Огляд десяти найбільших інцидентів безпеки у сфері Web3 у 2024 році
У 2024 році в індустрії блокчейн безпекові виклики стають дедалі серйознішими на фоні технологічних інновацій та розширення екосистеми. За даними моніторингової платформи, до кінця року загальні втрати в сфері Web3 через хакерські атаки, шахрайство та зникнення проектів сягнуть 24,91 мільярда доларів.
Ці події виявили технічні недоліки, такі як управління приватними ключами, уразливості смарт-контрактів, а також підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. Давайте згадаємо десять найбільших інцидентів безпеки Web3 у 2024 році, щоб винести уроки та краще підготуватися до майбутніх загроз безпеці.
1. DMM Bitcoin: витік приватного ключа призвів до збитків у 304 мільйони доларів
31 травня 2024 року японська відома криптовалютна біржа DMM Bitcoin зазнала значної атаки. Хакери використали витік приватних ключів для безпосереднього переведення біткойнів на суму понад 300 мільйонів доларів, швидко розподіливши кошти на кілька адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій системі безпеки.
Хоча біржа намагалася відстежити хакерів через моніторинг в ланцюгу та заморожування коштів, вкрадені біткоїни були розподілені та очищені за допомогою інструментів змішування, що значно ускладнило їхнє відстеження. Наприкінці року японська поліція підтвердила, що цей інцидент вчинила північнокорейська хакерська група Lazarus Group.
2. PlayDapp: витік приватних ключів призвів до збитків у 2,90 мільярда доларів
9 лютого 2024 року PlayDapp зазнав серйозної атаки. Хакери через крадіжку приватного ключа випустили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Оскільки проектна команда не змогла домовитися з хакерами, ті потім випустили ще 15,9 мільярда токенів PLA на загальну суму 253,9 мільйона доларів США. Після часткового надходження токенів на біржі PlayDapp був змушений призупинити контракт PLA та перейти на новий контракт токена PDA. Ця подія підкреслила недоліки проектів на блокчейні в захисті приватних ключів та реагуванні на надзвичайні ситуації.
3. Один індійський криптовалютний обмін: мережеві атаки та фішинг призвели до збитків у 235 мільйонів доларів
18 липня 2024 року найбільша криптовалютна біржа Індії стала жертвою цілеспрямованої атаки на багатопідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії змусили підписантів багатопідпису підписати угоду про оновлення контракту, після чого скористалися правами оновленого контракту для переведення всіх активів з гаманця. Цей випадок виявив потенційні ризики багатопідписних гаманців у конфігурації прав та прозорості операцій, що викликало глибокі роздуми в індустрії щодо внутрішнього контролю проектів та механізмів безпеки.
4. Gala Games: Вразливість контролю доступу призвела до збитків у 216 мільйонів доларів
20 травня 2024 року привілейована адреса Gala Games була зламано хакерами. Зловмисники, викликавши функцію mint токен-контракту, одноразово випустили 5 мільярдів токенів GALA. Після цього хакер поетапно обміняв ці токени на ETH, що призвело до прямих збитків у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину хакерських рахунків, і через судові заходи повернула частину збитків.
5. Співзасновник відомого блокчейн-проєкту: витік приватного ключа призвів до збитків у 112 мільйонів доларів
31 січня 2024 року чотири особисті гаманці одного із засновників відомого блокчейн-проєкту були зламані хакерами, що призвело до крадіжки криптовалюти на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту апаратними засобами. Після інциденту одна з торгових платформ успішно заморозила активи на суму 4,2 мільйона доларів і допомогла відстежити вкрадені кошти, але більша частина коштів вже була відмина через децентралізовані біржі та сервіси змішування.
6. Munchables: Атаки соціальної інженерії призвели до збитків у розмірі 62,5 мільйона доларів
26 березня 2024 року веб3 ігрова платформа Munchables, заснована на Blast, зазнала рідкісної внутрішньої проникнення. Зловмисники, які маскувалися під розробників блокчейну, тривалий час залишалися в системі, отримавши доступ до основного коду та чутливих ключів. Незважаючи на величезні збитки, під тиском спільноти та команди зловмисники врешті-решт повернули всі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальників, особливо для блокчейн-проектів, що залежать від сторонньої розробки.
7. Один турецький криптовалютний бірж: витік приватного ключа призвів до збитків у 55 мільйонів доларів
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. Завдяки допомозі однієї торгової платформи було успішно заморожено 5,3 мільйона доларів США викрадених коштів, але інші активи досі не повернуті. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Radiant Capital: Втрата приватного ключа призвела до збитків у 53 мільйони доларів
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Завдяки використанню низькосортної моделі перевірки підписів 3/11, хакери, отримавши приватні ключі 3 підписувачів, ініціювали підписування поза мережею, перенісши право власності на контракт гаманця на зловмисну адресу, що в кінцевому підсумку призвело до крадіжки 53 мільйонів доларів. Ця атака спричинила роздуми в галузі щодо дизайну багатопідписних гаманців та механізмів управління.
Варто зазначити, що Radiant Capital втратила 4,5 мільйона доларів через вразливість в контракті до цієї атаки, понад 1900 ETH було вкрадено. Це ще раз підтверджує, що проекти Web3 все ще повинні підвищити увагу до безпеки.
9. Hedgey Finance: Уразливість контракту призвела до втрати 44,7 мільйона доларів
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Хакери скористалися вразливістю в контракті ClaimCampaigns, успішно витягнувши токени з Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів США. Ця подія підкреслює важливість аудиту коду, особливо ретельної перевірки логіки затвердження токенів.
10. Платформа для обміну криптовалют: витік приватного ключа призвів до збитків у 44,7 мільйона доларів
19 вересня 2024 року хакери зламали гарячий гаманець криптовалютної біржі, що торкнулося кількох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron. Незважаючи на те, що біржа швидко запустила механізми переказу активів та замороження виведення, хакери успішно витягли активи на суму 44,7 мільйона доларів США. Ця атака знову підтверджує високий ризик управління гарячими гаманцями централізованих бірж, спонукаючи індустрію до подальшого пошуку більш безпечних рішень для зберігання активів.
Висновок
Часті випадки атак на безпеку у 2024 році знову нагадують нам, що розвиток індустрії блокчейн не може обійтися без гарантій безпеки. Від витоку приватних ключів до вразливостей контрактів, від недбалості у внутрішньому управлінні до удосконалення зовнішніх атак, кожен випадок приносить глибокі уроки. Щоб протистояти все складнішим загрозам атак, усі учасники галузі повинні продовжувати інвестувати в розробку технологій, управлінські норми та запобігання ризикам. У майбутньому ми сподіваємося, що через співпрацю в галузі та технологічні інновації ми зможемо спільно створити більш безпечну екосистему блокчейн, щоб забезпечити користувачів та інвесторів більш надійними гарантіями.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
12 лайків
Нагородити
12
3
Репост
Поділіться
Прокоментувати
0/400
rugpull_ptsd
· 08-10 04:11
Ця втрата навіть гірша, ніж памп обман для дурнів
Переглянути оригіналвідповісти на0
DegenWhisperer
· 08-10 04:00
Щоденна втрата 24,91 мільярда, не дарма це безсонна ніч у світі Блокчейн
Огляд десяти найбільших інцидентів безпеки Web3 у 2024 році: загальні збитки склали 24,91 мільярда доларів.
Огляд десяти найбільших інцидентів безпеки у сфері Web3 у 2024 році
У 2024 році в індустрії блокчейн безпекові виклики стають дедалі серйознішими на фоні технологічних інновацій та розширення екосистеми. За даними моніторингової платформи, до кінця року загальні втрати в сфері Web3 через хакерські атаки, шахрайство та зникнення проектів сягнуть 24,91 мільярда доларів.
Ці події виявили технічні недоліки, такі як управління приватними ключами, уразливості смарт-контрактів, а також підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. Давайте згадаємо десять найбільших інцидентів безпеки Web3 у 2024 році, щоб винести уроки та краще підготуватися до майбутніх загроз безпеці.
1. DMM Bitcoin: витік приватного ключа призвів до збитків у 304 мільйони доларів
31 травня 2024 року японська відома криптовалютна біржа DMM Bitcoin зазнала значної атаки. Хакери використали витік приватних ключів для безпосереднього переведення біткойнів на суму понад 300 мільйонів доларів, швидко розподіливши кошти на кілька адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій системі безпеки.
Хоча біржа намагалася відстежити хакерів через моніторинг в ланцюгу та заморожування коштів, вкрадені біткоїни були розподілені та очищені за допомогою інструментів змішування, що значно ускладнило їхнє відстеження. Наприкінці року японська поліція підтвердила, що цей інцидент вчинила північнокорейська хакерська група Lazarus Group.
2. PlayDapp: витік приватних ключів призвів до збитків у 2,90 мільярда доларів
9 лютого 2024 року PlayDapp зазнав серйозної атаки. Хакери через крадіжку приватного ключа випустили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Оскільки проектна команда не змогла домовитися з хакерами, ті потім випустили ще 15,9 мільярда токенів PLA на загальну суму 253,9 мільйона доларів США. Після часткового надходження токенів на біржі PlayDapp був змушений призупинити контракт PLA та перейти на новий контракт токена PDA. Ця подія підкреслила недоліки проектів на блокчейні в захисті приватних ключів та реагуванні на надзвичайні ситуації.
3. Один індійський криптовалютний обмін: мережеві атаки та фішинг призвели до збитків у 235 мільйонів доларів
18 липня 2024 року найбільша криптовалютна біржа Індії стала жертвою цілеспрямованої атаки на багатопідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії змусили підписантів багатопідпису підписати угоду про оновлення контракту, після чого скористалися правами оновленого контракту для переведення всіх активів з гаманця. Цей випадок виявив потенційні ризики багатопідписних гаманців у конфігурації прав та прозорості операцій, що викликало глибокі роздуми в індустрії щодо внутрішнього контролю проектів та механізмів безпеки.
4. Gala Games: Вразливість контролю доступу призвела до збитків у 216 мільйонів доларів
20 травня 2024 року привілейована адреса Gala Games була зламано хакерами. Зловмисники, викликавши функцію mint токен-контракту, одноразово випустили 5 мільярдів токенів GALA. Після цього хакер поетапно обміняв ці токени на ETH, що призвело до прямих збитків у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину хакерських рахунків, і через судові заходи повернула частину збитків.
5. Співзасновник відомого блокчейн-проєкту: витік приватного ключа призвів до збитків у 112 мільйонів доларів
31 січня 2024 року чотири особисті гаманці одного із засновників відомого блокчейн-проєкту були зламані хакерами, що призвело до крадіжки криптовалюти на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту апаратними засобами. Після інциденту одна з торгових платформ успішно заморозила активи на суму 4,2 мільйона доларів і допомогла відстежити вкрадені кошти, але більша частина коштів вже була відмина через децентралізовані біржі та сервіси змішування.
6. Munchables: Атаки соціальної інженерії призвели до збитків у розмірі 62,5 мільйона доларів
26 березня 2024 року веб3 ігрова платформа Munchables, заснована на Blast, зазнала рідкісної внутрішньої проникнення. Зловмисники, які маскувалися під розробників блокчейну, тривалий час залишалися в системі, отримавши доступ до основного коду та чутливих ключів. Незважаючи на величезні збитки, під тиском спільноти та команди зловмисники врешті-решт повернули всі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальників, особливо для блокчейн-проектів, що залежать від сторонньої розробки.
7. Один турецький криптовалютний бірж: витік приватного ключа призвів до збитків у 55 мільйонів доларів
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. Завдяки допомозі однієї торгової платформи було успішно заморожено 5,3 мільйона доларів США викрадених коштів, але інші активи досі не повернуті. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Radiant Capital: Втрата приватного ключа призвела до збитків у 53 мільйони доларів
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Завдяки використанню низькосортної моделі перевірки підписів 3/11, хакери, отримавши приватні ключі 3 підписувачів, ініціювали підписування поза мережею, перенісши право власності на контракт гаманця на зловмисну адресу, що в кінцевому підсумку призвело до крадіжки 53 мільйонів доларів. Ця атака спричинила роздуми в галузі щодо дизайну багатопідписних гаманців та механізмів управління.
Варто зазначити, що Radiant Capital втратила 4,5 мільйона доларів через вразливість в контракті до цієї атаки, понад 1900 ETH було вкрадено. Це ще раз підтверджує, що проекти Web3 все ще повинні підвищити увагу до безпеки.
9. Hedgey Finance: Уразливість контракту призвела до втрати 44,7 мільйона доларів
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Хакери скористалися вразливістю в контракті ClaimCampaigns, успішно витягнувши токени з Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів США. Ця подія підкреслює важливість аудиту коду, особливо ретельної перевірки логіки затвердження токенів.
10. Платформа для обміну криптовалют: витік приватного ключа призвів до збитків у 44,7 мільйона доларів
19 вересня 2024 року хакери зламали гарячий гаманець криптовалютної біржі, що торкнулося кількох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron. Незважаючи на те, що біржа швидко запустила механізми переказу активів та замороження виведення, хакери успішно витягли активи на суму 44,7 мільйона доларів США. Ця атака знову підтверджує високий ризик управління гарячими гаманцями централізованих бірж, спонукаючи індустрію до подальшого пошуку більш безпечних рішень для зберігання активів.
Висновок
Часті випадки атак на безпеку у 2024 році знову нагадують нам, що розвиток індустрії блокчейн не може обійтися без гарантій безпеки. Від витоку приватних ключів до вразливостей контрактів, від недбалості у внутрішньому управлінні до удосконалення зовнішніх атак, кожен випадок приносить глибокі уроки. Щоб протистояти все складнішим загрозам атак, усі учасники галузі повинні продовжувати інвестувати в розробку технологій, управлінські норми та запобігання ризикам. У майбутньому ми сподіваємося, що через співпрацю в галузі та технологічні інновації ми зможемо спільно створити більш безпечну екосистему блокчейн, щоб забезпечити користувачів та інвесторів більш надійними гарантіями.