Огляд десяти найбільших інцидентів безпеки у сфері Web3 у 2024 році
У 2024 році блокчейн-індустрія, поряд із технологічними інноваціями та розширенням екосистеми, також стикається з дедалі серйознішими викликами безпеки. За достовірними даними, станом на сьогодні, загальні втрати в сфері Web3 у 2024 році через хакерські атаки, фішинг та втечу проектів складають 24,91 мільярда доларів.
Ці події не тільки виявили технічні недоліки, такі як управління приватними ключами та вразливості смарт-контрактів, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті ми розглянемо десять найважливіших подій безпеки в Web3 за 2024 рік, щоб допомогти галузі винести уроки та краще підготуватися до майбутніх загроз безпеці.
1. Японська біржа зазнала серйозної атаки
Сума збитків: 304 мільйони доларів СШАСпосіб атаки: витік приватного ключа
31 травня 2024 року одна з відомих японських криптовалютних бірж зазнала історичної атаки. Зловмисники скористалися витоком приватних ключів, щоб безпосередньо перевести біткоїни на суму понад 300 мільйонів доларів, а потім швидко розподілили вкрадені кошти на кілька різних адрес. Ця атака виявила серйозні недоліки біржі в управлінні приватними ключами та багатоетапній системі безпеки. Незважаючи на те, що біржа намагалася відстежити хакера через моніторинг в мережі та заморожування коштів, вкрадені біткоїни були розподілені та очищені за допомогою інструментів для змішування, що створило величезні труднощі для відстеження.
24 грудня японська поліція встановила, що інцидент з крадіжкою на цій біржі є справою північнокорейської хакерської групи.
2. PlayDapp зазнав важких втрат
Сума збитків: 2,90 мільярдів доларів СШАСпосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозного удару, оскільки хакери шляхом крадіжки приватних ключів виготовили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Оскільки переговори між проектною командою та хакерами не увінчалися успіхом, хакери протягом короткого часу виготовили ще 15,9 мільярда токенів PLA на загальну суму 253,9 мільйона доларів США. Частина цих токенів потрапила на біржі, після чого PlayDapp був змушений призупинити контракт PLA та перейти на контракт токена PDA. Ця подія підкреслює недоліки проектів у сфері блокчейну щодо захисту приватних ключів та реагування на надзвичайні ситуації.
3. Мультипідписний гаманець одного з бірж в Індії зазнав атаки
Сума збитків: 235 мільйонів доларів СШАМетоди атаки: мережеві атаки та фішинг
18 липня 2024 року найбільший криптовалютний обмін в Індії зазнав цілеспрямованої атаки хакерів на багатопідписний гаманець Safe Wallet. Зловмисники через соціальну інженерію змусили підписантів багатопідпису підписати угоду про оновлення контракту, після чого скористалися правами оновленого контракту, щоб вивести всі активи з гаманця. Цей випадок підкреслює потенційні ризики багатопідписних гаманців у управлінні налаштуваннями прав та прозорістю операцій, а також викликав глибоке роздуми в галузі щодо внутрішнього контролю проектів та механізмів безпеки.
4. Gala Games зазнав масованої атаки на карбування монет
Сума збитків: 216 мільйонів доларів СШАСпосіб атаки: уразливість контролю доступу
20 травня 2024 року один з привілейованих адрес Gala Games був зламаний хакерами, які, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Після цього хакер частинами обміняв нововипущені токени на ETH, що безпосередньо спричинило збитки у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати деякі рахунки хакерів, і через судові канали повернула збитки.
5. Особистий гаманець співзасновника Ripple був вкрадений
Сума збитків: 112 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Криса Ларсена були зламані хакерами, внаслідок чого було вкрадено 112 мільйонів доларів США в XRP. Ці гаманці, ймовірно, стали мішенню для атак через відсутність подвійного захисту апаратного забезпечення. Після інциденту одна з бірж успішно заморозила XRP на суму 4,2 мільйона доларів США та допомогла Ларсену відстежити вкрадені активи, але більшість коштів вже були очищені через децентралізовані біржі та сервіси змішування.
6. Munchables зазнали внутрішнього проникнення
Сума збитків: 6250 мільйонів доларів СШАМетод атаки: соціальна інженерія
26 березня 2024 року веб3 ігрова платформа Munchables, заснована на Blast, зазнала рідкісної внутрішньої атаки з проникненням. Зловмисник, що маскувався під розробника блокчейну, довгий час залишався в системі, отримавши доступ до основного коду та чутливих ключів. Незважаючи на те, що атака призвела до величезних втрат, зважаючи на тиск з боку спільноти та команди, зловмисник врешті-решт повернув усі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальницького ланцюга, особливо для блокчейн-проєктів, що залежать від сторонніх розробників.
7. Витік приватного ключа з біржі в Туреччині
Сума збитків: 55 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачені активи на суму понад 55 мільйонів доларів. За допомогою інших платформ вдалося заморозити 5,3 мільйона доларів викрадених коштів, але інші активи досі не були повернуті. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Гаманець Radiant Capital з багатопідписом був зламаний
Сума втрат: 53 млн доларів СШАСпосіб атаки: витік приватного ключа
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Оскільки він використовував низький поріг верифікації підпису 3/11, хакери, отримавши приватні ключі трьох підписувачів, ініціювали позасистемне підписання, що призвело до передачі прав власності на контракт гаманця на зловмисну адресу, в результаті чого було вкрадено 53 мільйони доларів. Цей напад викликав у галузі роздуми про дизайн та механізми управління багатопідписними гаманцями.
Варто зазначити, що Radiant Capital перед цією атакою вже втратила 4,5 мільйона доларів через вразливість у контракті, понад 1900 ETH було вкрадено. Це ще раз нагадує командам Web3 про необхідність приділяти більше уваги питанням безпеки.
9. Вразливість контракту Hedgey Finance була використана
Сума збитків: 44,7 мільйона доларів СШАСпосіб атаки: Вразливість контракту
19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Хакери скористались вразливістю затвердження в контракті ClaimCampaigns, успішно витягнувши токени з мереж Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо суворої перевірки логіки затвердження токенів.
10. Гарячий гаманець деякої біржі був зламаний
Сума збитків: 44,7 мільйона доларів СШАСпосіб атаки: витік приватного ключа
19 вересня 2024 року відбувся хакерський атака на гарячий гаманець відомої біржі, у якій були задіяні такі блокчейни, як Ethereum, BNB Chain, Tron та інші. Незважаючи на те, що біржа швидко активувала механізми перенесення активів та замороження виведення, хакер зміг успішно вивести активи на суму 44,7 мільйона доларів. Ця атака відображає високий рівень ризику в управлінні гарячими гаманцями централізованих бірж та подальше спонукання галузі до пошуку більш безпечних рішень для зберігання активів.
Часті випадки атак на безпеку у 2024 році ще раз нагадують нам, що розвиток блокчейн-індустрії неможливий без надійної охорони. Від витоків приватних ключів до вразливостей контрактів, від недогляду в управлінні до вдосконалення зовнішніх атак, кожен випадок приніс глибокі уроки. Щоб протистояти дедалі складнішим загрозам атак, усі учасники галузі повинні продовжувати посилювати інвестиції в наукові дослідження, управлінські норми та ризик-менеджмент. У майбутньому ми сподіваємося, що через співпрацю в галузі та технологічні інновації ми спільно створимо більш безпечну екосистему блокчейн, що надасть користувачам та інвесторам більш надійний захист.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
12 лайків
Нагородити
12
5
Поділіться
Прокоментувати
0/400
ImpermanentLossEnjoyer
· 07-24 23:00
Знову порізали, лежимо рівно до наступного року
Переглянути оригіналвідповісти на0
SundayDegen
· 07-24 21:15
Ще думав, що роздрібний інвестор обманює невдаху, а це виявилося, що команда обдурює людей, як лохів.
Переглянути оригіналвідповісти на0
ZKProofster
· 07-22 00:00
технічно кажучи... ті ж самі старі недоліки, ті ж самі старі втрати. смх через ці помилки новачків сек
Огляд десяти найбільших інцидентів безпеки Web3 у 2024 році: втрати досягли 24,91 мільярда доларів
Огляд десяти найбільших інцидентів безпеки у сфері Web3 у 2024 році
У 2024 році блокчейн-індустрія, поряд із технологічними інноваціями та розширенням екосистеми, також стикається з дедалі серйознішими викликами безпеки. За достовірними даними, станом на сьогодні, загальні втрати в сфері Web3 у 2024 році через хакерські атаки, фішинг та втечу проектів складають 24,91 мільярда доларів.
Ці події не тільки виявили технічні недоліки, такі як управління приватними ключами та вразливості смарт-контрактів, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті ми розглянемо десять найважливіших подій безпеки в Web3 за 2024 рік, щоб допомогти галузі винести уроки та краще підготуватися до майбутніх загроз безпеці.
1. Японська біржа зазнала серйозної атаки
Сума збитків: 304 мільйони доларів США Спосіб атаки: витік приватного ключа
31 травня 2024 року одна з відомих японських криптовалютних бірж зазнала історичної атаки. Зловмисники скористалися витоком приватних ключів, щоб безпосередньо перевести біткоїни на суму понад 300 мільйонів доларів, а потім швидко розподілили вкрадені кошти на кілька різних адрес. Ця атака виявила серйозні недоліки біржі в управлінні приватними ключами та багатоетапній системі безпеки. Незважаючи на те, що біржа намагалася відстежити хакера через моніторинг в мережі та заморожування коштів, вкрадені біткоїни були розподілені та очищені за допомогою інструментів для змішування, що створило величезні труднощі для відстеження.
24 грудня японська поліція встановила, що інцидент з крадіжкою на цій біржі є справою північнокорейської хакерської групи.
2. PlayDapp зазнав важких втрат
Сума збитків: 2,90 мільярдів доларів США Спосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозного удару, оскільки хакери шляхом крадіжки приватних ключів виготовили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Оскільки переговори між проектною командою та хакерами не увінчалися успіхом, хакери протягом короткого часу виготовили ще 15,9 мільярда токенів PLA на загальну суму 253,9 мільйона доларів США. Частина цих токенів потрапила на біржі, після чого PlayDapp був змушений призупинити контракт PLA та перейти на контракт токена PDA. Ця подія підкреслює недоліки проектів у сфері блокчейну щодо захисту приватних ключів та реагування на надзвичайні ситуації.
3. Мультипідписний гаманець одного з бірж в Індії зазнав атаки
Сума збитків: 235 мільйонів доларів США Методи атаки: мережеві атаки та фішинг
18 липня 2024 року найбільший криптовалютний обмін в Індії зазнав цілеспрямованої атаки хакерів на багатопідписний гаманець Safe Wallet. Зловмисники через соціальну інженерію змусили підписантів багатопідпису підписати угоду про оновлення контракту, після чого скористалися правами оновленого контракту, щоб вивести всі активи з гаманця. Цей випадок підкреслює потенційні ризики багатопідписних гаманців у управлінні налаштуваннями прав та прозорістю операцій, а також викликав глибоке роздуми в галузі щодо внутрішнього контролю проектів та механізмів безпеки.
4. Gala Games зазнав масованої атаки на карбування монет
Сума збитків: 216 мільйонів доларів США Спосіб атаки: уразливість контролю доступу
20 травня 2024 року один з привілейованих адрес Gala Games був зламаний хакерами, які, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Після цього хакер частинами обміняв нововипущені токени на ETH, що безпосередньо спричинило збитки у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати деякі рахунки хакерів, і через судові канали повернула збитки.
5. Особистий гаманець співзасновника Ripple був вкрадений
Сума збитків: 112 мільйонів доларів США Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Криса Ларсена були зламані хакерами, внаслідок чого було вкрадено 112 мільйонів доларів США в XRP. Ці гаманці, ймовірно, стали мішенню для атак через відсутність подвійного захисту апаратного забезпечення. Після інциденту одна з бірж успішно заморозила XRP на суму 4,2 мільйона доларів США та допомогла Ларсену відстежити вкрадені активи, але більшість коштів вже були очищені через децентралізовані біржі та сервіси змішування.
6. Munchables зазнали внутрішнього проникнення
Сума збитків: 6250 мільйонів доларів США Метод атаки: соціальна інженерія
26 березня 2024 року веб3 ігрова платформа Munchables, заснована на Blast, зазнала рідкісної внутрішньої атаки з проникненням. Зловмисник, що маскувався під розробника блокчейну, довгий час залишався в системі, отримавши доступ до основного коду та чутливих ключів. Незважаючи на те, що атака призвела до величезних втрат, зважаючи на тиск з боку спільноти та команди, зловмисник врешті-решт повернув усі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальницького ланцюга, особливо для блокчейн-проєктів, що залежать від сторонніх розробників.
7. Витік приватного ключа з біржі в Туреччині
Сума збитків: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачені активи на суму понад 55 мільйонів доларів. За допомогою інших платформ вдалося заморозити 5,3 мільйона доларів викрадених коштів, але інші активи досі не були повернуті. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Гаманець Radiant Capital з багатопідписом був зламаний
Сума втрат: 53 млн доларів США Спосіб атаки: витік приватного ключа
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Оскільки він використовував низький поріг верифікації підпису 3/11, хакери, отримавши приватні ключі трьох підписувачів, ініціювали позасистемне підписання, що призвело до передачі прав власності на контракт гаманця на зловмисну адресу, в результаті чого було вкрадено 53 мільйони доларів. Цей напад викликав у галузі роздуми про дизайн та механізми управління багатопідписними гаманцями.
Варто зазначити, що Radiant Capital перед цією атакою вже втратила 4,5 мільйона доларів через вразливість у контракті, понад 1900 ETH було вкрадено. Це ще раз нагадує командам Web3 про необхідність приділяти більше уваги питанням безпеки.
9. Вразливість контракту Hedgey Finance була використана
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: Вразливість контракту
19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Хакери скористались вразливістю затвердження в контракті ClaimCampaigns, успішно витягнувши токени з мереж Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо суворої перевірки логіки затвердження токенів.
10. Гарячий гаманець деякої біржі був зламаний
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: витік приватного ключа
19 вересня 2024 року відбувся хакерський атака на гарячий гаманець відомої біржі, у якій були задіяні такі блокчейни, як Ethereum, BNB Chain, Tron та інші. Незважаючи на те, що біржа швидко активувала механізми перенесення активів та замороження виведення, хакер зміг успішно вивести активи на суму 44,7 мільйона доларів. Ця атака відображає високий рівень ризику в управлінні гарячими гаманцями централізованих бірж та подальше спонукання галузі до пошуку більш безпечних рішень для зберігання активів.
Часті випадки атак на безпеку у 2024 році ще раз нагадують нам, що розвиток блокчейн-індустрії неможливий без надійної охорони. Від витоків приватних ключів до вразливостей контрактів, від недогляду в управлінні до вдосконалення зовнішніх атак, кожен випадок приніс глибокі уроки. Щоб протистояти дедалі складнішим загрозам атак, усі учасники галузі повинні продовжувати посилювати інвестиції в наукові дослідження, управлінські норми та ризик-менеджмент. У майбутньому ми сподіваємося, що через співпрацю в галузі та технологічні інновації ми спільно створимо більш безпечну екосистему блокчейн, що надасть користувачам та інвесторам більш надійний захист.