Огляд десяти найбільших інцидентів безпеки у сфері Web3 за 2024 рік
У 2024 році індустрія Web3, розвиваючись інноваційно, також стикається з дедалі суворішими викликами безпеки. За статистикою, станом на кінець року загальні збитки в сфері Web3 через хакерські атаки, шахрайство та зникнення проектів становлять 24,91 мільярда доларів.
Ці інциденти безпеки не лише виявили технічні недоліки в управлінні приватними ключами, смарт-контрактами тощо, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті буде розглянуто десять найважливіших інцидентів безпеки в Web3 у 2024 році, щоб допомогти галузі винести уроки та краще реагувати на майбутні загрози безпеці.
1. Японська біржа зазнала значної атаки
Сума збитків: 304 мільйони доларів США
Спосіб атаки: витік приватного ключа
31 травня 2024 року одна з відомих японських криптовалютних бірж зазнала історичної атаки. Хакери використали злиті приватні ключі для безпосереднього переміщення біткоїнів на суму понад 300 мільйонів доларів, швидко розподіливши вкрадені кошти на понад 10 різних адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій безпеці. Незважаючи на спроби біржі відстежити хакера через моніторинг в ланцюзі та заморожування коштів, вкрадені біткоїни вже були розподілені та очищені за допомогою інструментів змішування, що ускладнює процес відстеження.
Наприкінці року японська поліція визначила, що цю атаку здійснила північнокорейська хакерська організація Lazarus Group.
2. PlayDapp зазнала важких втрат
Сума збитків: 290 мільйонів доларів США
Спосіб атаки: виток приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозного удару: хакер, викравши приватний ключ, виготовив 2 мільярди токенів PLA, початкова вартість яких склала 36,5 мільйона доларів США. Оскільки проектна команда не змогла досягти угоди з хакером, той виготовив ще 15,9 мільярда токенів PLA, вартість яких склала 253,9 мільйона доларів США. Після того, як частина токенів потрапила на біржі, PlayDapp був змушений призупинити контракт на PLA і перейти на новий токен-контракт. Цей інцидент підкреслює недостатність захисту приватних ключів та реагування на надзвичайні ситуації в блокчейн-проектах.
3. Найбільша криптовалютна біржа Індії зазнала атаки
Сума збитків: 235 мільйонів доларів США
Способи атаки: мережеві атаки та фішинг
18 липня 2024 року найбільша криптовалютна біржа Індії зазнала точного нападу хакерів на мультипідписний гаманець. Зловмисники за допомогою соціальної інженерії змусили підписантів мультипідпису підписати угоду про оновлення контракту, а потім використали права, надані оновленим контрактом, щоб вивести всі активи з гаманця. Цей випадок підкреслює потенційні ризики мультипідписних гаманців у питаннях управлінської конфігурації прав і прозорості операцій, а також викликав глибоке переосмислення внутрішнього контролю ризиків та механізмів безпеки проектів у галузі.
4. Gala Games зазнала значних втрат
Сума збитків: 216 мільйонів доларів США
Спосіб атаки: вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламаною хакерами, які, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Після цього хакер частинами обміняв додатково випущені токени на ETH, що безпосередньо призвело до збитків у 216 мільйонів доларів. Команда Gala Games після інциденту терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через судові органи повернула частину збитків.
5. Особистий гаманець співзасновника Ripple було зламано
Сума збитків: 1,12 мільярда доларів США
Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Криса Ларсена були зламані хакерами, що призвело до викрадення 112 мільйонів доларів США у XRP. Ці гаманці, ймовірно, стали мішенню для атаки через відсутність подвійного захисту апаратного забезпечення. Після інциденту одна велика біржа успішно заморозила XRP на суму 4,2 мільйона доларів США та допомогла відстежити викрадені активи, але більшість коштів вже були відмиті через децентралізовані біржі та сервіси змішування.
6. Munchables зазнали внутрішньої атаки на проникнення
Сума збитків: 6250 мільйонів доларів США
Метод атаки: соціальна інженерія
26 березня 2024 року веб3 ігрова платформа Munchables на основі Blast зазнала рідкісної внутрішньої атаки з проникненням. Зловмисник, який маскувався під розробника блокчейну, довго залишався в системі, отримавши доступ до основного коду та чутливих ключів. Незважаючи на величезні збитки, під тиском громади та команди зловмисник врешті-решт повернув всі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальників, особливо для блокчейн-проектів, що залежать від сторонніх розробників.
7. Найбільша криптовалютна біржа Туреччини зазнала нападу
Сума збитків: 55 мільйонів доларів США
Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватного ключа, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. Завдяки допомозі команди однієї з бірж, 5,3 мільйона доларів США вкрадених коштів було успішно заморожено, але інші активи ще не були повернуті. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Мультимісцевий гаманець Radiant Capital був зламаний
Сума втрат: 53 мільйони доларів США
Спосіб атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital був зламаний хакерами. Через використання низькопорога 3/11 моделі підтвердження підпису, хакери, отримавши приватні ключі 3 підписувачів, ініціювали підписання поза ланцюгом, передавши право власності на контракт гаманця на зловмисну адресу, що в кінцевому підсумку призвело до крадіжки 53 мільйонів доларів. Ця атака викликала в індустрії переосмислення дизайну мультипідписних гаманців та механізмів управління.
Варто зазначити, що Radiant Capital до цієї атаки вже втратила 4,5 мільйона доларів через вразливість контракту, було вкрадено понад 1900 ETH. Це вказує на те, що проекти Web3 все ще повинні підвищити свою увагу до безпеки.
9. Контракт Hedgey Finance зазнав атаки
Сума збитків: 44,7 мільйона доларів США
Спосіб атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Хакери використали вразливість дозволу в їхньому контракті ClaimCampaigns, успішно витягнувши токени з мереж Ethereum і Arbitrum, загальні збитки склали 44,7 мільйона доларів. Цей інцидент показує важливість аудиту коду, особливо строгого перевірки логіки дозволу токенів.
10. Гарячий гаманець однієї криптовалютної біржі був зламаний
Сума збитків: 44,7 мільйона доларів США
Спосіб атаки: витік приватного ключа
19 вересня 2024 року, гарячий гаманець криптовалютної біржі був зламаний хакерами, а вражені ланцюги включають Ethereum, BNB Chain, Tron та інші публічні ланцюги. Незважаючи на те, що біржа швидко активувала механізм переведення активів та блокування виведення, хакерам вдалося успішно вилучити активи на суму 44,7 мільйона доларів. Ця атака відображає високий ризик управління гарячими гаманцями централізованих бірж і подальше сприяє галузі в пошуках більш безпечних рішень для зберігання активів.
Часті випадки атак безпеки у 2024 році знову нагадують нам, що розвиток індустрії блокчейн не може обійтися без безпечного супроводу. Від витоку приватних ключів до вразливостей контрактів, від внутрішніх управлінських недоліків до модернізації зовнішніх атакуючих методів - кожен випадок приніс глибокі уроки. Щоб протистояти дедалі складнішим загрозам атак, усі учасники галузі повинні продовжувати інвестувати в розробку технологій, управлінські норми та запобігання ризикам. У майбутньому ми сподіваємося на спільне створення більш безпечного екосистеми блокчейн через співпрацю в галузі та технологічні інновації, щоб забезпечити більш надійний захист для користувачів та інвесторів.
Переглянути оригінал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Огляд десяти найбільших інцидентів безпеки у сфері Web3 у 2024 році, збитки сягнули 24,91 мільярда доларів.
Огляд десяти найбільших інцидентів безпеки у сфері Web3 за 2024 рік
У 2024 році індустрія Web3, розвиваючись інноваційно, також стикається з дедалі суворішими викликами безпеки. За статистикою, станом на кінець року загальні збитки в сфері Web3 через хакерські атаки, шахрайство та зникнення проектів становлять 24,91 мільярда доларів.
Ці інциденти безпеки не лише виявили технічні недоліки в управлінні приватними ключами, смарт-контрактами тощо, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті буде розглянуто десять найважливіших інцидентів безпеки в Web3 у 2024 році, щоб допомогти галузі винести уроки та краще реагувати на майбутні загрози безпеці.
1. Японська біржа зазнала значної атаки
Сума збитків: 304 мільйони доларів США Спосіб атаки: витік приватного ключа
31 травня 2024 року одна з відомих японських криптовалютних бірж зазнала історичної атаки. Хакери використали злиті приватні ключі для безпосереднього переміщення біткоїнів на суму понад 300 мільйонів доларів, швидко розподіливши вкрадені кошти на понад 10 різних адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій безпеці. Незважаючи на спроби біржі відстежити хакера через моніторинг в ланцюзі та заморожування коштів, вкрадені біткоїни вже були розподілені та очищені за допомогою інструментів змішування, що ускладнює процес відстеження.
Наприкінці року японська поліція визначила, що цю атаку здійснила північнокорейська хакерська організація Lazarus Group.
2. PlayDapp зазнала важких втрат
Сума збитків: 290 мільйонів доларів США Спосіб атаки: виток приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозного удару: хакер, викравши приватний ключ, виготовив 2 мільярди токенів PLA, початкова вартість яких склала 36,5 мільйона доларів США. Оскільки проектна команда не змогла досягти угоди з хакером, той виготовив ще 15,9 мільярда токенів PLA, вартість яких склала 253,9 мільйона доларів США. Після того, як частина токенів потрапила на біржі, PlayDapp був змушений призупинити контракт на PLA і перейти на новий токен-контракт. Цей інцидент підкреслює недостатність захисту приватних ключів та реагування на надзвичайні ситуації в блокчейн-проектах.
3. Найбільша криптовалютна біржа Індії зазнала атаки
Сума збитків: 235 мільйонів доларів США Способи атаки: мережеві атаки та фішинг
18 липня 2024 року найбільша криптовалютна біржа Індії зазнала точного нападу хакерів на мультипідписний гаманець. Зловмисники за допомогою соціальної інженерії змусили підписантів мультипідпису підписати угоду про оновлення контракту, а потім використали права, надані оновленим контрактом, щоб вивести всі активи з гаманця. Цей випадок підкреслює потенційні ризики мультипідписних гаманців у питаннях управлінської конфігурації прав і прозорості операцій, а також викликав глибоке переосмислення внутрішнього контролю ризиків та механізмів безпеки проектів у галузі.
4. Gala Games зазнала значних втрат
Сума збитків: 216 мільйонів доларів США Спосіб атаки: вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламаною хакерами, які, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Після цього хакер частинами обміняв додатково випущені токени на ETH, що безпосередньо призвело до збитків у 216 мільйонів доларів. Команда Gala Games після інциденту терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через судові органи повернула частину збитків.
5. Особистий гаманець співзасновника Ripple було зламано
Сума збитків: 1,12 мільярда доларів США Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Криса Ларсена були зламані хакерами, що призвело до викрадення 112 мільйонів доларів США у XRP. Ці гаманці, ймовірно, стали мішенню для атаки через відсутність подвійного захисту апаратного забезпечення. Після інциденту одна велика біржа успішно заморозила XRP на суму 4,2 мільйона доларів США та допомогла відстежити викрадені активи, але більшість коштів вже були відмиті через децентралізовані біржі та сервіси змішування.
6. Munchables зазнали внутрішньої атаки на проникнення
Сума збитків: 6250 мільйонів доларів США Метод атаки: соціальна інженерія
26 березня 2024 року веб3 ігрова платформа Munchables на основі Blast зазнала рідкісної внутрішньої атаки з проникненням. Зловмисник, який маскувався під розробника блокчейну, довго залишався в системі, отримавши доступ до основного коду та чутливих ключів. Незважаючи на величезні збитки, під тиском громади та команди зловмисник врешті-решт повернув всі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальників, особливо для блокчейн-проектів, що залежать від сторонніх розробників.
7. Найбільша криптовалютна біржа Туреччини зазнала нападу
Сума збитків: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватного ключа, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. Завдяки допомозі команди однієї з бірж, 5,3 мільйона доларів США вкрадених коштів було успішно заморожено, але інші активи ще не були повернуті. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Мультимісцевий гаманець Radiant Capital був зламаний
Сума втрат: 53 мільйони доларів США Спосіб атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital був зламаний хакерами. Через використання низькопорога 3/11 моделі підтвердження підпису, хакери, отримавши приватні ключі 3 підписувачів, ініціювали підписання поза ланцюгом, передавши право власності на контракт гаманця на зловмисну адресу, що в кінцевому підсумку призвело до крадіжки 53 мільйонів доларів. Ця атака викликала в індустрії переосмислення дизайну мультипідписних гаманців та механізмів управління.
Варто зазначити, що Radiant Capital до цієї атаки вже втратила 4,5 мільйона доларів через вразливість контракту, було вкрадено понад 1900 ETH. Це вказує на те, що проекти Web3 все ще повинні підвищити свою увагу до безпеки.
9. Контракт Hedgey Finance зазнав атаки
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Хакери використали вразливість дозволу в їхньому контракті ClaimCampaigns, успішно витягнувши токени з мереж Ethereum і Arbitrum, загальні збитки склали 44,7 мільйона доларів. Цей інцидент показує важливість аудиту коду, особливо строгого перевірки логіки дозволу токенів.
10. Гарячий гаманець однієї криптовалютної біржі був зламаний
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: витік приватного ключа
19 вересня 2024 року, гарячий гаманець криптовалютної біржі був зламаний хакерами, а вражені ланцюги включають Ethereum, BNB Chain, Tron та інші публічні ланцюги. Незважаючи на те, що біржа швидко активувала механізм переведення активів та блокування виведення, хакерам вдалося успішно вилучити активи на суму 44,7 мільйона доларів. Ця атака відображає високий ризик управління гарячими гаманцями централізованих бірж і подальше сприяє галузі в пошуках більш безпечних рішень для зберігання активів.
Часті випадки атак безпеки у 2024 році знову нагадують нам, що розвиток індустрії блокчейн не може обійтися без безпечного супроводу. Від витоку приватних ключів до вразливостей контрактів, від внутрішніх управлінських недоліків до модернізації зовнішніх атакуючих методів - кожен випадок приніс глибокі уроки. Щоб протистояти дедалі складнішим загрозам атак, усі учасники галузі повинні продовжувати інвестувати в розробку технологій, управлінські норми та запобігання ризикам. У майбутньому ми сподіваємося на спільне створення більш безпечного екосистеми блокчейн через співпрацю в галузі та технологічні інновації, щоб забезпечити більш надійний захист для користувачів та інвесторів.