Обзор десяти крупнейших инцидентов безопасности в области Web3 за 2024 год
В 2024 году индустрия Web3, развиваясь инновационно, также сталкивается с все более серьезными вызовами безопасности. По статистике, к концу года общие убытки в области Web3 из-за хакерских атак, мошенничества и ухода проектных команд достигли 24,91 миллиарда долларов.
Эти инциденты безопасности не только выявили технические недостатки в управлении приватными ключами, смарт-контрактах и других областях, но также подчеркнули потенциальные риски социальных инженерных атак и внутреннего управления. В этой статье мы рассмотрим десять основных инцидентов безопасности в области Web3 за 2024 год, чтобы помочь отрасли извлечь уроки и лучше справляться с будущими угрозами безопасности.
1. Определенная японская биржа подверглась серьезной атаке
Сумма убытков: 304 миллиона долларов США
Способ атаки: утечка приватного ключа
31 мая 2024 года один из известных японских криптовалютных обменников подвергся исторической атаке. Хакеры использовали утечку приватного ключа для прямого перевода биткойнов на сумму более 300 миллионов долларов и быстро распределили украденные средства по более чем 10 различным адресам. Этот инцидент выявил серьезные недостатки обменника в управлении приватными ключами и многоуровневыми мерами безопасности. Несмотря на то, что обменник пытался отследить хакеров с помощью мониторинга цепочки и замораживания средств, украденные биткойны уже были распределены и очищены с помощью микширования, что значительно усложнило работу по отслеживанию.
В конце года японская полиция пришла к выводу, что эту атаку осуществила северокорейская хакерская группа Lazarus Group.
2. PlayDapp понес тяжелые потери
Сумма убытков: 2.90 миллиарда долларов США
Способ атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp понес серьезные потери: хакеры, получив доступ к приватным ключам, создали 2 миллиарда токенов PLA, первоначальная стоимость которых составила 36,5 миллиона долларов. Поскольку переговоры проекта с хакерами закончились неудачно, хакеры затем создали еще 15,9 миллиарда токенов PLA, стоимость которых составила 253,9 миллиона долларов. После того как часть токенов попала на биржи, PlayDapp был вынужден приостановить контракт на PLA и перейти на новый контракт токенов. Этот инцидент подчеркивает недостатки проектов на блокчейне в области защиты приватных ключей и реагирования на чрезвычайные ситуации.
3. Самая большая криптовалютная биржа Индии подверглась атаке
Сумма убытков: 235 миллионов долларов США
Способы атаки: сетевые атаки и фишинг
18 июля 2024 года многофункциональный кошелек крупнейшей криптовалютной биржи Индии подвергся целенаправленной атаке хакеров. Злоумышленники использовали методы социального инжиниринга, чтобы заставить подписантов многофункционального кошелька подписать сделку об обновлении контракта, а затем воспользовались правами обновленного контракта, чтобы обнулить активы в кошельке. Этот случай подчеркивает потенциальные риски многофункциональных кошельков в управлении конфигурацией прав и прозрачности операций, а также вызвал глубокие размышления в отрасли о внутренних механизмах контроля и безопасности проектов.
4. Gala Games понесла серьезные убытки
Сумма убытков: 216 миллионов долларов США
Способ атаки: уязвимость контроля доступа
20 мая 2024 года один из привилегированных адресов Gala Games был взломан хакерами, которые, вызвав функцию mint в токен-контракте, одномоментно выпустили 5 миллиардов токенов GALA. Затем хакеры поэтапно обменяли выпущенные токены на ETH, что напрямую привело к убыткам в размере 216 миллионов долларов. Команда Gala Games срочно активировала функцию черного списка, чтобы заблокировать некоторые аккаунты хакеров, и через судебные процедуры вернула часть убытков.
5. Личный кошелек соучредителя Ripple был взломан
Сумма убытков: 112 миллионов долларов США
Способ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька соучредителя Ripple Кристофера Ларсена были взломаны хакерами, в результате чего было похищено 112 миллионов долларов XRP. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты с помощью аппаратных устройств. После инцидента одна крупная биржа успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла отследить похищенные активы, но большая часть средств уже была отмыта через децентрализованные биржи и услуги смешивания.
6. Munchables подверглись внутренней атаке на проникновение
Сумма убытков: 6250 миллионов долларов США
Способы атаки: Социальная инженерия
26 марта 2024 года веб3 игровая платформа Munchables на основе Blast столкнулась с редкой внутренней проникающей атакой. Нападавший, замаскировавшийся под разработчика блокчейна, долгое время скрывался, чтобы получить доступ к исходному коду и конфиденциальным ключам. Несмотря на то, что атака привела к огромным потерям, под давлением сообщества и команды, хакер в конечном итоге вернул все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.
7. Крупнейшая криптовалютная биржа Турции подверглась атаке
Сумма убытков: 55 миллионов долларов США
Способ атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке с утечкой приватных ключей, в результате чего было потеряно более 55 миллионов долларов США в криптоактивах. При содействии команды одной из бирж было успешно заморожено 5,3 миллиона долларов США из украденных средств, однако остальные активы до сих пор не возвращены. Этот инцидент усилил опасения рынка по поводу управления приватными ключами централизованными биржами.
8. Мультиподписной кошелек Radiant Capital был взломан
Сумма убытков: 53 миллиона долларов США
Способ атаки: утечка закрытого ключа
17 октября 2024 года многоподписной кошелек Radiant Capital был взломан хакерами. Поскольку он использовал низкопороговую модель проверки подписей 3/11, хакеры, получив доступ к приватным ключам трех подписантов, инициировали оффлайн-подпись и перевели право собственности на контракт кошелька на злонамеренный адрес, что в конечном итоге привело к краже 53 миллионов долларов. Эта атака вызвала в отрасли размышления о дизайне многоподписных кошельков и механизмах управления.
Стоит отметить, что Radiant Capital до этой атаки уже потерял 4,5 миллиона долларов из-за уязвимости контракта, и более 1900 ETH были украдены. Это показывает, что уровень внимания к безопасности со стороны проектов Web3 все еще необходимо повысить.
9. Хедж-финанс контракт подвергся атаке
Сумма убытков: 44,7 миллиона долларов США
Способы атаки: уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в контракте ClaimCampaigns, успешно извлекая токены на блокчейнах Ethereum и Arbitrum, общие потери составили 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек одной криптовалютной биржи был взломан
Сумма убытков: 44,7 миллиона долларов США
Способ атаки: утечка приватного ключа
19 сентября 2024 года хакеры взломали горячий кошелек одной из криптовалютных бирж, затронув несколько блокчейнов, включая Ethereum, BNB Chain, Tron и другие. Несмотря на то, что биржа быстро инициировала механизм переноса активов и заморозки выводов, хакеры успешно извлекли активы на сумму 44,7 миллиона долларов. Эта атака подчеркивает высокие риски управления горячими кошельками централизованных бирж и далее побуждает индустрию исследовать более безопасные решения для хранения активов.
Частые случаи атак на безопасность в 2024 году вновь напоминают нам о том, что развитие блокчейн-отрасли невозможно без надежной защиты. От утечки приватных ключей до уязвимостей в контрактах, от внутреннего управления до усовершенствования внешних методов атак — каждое из этих событий принесло глубокие уроки. Чтобы справиться с все более сложными угрозами атак, всем участникам отрасли необходимо продолжать увеличивать инвестиции в научные исследования, управление и предотвращение рисков. В будущем мы ожидаем, что через сотрудничество в отрасли и технологические инновации мы совместно создадим более безопасную экосистему блокчейна, предоставляя пользователям и инвесторам более надежную защиту.
Посмотреть Оригинал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Обзор десяти крупнейших инцидентов безопасности в области Web3 в 2024 году, убытки составили 24,91 миллиарда долларов США
Обзор десяти крупнейших инцидентов безопасности в области Web3 за 2024 год
В 2024 году индустрия Web3, развиваясь инновационно, также сталкивается с все более серьезными вызовами безопасности. По статистике, к концу года общие убытки в области Web3 из-за хакерских атак, мошенничества и ухода проектных команд достигли 24,91 миллиарда долларов.
Эти инциденты безопасности не только выявили технические недостатки в управлении приватными ключами, смарт-контрактах и других областях, но также подчеркнули потенциальные риски социальных инженерных атак и внутреннего управления. В этой статье мы рассмотрим десять основных инцидентов безопасности в области Web3 за 2024 год, чтобы помочь отрасли извлечь уроки и лучше справляться с будущими угрозами безопасности.
1. Определенная японская биржа подверглась серьезной атаке
Сумма убытков: 304 миллиона долларов США Способ атаки: утечка приватного ключа
31 мая 2024 года один из известных японских криптовалютных обменников подвергся исторической атаке. Хакеры использовали утечку приватного ключа для прямого перевода биткойнов на сумму более 300 миллионов долларов и быстро распределили украденные средства по более чем 10 различным адресам. Этот инцидент выявил серьезные недостатки обменника в управлении приватными ключами и многоуровневыми мерами безопасности. Несмотря на то, что обменник пытался отследить хакеров с помощью мониторинга цепочки и замораживания средств, украденные биткойны уже были распределены и очищены с помощью микширования, что значительно усложнило работу по отслеживанию.
В конце года японская полиция пришла к выводу, что эту атаку осуществила северокорейская хакерская группа Lazarus Group.
2. PlayDapp понес тяжелые потери
Сумма убытков: 2.90 миллиарда долларов США Способ атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp понес серьезные потери: хакеры, получив доступ к приватным ключам, создали 2 миллиарда токенов PLA, первоначальная стоимость которых составила 36,5 миллиона долларов. Поскольку переговоры проекта с хакерами закончились неудачно, хакеры затем создали еще 15,9 миллиарда токенов PLA, стоимость которых составила 253,9 миллиона долларов. После того как часть токенов попала на биржи, PlayDapp был вынужден приостановить контракт на PLA и перейти на новый контракт токенов. Этот инцидент подчеркивает недостатки проектов на блокчейне в области защиты приватных ключей и реагирования на чрезвычайные ситуации.
3. Самая большая криптовалютная биржа Индии подверглась атаке
Сумма убытков: 235 миллионов долларов США Способы атаки: сетевые атаки и фишинг
18 июля 2024 года многофункциональный кошелек крупнейшей криптовалютной биржи Индии подвергся целенаправленной атаке хакеров. Злоумышленники использовали методы социального инжиниринга, чтобы заставить подписантов многофункционального кошелька подписать сделку об обновлении контракта, а затем воспользовались правами обновленного контракта, чтобы обнулить активы в кошельке. Этот случай подчеркивает потенциальные риски многофункциональных кошельков в управлении конфигурацией прав и прозрачности операций, а также вызвал глубокие размышления в отрасли о внутренних механизмах контроля и безопасности проектов.
4. Gala Games понесла серьезные убытки
Сумма убытков: 216 миллионов долларов США Способ атаки: уязвимость контроля доступа
20 мая 2024 года один из привилегированных адресов Gala Games был взломан хакерами, которые, вызвав функцию mint в токен-контракте, одномоментно выпустили 5 миллиардов токенов GALA. Затем хакеры поэтапно обменяли выпущенные токены на ETH, что напрямую привело к убыткам в размере 216 миллионов долларов. Команда Gala Games срочно активировала функцию черного списка, чтобы заблокировать некоторые аккаунты хакеров, и через судебные процедуры вернула часть убытков.
5. Личный кошелек соучредителя Ripple был взломан
Сумма убытков: 112 миллионов долларов США Способ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька соучредителя Ripple Кристофера Ларсена были взломаны хакерами, в результате чего было похищено 112 миллионов долларов XRP. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты с помощью аппаратных устройств. После инцидента одна крупная биржа успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла отследить похищенные активы, но большая часть средств уже была отмыта через децентрализованные биржи и услуги смешивания.
6. Munchables подверглись внутренней атаке на проникновение
Сумма убытков: 6250 миллионов долларов США Способы атаки: Социальная инженерия
26 марта 2024 года веб3 игровая платформа Munchables на основе Blast столкнулась с редкой внутренней проникающей атакой. Нападавший, замаскировавшийся под разработчика блокчейна, долгое время скрывался, чтобы получить доступ к исходному коду и конфиденциальным ключам. Несмотря на то, что атака привела к огромным потерям, под давлением сообщества и команды, хакер в конечном итоге вернул все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.
7. Крупнейшая криптовалютная биржа Турции подверглась атаке
Сумма убытков: 55 миллионов долларов США Способ атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке с утечкой приватных ключей, в результате чего было потеряно более 55 миллионов долларов США в криптоактивах. При содействии команды одной из бирж было успешно заморожено 5,3 миллиона долларов США из украденных средств, однако остальные активы до сих пор не возвращены. Этот инцидент усилил опасения рынка по поводу управления приватными ключами централизованными биржами.
8. Мультиподписной кошелек Radiant Capital был взломан
Сумма убытков: 53 миллиона долларов США Способ атаки: утечка закрытого ключа
17 октября 2024 года многоподписной кошелек Radiant Capital был взломан хакерами. Поскольку он использовал низкопороговую модель проверки подписей 3/11, хакеры, получив доступ к приватным ключам трех подписантов, инициировали оффлайн-подпись и перевели право собственности на контракт кошелька на злонамеренный адрес, что в конечном итоге привело к краже 53 миллионов долларов. Эта атака вызвала в отрасли размышления о дизайне многоподписных кошельков и механизмах управления.
Стоит отметить, что Radiant Capital до этой атаки уже потерял 4,5 миллиона долларов из-за уязвимости контракта, и более 1900 ETH были украдены. Это показывает, что уровень внимания к безопасности со стороны проектов Web3 все еще необходимо повысить.
9. Хедж-финанс контракт подвергся атаке
Сумма убытков: 44,7 миллиона долларов США Способы атаки: уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в контракте ClaimCampaigns, успешно извлекая токены на блокчейнах Ethereum и Arbitrum, общие потери составили 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек одной криптовалютной биржи был взломан
Сумма убытков: 44,7 миллиона долларов США Способ атаки: утечка приватного ключа
19 сентября 2024 года хакеры взломали горячий кошелек одной из криптовалютных бирж, затронув несколько блокчейнов, включая Ethereum, BNB Chain, Tron и другие. Несмотря на то, что биржа быстро инициировала механизм переноса активов и заморозки выводов, хакеры успешно извлекли активы на сумму 44,7 миллиона долларов. Эта атака подчеркивает высокие риски управления горячими кошельками централизованных бирж и далее побуждает индустрию исследовать более безопасные решения для хранения активов.
Частые случаи атак на безопасность в 2024 году вновь напоминают нам о том, что развитие блокчейн-отрасли невозможно без надежной защиты. От утечки приватных ключей до уязвимостей в контрактах, от внутреннего управления до усовершенствования внешних методов атак — каждое из этих событий принесло глубокие уроки. Чтобы справиться с все более сложными угрозами атак, всем участникам отрасли необходимо продолжать увеличивать инвестиции в научные исследования, управление и предотвращение рисков. В будущем мы ожидаем, что через сотрудничество в отрасли и технологические инновации мы совместно создадим более безопасную экосистему блокчейна, предоставляя пользователям и инвесторам более надежную защиту.