Огляд безпекових подій Web3 2024 року: десять випадків, які попереджають про ризики в галузі
Зі зростанням інновацій у технології блокчейн та розширенням екосистеми, у 2024 році сфера Web3 стикається з безпрецедентними викликами безпеки. За даними моніторингових платформ, до кінця року загальні втрати в сфері Web3 через хакерські атаки, фішингові шахрайства та втечі проектних команд сягнуть 24,91 мільярда доларів. Ці події не лише виявили недоліки на технологічному рівні, такі як неналежне управління приватними ключами та дефекти смарт-контрактів, але й підкреслили серйозність атак соціальної інженерії та внутрішніх управлінських ризиків.
У цій статті буде розглянуто десять найвпливовіших подій у сфері безпеки Web3 у 2024 році, з метою допомогти галузі винести уроки та надати приклади для майбутнього захисту.
1. Подія DMM Bitcoin
Сума збитків: 304 мільйони доларів США
Спосіб атаки: витік приватного ключа
31 травня 2024 року відома японська криптовалютна біржа DMM Bitcoin зазнала значного витоку безпеки. Зловмисники використали скомпрометований приватний ключ для безпосереднього переміщення біткоїнів на суму понад 300 мільйонів доларів, а потім швидко розподілили вкрадені кошти на більше ніж десяти різних адресах. Цей інцидент виявив серйозні недоліки біржі в управлінні приватними ключами та багаторівневій безпеці. Хоча біржа згодом вжила заходів, таких як моніторинг на блокчейні та заморожування коштів, через використання зловмисниками інструментів для змішування коштів робота з відстеження стикалася з величезними труднощами.
Наприкінці року японська поліція підтвердила, що цю атаку здійснила певна відома хакерська організація.
2. PlayDapp зазнав надмірної емісії токенів
Сума збитків: 290 мільйонів доларів США
Спосіб атаки: витік приватного ключа
9 лютого 2024 року проект PlayDapp зазнав серйозного удару. Хакери, викравши приватний ключ, успішно створили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Оскільки переговори між проектом та хакерами завершилися невдало, останні протягом короткого часу створили ще 15,9 мільярда токенів PLA, вартість яких склала 253,9 мільйона доларів США. Частина викрадених токенів потрапила на біржі, після чого PlayDapp був змушений призупинити контракт PLA та перейти на новий контракт токенів PDA. Ця подія підкреслила недоліки блокчейн-проектів в захисті приватних ключів та механізмах термінового реагування.
3. Мультипідписовий гаманець WazirX зазнав нападу
Сума збитків: 235 мільйонів доларів США
Способи атаки: мережеві атаки та фішинг
18 липня 2024 року найбільша криптовалютна біржа Індії WazirX зазнала цілеспрямованої атаки на свій мультипідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії змусили підписантів мультипідпису затвердити угоду про оновлення контракту, а потім, використовуючи права, надані оновленим контрактом, перевели всі активи з гаманця. Цей випадок виявив потенційні ризики мультипідписних гаманців у управлінні правами та прозорості операцій, що спровокувало глибоку рефлексію в індустрії щодо внутрішніх механізмів управління ризиками проектів.
4. Уразливість збільшення випуску токенів Gala Games
Сума збитків: 216 мільйонів доларів США
Спосіб атаки: вразливість контролю доступу
20 травня 2024 року певна привілейована адреса Gala Games була зламано хакерами. Зловмисники, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Після цього хакер поетапно обміняв ці нові токени на ETH, що безпосередньо призвело до збитків у 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через судові процедури змогла повернути частину збитків.
5. Особистий гаманець співзасновника Ripple був вкрадений
Сума збитків: 112 мільйонів доларів США
Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці одного з засновників Ripple були зламані хакерами, що призвело до викрадення 112 мільйонів доларів США у XRP. Ці гаманці, ймовірно, стали мішенню атаки через відсутність апаратного рівня подвійного захисту. Після інциденту одна з бірж успішно заморозила XRP на суму 4,2 мільйона доларів США та допомогла у відстеженні вкрадених активів, але більша частина коштів була очищена через децентралізовані біржі та сервіси змішування.
6. Munchables стикається з внутрішнім проникненням
Сума збитків: 6250 мільйонів доларів США
Метод атаки: соціально-інженерна атака
26 березня 2024 року Web3 ігрова платформа Munchables, що базується на Blast, зазнала рідкісної внутрішньої атаки. Зловмисники, маскуючись під розробників блокчейну, тривалий час залишалися непоміченими, отримавши доступ до основного коду та чутливих ключів. Незважаючи на величезні втрати, під тиском громади та команди, хакери врешті-решт повернули всі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальницького ланцюга, особливо для блокчейн-проєктів, що залежать від розробки третіх сторін.
7. Інцидент витоку приватного ключа BtcTurk
Сума втрат: 55 мільйонів доларів США
Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки з витоком приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою команди однієї з бірж вдалося заморозити 5,3 мільйона доларів США викрадених коштів, але інші активи досі не повернуті. Ця подія посилила занепокоєння ринку щодо здатності централізованих бірж управляти приватними ключами.
8. Мультипідписний гаманець Radiant Capital був зламаний
Сума збитків: 53 мільйони доларів США
Спосіб атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital зазнав хакерської атаки. Через використання більш низького порогу верифікації 3/11, хакери, отримавши приватні ключі 3 підписувачів, здійснили офлайн підписання, що призвело до передачі прав власності на контракт гаманця до зловмисної адреси, в результаті чого було вкрадено 53 мільйони доларів. Ця атака викликала у галузі роздуми про дизайн мультипідписних гаманців і механізми управління.
Варто зазначити, що перед цією атакою Radiant Capital вже втратила 4,5 мільйона доларів через вразливість у контракті, в результаті чого було вкрадено понад 1900 ETH. Це знову підкреслює важливість підвищення обізнаності про безпеку для проектів Web3.
9. Уразливість контракту Hedgey Finance була використана
Сума збитків: 44,7 мільйона доларів США
Спосіб атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Хакери скористалися вразливістю в контракті ClaimCampaigns, успішно витягнувши токени з блокчейнів Ethereum і Arbitrum, загальні збитки склали 44,7 мільйона доларів. Ця подія підкреслює важливість аудиту коду, особливо суворої перевірки логіки затвердження токенів.
10. Гарячий гаманець BingX був зламаний
Сума збитків: 44,7 мільйона доларів США
Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець однієї з бірж зазнав хакерської атаки, в якій були задіяні Ethereum, BNB Chain, Tron та інші публічні блокчейни. Хоча біржа швидко активувала механізм переведення активів та заморожування виведення, хакерам вдалося успішно вивести активи на суму 44,7 мільйона доларів. Ця атака знову виявила високий ризик управління гарячими гаманцями централізованих бірж, спонукаючи галузь шукати більш безпечні рішення для зберігання активів.
Часті безпекові інциденти 2024 року ще раз нагадують нам, що здоровий розвиток блокчейн-індустрії неможливий без потужного забезпечення безпеки. Від витоку приватних ключів до вразливостей у контрактах, від внутрішніх управлінських недоліків до вдосконалення зовнішніх атак, кожен інцидент б'є на сполох для галузі. Щоб протистояти все більш складним загрозам атак, індустрії потрібно постійно збільшувати інвестиції в технологічні дослідження, управлінські норми та ризиковий контроль. У майбутньому ми сподіваємося, що через галузеву співпрацю та технологічні інновації ми разом створимо більш безпечну та надійну екосистему блокчейн, щоб надати користувачам і інвесторам більш надійний захист.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
18 лайків
Нагородити
18
9
Поділіться
Прокоментувати
0/400
retroactive_airdrop
· 07-19 19:47
Чув, що старі невдахи вже сильно втратили. Сумно.
Переглянути оригіналвідповісти на0
Ramen_Until_Rich
· 07-19 07:26
Гей, вразливості безпеки виникають щороку, невдахи обдурюють людей, як лохів.
Переглянути оригіналвідповісти на0
SmartContractPhobia
· 07-18 21:24
Ця справа справді лякає, навіть до контрактів не наважуються торкатися.
Переглянути оригіналвідповісти на0
0xInsomnia
· 07-17 17:13
Так сумно, знову історія сліз невдах.
Переглянути оригіналвідповісти на0
not_your_keys
· 07-16 21:06
Галузь має свою особливість у бездіяльності
Переглянути оригіналвідповісти на0
SchroedingersFrontrun
· 07-16 21:01
Ой, ще обдурюють людей, як лохів. Будь людиною.
Переглянути оригіналвідповісти на0
AirdropworkerZhang
· 07-16 21:00
25 мільярдів доларів вистачить мені на все життя.
Переглянути оригіналвідповісти на0
AirdropDreamBreaker
· 07-16 20:58
Передній ряд спостерігає за обдурюванням людей, як лохів
Огляд подій безпеки Web3 2024 року: десять випадків з втратами майже 2,5 мільярда доларів
Огляд безпекових подій Web3 2024 року: десять випадків, які попереджають про ризики в галузі
Зі зростанням інновацій у технології блокчейн та розширенням екосистеми, у 2024 році сфера Web3 стикається з безпрецедентними викликами безпеки. За даними моніторингових платформ, до кінця року загальні втрати в сфері Web3 через хакерські атаки, фішингові шахрайства та втечі проектних команд сягнуть 24,91 мільярда доларів. Ці події не лише виявили недоліки на технологічному рівні, такі як неналежне управління приватними ключами та дефекти смарт-контрактів, але й підкреслили серйозність атак соціальної інженерії та внутрішніх управлінських ризиків.
У цій статті буде розглянуто десять найвпливовіших подій у сфері безпеки Web3 у 2024 році, з метою допомогти галузі винести уроки та надати приклади для майбутнього захисту.
1. Подія DMM Bitcoin
Сума збитків: 304 мільйони доларів США Спосіб атаки: витік приватного ключа
31 травня 2024 року відома японська криптовалютна біржа DMM Bitcoin зазнала значного витоку безпеки. Зловмисники використали скомпрометований приватний ключ для безпосереднього переміщення біткоїнів на суму понад 300 мільйонів доларів, а потім швидко розподілили вкрадені кошти на більше ніж десяти різних адресах. Цей інцидент виявив серйозні недоліки біржі в управлінні приватними ключами та багаторівневій безпеці. Хоча біржа згодом вжила заходів, таких як моніторинг на блокчейні та заморожування коштів, через використання зловмисниками інструментів для змішування коштів робота з відстеження стикалася з величезними труднощами.
Наприкінці року японська поліція підтвердила, що цю атаку здійснила певна відома хакерська організація.
2. PlayDapp зазнав надмірної емісії токенів
Сума збитків: 290 мільйонів доларів США Спосіб атаки: витік приватного ключа
9 лютого 2024 року проект PlayDapp зазнав серйозного удару. Хакери, викравши приватний ключ, успішно створили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Оскільки переговори між проектом та хакерами завершилися невдало, останні протягом короткого часу створили ще 15,9 мільярда токенів PLA, вартість яких склала 253,9 мільйона доларів США. Частина викрадених токенів потрапила на біржі, після чого PlayDapp був змушений призупинити контракт PLA та перейти на новий контракт токенів PDA. Ця подія підкреслила недоліки блокчейн-проектів в захисті приватних ключів та механізмах термінового реагування.
3. Мультипідписовий гаманець WazirX зазнав нападу
Сума збитків: 235 мільйонів доларів США Способи атаки: мережеві атаки та фішинг
18 липня 2024 року найбільша криптовалютна біржа Індії WazirX зазнала цілеспрямованої атаки на свій мультипідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії змусили підписантів мультипідпису затвердити угоду про оновлення контракту, а потім, використовуючи права, надані оновленим контрактом, перевели всі активи з гаманця. Цей випадок виявив потенційні ризики мультипідписних гаманців у управлінні правами та прозорості операцій, що спровокувало глибоку рефлексію в індустрії щодо внутрішніх механізмів управління ризиками проектів.
4. Уразливість збільшення випуску токенів Gala Games
Сума збитків: 216 мільйонів доларів США Спосіб атаки: вразливість контролю доступу
20 травня 2024 року певна привілейована адреса Gala Games була зламано хакерами. Зловмисники, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Після цього хакер поетапно обміняв ці нові токени на ETH, що безпосередньо призвело до збитків у 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через судові процедури змогла повернути частину збитків.
5. Особистий гаманець співзасновника Ripple був вкрадений
Сума збитків: 112 мільйонів доларів США Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці одного з засновників Ripple були зламані хакерами, що призвело до викрадення 112 мільйонів доларів США у XRP. Ці гаманці, ймовірно, стали мішенню атаки через відсутність апаратного рівня подвійного захисту. Після інциденту одна з бірж успішно заморозила XRP на суму 4,2 мільйона доларів США та допомогла у відстеженні вкрадених активів, але більша частина коштів була очищена через децентралізовані біржі та сервіси змішування.
6. Munchables стикається з внутрішнім проникненням
Сума збитків: 6250 мільйонів доларів США Метод атаки: соціально-інженерна атака
26 березня 2024 року Web3 ігрова платформа Munchables, що базується на Blast, зазнала рідкісної внутрішньої атаки. Зловмисники, маскуючись під розробників блокчейну, тривалий час залишалися непоміченими, отримавши доступ до основного коду та чутливих ключів. Незважаючи на величезні втрати, під тиском громади та команди, хакери врешті-решт повернули всі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальницького ланцюга, особливо для блокчейн-проєктів, що залежать від розробки третіх сторін.
7. Інцидент витоку приватного ключа BtcTurk
Сума втрат: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки з витоком приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою команди однієї з бірж вдалося заморозити 5,3 мільйона доларів США викрадених коштів, але інші активи досі не повернуті. Ця подія посилила занепокоєння ринку щодо здатності централізованих бірж управляти приватними ключами.
8. Мультипідписний гаманець Radiant Capital був зламаний
Сума збитків: 53 мільйони доларів США Спосіб атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital зазнав хакерської атаки. Через використання більш низького порогу верифікації 3/11, хакери, отримавши приватні ключі 3 підписувачів, здійснили офлайн підписання, що призвело до передачі прав власності на контракт гаманця до зловмисної адреси, в результаті чого було вкрадено 53 мільйони доларів. Ця атака викликала у галузі роздуми про дизайн мультипідписних гаманців і механізми управління.
Варто зазначити, що перед цією атакою Radiant Capital вже втратила 4,5 мільйона доларів через вразливість у контракті, в результаті чого було вкрадено понад 1900 ETH. Це знову підкреслює важливість підвищення обізнаності про безпеку для проектів Web3.
9. Уразливість контракту Hedgey Finance була використана
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Хакери скористалися вразливістю в контракті ClaimCampaigns, успішно витягнувши токени з блокчейнів Ethereum і Arbitrum, загальні збитки склали 44,7 мільйона доларів. Ця подія підкреслює важливість аудиту коду, особливо суворої перевірки логіки затвердження токенів.
10. Гарячий гаманець BingX був зламаний
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець однієї з бірж зазнав хакерської атаки, в якій були задіяні Ethereum, BNB Chain, Tron та інші публічні блокчейни. Хоча біржа швидко активувала механізм переведення активів та заморожування виведення, хакерам вдалося успішно вивести активи на суму 44,7 мільйона доларів. Ця атака знову виявила високий ризик управління гарячими гаманцями централізованих бірж, спонукаючи галузь шукати більш безпечні рішення для зберігання активів.
Часті безпекові інциденти 2024 року ще раз нагадують нам, що здоровий розвиток блокчейн-індустрії неможливий без потужного забезпечення безпеки. Від витоку приватних ключів до вразливостей у контрактах, від внутрішніх управлінських недоліків до вдосконалення зовнішніх атак, кожен інцидент б'є на сполох для галузі. Щоб протистояти все більш складним загрозам атак, індустрії потрібно постійно збільшувати інвестиції в технологічні дослідження, управлінські норми та ризиковий контроль. У майбутньому ми сподіваємося, що через галузеву співпрацю та технологічні інновації ми разом створимо більш безпечну та надійну екосистему блокчейн, щоб надати користувачам і інвесторам більш надійний захист.