Обзор инцидентов безопасности Web3 в 2024 году: десять случаев атак, предостерегающих от рисков в отрасли
В 2024 году, в то время как блокчейн-индустрия быстро развивается, она также сталкивается с всё более серьёзными проблемами безопасности. Согласно данным одной из платформ мониторинга безопасности, по состоянию на сегодняшний день, в 2024 году общие убытки в области Web3 из-за хакерских атак, фишинговых мошенничеств и бегства проектных команд достигли 24,91 миллиарда долларов.
Эти события не только выявили технические недостатки в управлении приватными ключами, смарт-контрактах и других аспектах, но также подчеркнули потенциальные риски, связанные с социальной инженерией и внутренним управлением. В данной статье мы рассмотрим десять крупнейших инцидентов безопасности Web3 за 2024 год, надеясь, что отрасль сможет извлечь из них уроки и лучше подготовиться к будущим угрозам безопасности.
1. Одна японская биржа подверглась серьезной атаке
Сумма убытков: 304 миллиона долларов СШАСпособ атаки: утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа подверглась исторической атаке. Злоумышленники использовали скомпрометированные приватные ключи для прямой передачи биткойнов на сумму более 300 миллионов долларов и быстро распределили украденные средства на более чем 10 различных адресов. Этот инцидент выявил серьезные недостатки биржи в управлении приватными ключами и многоуровневыми мерами безопасности. Несмотря на то, что биржа пыталась отслеживать хакеров через мониторинг в цепочке и замораживание средств, украденные биткойны были распределены и отмыты с помощью инструментов смешивания, что создало огромные проблемы для отслеживания.
24 декабря японская полиция подтвердила, что это происшествие было совершено международной хакерской группировкой.
2. PlayDapp столкнулся с атакой чрезмерной эмиссии токенов
Сумма убытков: 290 миллионов долларов СШАСпособ атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp понес серьезный удар: хакеры, похитив приватные ключи, выпустили 2 миллиарда токенов PLA, первоначальная стоимость которых составила 36,5 миллиона долларов. Поскольку переговоры между командой проекта и хакерами завершились неудачей, хакеры затем выпустили еще 15,9 миллиарда токенов PLA на сумму 253,9 миллиона долларов. После того как часть токенов поступила на одну из бирж, PlayDapp была вынуждена приостановить контракт PLA и перейти на новый токен-контракт. Этот инцидент подчеркивает недостатки защиты приватных ключей и экстренной реакции в блокчейн-проектах.
3. Самая крупная криптобиржа Индии подверглась атаке на мультиподписной кошелек
Сумма убытков: 235 миллионов долларов СШАСпособы атаки: сетевые атаки и фишинг
18 июля 2024 года, мультиподписной кошелек Safe Wallet крупнейшей криптовалютной биржи Индии подвергся целенаправленной атаке. Злоумышленники с помощью социального инжиниринга заставили подписантов мультиподписного кошелька одобрить транзакцию по обновлению контракта, а затем использовали права, полученные после обновления контракта, чтобы вывести все активы из кошелька. Этот случай выявил потенциальные риски мультиподписных кошельков в отношении конфигурации прав и прозрачности операций, а также вызвал глубокие размышления в отрасли о внутренних механизмах контроля рисков и безопасности проектов.
4. Привилегированный адрес Gala Games был взломан
Сумма убытков: 216 миллионов долларов СШАМетод атаки: Уязвимость управления доступом
20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint в смарт-контракте токена, единовременно создали 5 миллиардов токенов GALA. Затем хакер поэтапно обменял эти вновь созданные токены на ETH, что привело к убыткам в размере 216 миллионов долларов. Команда Gala Games после инцидента срочно активировала функцию черного списка, заблокировав некоторые аккаунты хакеров, и через юридические методы вернула часть убытков.
5. У основателя известного проекта цифровой валюты украли личный кошелек
Сумма убытка: 112 миллионов долларов СШАСпособ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька одного из соучредителей известного проекта цифровой валюты были взломаны хакерами, что привело к краже цифровых активов на сумму 112 миллионов долларов. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты с использованием аппаратных устройств. После инцидента одна крупная биржа успешно заморозила активы на сумму 4,2 миллиона долларов и помогла отследить похищенные средства, но большая часть средств уже была отмыта через децентрализованные биржи и сервисы по смешиванию.
6. Munchables столкнулись с внутренним проникновением
Сумма убытков: 6250 миллионов долларов СШАСпособ атаки: Атака социальной инженерии
26 марта 2024 года веб3 игровая платформа Munchables на основе Blast подверглась редкой внутренней атаке с проникновением. Нападавший маскировался под разработчика блокчейна и, долго оставаясь в системе, получил доступ к исходному коду и чувствительным ключам. Несмотря на значительные убытки, под давлением сообщества и команды хакер в конечном итоге вернул все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.
7. Некоторый турецкий обменник столкнулся с утечкой приватных ключей
Сумма убытков: 55 миллионов долларов СШАСпособ атаки: утечка приватного ключа
22 июня 2024 года одна из основных криптовалютных бирж в Турции подверглась атаке с утечкой приватных ключей, в результате чего было потеряно более 55 миллионов долларов в криптоактивах. С помощью одной из крупных бирж удалось заморозить 5,3 миллиона долларов из украденных средств, но другие активы еще не были возвращены. Этот инцидент усилил беспокойство рынка по поводу возможностей централизованных бирж по управлению приватными ключами.
8. Многофункциональный кошелек Radiant Capital был взломан
Сумма убытков: 53 миллиона долларов СШАСпособ атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования более низкого порога в 3/11 для проверки подписей, хакеры получили контроль над приватными ключами 3 подписантов и инициировали оффлайн-подпись, что привело к передаче прав собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала в отрасли размышления о дизайне и механизмах управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital понесла убытки в 4,5 миллиона долларов из-за уязвимости контракта до этой атаки, более 1900 ETH были украдены. Это еще раз напоминает командам Web3 о необходимости уделять больше внимания вопросам безопасности.
9. Hedgey Finance многоцепочечный контракт подвергся атаке
Сумма убытка: 44,7 миллиона долларов СШАСпособ атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры воспользовались уязвимостью в контракте ClaimCampaigns и успешно извлекли токены на двух цепочках: Ethereum и Arbitrum, общие убытки составили 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики авторизации токенов.
10. Горячий кошелек известной биржи был взломан
Сумма убытков: 44,7 миллиона долларов СШАСпособ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек известной биржи был взломан хакерами, затрагивая такие блокчейны, как Ethereum, BNB Chain, Tron и другие. Несмотря на то, что биржа быстро активировала механизмы перевода активов и заморозки выводов, хакерам удалось успешно вывести активы на сумму 44,7 миллиона долларов. Эта атака вновь выявила высокие риски управления горячими кошельками централизованных бирж, побудив отрасль искать более безопасные решения для хранения активов.
Частые инциденты с безопасностью в 2024 году снова напоминают нам о том, что развитие блокчейн-индустрии невозможно без обеспечения безопасности. От утечки приватных ключей до уязвимостей в контрактах, от внутренних управленческих упущений до усовершенствования внешних методов атаки — каждое событие принесло глубокие уроки. Чтобы справиться с все более сложными угрозами атак, всем участникам отрасли необходимо продолжать усиливать инвестиции в разработку технологий, управление стандартами и предотвращение рисков. В будущем мы ожидаем, что через сотрудничество в отрасли и технологические инновации мы сможем совместно создать более безопасную экосистему блокчейна, предоставляя пользователям и инвесторам более надежные гарантии.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
15 Лайков
Награда
15
4
Репост
Поделиться
комментарий
0/400
LightningPacketLoss
· 21ч назад
Как снова украли? Прошло уже 24 года, а все еще совершаю эту глупую ошибку.
Посмотреть ОригиналОтветить0
ponzi_poet
· 22ч назад
Снова пришли с той же схемой, чтобы разыгрывать людей как лохов.
Посмотреть ОригиналОтветить0
GasFeeCrier
· 22ч назад
Слишком темно, почему смарт-контракты еще не улучшены?
Посмотреть ОригиналОтветить0
SignatureAnxiety
· 22ч назад
Снова утечка закрытого ключа? Кто еще осмелится использовать японскую биржу?
Обзор событий безопасности Web3 2024 года: десять атак, приведших к убыткам в 2,5 миллиарда долларов.
Обзор инцидентов безопасности Web3 в 2024 году: десять случаев атак, предостерегающих от рисков в отрасли
В 2024 году, в то время как блокчейн-индустрия быстро развивается, она также сталкивается с всё более серьёзными проблемами безопасности. Согласно данным одной из платформ мониторинга безопасности, по состоянию на сегодняшний день, в 2024 году общие убытки в области Web3 из-за хакерских атак, фишинговых мошенничеств и бегства проектных команд достигли 24,91 миллиарда долларов.
Эти события не только выявили технические недостатки в управлении приватными ключами, смарт-контрактах и других аспектах, но также подчеркнули потенциальные риски, связанные с социальной инженерией и внутренним управлением. В данной статье мы рассмотрим десять крупнейших инцидентов безопасности Web3 за 2024 год, надеясь, что отрасль сможет извлечь из них уроки и лучше подготовиться к будущим угрозам безопасности.
1. Одна японская биржа подверглась серьезной атаке
Сумма убытков: 304 миллиона долларов США Способ атаки: утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа подверглась исторической атаке. Злоумышленники использовали скомпрометированные приватные ключи для прямой передачи биткойнов на сумму более 300 миллионов долларов и быстро распределили украденные средства на более чем 10 различных адресов. Этот инцидент выявил серьезные недостатки биржи в управлении приватными ключами и многоуровневыми мерами безопасности. Несмотря на то, что биржа пыталась отслеживать хакеров через мониторинг в цепочке и замораживание средств, украденные биткойны были распределены и отмыты с помощью инструментов смешивания, что создало огромные проблемы для отслеживания.
24 декабря японская полиция подтвердила, что это происшествие было совершено международной хакерской группировкой.
2. PlayDapp столкнулся с атакой чрезмерной эмиссии токенов
Сумма убытков: 290 миллионов долларов США Способ атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp понес серьезный удар: хакеры, похитив приватные ключи, выпустили 2 миллиарда токенов PLA, первоначальная стоимость которых составила 36,5 миллиона долларов. Поскольку переговоры между командой проекта и хакерами завершились неудачей, хакеры затем выпустили еще 15,9 миллиарда токенов PLA на сумму 253,9 миллиона долларов. После того как часть токенов поступила на одну из бирж, PlayDapp была вынуждена приостановить контракт PLA и перейти на новый токен-контракт. Этот инцидент подчеркивает недостатки защиты приватных ключей и экстренной реакции в блокчейн-проектах.
3. Самая крупная криптобиржа Индии подверглась атаке на мультиподписной кошелек
Сумма убытков: 235 миллионов долларов США Способы атаки: сетевые атаки и фишинг
18 июля 2024 года, мультиподписной кошелек Safe Wallet крупнейшей криптовалютной биржи Индии подвергся целенаправленной атаке. Злоумышленники с помощью социального инжиниринга заставили подписантов мультиподписного кошелька одобрить транзакцию по обновлению контракта, а затем использовали права, полученные после обновления контракта, чтобы вывести все активы из кошелька. Этот случай выявил потенциальные риски мультиподписных кошельков в отношении конфигурации прав и прозрачности операций, а также вызвал глубокие размышления в отрасли о внутренних механизмах контроля рисков и безопасности проектов.
4. Привилегированный адрес Gala Games был взломан
Сумма убытков: 216 миллионов долларов США Метод атаки: Уязвимость управления доступом
20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint в смарт-контракте токена, единовременно создали 5 миллиардов токенов GALA. Затем хакер поэтапно обменял эти вновь созданные токены на ETH, что привело к убыткам в размере 216 миллионов долларов. Команда Gala Games после инцидента срочно активировала функцию черного списка, заблокировав некоторые аккаунты хакеров, и через юридические методы вернула часть убытков.
5. У основателя известного проекта цифровой валюты украли личный кошелек
Сумма убытка: 112 миллионов долларов США Способ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька одного из соучредителей известного проекта цифровой валюты были взломаны хакерами, что привело к краже цифровых активов на сумму 112 миллионов долларов. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты с использованием аппаратных устройств. После инцидента одна крупная биржа успешно заморозила активы на сумму 4,2 миллиона долларов и помогла отследить похищенные средства, но большая часть средств уже была отмыта через децентрализованные биржи и сервисы по смешиванию.
6. Munchables столкнулись с внутренним проникновением
Сумма убытков: 6250 миллионов долларов США Способ атаки: Атака социальной инженерии
26 марта 2024 года веб3 игровая платформа Munchables на основе Blast подверглась редкой внутренней атаке с проникновением. Нападавший маскировался под разработчика блокчейна и, долго оставаясь в системе, получил доступ к исходному коду и чувствительным ключам. Несмотря на значительные убытки, под давлением сообщества и команды хакер в конечном итоге вернул все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.
7. Некоторый турецкий обменник столкнулся с утечкой приватных ключей
Сумма убытков: 55 миллионов долларов США Способ атаки: утечка приватного ключа
22 июня 2024 года одна из основных криптовалютных бирж в Турции подверглась атаке с утечкой приватных ключей, в результате чего было потеряно более 55 миллионов долларов в криптоактивах. С помощью одной из крупных бирж удалось заморозить 5,3 миллиона долларов из украденных средств, но другие активы еще не были возвращены. Этот инцидент усилил беспокойство рынка по поводу возможностей централизованных бирж по управлению приватными ключами.
8. Многофункциональный кошелек Radiant Capital был взломан
Сумма убытков: 53 миллиона долларов США Способ атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования более низкого порога в 3/11 для проверки подписей, хакеры получили контроль над приватными ключами 3 подписантов и инициировали оффлайн-подпись, что привело к передаче прав собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала в отрасли размышления о дизайне и механизмах управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital понесла убытки в 4,5 миллиона долларов из-за уязвимости контракта до этой атаки, более 1900 ETH были украдены. Это еще раз напоминает командам Web3 о необходимости уделять больше внимания вопросам безопасности.
9. Hedgey Finance многоцепочечный контракт подвергся атаке
Сумма убытка: 44,7 миллиона долларов США Способ атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры воспользовались уязвимостью в контракте ClaimCampaigns и успешно извлекли токены на двух цепочках: Ethereum и Arbitrum, общие убытки составили 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики авторизации токенов.
10. Горячий кошелек известной биржи был взломан
Сумма убытков: 44,7 миллиона долларов США Способ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек известной биржи был взломан хакерами, затрагивая такие блокчейны, как Ethereum, BNB Chain, Tron и другие. Несмотря на то, что биржа быстро активировала механизмы перевода активов и заморозки выводов, хакерам удалось успешно вывести активы на сумму 44,7 миллиона долларов. Эта атака вновь выявила высокие риски управления горячими кошельками централизованных бирж, побудив отрасль искать более безопасные решения для хранения активов.
Частые инциденты с безопасностью в 2024 году снова напоминают нам о том, что развитие блокчейн-индустрии невозможно без обеспечения безопасности. От утечки приватных ключей до уязвимостей в контрактах, от внутренних управленческих упущений до усовершенствования внешних методов атаки — каждое событие принесло глубокие уроки. Чтобы справиться с все более сложными угрозами атак, всем участникам отрасли необходимо продолжать усиливать инвестиции в разработку технологий, управление стандартами и предотвращение рисков. В будущем мы ожидаем, что через сотрудничество в отрасли и технологические инновации мы сможем совместно создать более безопасную экосистему блокчейна, предоставляя пользователям и инвесторам более надежные гарантии.