Огляд десяти основних інцидентів безпеки в галузі Web3 за 2024 рік
З розвитком технологій блокчейн і розширенням екосистеми, у 2024 році індустрія Web3 стикається з усе більш серйозними викликами безпеки. Згідно з даними галузі, до кінця 2024 року загальні втрати в сфері Web3 через хакерські атаки, фішингові шахрайства та зловмисний вихід проектів становитимуть до 2,491 мільярда доларів. Ці події не тільки виявили вразливості на технічному рівні, такі як управління приватними ключами та смарт-контрактами, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті буде представлено десятку найбільш впливових інцидентів безпеки в сфері Web3 у 2024 році, з метою надати галузі приклади для наслідування, щоб у майбутньому краще справлятися з загрозами безпеці.
1. Японська біржа зазнала серйозної атаки
Сума збитків: 304 мільйони доларів США
Спосіб атаки: витік приватного ключа
31 травня 2024 року відбулася історична атака на відому японську криптовалютну біржу. Зловмисник використав злиті приватні ключі для безпосереднього переведення біткоїнів на суму понад 300 мільйонів доларів, швидко розподіливши вкрадені кошти на більш ніж 10 різних адрес. Цей інцидент виявив серйозні недоліки біржі в управлінні приватними ключами та багаторівневій системі безпеки. Хоча біржа намагалася відстежити хакера за допомогою моніторингу в ланцюгу та заморожування коштів, через те, що вкрадені біткоїни були розподілені та очищені за допомогою міксера, робота з відстеження стикається з величезними труднощами.
Наприкінці року японська поліція підтвердила, що ця подія пов'язана з певною міжнародною хакерською організацією.
2. PlayDapp зазнав важких втрат
Сума збитків: 290 мільйонів доларів США
Спосіб атаки: витік приватного ключа
9 лютого 2024 року проєкт PlayDapp зазнав значних втрат. Хакери шляхом крадіжки приватного ключа виготовили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Через невдачу в переговорах між проєктом і хакерами, хакери за короткий час додатково виготовили 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів США. Частина вкрадених токенів, що потрапила на біржі, змусила PlayDapp призупинити контракт PLA та перейти на новий токен-контракт. Цей інцидент підкреслив серйозні недоліки проектів на базі блокчейн у захисті приватних ключів та надзвичайних заходах.
3. Найбільша криптовалютна біржа Індії зазнала точного нападу
Сума збитків: 235 мільйонів доларів США
Методи атаки: мережеві атаки та фішинг
18 липня 2024 року найбільша криптовалютна біржа в Індії зазнала точного хакерського нападу на свій багатопідписний гаманець Safe Wallet. Зловмисники використовували соціальну інженерію, щоб спонукати підписувачів багатопідпису підписати угоду на оновлення контракту, після чого скористалися правами оновленого контракту, щоб вивести всі активи з гаманця. Цей випадок підкреслює потенційні ризики багатопідписних гаманців у налаштуванні управлінських прав та прозорості операцій, а також викликав глибоке переосмислення внутрішнього контролю та механізмів безпеки проектів в індустрії.
4. Gala Games зазнала атаки на випуск токенів
Сума збитків: 216 мільйонів доларів США
Спосіб атаки: вразливість контролю доступу
20 травня 2024 року привілейовану адресу Gala Games зламали хакери. Зловмисники, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Потім хакер партіями обмінював випущені токени на ETH, що безпосередньо призвело до збитків у розмірі 216 мільйонів доларів. Команда Gala Games після інциденту терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, та через судові канали повернула частину збитків.
5. Особистий гаманець співзасновника певного криптовалютного проекту був зламаний
Сума збитків: 112 мільйонів доларів США
Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці одного з відомих співзасновників криптовалютного проекту були зламані хакерами, внаслідок чого було вкрадено криптовалюту на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту апаратним обладнанням. Після події одна велика біржа успішно заморозила вкрадені активи на суму 4,2 мільйона доларів і допомогла у відстеженні, але більша частина коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Munchables зазнали внутрішньої атаки на безпеку
Сума збитків: 6250 мільйонів доларів США
Метод атаки: соціально-інженерні атаки
26 березня 2024 року, веб3-ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої атаки. Зловмисники маскувалися під розробників блокчейну і, тривалий час залишаючись у системі, отримали доступ до основного коду та чутливих ключів. Незважаючи на величезні збитки від атаки, під тиском громади та команди хакери врешті-решт повернули всі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальників, особливо для блокчейн-проектів, що залежать від сторонніх розробників.
7. Найбільша криптовалютна біржа Туреччини зазнала витоку приватних ключів
Сума збитків: 55 мільйонів доларів США
Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, в результаті чого було втрачено понад 55 мільйонів доларів криптоактивів. За допомогою команди однієї з великих бірж було успішно заморожено 5,3 мільйона доларів з викрадених коштів, але інші активи досі не були повернені. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Гаманець з мультипідписом Radiant Capital був зламаний
Сума збитків: 53 мільйони доларів США
Спосіб атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital зазнав хакерської атаки. Через використання низькопорогової моделі перевірки підписів 3/11, хакер, отримавши приватні ключі трьох підписантів, ініціював поза ланцюговий підпис, що призвело до передачі прав власності на контракт гаманця на зловмисну адресу, в результаті чого було вкрадено 53 мільйони доларів. Ця атака спровокувала в індустрії роздуми про дизайн і механізми управління мультипідписними гаманцями.
Варто зазначити, що Radiant Capital зазнав збитків у розмірі 4,5 мільйона доларів через вразливість в контракті до цієї атаки, було вкрадено понад 1900 ETH. Це ще раз підкреслює важливість підвищення обізнаності про безпеку для проектів Web3.
Сума збитків: 44,7 мільйона доларів США
Спосіб атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Зловмисники скористалися вразливістю в контракті ClaimCampaigns, успішно витягнувши токени на двох мережах: Ethereum та Arbitrum, що призвело до загальних збитків у 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо суворої перевірки логіки схвалення токенів.
10. Гарячий гаманець певної біржі був зламаний
Сума збитків: 44,7 мільйона доларів США
Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець одного з бірж був зламаний хакерами, що стосується кількох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron. Незважаючи на те, що біржа швидко запустила механізм переміщення активів і заморожування виведення, хакерам вдалося успішно вивести активи на суму 44,7 мільйона доларів. Ця атака знову підкреслює високий ризик управління гарячими гаманцями централізованих бірж і далі спонукає галузь шукати більш безпечні рішення для зберігання активів.
Часті випадки безпеки в 2024 році знову нагадують нам, що розвиток індустрії блокчейн неможливий без забезпечення безпеки. Від витоку приватних ключів до вразливостей контрактів, від внутрішніх управлінських недоліків до еволюції зовнішніх атак, кожен випадок приносить галузі глибокі уроки. Щоб протистояти все більш складним загрозам атак, сторонам індустрії потрібно продовжувати посилювати інвестиції в розробку технологій, управлінські норми та профілактику ризиків. У майбутньому ми сподіваємося, що через співпрацю в індустрії та технологічні інновації ми разом побудуємо більш безпечну та надійну екосистему блокчейн, щоб забезпечити кращий захист для користувачів та інвесторів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
8 лайків
Нагородити
8
4
Поділіться
Прокоментувати
0/400
QuorumVoter
· 5год тому
Ще один звіт про обдурювання невдах за рік
Переглянути оригіналвідповісти на0
LightningPacketLoss
· 5год тому
Знову закритий ключ загублено
Переглянути оригіналвідповісти на0
GateUser-cff9c776
· 5год тому
Ще один рік даних про зростання ВВП, внесених невдахами, оприлюднено!
Огляд безпекових інцидентів у сфері Web3 у 2024 році: 10 значних атак, збитки від яких становлять 24,91 мільярда доларів США.
Огляд десяти основних інцидентів безпеки в галузі Web3 за 2024 рік
З розвитком технологій блокчейн і розширенням екосистеми, у 2024 році індустрія Web3 стикається з усе більш серйозними викликами безпеки. Згідно з даними галузі, до кінця 2024 року загальні втрати в сфері Web3 через хакерські атаки, фішингові шахрайства та зловмисний вихід проектів становитимуть до 2,491 мільярда доларів. Ці події не тільки виявили вразливості на технічному рівні, такі як управління приватними ключами та смарт-контрактами, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті буде представлено десятку найбільш впливових інцидентів безпеки в сфері Web3 у 2024 році, з метою надати галузі приклади для наслідування, щоб у майбутньому краще справлятися з загрозами безпеці.
1. Японська біржа зазнала серйозної атаки
Сума збитків: 304 мільйони доларів США Спосіб атаки: витік приватного ключа
31 травня 2024 року відбулася історична атака на відому японську криптовалютну біржу. Зловмисник використав злиті приватні ключі для безпосереднього переведення біткоїнів на суму понад 300 мільйонів доларів, швидко розподіливши вкрадені кошти на більш ніж 10 різних адрес. Цей інцидент виявив серйозні недоліки біржі в управлінні приватними ключами та багаторівневій системі безпеки. Хоча біржа намагалася відстежити хакера за допомогою моніторингу в ланцюгу та заморожування коштів, через те, що вкрадені біткоїни були розподілені та очищені за допомогою міксера, робота з відстеження стикається з величезними труднощами.
Наприкінці року японська поліція підтвердила, що ця подія пов'язана з певною міжнародною хакерською організацією.
2. PlayDapp зазнав важких втрат
Сума збитків: 290 мільйонів доларів США Спосіб атаки: витік приватного ключа
9 лютого 2024 року проєкт PlayDapp зазнав значних втрат. Хакери шляхом крадіжки приватного ключа виготовили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Через невдачу в переговорах між проєктом і хакерами, хакери за короткий час додатково виготовили 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів США. Частина вкрадених токенів, що потрапила на біржі, змусила PlayDapp призупинити контракт PLA та перейти на новий токен-контракт. Цей інцидент підкреслив серйозні недоліки проектів на базі блокчейн у захисті приватних ключів та надзвичайних заходах.
3. Найбільша криптовалютна біржа Індії зазнала точного нападу
Сума збитків: 235 мільйонів доларів США Методи атаки: мережеві атаки та фішинг
18 липня 2024 року найбільша криптовалютна біржа в Індії зазнала точного хакерського нападу на свій багатопідписний гаманець Safe Wallet. Зловмисники використовували соціальну інженерію, щоб спонукати підписувачів багатопідпису підписати угоду на оновлення контракту, після чого скористалися правами оновленого контракту, щоб вивести всі активи з гаманця. Цей випадок підкреслює потенційні ризики багатопідписних гаманців у налаштуванні управлінських прав та прозорості операцій, а також викликав глибоке переосмислення внутрішнього контролю та механізмів безпеки проектів в індустрії.
4. Gala Games зазнала атаки на випуск токенів
Сума збитків: 216 мільйонів доларів США Спосіб атаки: вразливість контролю доступу
20 травня 2024 року привілейовану адресу Gala Games зламали хакери. Зловмисники, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Потім хакер партіями обмінював випущені токени на ETH, що безпосередньо призвело до збитків у розмірі 216 мільйонів доларів. Команда Gala Games після інциденту терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, та через судові канали повернула частину збитків.
5. Особистий гаманець співзасновника певного криптовалютного проекту був зламаний
Сума збитків: 112 мільйонів доларів США Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці одного з відомих співзасновників криптовалютного проекту були зламані хакерами, внаслідок чого було вкрадено криптовалюту на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту апаратним обладнанням. Після події одна велика біржа успішно заморозила вкрадені активи на суму 4,2 мільйона доларів і допомогла у відстеженні, але більша частина коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Munchables зазнали внутрішньої атаки на безпеку
Сума збитків: 6250 мільйонів доларів США Метод атаки: соціально-інженерні атаки
26 березня 2024 року, веб3-ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої атаки. Зловмисники маскувалися під розробників блокчейну і, тривалий час залишаючись у системі, отримали доступ до основного коду та чутливих ключів. Незважаючи на величезні збитки від атаки, під тиском громади та команди хакери врешті-решт повернули всі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальників, особливо для блокчейн-проектів, що залежать від сторонніх розробників.
7. Найбільша криптовалютна біржа Туреччини зазнала витоку приватних ключів
Сума збитків: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, в результаті чого було втрачено понад 55 мільйонів доларів криптоактивів. За допомогою команди однієї з великих бірж було успішно заморожено 5,3 мільйона доларів з викрадених коштів, але інші активи досі не були повернені. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Гаманець з мультипідписом Radiant Capital був зламаний
Сума збитків: 53 мільйони доларів США Спосіб атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital зазнав хакерської атаки. Через використання низькопорогової моделі перевірки підписів 3/11, хакер, отримавши приватні ключі трьох підписантів, ініціював поза ланцюговий підпис, що призвело до передачі прав власності на контракт гаманця на зловмисну адресу, в результаті чого було вкрадено 53 мільйони доларів. Ця атака спровокувала в індустрії роздуми про дизайн і механізми управління мультипідписними гаманцями.
Варто зазначити, що Radiant Capital зазнав збитків у розмірі 4,5 мільйона доларів через вразливість в контракті до цієї атаки, було вкрадено понад 1900 ETH. Це ще раз підкреслює важливість підвищення обізнаності про безпеку для проектів Web3.
9. Hedgey Finance багатоланкові контракти піддалися атаці
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Зловмисники скористалися вразливістю в контракті ClaimCampaigns, успішно витягнувши токени на двох мережах: Ethereum та Arbitrum, що призвело до загальних збитків у 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо суворої перевірки логіки схвалення токенів.
10. Гарячий гаманець певної біржі був зламаний
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець одного з бірж був зламаний хакерами, що стосується кількох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron. Незважаючи на те, що біржа швидко запустила механізм переміщення активів і заморожування виведення, хакерам вдалося успішно вивести активи на суму 44,7 мільйона доларів. Ця атака знову підкреслює високий ризик управління гарячими гаманцями централізованих бірж і далі спонукає галузь шукати більш безпечні рішення для зберігання активів.
Часті випадки безпеки в 2024 році знову нагадують нам, що розвиток індустрії блокчейн неможливий без забезпечення безпеки. Від витоку приватних ключів до вразливостей контрактів, від внутрішніх управлінських недоліків до еволюції зовнішніх атак, кожен випадок приносить галузі глибокі уроки. Щоб протистояти все більш складним загрозам атак, сторонам індустрії потрібно продовжувати посилювати інвестиції в розробку технологій, управлінські норми та профілактику ризиків. У майбутньому ми сподіваємося, що через співпрацю в індустрії та технологічні інновації ми разом побудуємо більш безпечну та надійну екосистему блокчейн, щоб забезпечити кращий захист для користувачів та інвесторів.