Обзор инцидентов безопасности Web3 в 2024 году: анализ десяти случаев атак
В 2024 году блокчейн-отрасль, наряду с технологическими инновациями и расширением экосистемы, также сталкивается с все более серьезными проблемами безопасности. Согласно данным одной из платформ мониторинга безопасности, к концу года общие убытки в области Web3 из-за хакерских атак, фишинговых мошенничеств и побега разработчиков составили 24,91 миллиарда долларов.
Эти события не только выявили технические недостатки, такие как управление закрытыми ключами и уязвимости смарт-контрактов, но и подчеркнули потенциальные риски социального инжиниринга и внутреннего управления. В этой статье мы рассмотрим десять основных событий безопасности Web3 в 2024 году с целью извлечь уроки и предоставить рекомендации для будущей безопасности в отрасли.
1. Событие DMM Bitcoin
Сумма убытков: 304 миллиона долларов США
Способ атаки: утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа DMM Bitcoin столкнулась с серьезным инцидентом безопасности. Злоумышленники использовали утекший приватный ключ для прямого перевода биткойнов на сумму более 300 миллионов долларов, быстро разбросав украденные средства по более чем 10 различным адресам. Эта атака выявила серьезные уязвимости биржи в управлении приватными ключами и многоуровневой системе безопасности.
Хотя биржи пытались отследить хакеров с помощью мониторинга в блокчейне и замораживания средств, работа по возврату средств столкнулась с огромными трудностями из-за того, что украденные биткойны быстро распылялись и использовались с инструментами для смешивания. К концу года местные правоохранительные органы установили, что эту атаку осуществила международная хакерская группа.
2. PlayDapp столкнулся с чрезмерной эмиссией токенов
Сумма убытков: 290 миллионов долларов США
Способ атаки: утечка приватного ключа
9 февраля 2024 года проект PlayDapp понес тяжелые потери. Хакеры незаконно выпустили 2 миллиарда токенов PLA, получив доступ к приватному ключу, первоначальная стоимость составила 36,5 миллиона долларов США. Поскольку переговоры проекта с хакерами завершились неудачно, злоумышленники в короткие сроки выпустили еще 15,9 миллиарда токенов PLA, общая стоимость которых достигла 253,9 миллиона долларов США. После того как часть токенов попала на биржу, PlayDapp был вынужден приостановить контракт PLA и перейти на новый контракт токенов. Этот инцидент подчеркивает недостатки защиты приватных ключей и реагирования на чрезвычайные ситуации в блокчейн проектах.
3. Индийская биржа подверглась целенаправленной атаке
Сумма убытков: 235 миллионов долларов США
Способы атаки: сетевые атаки и фишинг
18 июля 2024 года крупная криптовалютная биржа в Индии стала жертвой целенаправленной атаки на свой мультиподписной кошелек. Злоумышленники использовали методы социальной инженерии, чтобы заставить подписантов мультиподписного кошелька одобрить транзакцию по обновлению контракта, после чего использовали права, предоставленные обновленным контрактом, для переноса всех активов из кошелька. Этот случай выявил потенциальные риски мультиподписных кошельков в отношении конфигурации прав и прозрачности операций, а также вызвал глубокую рефлексию в отрасли по поводу внутренних механизмов управления рисками проектов.
4. Уязвимость контракта токена Gala Games
Сумма убытка: 216 миллионов долларов США
Способы атаки: уязвимости контроля доступа
20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники вызвали функцию mint в контракте токенов и сразу же выпустили 5 миллиардов токенов GALA. Затем эти незаконно выпущенные токены были обменены на ETH партиями, что напрямую привело к убыткам в размере 216 миллионов долларов. Команда Gala Games после инцидента срочно активировала функцию черного списка, чтобы заблокировать некоторые хакерские аккаунты, и через судебные процедуры вернула часть убытков.
5. Личный кошелек известного основателя криптовалюты был украден
Сумма убытков: 112 миллионов долларов США
Способ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька одного из соучредителей известного криптовалютного проекта были взломаны, в результате чего было украдено криптовалюты на сумму 112 миллионов долларов. Эти кошельки, вероятно, стали целью атаки из-за недостатка двойной защиты с использованием аппаратных средств. После инцидента одна крупная биржа успешно заморозила украденные активы на сумму 4,2 миллиона долларов и помогла в отслеживании оставшихся средств, но большая часть средств была уже отмыта через децентрализованные биржи и услуги по смешиванию.
6. Munchables столкнулись с внутренней утечкой
Сумма убытков: 62,5 миллиона долларов США
Способы атаки: атака с использованием социальной инженерии
26 марта 2024 года игровая платформа Web3 Munchables на основе Blast подверглась редкой внутренней проникающей атаке. Злоумышленник маскировался под разработчика блокчейна и, длительное время оставаясь в системе, получил доступ к исходному коду и конфиденциальным ключам. Несмотря на огромные убытки, под давлением сообщества и команды хакер в конечном итоге вернул все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для проектов блокчейна, зависящих от сторонней разработки.
7. Утечка приватного ключа на одной из турецких бирж
Сумма убытков: 55 миллионов долларов США
Способ атаки: утечка приватного ключа
22 июня 2024 года одна из крупных криптовалютных бирж в Турции подверглась атаке с утечкой приватных ключей, в результате чего было потеряно более 55 миллионов долларов криптоактивов. С помощью одной из международных бирж около 5,3 миллиона долларов украденных средств были успешно заморожены, но остальные активы до сих пор не возвращены. Этот инцидент усилил беспокойство на рынке о способности централизованных бирж управлять приватными ключами.
8. Многофункциональный кошелек Radiant Capital был взломан
Сумма убытков: 53 миллиона долларов США
Способ атаки: утечка закрытого ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования более низкого порога в 3/11 для проверки подписей, хакеры, получив доступ к приватным ключам трех подписантов, инициировали оффлайн-подписания, что привело к передаче прав собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала в индустрии размышления о дизайне и механизмах управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital ранее понесла убытки в размере 4,5 миллиона долларов из-за уязвимости в контракте, в результате чего было украдено более 1900 ETH. Это еще раз подчеркивает, что проекты Web3 должны повысить уровень безопасности.
9. Уязвимость контракта Hedgey Finance была использована
Сумма убытков: 4470 миллионов долларов США
Способ атаки: уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в контракте ClaimCampaigns, успешно извлекая токены на блокчейнах Ethereum и Arbitrum, общие потери составили 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Вторжение в горячий кошелек на международной бирже
Сумма убытков: 44,7 миллиона долларов США
Способ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек международной известной биржи был взломан хакерами, затронувшими несколько публичных цепей, включая Ethereum, BNB Chain и Tron. Несмотря на то, что биржа быстро активировала механизмы перевода активов и заморозки вывода, хакеры все же смогли вывести активы на сумму 44,7 миллиона долларов. Эта атака вновь подчеркнула высокие риски управления горячими кошельками централизованных бирж, побуждая отрасль исследовать более безопасные решения для хранения активов.
Заключение
Частые инциденты безопасности в 2024 году вновь напоминают нам о том, что здоровое развитие блокчейн-отрасли невозможно без обеспечения безопасности. От управления приватными ключами до уязвимостей в контрактах, от внутреннего управления до усовершенствования внешних методов атак — каждое происшествие звучит тревожным сигналом для отрасли. В условиях все более сложных угроз безопасности отрасли необходимо продолжать усиливать инвестиции в исследования и разработки технологий, нормативное управление и управление рисками. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы совместно создадим более безопасную и надежную экосистему блокчейна, обеспечивая более мощную защиту для пользователей и инвесторов.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
15 Лайков
Награда
15
6
Репост
Поделиться
комментарий
0/400
ETHReserveBank
· 9ч назад
25 миллиардов долларов просто исчезли?
Посмотреть ОригиналОтветить0
ChainComedian
· 9ч назад
Сложно, очень сложно! Двадцать пять миллиардов просто так улетели.
Посмотреть ОригиналОтветить0
SatoshiChallenger
· 9ч назад
Хакер год за годом, неудачники не знают старости, в конце концов все теряют.
Обзор 10 крупнейших инцидентов безопасности в Web3: Хакерские атаки в 2024 году причинили ущерб в 2,491 миллиарда долларов
Обзор инцидентов безопасности Web3 в 2024 году: анализ десяти случаев атак
В 2024 году блокчейн-отрасль, наряду с технологическими инновациями и расширением экосистемы, также сталкивается с все более серьезными проблемами безопасности. Согласно данным одной из платформ мониторинга безопасности, к концу года общие убытки в области Web3 из-за хакерских атак, фишинговых мошенничеств и побега разработчиков составили 24,91 миллиарда долларов.
Эти события не только выявили технические недостатки, такие как управление закрытыми ключами и уязвимости смарт-контрактов, но и подчеркнули потенциальные риски социального инжиниринга и внутреннего управления. В этой статье мы рассмотрим десять основных событий безопасности Web3 в 2024 году с целью извлечь уроки и предоставить рекомендации для будущей безопасности в отрасли.
1. Событие DMM Bitcoin
Сумма убытков: 304 миллиона долларов США Способ атаки: утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа DMM Bitcoin столкнулась с серьезным инцидентом безопасности. Злоумышленники использовали утекший приватный ключ для прямого перевода биткойнов на сумму более 300 миллионов долларов, быстро разбросав украденные средства по более чем 10 различным адресам. Эта атака выявила серьезные уязвимости биржи в управлении приватными ключами и многоуровневой системе безопасности.
Хотя биржи пытались отследить хакеров с помощью мониторинга в блокчейне и замораживания средств, работа по возврату средств столкнулась с огромными трудностями из-за того, что украденные биткойны быстро распылялись и использовались с инструментами для смешивания. К концу года местные правоохранительные органы установили, что эту атаку осуществила международная хакерская группа.
2. PlayDapp столкнулся с чрезмерной эмиссией токенов
Сумма убытков: 290 миллионов долларов США Способ атаки: утечка приватного ключа
9 февраля 2024 года проект PlayDapp понес тяжелые потери. Хакеры незаконно выпустили 2 миллиарда токенов PLA, получив доступ к приватному ключу, первоначальная стоимость составила 36,5 миллиона долларов США. Поскольку переговоры проекта с хакерами завершились неудачно, злоумышленники в короткие сроки выпустили еще 15,9 миллиарда токенов PLA, общая стоимость которых достигла 253,9 миллиона долларов США. После того как часть токенов попала на биржу, PlayDapp был вынужден приостановить контракт PLA и перейти на новый контракт токенов. Этот инцидент подчеркивает недостатки защиты приватных ключей и реагирования на чрезвычайные ситуации в блокчейн проектах.
3. Индийская биржа подверглась целенаправленной атаке
Сумма убытков: 235 миллионов долларов США Способы атаки: сетевые атаки и фишинг
18 июля 2024 года крупная криптовалютная биржа в Индии стала жертвой целенаправленной атаки на свой мультиподписной кошелек. Злоумышленники использовали методы социальной инженерии, чтобы заставить подписантов мультиподписного кошелька одобрить транзакцию по обновлению контракта, после чего использовали права, предоставленные обновленным контрактом, для переноса всех активов из кошелька. Этот случай выявил потенциальные риски мультиподписных кошельков в отношении конфигурации прав и прозрачности операций, а также вызвал глубокую рефлексию в отрасли по поводу внутренних механизмов управления рисками проектов.
4. Уязвимость контракта токена Gala Games
Сумма убытка: 216 миллионов долларов США Способы атаки: уязвимости контроля доступа
20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники вызвали функцию mint в контракте токенов и сразу же выпустили 5 миллиардов токенов GALA. Затем эти незаконно выпущенные токены были обменены на ETH партиями, что напрямую привело к убыткам в размере 216 миллионов долларов. Команда Gala Games после инцидента срочно активировала функцию черного списка, чтобы заблокировать некоторые хакерские аккаунты, и через судебные процедуры вернула часть убытков.
5. Личный кошелек известного основателя криптовалюты был украден
Сумма убытков: 112 миллионов долларов США Способ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька одного из соучредителей известного криптовалютного проекта были взломаны, в результате чего было украдено криптовалюты на сумму 112 миллионов долларов. Эти кошельки, вероятно, стали целью атаки из-за недостатка двойной защиты с использованием аппаратных средств. После инцидента одна крупная биржа успешно заморозила украденные активы на сумму 4,2 миллиона долларов и помогла в отслеживании оставшихся средств, но большая часть средств была уже отмыта через децентрализованные биржи и услуги по смешиванию.
6. Munchables столкнулись с внутренней утечкой
Сумма убытков: 62,5 миллиона долларов США Способы атаки: атака с использованием социальной инженерии
26 марта 2024 года игровая платформа Web3 Munchables на основе Blast подверглась редкой внутренней проникающей атаке. Злоумышленник маскировался под разработчика блокчейна и, длительное время оставаясь в системе, получил доступ к исходному коду и конфиденциальным ключам. Несмотря на огромные убытки, под давлением сообщества и команды хакер в конечном итоге вернул все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для проектов блокчейна, зависящих от сторонней разработки.
7. Утечка приватного ключа на одной из турецких бирж
Сумма убытков: 55 миллионов долларов США Способ атаки: утечка приватного ключа
22 июня 2024 года одна из крупных криптовалютных бирж в Турции подверглась атаке с утечкой приватных ключей, в результате чего было потеряно более 55 миллионов долларов криптоактивов. С помощью одной из международных бирж около 5,3 миллиона долларов украденных средств были успешно заморожены, но остальные активы до сих пор не возвращены. Этот инцидент усилил беспокойство на рынке о способности централизованных бирж управлять приватными ключами.
8. Многофункциональный кошелек Radiant Capital был взломан
Сумма убытков: 53 миллиона долларов США Способ атаки: утечка закрытого ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования более низкого порога в 3/11 для проверки подписей, хакеры, получив доступ к приватным ключам трех подписантов, инициировали оффлайн-подписания, что привело к передаче прав собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала в индустрии размышления о дизайне и механизмах управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital ранее понесла убытки в размере 4,5 миллиона долларов из-за уязвимости в контракте, в результате чего было украдено более 1900 ETH. Это еще раз подчеркивает, что проекты Web3 должны повысить уровень безопасности.
9. Уязвимость контракта Hedgey Finance была использована
Сумма убытков: 4470 миллионов долларов США Способ атаки: уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в контракте ClaimCampaigns, успешно извлекая токены на блокчейнах Ethereum и Arbitrum, общие потери составили 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Вторжение в горячий кошелек на международной бирже
Сумма убытков: 44,7 миллиона долларов США Способ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек международной известной биржи был взломан хакерами, затронувшими несколько публичных цепей, включая Ethereum, BNB Chain и Tron. Несмотря на то, что биржа быстро активировала механизмы перевода активов и заморозки вывода, хакеры все же смогли вывести активы на сумму 44,7 миллиона долларов. Эта атака вновь подчеркнула высокие риски управления горячими кошельками централизованных бирж, побуждая отрасль исследовать более безопасные решения для хранения активов.
Заключение
Частые инциденты безопасности в 2024 году вновь напоминают нам о том, что здоровое развитие блокчейн-отрасли невозможно без обеспечения безопасности. От управления приватными ключами до уязвимостей в контрактах, от внутреннего управления до усовершенствования внешних методов атак — каждое происшествие звучит тревожным сигналом для отрасли. В условиях все более сложных угроз безопасности отрасли необходимо продолжать усиливать инвестиции в исследования и разработки технологий, нормативное управление и управление рисками. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы совместно создадим более безопасную и надежную экосистему блокчейна, обеспечивая более мощную защиту для пользователей и инвесторов.