Огляд інцидентів безпеки в індустрії Web3 за 2024 рік: аналіз десяти випадків атак
У 2024 році індустрія Web3, розвиваючись бурхливо, також стикається з дедалі серйознішими викликами безпеки. За статистикою, до кінця року загальні втрати в цій сфері через хакерські атаки, шахрайство та зникнення проектів сягнули 24,91 мільярда доларів. Ці події не лише виявили вразливості на технологічному рівні, такі як управління приватними ключами та проблеми зі смарт-контрактами, але й підкреслили важливість атак соціальної інженерії та ризиків внутрішнього управління.
Ця стаття огляне десять найбільших безпекових інцидентів у сфері Web3 у 2024 році, з метою отримання досвіду та уроків, які можуть слугувати прикладом для майбутнього забезпечення безпеки.
1. Японська біржа зазнала серйозної атаки
Втрата: 304 мільйони доларів СШАМетод атаки: витік приватного ключа
31 травня 2024 року відбулася історична атака на відому японську криптовалютну біржу. Хакери використали скомпрометовані приватні ключі для прямого переведення біткойнів на суму більше 300 мільйонів доларів, швидко розподіливши кошти на кілька адрес. Цей інцидент виявив серйозні недоліки біржі в управлінні приватними ключами та багаторівневій системі безпеки. Хоча біржа намагалася відстежити хакера через моніторинг в ланцюгу та заморожування коштів, повернути вкрадені гроші було вкрай складно через швидке розподілення коштів і використання інструментів обміну.
Наприкінці року японська поліція визнала, що цю атаку здійснила певна хакерська організація.
2. PlayDapp зазнав важкого удару
Втрата: 290 мільйонів доларів СШАМетод атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозної безпекової аварії. Хакери, викравши приватні ключі, випустили велику кількість токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Через невдале ведення переговорів з хакерами, зловмисники випустили ще більше токенів, внаслідок чого загальні збитки зросли до 253,9 мільйона доларів США. PlayDapp змушений був призупинити початковий контракт і перейти на новий токен-контракт. Цей інцидент підкреслив недоліки проектів на блокчейні в захисті приватних ключів та реагуванні на надзвичайні ситуації.
3. Найбільша криптобіржа Індії зазнала точного удару
Втрати: 2,35 мільярда доларів СШАМетоди атаки: мережеві атаки та фішинг
18 липня 2024 року найбільший в Індії криптовалютний обмін зазнав точного хакерського нападу на свій мультипідписний гаманець. Зловмисники за допомогою соціальної інженерії змусили підписантів мультипідпису схвалити угоду на оновлення контракту, після чого використали права, надані оновленим контрактом, для переміщення всіх активів з гаманця. Цей випадок виявив потенційні ризики мультипідписних гаманців у питаннях управління правами та прозорості операцій, викликавши глибокі роздуми в індустрії щодо внутрішніх механізмів управління ризиками проектів.
4. Gala Games зазнала атаки на збільшення емісії токенів
Втрати: 216 мільйонів доларів СШАМетод атаки: Вразливість контролю доступу
20 травня 2024 року спеціальна адреса Gala Games була зламаною хакерами. Зловмисники викликали функцію mint токен-контракту, одноразово випустивши 5 мільярдів токенів GALA. Потім ці токени були обміняні на ETH партіями, що призвело до прямих втрат у розмірі 216 мільйонів доларів. Команда Gala Games потім активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через судові процедури повернула частину втрат.
5. Особистий гаманець засновника відомого криптовалютного проекту був вкрадений
Втрати: 112 мільйонів доларів СШАМетод атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці одного з співзасновників відомого криптовалютного проєкту були зламані хакерами, що призвело до крадіжки 112 мільйонів доларів США у XRP. Ці гаманці, ймовірно, стали мішенню атаки через відсутність апаратного двофакторного захисту. Хоча одна з бірж успішно заморозила частину вкрадених коштів і допомогла в їхньому відстеженні, більшість коштів вже була відмита через децентралізовані біржі та сервіси змішування.
6. Munchables зазнає внутрішнього проникнення
Втрати: 6250 мільйонів доларів СШАМетоди атаки: Атака соціальної інженерії
26 березня 2024 року веб3 ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої витоку. Зловмисник маскувався під розробника блокчейну і, довго перебуваючи в системі, отримав доступ до основного коду й чутливих ключів. Незважаючи на величезні збитки, під тиском спільноти та команди хакер врешті-решт повернув усі вкрадені кошти. Ця подія підкреслює важливість безпеки постачальницького ланцюга, особливо для блокчейн-проєктів, які залежать від сторонніх розробників.
7. Основні біржі Туреччини зазнали витоку приватних ключів
Збиток: 55 мільйонів доларів СШАМетод атаки: витік приватного ключа
22 червня 2024 року одна з основних криптовалютних бірж Туреччини зазнала атаки з витоком приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. За підтримки однієї великої біржі вдалося заморозити 5,3 мільйона доларів США викрадених коштів, але інші активи досі не повернуті. Ця подія посилила занепокоєння ринку щодо здатності централізованих бірж управляти приватними ключами.
8. Гаманець з багатопідписом Radiant Capital було зламано
Втрати: 53 мільйони доларів СШАМетод атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital став жертвою хакерської атаки. Завдяки використанню низькопорогової моделі перевірки підписів 3/11, хакери отримали приватні ключі трьох підписантів і ініціювали поза ланцюговий підпис, передавши право власності на контракт гаманця на зловмисну адресу, що в результаті призвело до викрадення 53 мільйонів доларів. Ця атака спровокувала в індустрії роздуми про дизайн мультипідписних гаманців і механізми управління.
Варто зазначити, що Radiant Capital нещодавно зазнав збитків у 4,5 мільйона доларів через уразливість контракту, що свідчить про те, що проекту ще є куди покращувати рівень безпеки.
9. Hedgey Finance зазнав багатоцільової атаки
Втрата: 44,7 мільйона доларів СШАМетоди атаки: Вразливість контракту
19 квітня 2024 року кілька смарт-контрактів Hedgey Finance стали жертвами атаки. Зловмисники використали вразливість затвердження в їхньому контракті ClaimCampaigns і успішно вилучили токени з мереж Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів. Ця подія знову підкреслила важливість аудиту коду, особливо суворої перевірки логіки затвердження токенів.
10. Гарячий гаманець певної біржі був зламаний
Збитки: 44,7 мільйона доларів СШАМетод атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець однієї з бірж зазнав хакерської атаки, в яку потрапили кілька публічних блокчейнів, зокрема Ethereum, BNB Chain, Tron та інші. Незважаючи на те, що біржа швидко запустила механізм перенесення активів та замороження виведення, хакерам вдалося успішно вивести активи на суму 44,7 мільйона доларів. Ця атака знову привернула увагу галузі до ризиків управління гарячими гаманцями централізованих бірж, спонукаючи галузь шукати більш безпечні рішення для зберігання активів.
Часті випадки безпеки у 2024 році знову нагадують нам, що здоровий розвиток блокчейн-індустрії неможливий без потужного забезпечення безпеки. Від управління приватними ключами до безпеки контрактів, від внутрішнього контролю до зовнішньої оборони, кожен випадок дзвонить у дзвони для індустрії. У майбутньому ми сподіваємося, що через технологічні інновації та співпрацю в індустрії ми спільно побудуємо більш безпечну та надійну екосистему блокчейн, щоб забезпечити кращий захист для користувачів та інвесторів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
15 лайків
Нагородити
15
3
Репост
Поділіться
Прокоментувати
0/400
ThatsNotARugPull
· 08-11 09:01
Знову бачимо витік Закритого ключа.. Далеко від реальності
У 2024 році втрати від десяти найбільших інцидентів безпеки у Web3 склали майже 2,5 мільярда доларів; витік закритих ключів став головною причиною.
Огляд інцидентів безпеки в індустрії Web3 за 2024 рік: аналіз десяти випадків атак
У 2024 році індустрія Web3, розвиваючись бурхливо, також стикається з дедалі серйознішими викликами безпеки. За статистикою, до кінця року загальні втрати в цій сфері через хакерські атаки, шахрайство та зникнення проектів сягнули 24,91 мільярда доларів. Ці події не лише виявили вразливості на технологічному рівні, такі як управління приватними ключами та проблеми зі смарт-контрактами, але й підкреслили важливість атак соціальної інженерії та ризиків внутрішнього управління.
Ця стаття огляне десять найбільших безпекових інцидентів у сфері Web3 у 2024 році, з метою отримання досвіду та уроків, які можуть слугувати прикладом для майбутнього забезпечення безпеки.
1. Японська біржа зазнала серйозної атаки
Втрата: 304 мільйони доларів США Метод атаки: витік приватного ключа
31 травня 2024 року відбулася історична атака на відому японську криптовалютну біржу. Хакери використали скомпрометовані приватні ключі для прямого переведення біткойнів на суму більше 300 мільйонів доларів, швидко розподіливши кошти на кілька адрес. Цей інцидент виявив серйозні недоліки біржі в управлінні приватними ключами та багаторівневій системі безпеки. Хоча біржа намагалася відстежити хакера через моніторинг в ланцюгу та заморожування коштів, повернути вкрадені гроші було вкрай складно через швидке розподілення коштів і використання інструментів обміну.
Наприкінці року японська поліція визнала, що цю атаку здійснила певна хакерська організація.
2. PlayDapp зазнав важкого удару
Втрата: 290 мільйонів доларів США Метод атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозної безпекової аварії. Хакери, викравши приватні ключі, випустили велику кількість токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Через невдале ведення переговорів з хакерами, зловмисники випустили ще більше токенів, внаслідок чого загальні збитки зросли до 253,9 мільйона доларів США. PlayDapp змушений був призупинити початковий контракт і перейти на новий токен-контракт. Цей інцидент підкреслив недоліки проектів на блокчейні в захисті приватних ключів та реагуванні на надзвичайні ситуації.
3. Найбільша криптобіржа Індії зазнала точного удару
Втрати: 2,35 мільярда доларів США Методи атаки: мережеві атаки та фішинг
18 липня 2024 року найбільший в Індії криптовалютний обмін зазнав точного хакерського нападу на свій мультипідписний гаманець. Зловмисники за допомогою соціальної інженерії змусили підписантів мультипідпису схвалити угоду на оновлення контракту, після чого використали права, надані оновленим контрактом, для переміщення всіх активів з гаманця. Цей випадок виявив потенційні ризики мультипідписних гаманців у питаннях управління правами та прозорості операцій, викликавши глибокі роздуми в індустрії щодо внутрішніх механізмів управління ризиками проектів.
4. Gala Games зазнала атаки на збільшення емісії токенів
Втрати: 216 мільйонів доларів США Метод атаки: Вразливість контролю доступу
20 травня 2024 року спеціальна адреса Gala Games була зламаною хакерами. Зловмисники викликали функцію mint токен-контракту, одноразово випустивши 5 мільярдів токенів GALA. Потім ці токени були обміняні на ETH партіями, що призвело до прямих втрат у розмірі 216 мільйонів доларів. Команда Gala Games потім активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через судові процедури повернула частину втрат.
5. Особистий гаманець засновника відомого криптовалютного проекту був вкрадений
Втрати: 112 мільйонів доларів США Метод атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці одного з співзасновників відомого криптовалютного проєкту були зламані хакерами, що призвело до крадіжки 112 мільйонів доларів США у XRP. Ці гаманці, ймовірно, стали мішенню атаки через відсутність апаратного двофакторного захисту. Хоча одна з бірж успішно заморозила частину вкрадених коштів і допомогла в їхньому відстеженні, більшість коштів вже була відмита через децентралізовані біржі та сервіси змішування.
6. Munchables зазнає внутрішнього проникнення
Втрати: 6250 мільйонів доларів США Методи атаки: Атака соціальної інженерії
26 березня 2024 року веб3 ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої витоку. Зловмисник маскувався під розробника блокчейну і, довго перебуваючи в системі, отримав доступ до основного коду й чутливих ключів. Незважаючи на величезні збитки, під тиском спільноти та команди хакер врешті-решт повернув усі вкрадені кошти. Ця подія підкреслює важливість безпеки постачальницького ланцюга, особливо для блокчейн-проєктів, які залежать від сторонніх розробників.
7. Основні біржі Туреччини зазнали витоку приватних ключів
Збиток: 55 мільйонів доларів США Метод атаки: витік приватного ключа
22 червня 2024 року одна з основних криптовалютних бірж Туреччини зазнала атаки з витоком приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. За підтримки однієї великої біржі вдалося заморозити 5,3 мільйона доларів США викрадених коштів, але інші активи досі не повернуті. Ця подія посилила занепокоєння ринку щодо здатності централізованих бірж управляти приватними ключами.
8. Гаманець з багатопідписом Radiant Capital було зламано
Втрати: 53 мільйони доларів США Метод атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital став жертвою хакерської атаки. Завдяки використанню низькопорогової моделі перевірки підписів 3/11, хакери отримали приватні ключі трьох підписантів і ініціювали поза ланцюговий підпис, передавши право власності на контракт гаманця на зловмисну адресу, що в результаті призвело до викрадення 53 мільйонів доларів. Ця атака спровокувала в індустрії роздуми про дизайн мультипідписних гаманців і механізми управління.
Варто зазначити, що Radiant Capital нещодавно зазнав збитків у 4,5 мільйона доларів через уразливість контракту, що свідчить про те, що проекту ще є куди покращувати рівень безпеки.
9. Hedgey Finance зазнав багатоцільової атаки
Втрата: 44,7 мільйона доларів США Методи атаки: Вразливість контракту
19 квітня 2024 року кілька смарт-контрактів Hedgey Finance стали жертвами атаки. Зловмисники використали вразливість затвердження в їхньому контракті ClaimCampaigns і успішно вилучили токени з мереж Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів. Ця подія знову підкреслила важливість аудиту коду, особливо суворої перевірки логіки затвердження токенів.
10. Гарячий гаманець певної біржі був зламаний
Збитки: 44,7 мільйона доларів США Метод атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець однієї з бірж зазнав хакерської атаки, в яку потрапили кілька публічних блокчейнів, зокрема Ethereum, BNB Chain, Tron та інші. Незважаючи на те, що біржа швидко запустила механізм перенесення активів та замороження виведення, хакерам вдалося успішно вивести активи на суму 44,7 мільйона доларів. Ця атака знову привернула увагу галузі до ризиків управління гарячими гаманцями централізованих бірж, спонукаючи галузь шукати більш безпечні рішення для зберігання активів.
Часті випадки безпеки у 2024 році знову нагадують нам, що здоровий розвиток блокчейн-індустрії неможливий без потужного забезпечення безпеки. Від управління приватними ключами до безпеки контрактів, від внутрішнього контролю до зовнішньої оборони, кожен випадок дзвонить у дзвони для індустрії. У майбутньому ми сподіваємося, що через технологічні інновації та співпрацю в індустрії ми спільно побудуємо більш безпечну та надійну екосистему блокчейн, щоб забезпечити кращий захист для користувачів та інвесторів.