Огляд значних інцидентів безпеки у сфері Web3 за 2024 рік
У 2024 році індустрія блокчейну, незважаючи на швидкий розвиток, стикається з дедалі серйознішими викликами безпеки. Згідно з моніторинговими даними, до кінця року загальні втрати в сфері Web3 через різноманітні інциденти безпеки сягнули 2,491 мільярда доларів США. Ці події не лише виявили технологічні вразливості, але й підкреслили потенційні ризики в управлінні та соціальному інжинірингу. У цій статті ми підсумуємо десять найбільших інцидентів безпеки в Web3 за 2024 рік, щоб надати галузі аналіз і натхнення.
1. Один з японських обмінників зазнав серйозної атаки
Сума втрат: 304 мільйони доларів США
Спосіб атаки: витік приватного ключа
31 травня 2024 року одна з відомих японських криптовалютних бірж зазнала серйозної атаки на безпеку. Зловмисники використали витік приватних ключів для безпосереднього перенесення біткойнів вартістю понад 300 мільйонів доларів і швидко розподілили вкрадені кошти по кількох різних адресах. Ця атака виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій безпеці. Незважаючи на те, що біржа вжила заходів, таких як моніторинг у ланцюзі та заморожування коштів, повернення коштів стало великим викликом через використання зловмисниками інструментів для змішування. Наприкінці року японська поліція встановила, що ця атака пов'язана з міжнародною хакерською організацією.
Збиток: 290 мільйонів доларів США
Спосіб атаки: витік приватного ключа
9 лютого 2024 року проект PlayDapp зазнав серйозного удару. Хакери незаконно карбували велику кількість токенів PLA шляхом крадіжки приватного ключа, початкова вартість яких становила 36,5 мільйона доларів. Через провал переговорів хакери додатково карбували ще більше токенів, загальна вартість яких досягла 253,9 мільйона доларів. Після часткового надходження цих токенів на біржу PlayDapp була змушена призупинити первісний контракт і перейти на новий токен-контракт. Ця подія підкреслила недоліки проектів на блокчейні в захисті приватних ключів та надзвичайному реагуванні.
3. Найбільша криптовалютна біржа Індії зазнала точного нападу
Сума збитків: 235 мільйонів доларів США
Спосіб атаки: мережеві атаки та фішинг
18 липня 2024 року мультипідписний гаманець найбільшої криптовалютної біржі в Індії став об'єктом точної атаки хакерів. Атакуючі за допомогою соціальної інженерії змусили підписантів мультипідпису підписати угоду про оновлення контракту, а потім використали права, отримані внаслідок оновлення контракту, щоб перевести активи з гаманця. Цей випадок виявив потенційні ризики мультипідписних гаманців у конфігурації прав та прозорості операцій, що викликало глибокі роздуми в індустрії щодо внутрішньої ризикової оцінки та механізмів безпеки проектів.
4. Gala Games зазнає атаки великомасштабного випуску токенів
Сума збитків: 216 мільйонів доларів США
Спосіб атаки: вразливість контролю доступу
20 травня 2024 року привілейовану адресу Gala Games було зламано хакерами. Зловмисники, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Після цього ці токени були обміняні на ETH частинами, що призвело до прямих збитків у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати деякі рахунки хакерів, і через юридичні канали частково повернула втрачені кошти.
5. Особистий гаманець спільного засновника відомого блокчейн-проекту був вкрадений
Сума збитків: 112 мільйонів доларів США
Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці одного з співзасновників блокчейн-проекту були зламані хакерами, внаслідок чого було вкрадено криптовалюти на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню атаки через відсутність двофакторної автентифікації за допомогою апаратних пристроїв. Після інциденту одна велика біржа успішно заморозила частину вкрадених активів, але більша частина коштів вже була відмита через децентралізовані біржі та сервіси змішування.
6. Munchables зазнає внутрішньої проникнення атаки
Сума збитків: 62,5 мільйона доларів США
Метод атаки: соціальна інженерія
26 березня 2024 року веб3 ігрова платформа Munchables на основі Blast зазнала рідкісної внутрішньої атаки. Зловмисник маскувався під розробника блокчейну, тривалий час залишаючись у системі, щоб отримати доступ до основного коду та чутливих ключів. Незважаючи на величезні втрати, під тиском спільноти та команди хакер зрештою повернув усі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальницького ланцюга, особливо для блокчейн-проєктів, що залежать від розробки третіх осіб.
7. Найбільша криптовалютна біржа Туреччини зазнала витоку приватних ключів
Сума збитків: 55 мільйонів доларів США
Метод атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою інших бірж було успішно заморожено близько 5,3 мільйона доларів США викрадених коштів, але більшість активів досі не повернуто. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Багатопідписний гаманець Radiant Capital був зламаний
Сума збитків: 53 мільйони доларів США
Спосіб атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital був зламаний хакерами. Завдяки використанню моделі верифікації 3/11 підписів, хакери, отримавши приватні ключі трьох підписантів, здійснили поза ланцюговий підпис, перевівши право власності на контракт гаманця на зловмисну адресу, що в кінцевому підсумку призвело до крадіжки 53 мільйонів доларів. Ця атака викликала індустріальне роздуми щодо дизайну мультипідписних гаманців і механізмів управління. Варто зазначити, що Radiant Capital вже зазнав збитків у 4,5 мільйона доларів через вразливість контракту раніше.
9. Hedgey Finance зазнав атаки на багатоланцюгові контракти
Сума збитків: 44,7 мільйона доларів США
Спосіб атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Зловмисники використали вразливість в затвердженні контракту ClaimCampaigns, успішно вивівши токени на блокчейнах Ethereum та Arbitrum, загальні втрати склали 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо сувору перевірку логіки затвердження токенів.
10. Гарячий гаманець певної біржі був зламаний хакерами
Сума збитків: 44,7 мільйона доларів США
Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець одного з обмінників був зламаний хакерами, що торкнулося кількох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron. Незважаючи на те, що обмінник швидко активував механізми перенесення активів та замороження виведення, хакерам вдалося вивести активи на суму 44,7 мільйона доларів США. Ця атака знову виявила високий ризик управління гарячими гаманцями централізованих обмінників, що спонукало галузь шукати більш безпечні рішення для зберігання активів.
Підсумок
Часті інциденти безпеки у 2024 році знову нагадують нам про те, що здоровий розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від управління приватними ключами до вразливостей у контрактах, від внутрішнього управління до зовнішніх загроз, кожен інцидент б'є на сполох для галузі. У майбутньому індустрії потрібно продовжувати зміцнювати інвестиції в дослідження та розробки технологій, управлінські норми та управління ризиками, створюючи більш безпечну та надійну екосистему блокчейн шляхом інноваційної співпраці.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
5
Репост
Поділіться
Прокоментувати
0/400
YieldWhisperer
· 07-04 11:01
бачив цей фільм раніше... просто 2021 з більшими цифрами, якщо чесно
У 2024 році загальні втрати від значних інцидентів безпеки в Web3 склали майже 2,5 мільярда доларів США.
Огляд значних інцидентів безпеки у сфері Web3 за 2024 рік
У 2024 році індустрія блокчейну, незважаючи на швидкий розвиток, стикається з дедалі серйознішими викликами безпеки. Згідно з моніторинговими даними, до кінця року загальні втрати в сфері Web3 через різноманітні інциденти безпеки сягнули 2,491 мільярда доларів США. Ці події не лише виявили технологічні вразливості, але й підкреслили потенційні ризики в управлінні та соціальному інжинірингу. У цій статті ми підсумуємо десять найбільших інцидентів безпеки в Web3 за 2024 рік, щоб надати галузі аналіз і натхнення.
1. Один з японських обмінників зазнав серйозної атаки
Сума втрат: 304 мільйони доларів США Спосіб атаки: витік приватного ключа
31 травня 2024 року одна з відомих японських криптовалютних бірж зазнала серйозної атаки на безпеку. Зловмисники використали витік приватних ключів для безпосереднього перенесення біткойнів вартістю понад 300 мільйонів доларів і швидко розподілили вкрадені кошти по кількох різних адресах. Ця атака виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій безпеці. Незважаючи на те, що біржа вжила заходів, таких як моніторинг у ланцюзі та заморожування коштів, повернення коштів стало великим викликом через використання зловмисниками інструментів для змішування. Наприкінці року японська поліція встановила, що ця атака пов'язана з міжнародною хакерською організацією.
2. PlayDapp зазнає масового незаконного карбування токенів
Збиток: 290 мільйонів доларів США Спосіб атаки: витік приватного ключа
9 лютого 2024 року проект PlayDapp зазнав серйозного удару. Хакери незаконно карбували велику кількість токенів PLA шляхом крадіжки приватного ключа, початкова вартість яких становила 36,5 мільйона доларів. Через провал переговорів хакери додатково карбували ще більше токенів, загальна вартість яких досягла 253,9 мільйона доларів. Після часткового надходження цих токенів на біржу PlayDapp була змушена призупинити первісний контракт і перейти на новий токен-контракт. Ця подія підкреслила недоліки проектів на блокчейні в захисті приватних ключів та надзвичайному реагуванні.
3. Найбільша криптовалютна біржа Індії зазнала точного нападу
Сума збитків: 235 мільйонів доларів США Спосіб атаки: мережеві атаки та фішинг
18 липня 2024 року мультипідписний гаманець найбільшої криптовалютної біржі в Індії став об'єктом точної атаки хакерів. Атакуючі за допомогою соціальної інженерії змусили підписантів мультипідпису підписати угоду про оновлення контракту, а потім використали права, отримані внаслідок оновлення контракту, щоб перевести активи з гаманця. Цей випадок виявив потенційні ризики мультипідписних гаманців у конфігурації прав та прозорості операцій, що викликало глибокі роздуми в індустрії щодо внутрішньої ризикової оцінки та механізмів безпеки проектів.
4. Gala Games зазнає атаки великомасштабного випуску токенів
Сума збитків: 216 мільйонів доларів США Спосіб атаки: вразливість контролю доступу
20 травня 2024 року привілейовану адресу Gala Games було зламано хакерами. Зловмисники, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Після цього ці токени були обміняні на ETH частинами, що призвело до прямих збитків у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати деякі рахунки хакерів, і через юридичні канали частково повернула втрачені кошти.
5. Особистий гаманець спільного засновника відомого блокчейн-проекту був вкрадений
Сума збитків: 112 мільйонів доларів США Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці одного з співзасновників блокчейн-проекту були зламані хакерами, внаслідок чого було вкрадено криптовалюти на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню атаки через відсутність двофакторної автентифікації за допомогою апаратних пристроїв. Після інциденту одна велика біржа успішно заморозила частину вкрадених активів, але більша частина коштів вже була відмита через децентралізовані біржі та сервіси змішування.
6. Munchables зазнає внутрішньої проникнення атаки
Сума збитків: 62,5 мільйона доларів США Метод атаки: соціальна інженерія
26 березня 2024 року веб3 ігрова платформа Munchables на основі Blast зазнала рідкісної внутрішньої атаки. Зловмисник маскувався під розробника блокчейну, тривалий час залишаючись у системі, щоб отримати доступ до основного коду та чутливих ключів. Незважаючи на величезні втрати, під тиском спільноти та команди хакер зрештою повернув усі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальницького ланцюга, особливо для блокчейн-проєктів, що залежать від розробки третіх осіб.
7. Найбільша криптовалютна біржа Туреччини зазнала витоку приватних ключів
Сума збитків: 55 мільйонів доларів США Метод атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою інших бірж було успішно заморожено близько 5,3 мільйона доларів США викрадених коштів, але більшість активів досі не повернуто. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Багатопідписний гаманець Radiant Capital був зламаний
Сума збитків: 53 мільйони доларів США Спосіб атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital був зламаний хакерами. Завдяки використанню моделі верифікації 3/11 підписів, хакери, отримавши приватні ключі трьох підписантів, здійснили поза ланцюговий підпис, перевівши право власності на контракт гаманця на зловмисну адресу, що в кінцевому підсумку призвело до крадіжки 53 мільйонів доларів. Ця атака викликала індустріальне роздуми щодо дизайну мультипідписних гаманців і механізмів управління. Варто зазначити, що Radiant Capital вже зазнав збитків у 4,5 мільйона доларів через вразливість контракту раніше.
9. Hedgey Finance зазнав атаки на багатоланцюгові контракти
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Зловмисники використали вразливість в затвердженні контракту ClaimCampaigns, успішно вивівши токени на блокчейнах Ethereum та Arbitrum, загальні втрати склали 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо сувору перевірку логіки затвердження токенів.
10. Гарячий гаманець певної біржі був зламаний хакерами
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець одного з обмінників був зламаний хакерами, що торкнулося кількох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron. Незважаючи на те, що обмінник швидко активував механізми перенесення активів та замороження виведення, хакерам вдалося вивести активи на суму 44,7 мільйона доларів США. Ця атака знову виявила високий ризик управління гарячими гаманцями централізованих обмінників, що спонукало галузь шукати більш безпечні рішення для зберігання активів.
Підсумок
Часті інциденти безпеки у 2024 році знову нагадують нам про те, що здоровий розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від управління приватними ключами до вразливостей у контрактах, від внутрішнього управління до зовнішніх загроз, кожен інцидент б'є на сполох для галузі. У майбутньому індустрії потрібно продовжувати зміцнювати інвестиції в дослідження та розробки технологій, управлінські норми та управління ризиками, створюючи більш безпечну та надійну екосистему блокчейн шляхом інноваційної співпраці.