У 2024 році десять найбільших інцидентів безпеки Web3 завдали збитків майже 2,5 мільярда доларів, DMM Bitcoin зазнав атаки на 300 мільйонів доларів, що стало найбільшим випадком.
Огляд десяти найбільших інцидентів безпеки Web3 у 2024 році
У 2024 році індустрія блокчейну стикається з дедалі серйознішими викликами безпеки в процесі технологічних інновацій та розширення екосистеми. За даними платформи моніторингу безпеки, станом на сьогодні загальні збитки в сфері Web3 у 2024 році через хакерські атаки, фішингові шахрайства та втечу проектів становлять 24,91 мільярда доларів.
Ці події не лише виявили вразливості на технічному рівні, такі як управління приватними ключами та смарт-контрактами, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті ми розглянемо десять найвпливовіших інцидентів безпеки в сфері Web3 у 2024 році, щоб галузь могла винести уроки з цього і краще реагувати на майбутні загрози безпеці.
1. DMM Біткойн
Сума збитків: 304 мільйони доларів США
Спосіб атаки: витік приватного ключа
31 травня 2024 року відома японська криптовалютна біржа DMM Bitcoin зазнала серйозної аварії безпеки. Зловмисники використали злиті приватні ключі для безпосереднього переказу біткойнів на суму понад 300 мільйонів доларів, а потім швидко розподілили вкрадені кошти на більш ніж 10 різних адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневому захисті. Незважаючи на те, що біржа намагалася відстежувати хакера через моніторинг на блокчейні та замороження коштів, повернення вкраденого біткойна стикалося з величезними викликами через швидке розподілення та очищення крадених біткойнів за допомогою міксера.
24 грудня японська поліція підтвердила, що цю атаку здійснила північнокорейська хакерська група Lazarus Group.
2. Додаток PlayDapp
Сума втрат: 2.90 мільярдів доларів США
Спосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозного удару. Хакери, викравши приватний ключ, викарбували 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Через невдалу угоду з хакерами, зловмисники в короткий термін додатково викарбували 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів США. Після того, як частина вкрадених токенів потрапила на біржі, PlayDapp був змушений призупинити контракт PLA та перейти на новий контракт токена PDA. Ця подія підкреслила недоліки проектів на блокчейні в захисті приватних ключів та обробці надзвичайних ситуацій.
3. Один індійський криптовалютний обмін
Сума збитків: 235 мільйонів доларів США
Способи атаки: мережеві атаки та фішинг
18 липня 2024 року найбільша криптовалютна біржа Індії зазнала точного нападу на багатопідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії змусили підписантів багатопідпису підписати угоду про оновлення контракту, після чого використали права, надані оновленим контрактом, щоб вивести всі активи з гаманця. Цей випадок підкреслює потенційні ризики багатопідписних гаманців щодо управління конфігурацією прав і прозорості операцій, а також викликав глибоке обговорення внутрішнього контролю ризиків та механізмів безпеки проектів у галузі.
4. Гала-ігри
Сума збитків: 216 мільйонів доларів США
Спосіб атаки: вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламаною хакерами. Зловмисники, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Після цього хакер поетапно обміняв додатково випущені токени на ETH, що призвело до безпосередніх збитків у розмірі 216 мільйонів доларів. Команда Gala Games після події терміново активувала функцію чорного списку, заблокувавши частину рахунків хакерів, і через юридичні канали повернула частину збитків.
5. Особистий гаманець спільного засновника Ripple був вкрадений
Сума збитків: 112 мільйонів доларів США
Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Кріс Ларсена зазнали хакерської атаки, в результаті якої було вкрадено 112 мільйонів доларів США у XRP. Ці гаманці, ймовірно, стали мішенню для атаки через відсутність апаратного захисту з подвійним рівнем захисту. Після інциденту одна з бірж змогла заморозити XRP на суму 4,2 мільйона доларів США та допомогла Ларсену відстежити вкрадені активи, але більшість коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Жувальні страви
Сума збитків: 6250 мільйонів доларів США
Метод атаки: соціальна інженерія
26 березня 2024 року Web3 ігрова платформа Munchables, заснована на Blast, зазнала рідкісної внутрішньої атаки. Зловмисники, що маскувалися під розробників блокчейну, протягом тривалого часу успішно отримали доступ до основного коду та чутливих ключів. Незважаючи на величезні збитки, під тиском спільноти та команди зловмисники врешті-решт повернули всі вкрадені кошти. Ця подія підкреслює важливість безпеки ланцюга постачання, особливо для блокчейн-проєктів, які залежать від сторонніх розробників.
7. Один турецький криптовалютний обмін
Сума збитків: 55 мільйонів доларів США
Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів криптоактивів. За сприяння команди однієї з бірж вдалось успішно заморозити 5,3 мільйона доларів викрадених коштів, але інші активи досі не повернуто. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Промениста столиця
Сума збитків: 53 мільйони доларів США
Метод атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital був зламаний хакерами. Через використання низького порогу верифікації 3/11 підписів, хакери, отримавши приватні ключі 3 підписувачів, ініціювали підписання поза блокчейном, передавши право власності контракту гаманця на зловмисну адресу, в результаті чого було вкрадено 53 мільйонів доларів. Ця атака спровокувала роздуми в індустрії щодо дизайну та механізмів управління мультипідписними гаманцями.
Варто зазначити, що Radiant Capital до цієї атаки вже втратила 4,5 мільйона доларів через уразливість контракту, було вкрадено понад 1900 ETH. Це ще раз підкреслює, що проєктам Web3 необхідно підвищити рівень уваги до безпеки.
9. Хеджі Фінанс
Сума втрат: 44,7 мільйона доларів США
Спосіб атаки: Вразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Хакери скористалися вразливістю затвердження в їхньому контракті ClaimCampaigns, успішно вилучивши токени в мережах Ethereum і Arbitrum, загальні збитки склали 44,7 мільйона доларів. Цей інцидент показав важливість аудиту коду, особливо сувору перевірку логіки затвердження токенів.
10. Гарячий гаманець деякої криптовалютної біржі був вкрадений
Сума збитків: 44,7 мільйона доларів США
Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець одного з криптовалютних обмінників був зламаний хакерами, уражені мережі включають Ethereum, BNB Chain, Tron та інші публічні блокчейни. Незважаючи на те, що обмінник швидко запустив механізм перенесення активів та заморожування withdrawals, хакери успішно вилучили активи на суму 44,7 мільйона доларів. Ця атака відображає високий ризик управління гарячими гаманцями централізованих бірж і подальше спонукає галузь шукати більш безпечні рішення для зберігання активів.
Часті випадки атак на безпеку в 2024 році знову нагадують нам про те, що розвиток блокчейн-індустрії неможливий без безпечного супроводу. Від витоку приватних ключів до вразливостей контрактів, від внутрішніх управлінських недоліків до удосконалення зовнішніх методів атаки - кожен випадок приніс глибокі уроки. Щоб протистояти дедалі складнішим загрозам атак, усі учасники галузі повинні продовжувати посилювати інвестиції в наукові дослідження, управлінські норми та управління ризиками. У майбутньому ми сподіваємося, що завдяки галузевій співпраці та технологічним інноваціям ми зможемо спільно створити більш безпечну екосистему блокчейн, щоб надати користувачам та інвесторам більш надійний захист.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
У 2024 році десять найбільших інцидентів безпеки Web3 завдали збитків майже 2,5 мільярда доларів, DMM Bitcoin зазнав атаки на 300 мільйонів доларів, що стало найбільшим випадком.
Огляд десяти найбільших інцидентів безпеки Web3 у 2024 році
У 2024 році індустрія блокчейну стикається з дедалі серйознішими викликами безпеки в процесі технологічних інновацій та розширення екосистеми. За даними платформи моніторингу безпеки, станом на сьогодні загальні збитки в сфері Web3 у 2024 році через хакерські атаки, фішингові шахрайства та втечу проектів становлять 24,91 мільярда доларів.
Ці події не лише виявили вразливості на технічному рівні, такі як управління приватними ключами та смарт-контрактами, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті ми розглянемо десять найвпливовіших інцидентів безпеки в сфері Web3 у 2024 році, щоб галузь могла винести уроки з цього і краще реагувати на майбутні загрози безпеці.
1. DMM Біткойн
Сума збитків: 304 мільйони доларів США Спосіб атаки: витік приватного ключа
31 травня 2024 року відома японська криптовалютна біржа DMM Bitcoin зазнала серйозної аварії безпеки. Зловмисники використали злиті приватні ключі для безпосереднього переказу біткойнів на суму понад 300 мільйонів доларів, а потім швидко розподілили вкрадені кошти на більш ніж 10 різних адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневому захисті. Незважаючи на те, що біржа намагалася відстежувати хакера через моніторинг на блокчейні та замороження коштів, повернення вкраденого біткойна стикалося з величезними викликами через швидке розподілення та очищення крадених біткойнів за допомогою міксера.
24 грудня японська поліція підтвердила, що цю атаку здійснила північнокорейська хакерська група Lazarus Group.
2. Додаток PlayDapp
Сума втрат: 2.90 мільярдів доларів США Спосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозного удару. Хакери, викравши приватний ключ, викарбували 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Через невдалу угоду з хакерами, зловмисники в короткий термін додатково викарбували 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів США. Після того, як частина вкрадених токенів потрапила на біржі, PlayDapp був змушений призупинити контракт PLA та перейти на новий контракт токена PDA. Ця подія підкреслила недоліки проектів на блокчейні в захисті приватних ключів та обробці надзвичайних ситуацій.
3. Один індійський криптовалютний обмін
Сума збитків: 235 мільйонів доларів США Способи атаки: мережеві атаки та фішинг
18 липня 2024 року найбільша криптовалютна біржа Індії зазнала точного нападу на багатопідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії змусили підписантів багатопідпису підписати угоду про оновлення контракту, після чого використали права, надані оновленим контрактом, щоб вивести всі активи з гаманця. Цей випадок підкреслює потенційні ризики багатопідписних гаманців щодо управління конфігурацією прав і прозорості операцій, а також викликав глибоке обговорення внутрішнього контролю ризиків та механізмів безпеки проектів у галузі.
4. Гала-ігри
Сума збитків: 216 мільйонів доларів США Спосіб атаки: вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламаною хакерами. Зловмисники, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Після цього хакер поетапно обміняв додатково випущені токени на ETH, що призвело до безпосередніх збитків у розмірі 216 мільйонів доларів. Команда Gala Games після події терміново активувала функцію чорного списку, заблокувавши частину рахунків хакерів, і через юридичні канали повернула частину збитків.
5. Особистий гаманець спільного засновника Ripple був вкрадений
Сума збитків: 112 мільйонів доларів США Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Кріс Ларсена зазнали хакерської атаки, в результаті якої було вкрадено 112 мільйонів доларів США у XRP. Ці гаманці, ймовірно, стали мішенню для атаки через відсутність апаратного захисту з подвійним рівнем захисту. Після інциденту одна з бірж змогла заморозити XRP на суму 4,2 мільйона доларів США та допомогла Ларсену відстежити вкрадені активи, але більшість коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Жувальні страви
Сума збитків: 6250 мільйонів доларів США Метод атаки: соціальна інженерія
26 березня 2024 року Web3 ігрова платформа Munchables, заснована на Blast, зазнала рідкісної внутрішньої атаки. Зловмисники, що маскувалися під розробників блокчейну, протягом тривалого часу успішно отримали доступ до основного коду та чутливих ключів. Незважаючи на величезні збитки, під тиском спільноти та команди зловмисники врешті-решт повернули всі вкрадені кошти. Ця подія підкреслює важливість безпеки ланцюга постачання, особливо для блокчейн-проєктів, які залежать від сторонніх розробників.
7. Один турецький криптовалютний обмін
Сума збитків: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів криптоактивів. За сприяння команди однієї з бірж вдалось успішно заморозити 5,3 мільйона доларів викрадених коштів, але інші активи досі не повернуто. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Промениста столиця
Сума збитків: 53 мільйони доларів США Метод атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital був зламаний хакерами. Через використання низького порогу верифікації 3/11 підписів, хакери, отримавши приватні ключі 3 підписувачів, ініціювали підписання поза блокчейном, передавши право власності контракту гаманця на зловмисну адресу, в результаті чого було вкрадено 53 мільйонів доларів. Ця атака спровокувала роздуми в індустрії щодо дизайну та механізмів управління мультипідписними гаманцями.
Варто зазначити, що Radiant Capital до цієї атаки вже втратила 4,5 мільйона доларів через уразливість контракту, було вкрадено понад 1900 ETH. Це ще раз підкреслює, що проєктам Web3 необхідно підвищити рівень уваги до безпеки.
9. Хеджі Фінанс
Сума втрат: 44,7 мільйона доларів США Спосіб атаки: Вразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Хакери скористалися вразливістю затвердження в їхньому контракті ClaimCampaigns, успішно вилучивши токени в мережах Ethereum і Arbitrum, загальні збитки склали 44,7 мільйона доларів. Цей інцидент показав важливість аудиту коду, особливо сувору перевірку логіки затвердження токенів.
10. Гарячий гаманець деякої криптовалютної біржі був вкрадений
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець одного з криптовалютних обмінників був зламаний хакерами, уражені мережі включають Ethereum, BNB Chain, Tron та інші публічні блокчейни. Незважаючи на те, що обмінник швидко запустив механізм перенесення активів та заморожування withdrawals, хакери успішно вилучили активи на суму 44,7 мільйона доларів. Ця атака відображає високий ризик управління гарячими гаманцями централізованих бірж і подальше спонукає галузь шукати більш безпечні рішення для зберігання активів.
Часті випадки атак на безпеку в 2024 році знову нагадують нам про те, що розвиток блокчейн-індустрії неможливий без безпечного супроводу. Від витоку приватних ключів до вразливостей контрактів, від внутрішніх управлінських недоліків до удосконалення зовнішніх методів атаки - кожен випадок приніс глибокі уроки. Щоб протистояти дедалі складнішим загрозам атак, усі учасники галузі повинні продовжувати посилювати інвестиції в наукові дослідження, управлінські норми та управління ризиками. У майбутньому ми сподіваємося, що завдяки галузевій співпраці та технологічним інноваціям ми зможемо спільно створити більш безпечну екосистему блокчейн, щоб надати користувачам та інвесторам більш надійний захист.