Огляд десяти найбільших інцидентів безпеки в сфері Web3 у 2024 році
У 2024 році блокчейн-індустрія, поряд із технологічними інноваціями та розширенням екосистеми, також стикається з дедалі серйознішими викликами в сфері безпеки. Згідно з даними певної платформи моніторингу безпеки, на сьогодні загальні втрати в сфері Web3 у 2024 році через хакерські атаки, фішинг та втечу проектів становлять 24,91 мільярда доларів.
Ці події не тільки виявили технічні дефекти в управлінні приватними ключами, смарт-контрактами тощо, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті буде розглянуто десятку найзначніших подій безпеки Web3 2024 року з метою отримання уроків для подальшого реагування на загрози безпеці.
1. DMM Біткойн
Сума збитків: 3,04 мільярда доларів СШАМетод атаки: витік приватного ключа
31 травня 2024 року японська відома криптовалютна біржа DMM Bitcoin зазнала значної атаки. Хакери використали витік приватного ключа для прямого переміщення біткоїнів вартістю понад 300 мільйонів доларів, швидко розподіливши вкрадені кошти на понад 10 різних адрес. Ця подія виявила серйозні вразливості біржі в управлінні приватними ключами та багатошаровій безпеці. Хоча біржа намагалася відстежити хакера через моніторинг в ланцюгу та заморожування коштів, завдяки тому, що вкрадені біткоїни були розподілені і очищені за допомогою міксуючих інструментів, робота з відстеження зіткнулася з величезними труднощами.
Слід зазначити, що 24 грудня японські правоохоронні органи підтвердили, що цей напад було здійснено міжнародною хакерською організацією.
2. Додаток PlayDapp
Сума втрат: 2,90 мільярда доларівСпосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозного удару. Хакери, викравши приватний ключ, викарбували 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів. У зв'язку з провалом переговорів між проектною командою та хакерами, вони викарбували ще 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів. Частина викрадених токенів потрапила на одну з торгових платформ, після чого PlayDapp був змушений призупинити контракт PLA і перейти на новий контракт токена PDA. Ця подія підкреслила недоліки в захисті приватних ключів і реагуванні на надзвичайні ситуації в блокчейн-проектах.
3. Один індійський криптовалютний обмін
Сума збитків: 235 мільйонів доларів СШАМетоди атаки: мережеві атаки та фішинг
18 липня 2024 року найбільший криптовалютний обмін в Індії зазнав точкової атаки на багатопідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії спонукали підписувачів багатопідпису підписати угоду про оновлення контракту, а після цього використали права доступу оновленого контракту для переміщення всіх активів з гаманця. Цей випадок виявив потенційні ризики багатопідписних гаманців у налаштуванні прав доступу та прозорості операцій, а також викликав глибокі роздуми в галузі щодо внутрішнього контролю проектів та механізмів безпеки.
4. Гала-ігри
Сума збитків: 216 мільйонів доларів СШАСпосіб атаки: вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламаною хакерами. Зловмисники, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Після цього хакери партіями обміняли ці випущені токени на ETH, що безпосередньо призвело до збитків у розмірі 216 мільйонів доларів. Команда Gala Games швидко активувала функцію чорного списку для блокування деяких рахунків хакерів і через юридичні канали повернула частину збитків.
5. Співзасновник певної криптовалютної компанії
Сума збитків: 112 мільйонів доларів СШАМетод атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці одного з співзасновників відомої компанії з криптовалют були зламані хакерами, що призвело до крадіжки 112 мільйонів доларів XRP. Ці гаманці, ймовірно, стали мішенню для атаки через відсутність апаратного двофакторного захисту. Після інциденту одна велика торговельна платформа успішно заморозила XRP на суму 4,2 мільйона доларів та допомогла відстежити вкрадені активи, проте більшість коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Жувальні страви
Сума втрат: 6250 мільйонів доларів СШАМетод атаки: атака соціальної інженерії
26 березня 2024 року, на основі Blast, веб3 ігрова платформа Munchables зазнала рідкісної внутрішньої атаки. Зловмисники маскувалися під розробників блокчейну і, довго залишаючись у тіні, отримали доступ до основного коду та чутливих ключів. Незважаючи на величезні збитки, під тиском громади та команди зловмисники врешті-решт повернули всі вкрадені кошти. Ця подія підкреслює важливість безпеки постачального ланцюга, особливо для блокчейн-проєктів, які залежать від сторонніх розробників.
7. Турецька криптовалютна біржа
Сума збитків: 55 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів у криптоактивах. Завдяки допомозі однієї великої торгової платформи вдалося заморозити вкрадені кошти на суму 5,3 мільйона доларів, але інші активи досі не були повернуті. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Промениста столиця
Сума збитків: 53 мільйони доларів СШАСпосіб атаки: витік приватного ключа
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Через використання низького порогу верифікації підписів 3/11, хакери отримали доступ до приватних ключів 3 підписувачів, ініціювали поза ланцюговий підпис і передали право власності на контракт гаманця на зловмисну адресу, в результаті чого було вкрадено 53 мільйони доларів. Ця атака викликала в індустрії переосмислення дизайну та механізмів управління багатопідписними гаманцями.
Варто зазначити, що Radiant Capital раніше зазнав збитків у 4,5 мільйона доларів через уразливість контракту, було вкрадено понад 1900 ETH. Це ще раз підкреслює, що проєкти Web3 повинні ще більше підвищити свою увагу до безпеки.
9. Хеджі Фінанс
Сума збитків: 44,7 мільйона доларів СШАСпосіб атаки: Уразливість контракту
19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Зловмисники скористалися вразливістю затвердження в їхньому контракті ClaimCampaigns і успішно вилучили токени з блокчейнів Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів. Цей випадок ще раз підкреслює важливість аудиту коду, особливо сувору перевірку логіки затвердження токенів.
10. Платформа обміну криптовалют
Сума збитків: 4470 мільйонів доларів СШАМетод атаки: витік приватного ключа
19 вересня 2024 року популярна криптовалютна біржа зазнала атаки, внаслідок якої гарячий гаманець було зламано хакерами, що вплинуло на кілька блокчейнів, зокрема Ethereum, BNB Chain, Tron та інші. Незважаючи на те, що біржа швидко активувала механізми перенесення активів та заморожування виведення коштів, хакери змогли вивести активи на загальну суму 44,7 мільйона доларів США. Ця атака ще раз підкреслила високий ризик управління гарячими гаманцями централізованих бірж і ще більше стимулювала галузь до пошуку більш безпечних рішень для зберігання активів.
Часті випадки безпеки у 2024 році знову нагадують нам, що розвиток блокчейн-індустрії не може обійтися без безпечної охорони. Від витоку приватних ключів до вразливостей контрактів, від внутрішніх управлінських недоліків до вдосконалення зовнішніх атак, кожен випадок приніс глибокі уроки. Щоб протистояти дедалі складнішим загрозам атак, усі учасники галузі повинні продовжувати посилювати інвестиції в наукові дослідження, управлінські норми та управління ризиками. У майбутньому ми сподіваємося на спільну роботу в галузі та технологічні інновації, щоб разом побудувати безпечнішу екосистему блокчейну, яка забезпечить надійний захист для користувачів та інвесторів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
9 лайків
Нагородити
9
6
Репост
Поділіться
Прокоментувати
0/400
TommyTeacher1
· 15год тому
25 мільярдів доларів зникло. Хто за це відповідає?
Переглянути оригіналвідповісти на0
MevHunter
· 08-14 18:20
Знову витік закритого ключа? Люди дурні, а грошей багато.
Переглянути оригіналвідповісти на0
FudVaccinator
· 08-14 18:19
Ай, у криптосвіті щороку обдурюють людей, як лохів.
Переглянути оригіналвідповісти на0
NFTRegretter
· 08-14 18:13
Ще чорніше і збитковіше, що рік стає все більш захоплюючим.
Переглянути оригіналвідповісти на0
defi_detective
· 08-14 18:12
Це просто безглуздя, знову перетворилося на обман для дурнів.
2024 рік: Топ-10 подій безпеки Web3: втрати близько 2,5 мільярда доларів, DMM Bitcoin зазнав атаки хакера на 300 мільйонів доларів
Огляд десяти найбільших інцидентів безпеки в сфері Web3 у 2024 році
У 2024 році блокчейн-індустрія, поряд із технологічними інноваціями та розширенням екосистеми, також стикається з дедалі серйознішими викликами в сфері безпеки. Згідно з даними певної платформи моніторингу безпеки, на сьогодні загальні втрати в сфері Web3 у 2024 році через хакерські атаки, фішинг та втечу проектів становлять 24,91 мільярда доларів.
Ці події не тільки виявили технічні дефекти в управлінні приватними ключами, смарт-контрактами тощо, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті буде розглянуто десятку найзначніших подій безпеки Web3 2024 року з метою отримання уроків для подальшого реагування на загрози безпеці.
1. DMM Біткойн
Сума збитків: 3,04 мільярда доларів США Метод атаки: витік приватного ключа
31 травня 2024 року японська відома криптовалютна біржа DMM Bitcoin зазнала значної атаки. Хакери використали витік приватного ключа для прямого переміщення біткоїнів вартістю понад 300 мільйонів доларів, швидко розподіливши вкрадені кошти на понад 10 різних адрес. Ця подія виявила серйозні вразливості біржі в управлінні приватними ключами та багатошаровій безпеці. Хоча біржа намагалася відстежити хакера через моніторинг в ланцюгу та заморожування коштів, завдяки тому, що вкрадені біткоїни були розподілені і очищені за допомогою міксуючих інструментів, робота з відстеження зіткнулася з величезними труднощами.
Слід зазначити, що 24 грудня японські правоохоронні органи підтвердили, що цей напад було здійснено міжнародною хакерською організацією.
2. Додаток PlayDapp
Сума втрат: 2,90 мільярда доларів Спосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозного удару. Хакери, викравши приватний ключ, викарбували 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів. У зв'язку з провалом переговорів між проектною командою та хакерами, вони викарбували ще 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів. Частина викрадених токенів потрапила на одну з торгових платформ, після чого PlayDapp був змушений призупинити контракт PLA і перейти на новий контракт токена PDA. Ця подія підкреслила недоліки в захисті приватних ключів і реагуванні на надзвичайні ситуації в блокчейн-проектах.
3. Один індійський криптовалютний обмін
Сума збитків: 235 мільйонів доларів США Методи атаки: мережеві атаки та фішинг
18 липня 2024 року найбільший криптовалютний обмін в Індії зазнав точкової атаки на багатопідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії спонукали підписувачів багатопідпису підписати угоду про оновлення контракту, а після цього використали права доступу оновленого контракту для переміщення всіх активів з гаманця. Цей випадок виявив потенційні ризики багатопідписних гаманців у налаштуванні прав доступу та прозорості операцій, а також викликав глибокі роздуми в галузі щодо внутрішнього контролю проектів та механізмів безпеки.
4. Гала-ігри
Сума збитків: 216 мільйонів доларів США Спосіб атаки: вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламаною хакерами. Зловмисники, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Після цього хакери партіями обміняли ці випущені токени на ETH, що безпосередньо призвело до збитків у розмірі 216 мільйонів доларів. Команда Gala Games швидко активувала функцію чорного списку для блокування деяких рахунків хакерів і через юридичні канали повернула частину збитків.
5. Співзасновник певної криптовалютної компанії
Сума збитків: 112 мільйонів доларів США Метод атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці одного з співзасновників відомої компанії з криптовалют були зламані хакерами, що призвело до крадіжки 112 мільйонів доларів XRP. Ці гаманці, ймовірно, стали мішенню для атаки через відсутність апаратного двофакторного захисту. Після інциденту одна велика торговельна платформа успішно заморозила XRP на суму 4,2 мільйона доларів та допомогла відстежити вкрадені активи, проте більшість коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Жувальні страви
Сума втрат: 6250 мільйонів доларів США Метод атаки: атака соціальної інженерії
26 березня 2024 року, на основі Blast, веб3 ігрова платформа Munchables зазнала рідкісної внутрішньої атаки. Зловмисники маскувалися під розробників блокчейну і, довго залишаючись у тіні, отримали доступ до основного коду та чутливих ключів. Незважаючи на величезні збитки, під тиском громади та команди зловмисники врешті-решт повернули всі вкрадені кошти. Ця подія підкреслює важливість безпеки постачального ланцюга, особливо для блокчейн-проєктів, які залежать від сторонніх розробників.
7. Турецька криптовалютна біржа
Сума збитків: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів у криптоактивах. Завдяки допомозі однієї великої торгової платформи вдалося заморозити вкрадені кошти на суму 5,3 мільйона доларів, але інші активи досі не були повернуті. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Промениста столиця
Сума збитків: 53 мільйони доларів США Спосіб атаки: витік приватного ключа
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Через використання низького порогу верифікації підписів 3/11, хакери отримали доступ до приватних ключів 3 підписувачів, ініціювали поза ланцюговий підпис і передали право власності на контракт гаманця на зловмисну адресу, в результаті чого було вкрадено 53 мільйони доларів. Ця атака викликала в індустрії переосмислення дизайну та механізмів управління багатопідписними гаманцями.
Варто зазначити, що Radiant Capital раніше зазнав збитків у 4,5 мільйона доларів через уразливість контракту, було вкрадено понад 1900 ETH. Це ще раз підкреслює, що проєкти Web3 повинні ще більше підвищити свою увагу до безпеки.
9. Хеджі Фінанс
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: Уразливість контракту
19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Зловмисники скористалися вразливістю затвердження в їхньому контракті ClaimCampaigns і успішно вилучили токени з блокчейнів Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів. Цей випадок ще раз підкреслює важливість аудиту коду, особливо сувору перевірку логіки затвердження токенів.
10. Платформа обміну криптовалют
Сума збитків: 4470 мільйонів доларів США Метод атаки: витік приватного ключа
19 вересня 2024 року популярна криптовалютна біржа зазнала атаки, внаслідок якої гарячий гаманець було зламано хакерами, що вплинуло на кілька блокчейнів, зокрема Ethereum, BNB Chain, Tron та інші. Незважаючи на те, що біржа швидко активувала механізми перенесення активів та заморожування виведення коштів, хакери змогли вивести активи на загальну суму 44,7 мільйона доларів США. Ця атака ще раз підкреслила високий ризик управління гарячими гаманцями централізованих бірж і ще більше стимулювала галузь до пошуку більш безпечних рішень для зберігання активів.
Часті випадки безпеки у 2024 році знову нагадують нам, що розвиток блокчейн-індустрії не може обійтися без безпечної охорони. Від витоку приватних ключів до вразливостей контрактів, від внутрішніх управлінських недоліків до вдосконалення зовнішніх атак, кожен випадок приніс глибокі уроки. Щоб протистояти дедалі складнішим загрозам атак, усі учасники галузі повинні продовжувати посилювати інвестиції в наукові дослідження, управлінські норми та управління ризиками. У майбутньому ми сподіваємося на спільну роботу в галузі та технологічні інновації, щоб разом побудувати безпечнішу екосистему блокчейну, яка забезпечить надійний захист для користувачів та інвесторів.