веб3 ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої атаки. Зловмисник замаскувався під розробника блокчейн-технологій і, тривалий час перебуваючи в системі, отримав доступ до основного коду та чутливих ключів. Незважаючи на величезні втрати, під тиском спільноти та команди зловмисник зрештою повернув усі вкрадені кошти. Цей інцидент підкреслює важливість безпеки постачання, особливо для блокчейн-проєктів, які залежать від сторонніх розробників.
7. Турецька біржа BtcTurk зазнала атаки
Сума збитків: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки на витік приватного ключа, внаслідок чого було втрачено понад 55 мільйонів доларів криптоактивів. Завдяки допомозі однієї торгової платформи було успішно заморожено 5,3 мільйона доларів викрадених коштів, але більшість активів досі не повернуто. Ця подія поглибила стурбованість ринку щодо управління приватними ключами централізованими біржами.
8. Багатопідписаний гаманець Radiant Capital був зламаний
Сума збитків: 53 мільйони доларів США Спосіб атаки: витік приватного ключа
17 жовтня 2024 року мульти-підписний гаманець Radiant Capital зазнав хакерської атаки. Через використання моделі верифікації підписів з низьким порогом 3/11, хакери, отримавши приватні ключі 3 підписантів, ініціювали офлайн-підпис, що призвело до передачі прав власності на контракт гаманця до зловмисної адреси, в результаті чого було вкрадено 53 мільйони доларів. Ця атака спровокувала роздуми в галузі щодо дизайну та механізмів управління мульти-підписними гаманцями.
Варто зазначити, що Radiant Capital перед цією атакою вже втратило 4,5 мільйона доларів через вразливість у контракті, понад 1900 ETH було вкрадено, що свідчить про те, що проекти Web3 все ще повинні підвищити увагу до безпеки.
9. Hedgey Finance зазнала атаки через вразливість контракту
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: Уразливість контракту
19 квітня 2024 року кілька смарт-контрактів Hedgey Finance стали жертвами атаки. Хакери скористалися вразливістю затвердження в їхньому контракті ClaimCampaigns, успішно вилучивши токени на двох ланцюгах: Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів США. Ця подія підкреслює важливість аудиту коду, особливо строгого контролю логіки затвердження токенів.
10. Гарячий гаманець певної біржі зазнав атаки
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець одного з обмінників був зламаний хакерами, що торкнулося кількох публічних ланцюгів, таких як Ethereum, BNB Chain, Tron тощо. Незважаючи на те, що обмінник швидко запустив механізм переведення активів та заморожування виведення, хакери вже успішно витягли активи на суму 44,7 мільйона доларів США. Ця атака ще раз відображає високу ризикованість управління гарячими гаманцями централізованих обмінників, підштовхуючи галузь до пошуку більш безпечних рішень для зберігання активів.
Часті інциденти безпеки в 2024 році знову нагадують нам, що здоровий розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від управління приватними ключами до вразливостей контрактів, від внутрішнього управління до вдосконалення зовнішніх методів атак, кожен інцидент б'є на сполох для індустрії. Щоб впоратися з дедалі складнішими загрозами безпеці, галузі потрібно продовжувати інвестувати в наукові дослідження технологій, управлінські норми та управління ризиками. У майбутньому ми сподіваємося, що через співпрацю в індустрії та технологічні інновації ми спільно побудуємо більш безпечну та надійну екосистему блокчейн, щоб забезпечити кращий захист для користувачів і інвесторів.