Огляд десяти безпекових інцидентів у сфері Web3 за 2024 рік
У 2024 році блокчейн-індустрія, перебуваючи в стані інновацій і розвитку, також стикається зі зростаючими серйозними викликами безпеки. За даними статистики, до кінця року загальні збитки в сфері Web3 через різноманітні інциденти безпеки досягли 24,91 мільярда доларів США. Ці події не лише виявили вразливості на технічному рівні, але й підкреслили недоліки в управлінні та ризик-менеджменті. У цій статті ми розглянемо десять найвпливовіших інцидентів безпеки в сфері Web3 у 2024 році, з метою надати галузі приклади та попередження.
1. Японська біржа зазнала серйозної атаки
Сума збитків: 304 мільйони доларів СШАСпосіб атаки: витік приватного ключа
31 травня одна з відомих японських криптовалютних бірж зазнала історичної атаки. Зловмисники використали витік приватного ключа для прямого перенесення великої кількості біткойнів і швидко розподілили вкрадені кошти на кілька адрес. Цей інцидент виявив серйозні недоліки біржі в управлінні приватними ключами та багаторівневій системі безпеки. Попри те, що біржа вжила заходів, таких як моніторинг в ланцюгу та заморожування коштів, через використання зловмисниками інструментів змішування, робота з відстеженням зіткнулася з величезними викликами.
В кінці року японська поліція підтвердила, що цю подію здійснила певна міжнародна хакерська організація.
2. PlayDapp зазнала важких втрат
Сума збитків: 290 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
9 лютого проект PlayDapp зазнав серйозної безпекової події. Хакери, викравши приватний ключ, виготовили велику кількість токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Оскільки переговори між проектом і хакерами зазнали невдачі, хакери подальше виготовили більше токенів, загальна вартість яких досягла 253,9 мільйона доларів США. Після часткового надходження цих токенів на біржі PlayDapp був змушений зупинити старий контракт і перейти на новий токен-контракт. Ця подія підкреслює недоліки блокчейн-проектів у захисті приватних ключів і реагуванні на надзвичайні ситуації.
3. Найбільша криптобіржа Індії зазнала атаки
Сума збитків: 235 мільйонів доларів СШАМетоди атаки: мережеві атаки та фішинг
18 липня найбільша криптовалютна біржа Індії зазнала точної атаки на свій мультипідписний гаманець. Зловмисники за допомогою соціальної інженерії спонукали підписанта мультипідпису підписати угоду про оновлення контракту, а потім використали права, отримані внаслідок оновлення контракту, для переведення активів з гаманця. Цей випадок виявив потенційні ризики мультипідписних гаманців у конфігурації прав та прозорості операцій, що викликало глибокі роздуми в індустрії щодо внутрішніх механізмів управління ризиками проектів.
4. Gala Games зазнала атаки через уразливість у контракті
Сума збитків: 216 мільйонів доларів СШАСпосіб атаки: вразливість контролю доступу
20 травня привілейовану адресу Gala Games зламали хакери. Нападники, викликавши функцію mint у контракті токена, одноразово випустили 5 мільярдів токенів GALA. Після цього ці токени були поетапно обміняні на ETH, що безпосередньо призвело до збитків у 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку для блокування деяких рахунків хакерів і через судові заходи повернула частину втрат.
5. Особистий гаманець засновника відомої криптовалюти був вкрадений
Сума збитків: 112 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
31 січня хакери зламали чотири особисті гаманці одного з співзасновників відомого криптовалютного проекту, що призвело до крадіжки криптовалюти на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту апаратними пристроями. Після інциденту одна велика біржа змогла заморозити частину вкрадених активів, але більшість коштів вже були очищені через децентралізовані біржі та сервіси змішування.
6. Munchables зазнає внутрішньої інфільтрації
Сума збитків: 62,5 мільйона доларів СШАСпосіб атаки: соціально інженерна атака
26 березня платформа Web3 на базі Blast Munchables зазнала рідкісної внутрішньої атаки. Зловмисник маскувався під розробника блокчейну та протягом тривалого часу отримав доступ до основного коду та чутливих ключів. Незважаючи на величезні втрати, під тиском спільноти та команди хакер зрештою повернув усі вкрадені кошти. Ця подія підкреслила важливість безпеки в ланцюгах постачання, особливо для блокчейн-проєктів, які залежать від сторонніх розробників.
7. Одна з турецьких бірж зазнала витоку приватних ключів
Сума збитків: 55 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
22 червня турецька основна криптовалютна біржа зазнала атаки з витоком приватних ключів, внаслідок якої було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою інших бірж вдалося заморозити 5,3 мільйона доларів США із вкрадених коштів, але більшість активів досі не повернені. Цей інцидент поглибив занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Мультипідписний гаманець Radiant Capital був зламаний
Сума збитків: 53 мільйони доларів СШАСпосіб атаки: витік приватного ключа
17 жовтня мультипідписний гаманець Radiant Capital був зламаний хакерами. Через використання моделі підтвердження підписів з низьким порогом 3/11, хакери, отримавши приватні ключі трьох підписантів, здійснили офлайн-підписання, що призвело до передачі прав власності на контракт гаманця до злочинної адреси, в результаті чого було вкрадено 53 мільйони доларів. Ця атака викликала в індустрії роздуми про дизайн і механізми управління мультипідписними гаманцями.
Варто звернути увагу, що Radiant Capital перед цією атакою вже зазнав збитків у 4,5 мільйона доларів через вразливість у контракті, було вкрадено понад 1900 ETH. Це вказує на те, що проєкти Web3 повинні підвищити увагу до безпеки.
9. Hedgey Finance зазнала багатоканальної атаки
Сума збитків: 44,7 мільйона доларів СШАСпосіб атаки: вразливість контракту
19 квітня Hedgey Finance зазнала атаки на кілька смарт-контрактів. Зловмисники скористалися уразливістю затвердження в їхньому контракті ClaimCampaigns і успішно витягли токени з Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо суворої перевірки логіки затвердження токенів.
10. Гарячий гаманець певної криптовалютної біржі був зламаний
Сума збитків: 44,7 мільйона доларів СШАСпосіб атаки: витік приватного ключа
19 вересня відбулася атака на гарячий гаманець відомої біржі, в результаті чого постраждали кілька публічних блокчейнів, таких як Ethereum, BNB Chain та Tron. Незважаючи на те, що біржа швидко активувала механізм переведення активів та заморожування виведення, хакери змогли успішно вивести активи на суму 44,7 мільйона доларів США. Ця атака відображає високий рівень ризику управління гарячими гаманцями централізованих бірж і сприяє подальшому дослідженню галуззю більш безпечних рішень для зберігання активів.
Висновок
Часті інциденти безпеки у 2024 році знову нагадують нам, що розвиток індустрії блокчейн неможливий без забезпечення безпеки. Від управління приватними ключами до вразливостей контрактів, від внутрішнього ризик-менеджменту до вдосконалення зовнішніх методів атаки — кожен інцидент приніс глибокі уроки. У світлі все більш складних загроз безпеці всім сторонам індустрії необхідно продовжувати інвестувати в технології, управління та ризик-менеджмент. У майбутньому ми сподіваємось на співпрацю в індустрії та інновації, щоб спільно створити більш безпечну та надійну екосистему блокчейн.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
23 лайків
Нагородити
23
6
Репост
Поділіться
Прокоментувати
0/400
FloorPriceNightmare
· 2год тому
Щоденна втрата 25% є нормальною практикою.
Переглянути оригіналвідповісти на0
RumbleValidator
· 10год тому
Дані ніколи не брешуть. Втрата в 24,91 мільярда — це ціна управління закритими ключами.
Переглянути оригіналвідповісти на0
AllTalkLongTrader
· 08-13 04:36
обдурювати людей, як лохів просто обдурювати людей, як лохів
Переглянути оригіналвідповісти на0
AirdropHunterXiao
· 08-13 04:30
Знову дають гроші хакерам, справжнісінький герой, що відрізає собі руку.
Переглянути оригіналвідповісти на0
RugResistant
· 08-13 04:12
Все ще не знаю, як реагувати на стільки аварій, всі гроші забрали Хакери.
Переглянути оригіналвідповісти на0
AirdropHunterZhang
· 08-13 04:10
невдахи痛, собаки Шиба навжди будуть страждати, rekt і все.
Топ-10 безпекових інцидентів Web3 2024 року призвели до збитків у розмірі майже 2,5 мільярда доларів.
Огляд десяти безпекових інцидентів у сфері Web3 за 2024 рік
У 2024 році блокчейн-індустрія, перебуваючи в стані інновацій і розвитку, також стикається зі зростаючими серйозними викликами безпеки. За даними статистики, до кінця року загальні збитки в сфері Web3 через різноманітні інциденти безпеки досягли 24,91 мільярда доларів США. Ці події не лише виявили вразливості на технічному рівні, але й підкреслили недоліки в управлінні та ризик-менеджменті. У цій статті ми розглянемо десять найвпливовіших інцидентів безпеки в сфері Web3 у 2024 році, з метою надати галузі приклади та попередження.
1. Японська біржа зазнала серйозної атаки
Сума збитків: 304 мільйони доларів США Спосіб атаки: витік приватного ключа
31 травня одна з відомих японських криптовалютних бірж зазнала історичної атаки. Зловмисники використали витік приватного ключа для прямого перенесення великої кількості біткойнів і швидко розподілили вкрадені кошти на кілька адрес. Цей інцидент виявив серйозні недоліки біржі в управлінні приватними ключами та багаторівневій системі безпеки. Попри те, що біржа вжила заходів, таких як моніторинг в ланцюгу та заморожування коштів, через використання зловмисниками інструментів змішування, робота з відстеженням зіткнулася з величезними викликами.
В кінці року японська поліція підтвердила, що цю подію здійснила певна міжнародна хакерська організація.
2. PlayDapp зазнала важких втрат
Сума збитків: 290 мільйонів доларів США Спосіб атаки: витік приватного ключа
9 лютого проект PlayDapp зазнав серйозної безпекової події. Хакери, викравши приватний ключ, виготовили велику кількість токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Оскільки переговори між проектом і хакерами зазнали невдачі, хакери подальше виготовили більше токенів, загальна вартість яких досягла 253,9 мільйона доларів США. Після часткового надходження цих токенів на біржі PlayDapp був змушений зупинити старий контракт і перейти на новий токен-контракт. Ця подія підкреслює недоліки блокчейн-проектів у захисті приватних ключів і реагуванні на надзвичайні ситуації.
3. Найбільша криптобіржа Індії зазнала атаки
Сума збитків: 235 мільйонів доларів США Методи атаки: мережеві атаки та фішинг
18 липня найбільша криптовалютна біржа Індії зазнала точної атаки на свій мультипідписний гаманець. Зловмисники за допомогою соціальної інженерії спонукали підписанта мультипідпису підписати угоду про оновлення контракту, а потім використали права, отримані внаслідок оновлення контракту, для переведення активів з гаманця. Цей випадок виявив потенційні ризики мультипідписних гаманців у конфігурації прав та прозорості операцій, що викликало глибокі роздуми в індустрії щодо внутрішніх механізмів управління ризиками проектів.
4. Gala Games зазнала атаки через уразливість у контракті
Сума збитків: 216 мільйонів доларів США Спосіб атаки: вразливість контролю доступу
20 травня привілейовану адресу Gala Games зламали хакери. Нападники, викликавши функцію mint у контракті токена, одноразово випустили 5 мільярдів токенів GALA. Після цього ці токени були поетапно обміняні на ETH, що безпосередньо призвело до збитків у 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку для блокування деяких рахунків хакерів і через судові заходи повернула частину втрат.
5. Особистий гаманець засновника відомої криптовалюти був вкрадений
Сума збитків: 112 мільйонів доларів США Спосіб атаки: витік приватного ключа
31 січня хакери зламали чотири особисті гаманці одного з співзасновників відомого криптовалютного проекту, що призвело до крадіжки криптовалюти на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту апаратними пристроями. Після інциденту одна велика біржа змогла заморозити частину вкрадених активів, але більшість коштів вже були очищені через децентралізовані біржі та сервіси змішування.
6. Munchables зазнає внутрішньої інфільтрації
Сума збитків: 62,5 мільйона доларів США Спосіб атаки: соціально інженерна атака
26 березня платформа Web3 на базі Blast Munchables зазнала рідкісної внутрішньої атаки. Зловмисник маскувався під розробника блокчейну та протягом тривалого часу отримав доступ до основного коду та чутливих ключів. Незважаючи на величезні втрати, під тиском спільноти та команди хакер зрештою повернув усі вкрадені кошти. Ця подія підкреслила важливість безпеки в ланцюгах постачання, особливо для блокчейн-проєктів, які залежать від сторонніх розробників.
7. Одна з турецьких бірж зазнала витоку приватних ключів
Сума збитків: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа
22 червня турецька основна криптовалютна біржа зазнала атаки з витоком приватних ключів, внаслідок якої було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою інших бірж вдалося заморозити 5,3 мільйона доларів США із вкрадених коштів, але більшість активів досі не повернені. Цей інцидент поглибив занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Мультипідписний гаманець Radiant Capital був зламаний
Сума збитків: 53 мільйони доларів США Спосіб атаки: витік приватного ключа
17 жовтня мультипідписний гаманець Radiant Capital був зламаний хакерами. Через використання моделі підтвердження підписів з низьким порогом 3/11, хакери, отримавши приватні ключі трьох підписантів, здійснили офлайн-підписання, що призвело до передачі прав власності на контракт гаманця до злочинної адреси, в результаті чого було вкрадено 53 мільйони доларів. Ця атака викликала в індустрії роздуми про дизайн і механізми управління мультипідписними гаманцями.
Варто звернути увагу, що Radiant Capital перед цією атакою вже зазнав збитків у 4,5 мільйона доларів через вразливість у контракті, було вкрадено понад 1900 ETH. Це вказує на те, що проєкти Web3 повинні підвищити увагу до безпеки.
9. Hedgey Finance зазнала багатоканальної атаки
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: вразливість контракту
19 квітня Hedgey Finance зазнала атаки на кілька смарт-контрактів. Зловмисники скористалися уразливістю затвердження в їхньому контракті ClaimCampaigns і успішно витягли токени з Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо суворої перевірки логіки затвердження токенів.
10. Гарячий гаманець певної криптовалютної біржі був зламаний
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: витік приватного ключа
19 вересня відбулася атака на гарячий гаманець відомої біржі, в результаті чого постраждали кілька публічних блокчейнів, таких як Ethereum, BNB Chain та Tron. Незважаючи на те, що біржа швидко активувала механізм переведення активів та заморожування виведення, хакери змогли успішно вивести активи на суму 44,7 мільйона доларів США. Ця атака відображає високий рівень ризику управління гарячими гаманцями централізованих бірж і сприяє подальшому дослідженню галуззю більш безпечних рішень для зберігання активів.
Висновок
Часті інциденти безпеки у 2024 році знову нагадують нам, що розвиток індустрії блокчейн неможливий без забезпечення безпеки. Від управління приватними ключами до вразливостей контрактів, від внутрішнього ризик-менеджменту до вдосконалення зовнішніх методів атаки — кожен інцидент приніс глибокі уроки. У світлі все більш складних загроз безпеці всім сторонам індустрії необхідно продовжувати інвестувати в технології, управління та ризик-менеджмент. У майбутньому ми сподіваємось на співпрацю в індустрії та інновації, щоб спільно створити більш безпечну та надійну екосистему блокчейн.