Огляд подій безпеки Web3 за 2024 рік: десять випадків атак, які попереджають про ризики в галузі
У 2024 році індустрія блокчейн швидко розвивається, але також стикається з усе більш серйозними проблемами безпеки. Згідно з даними певної платформи моніторингу безпеки, на сьогоднішній день загальні збитки в сфері Web3 у 2024 році через хакерські атаки, фішинг та зникнення проектів становлять 24,91 мільярда доларів США.
Ці події не лише виявили технічні недоліки в управлінні приватними ключами, смарт-контрактах тощо, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. Ця стаття розгляне десять найбільших інцидентів безпеки Web3 2024 року з надією, що галузь зможе винести уроки з цього, щоб краще справлятися з майбутніми загрозами безпеці.
1. Японська біржа зазнала великої атаки
Сума збитків: 304 мільйони доларів СШАСпосіб атаки: витік приватного ключа
31 травня 2024 року відбулася історична атака на відомий японський криптовалютний обмін. Зловмисники скористалися витоками приватних ключів для безпосереднього переміщення біткоїнів на суму понад 300 мільйонів доларів, швидко розподіливши вкрадені кошти на більше ніж 10 різних адрес. Цей інцидент виявив серйозні недоліки в управлінні приватними ключами та багаторівневому захисті обміну. Незважаючи на спроби обміну відстежити хакера через моніторинг в ланцюгу та заморожування коштів, вкрадені біткоїни були розподілені та очищені за допомогою міксера, що ускладнило роботу з відстеження.
24 грудня японська поліція підтвердила, що цей інцидент є справою певної міжнародної хакерської організації.
2. PlayDapp зазнає атаки надмірного випуску токенів
Сума збитків: 290 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозного удару, коли хакери, викравши приватні ключі, випустили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів. Оскільки команда проекту не змогла домовитися з хакерами, ті випустили ще 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів. Після частини токенів, що потрапили на певну біржу, PlayDapp змушений був призупинити контракт PLA та перейти на новий контракт токена. Цей інцидент підкреслив недоліки проектів блокчейну в захисті приватних ключів та реагуванні в надзвичайних ситуаціях.
3. Найбільша криптобіржа Індії зазнала нападу на мультипідписний гаманець
Сума збитків: 235 мільйонів доларів СШАМетоди атаки: мережеві атаки та фішинг
18 липня 2024 року найбільша криптовалютна біржа в Індії зазнала точного нападу на свій багатопідписний гаманець Safe Wallet. Зловмисники шляхом соціальної інженерії спонукали підписантів багатопідпису схвалити угоду на оновлення контракту, а потім використали права доступу оновленого контракту, щоб вивести всі активи з гаманця. Цей випадок виявив потенційні ризики багатопідписних гаманців у налаштуванні прав і прозорості операцій, а також спровокував глибоке осмислення внутрішнього контролю проектів і механізмів безпеки в галузі.
4. Привілейована адреса Gala Games була зламано
Сума збитків: 216 мільйонів доларів СШАСпосіб атаки: Вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламана хакерами. Зловмисники, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Потім хакер поступово обміняв ці новостворені токени на ETH, що призвело до прямих втрат у розмірі 216 мільйонів доларів. Команда Gala Games після інциденту терміново активувала функцію чорного списку, щоб заблокувати частину акаунтів хакерів, і через судові процедури повернула частину втрат.
5. Особистий гаманець засновника відомого проекту цифрової валюти був вкрадений
Сума збитків: 112 мільйонів доларів СШАМетод атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника відомого проєкту цифрових валют були зламані хакерами, в результаті чого було вкрадено цифрові активи на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню для атаки через відсутність двох рівнів захисту за допомогою апаратних пристроїв. Після інциденту одна велика біржа успішно заморозила активи на суму 4,2 мільйона доларів і допомогла відстежити вкрадені кошти, але більшість коштів вже були очищені через децентралізовані біржі та сервіси змішування.
6. Munchables зазнали внутрішньої проникнення
Сума збитків: 6250 мільйонів доларів СШАМетод атаки: соціальна інженерія
26 березня 2024 року веб-ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої кібератаки. Зловмисник видавав себе за розробника блокчейну і, довго перебуваючи в системі, отримав доступ до основного коду та чутливих ключів. Незважаючи на значні втрати, під тиском громади та команди хакер врешті-решт повернув всі вкрадені кошти. Ця подія підкреслює важливість безпеки ланцюга постачання, особливо для блокчейн-проектів, що залежать від розробки третіх сторін.
7. Один турецький обмін зіткнувся з витоком приватних ключів
Сума втрат: 55 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
22 червня 2024 року одна з провідних криптовалютних бірж Туреччини зазнала атаки через витік приватних ключів, в результаті чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою однієї великої біржі було успішно заморожено 5,3 мільйона доларів США з викрадених коштів, але інші активи досі не повернуті. Ця подія поглибила занепокоєння ринку щодо здатності централізованих бірж управляти приватними ключами.
8. Мультипідписний гаманець Radiant Capital був зламаний
Сума збитків: 53 мільйони доларів СШАСпосіб атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital став жертвою хакерської атаки. Через використання більш низького порогу верифікації 3/11 підписів хакери, контролюючи приватні ключі 3 підписувачів, ініціювали офлайн підпис, передавши право власності на контракт гаманця на зловмисну адресу, в результаті чого було вкрадено 53 мільйони доларів. Ця атака викликала в індустрії роздуми щодо дизайну та механізмів управління мультипідписними гаманцями.
Варто зазначити, що Radiant Capital вже втратив 4,5 мільйона доларів через вразливість контракту перед цією атакою, було вкрадено понад 1900 ETH. Це ще раз нагадує командам Web3 про необхідність більш серйозно ставитися до питань безпеки.
9. Hedgey Finance багато ланцюговий контракт зазнав атаки
Сума збитків: 44,7 мільйона доларів СШАСпосіб атаки: Уразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Зловмисники скористалися вразливістю в авторизації його контракту ClaimCampaigns і змогли успішно витягти токени з двох мереж: Ethereum та Arbitrum, загальні втрати склали 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо для суворої перевірки логіки авторизації токенів.
10. Гарячий гаманець відомої біржі було зламано
Сума збитків: 44,7 мільйона доларів СШАСпосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець відомої біржі зазнав злому, що торкнулося кількох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron та інші. Хоча біржа швидко запустила механізм переведення активів та заморожування виведення, хакери вже змогли вивести активи на суму 44,7 мільйона доларів. Ця атака знову виявила високі ризики управління гарячими гаманцями централізованих бірж, спонукаючи індустрію шукати більш безпечні рішення для зберігання активів.
Часті інциденти безпеки у 2024 році знову нагадують нам, що розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від витоку приватних ключів до вразливостей у контрактах, від внутрішніх управлінських недоліків до вдосконалення зовнішніх атак — кожен інцидент приніс глибокі уроки. Щоб протистояти все більш складним загрозам атак, усі учасники галузі повинні продовжувати інвестувати в розвиток технологій, управлінські норми та управління ризиками. У майбутньому ми сподіваємося, що шляхом співпраці в галузі та технологічних інновацій ми спільно створимо більш безпечну екосистему блокчейну, що надасть користувачам та інвесторам більш надійний захист.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
4
Репост
Поділіться
Прокоментувати
0/400
LightningPacketLoss
· 08-16 04:27
Чому знову вкрали? Вже 24 роки, а все ще роблю цю примітивну помилку.
Переглянути оригіналвідповісти на0
ponzi_poet
· 08-16 04:18
Знову прийшли обдурювати людей, як лохів, пастка з новими обличчями.
Переглянути оригіналвідповісти на0
GasFeeCrier
· 08-16 04:15
Знову чорне і чорне, чому смартконтракти ще не покращилися?
Переглянути оригіналвідповісти на0
SignatureAnxiety
· 08-16 04:01
Знову витік закритого ключа? Хто ще наважиться користуватися японською біржею?
Огляд безпекових подій Web3 2024 року: десять атак призвели до збитків у 2,5 мільярда доларів
Огляд подій безпеки Web3 за 2024 рік: десять випадків атак, які попереджають про ризики в галузі
У 2024 році індустрія блокчейн швидко розвивається, але також стикається з усе більш серйозними проблемами безпеки. Згідно з даними певної платформи моніторингу безпеки, на сьогоднішній день загальні збитки в сфері Web3 у 2024 році через хакерські атаки, фішинг та зникнення проектів становлять 24,91 мільярда доларів США.
Ці події не лише виявили технічні недоліки в управлінні приватними ключами, смарт-контрактах тощо, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. Ця стаття розгляне десять найбільших інцидентів безпеки Web3 2024 року з надією, що галузь зможе винести уроки з цього, щоб краще справлятися з майбутніми загрозами безпеці.
1. Японська біржа зазнала великої атаки
Сума збитків: 304 мільйони доларів США Спосіб атаки: витік приватного ключа
31 травня 2024 року відбулася історична атака на відомий японський криптовалютний обмін. Зловмисники скористалися витоками приватних ключів для безпосереднього переміщення біткоїнів на суму понад 300 мільйонів доларів, швидко розподіливши вкрадені кошти на більше ніж 10 різних адрес. Цей інцидент виявив серйозні недоліки в управлінні приватними ключами та багаторівневому захисті обміну. Незважаючи на спроби обміну відстежити хакера через моніторинг в ланцюгу та заморожування коштів, вкрадені біткоїни були розподілені та очищені за допомогою міксера, що ускладнило роботу з відстеження.
24 грудня японська поліція підтвердила, що цей інцидент є справою певної міжнародної хакерської організації.
2. PlayDapp зазнає атаки надмірного випуску токенів
Сума збитків: 290 мільйонів доларів США Спосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозного удару, коли хакери, викравши приватні ключі, випустили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів. Оскільки команда проекту не змогла домовитися з хакерами, ті випустили ще 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів. Після частини токенів, що потрапили на певну біржу, PlayDapp змушений був призупинити контракт PLA та перейти на новий контракт токена. Цей інцидент підкреслив недоліки проектів блокчейну в захисті приватних ключів та реагуванні в надзвичайних ситуаціях.
3. Найбільша криптобіржа Індії зазнала нападу на мультипідписний гаманець
Сума збитків: 235 мільйонів доларів США Методи атаки: мережеві атаки та фішинг
18 липня 2024 року найбільша криптовалютна біржа в Індії зазнала точного нападу на свій багатопідписний гаманець Safe Wallet. Зловмисники шляхом соціальної інженерії спонукали підписантів багатопідпису схвалити угоду на оновлення контракту, а потім використали права доступу оновленого контракту, щоб вивести всі активи з гаманця. Цей випадок виявив потенційні ризики багатопідписних гаманців у налаштуванні прав і прозорості операцій, а також спровокував глибоке осмислення внутрішнього контролю проектів і механізмів безпеки в галузі.
4. Привілейована адреса Gala Games була зламано
Сума збитків: 216 мільйонів доларів США Спосіб атаки: Вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламана хакерами. Зловмисники, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Потім хакер поступово обміняв ці новостворені токени на ETH, що призвело до прямих втрат у розмірі 216 мільйонів доларів. Команда Gala Games після інциденту терміново активувала функцію чорного списку, щоб заблокувати частину акаунтів хакерів, і через судові процедури повернула частину втрат.
5. Особистий гаманець засновника відомого проекту цифрової валюти був вкрадений
Сума збитків: 112 мільйонів доларів США Метод атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника відомого проєкту цифрових валют були зламані хакерами, в результаті чого було вкрадено цифрові активи на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню для атаки через відсутність двох рівнів захисту за допомогою апаратних пристроїв. Після інциденту одна велика біржа успішно заморозила активи на суму 4,2 мільйона доларів і допомогла відстежити вкрадені кошти, але більшість коштів вже були очищені через децентралізовані біржі та сервіси змішування.
6. Munchables зазнали внутрішньої проникнення
Сума збитків: 6250 мільйонів доларів США Метод атаки: соціальна інженерія
26 березня 2024 року веб-ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої кібератаки. Зловмисник видавав себе за розробника блокчейну і, довго перебуваючи в системі, отримав доступ до основного коду та чутливих ключів. Незважаючи на значні втрати, під тиском громади та команди хакер врешті-решт повернув всі вкрадені кошти. Ця подія підкреслює важливість безпеки ланцюга постачання, особливо для блокчейн-проектів, що залежать від розробки третіх сторін.
7. Один турецький обмін зіткнувся з витоком приватних ключів
Сума втрат: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа
22 червня 2024 року одна з провідних криптовалютних бірж Туреччини зазнала атаки через витік приватних ключів, в результаті чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою однієї великої біржі було успішно заморожено 5,3 мільйона доларів США з викрадених коштів, але інші активи досі не повернуті. Ця подія поглибила занепокоєння ринку щодо здатності централізованих бірж управляти приватними ключами.
8. Мультипідписний гаманець Radiant Capital був зламаний
Сума збитків: 53 мільйони доларів США Спосіб атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital став жертвою хакерської атаки. Через використання більш низького порогу верифікації 3/11 підписів хакери, контролюючи приватні ключі 3 підписувачів, ініціювали офлайн підпис, передавши право власності на контракт гаманця на зловмисну адресу, в результаті чого було вкрадено 53 мільйони доларів. Ця атака викликала в індустрії роздуми щодо дизайну та механізмів управління мультипідписними гаманцями.
Варто зазначити, що Radiant Capital вже втратив 4,5 мільйона доларів через вразливість контракту перед цією атакою, було вкрадено понад 1900 ETH. Це ще раз нагадує командам Web3 про необхідність більш серйозно ставитися до питань безпеки.
9. Hedgey Finance багато ланцюговий контракт зазнав атаки
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: Уразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Зловмисники скористалися вразливістю в авторизації його контракту ClaimCampaigns і змогли успішно витягти токени з двох мереж: Ethereum та Arbitrum, загальні втрати склали 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо для суворої перевірки логіки авторизації токенів.
10. Гарячий гаманець відомої біржі було зламано
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець відомої біржі зазнав злому, що торкнулося кількох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron та інші. Хоча біржа швидко запустила механізм переведення активів та заморожування виведення, хакери вже змогли вивести активи на суму 44,7 мільйона доларів. Ця атака знову виявила високі ризики управління гарячими гаманцями централізованих бірж, спонукаючи індустрію шукати більш безпечні рішення для зберігання активів.
Часті інциденти безпеки у 2024 році знову нагадують нам, що розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від витоку приватних ключів до вразливостей у контрактах, від внутрішніх управлінських недоліків до вдосконалення зовнішніх атак — кожен інцидент приніс глибокі уроки. Щоб протистояти все більш складним загрозам атак, усі учасники галузі повинні продовжувати інвестувати в розвиток технологій, управлінські норми та управління ризиками. У майбутньому ми сподіваємося, що шляхом співпраці в галузі та технологічних інновацій ми спільно створимо більш безпечну екосистему блокчейну, що надасть користувачам та інвесторам більш надійний захист.