Огляд десяти найбільших інцидентів безпеки Web3 у 2024 році
У 2024 році індустрія блокчейну, швидко розвиваючись, також стикається з серйозними викликами в сфері безпеки. За даними платформи моніторингу, до кінця року загальні збитки в області Web3 через хакерські атаки, шахрайство та зникнення проектів сягнули 24,91 мільярда доларів. Ці події не лише виявили вразливості на технічному рівні, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. Давайте згадаємо десять найвпливовіших інцидентів безпеки в сфері Web3 у 2024 році, сподіваючись отримати уроки з них, щоб краще справлятися з майбутніми загрозами безпеці.
1. DMM Bitcoin: витік приватного ключа призвів до збитків у 304 мільйони доларів
31 травня 2024 року відома японська криптовалютна біржа DMM Bitcoin зазнала серйозного удару. Зловмисники використали витік приватних ключів для переведення понад 300 мільйонів доларів США в біткоїнах і швидко розподілили кошти на кілька адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневою безпекою. Незважаючи на спроби біржі відстежити хакерів через моніторинг в мережі та замороження коштів, вкрадені кошти вже були розподілені та очищені за допомогою міксувальних інструментів, що значно ускладнило їх повернення.
Наприкінці року японська поліція підтвердила, що цей напад було здійснено певною хакерською організацією.
2. PlayDapp: Витік приватних ключів спричинив збитки у розмірі 2,90 мільярда доларів
9 лютого 2024 року PlayDapp зазнав серйозної безпекової аварії. Хакери, викравши приватні ключі, виготовили велику кількість токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Через невдачу в переговорах з хакерами нападники потім виготовили ще більше токенів, загальна вартість яких досягла 253,9 мільйона доларів США. Після часткового надходження цих токенів на біржі PlayDapp змушений був призупинити контракт PLA і перейти на новий токен-контракт. Цей інцидент підкреслив недоліки проектів на блокчейні в захисті приватних ключів та екстрених заходах.
3. Один індійський обмін: кібернапади та фішинг призвели до збитків у 235 мільйонів доларів
18 липня 2024 року найбільший криптовалютний обмін в Індії зазнав точного нападу на мультипідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії спонукали підписувачів мультипідпису підписати угоду про оновлення контракту, а потім використали права, надані оновленим контрактом, для переміщення активів з гаманця. Цей випадок виявив потенційні ризики мультипідписного гаманця в конфігурації прав та прозорості операцій, що викликало глибокі роздуми в галузі щодо внутрішнього контролю проекту та механізмів безпеки.
4. Gala Games: Уразливість контролю доступу призвела до збитків у 216 мільйонів доларів
20 травня 2024 року привілейована адреса Gala Games була зламана хакерами. Зловмисники, викликавши функцію mint токен-контракту, одноразово випустили 5 мільярдів токенів GALA. Після цього ці токени були обміняні на ETH у кілька етапів, що призвело до збитків у 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через судові канали повернула частину збитків.
5. Співзасновник певної криптовалюти: витік приватного ключа призвів до збитків у 112 мільйонів доларів
31 січня 2024 року чотири особисті гаманці спільного засновника відомого криптовалютного проекту були зламані хакерами, що призвело до крадіжки токенів на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту з використанням апаратних засобів. Після інциденту одна з бірж успішно заморозила токени на суму 4,2 мільйона доларів, але більшість коштів вже була очищена через децентралізовані біржі та послуги змішування.
6. Munchables: атаки соціальної інженерії призвели до збитків у 62,5 мільйона доларів
26 березня 2024 року веб3 ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої атаки. Зловмисники маскувалися під розробників блокчейну, тривалий час залишаючись непоміченими, щоб отримати доступ до основного коду та чутливих ключів. Незважаючи на значні збитки, під тиском громади та команди хакери врешті решт повернули всі викрадені кошти. Ця подія підкреслює важливість безпеки постачальної мережі, особливо для блокчейн-проєктів, які покладаються на розробку третьою стороною.
7. Одна турецька біржа: витік приватного ключа призвів до збитків у 55 мільйонів доларів
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, втративши понад 55 мільйонів доларів криптоактивів. За допомогою команди однієї з бірж вдалося заблокувати 5,3 мільйона доларів вкрадених коштів, але інші активи досі не повернуті. Цей інцидент поглибив занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Radiant Capital: витік приватних ключів призвів до збитків у 53 мільйони доларів
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Завдяки використанню моделі верифікації підписів 3/11, хакери, отримавши приватні ключі трьох підписантів, ініціювали підписання поза ланцюгом, передавши право власності на контракт гаманця на зловмисну адресу, що в кінцевому підсумку призвело до крадіжки 53 мільйонів доларів. Цей напад спровокував роздуми в індустрії щодо дизайну багатопідписних гаманців та механізмів управління.
Варто зазначити, що Radiant Capital раніше втратив 4,5 мільйона доларів через вразливість у контракті, більше 1900 ETH було вкрадено, що свідчить про те, що проєкти Web3 все ще мають підвищити увагу до безпеки.
9. Hedgey Finance: Витік контракту призвів до втрат у 44,7 мільйона доларів
19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Хакери використали вразливість в контракті ClaimCampaigns, успішно витягнувши токени з Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо для суворої перевірки логіки затвердження токенів.
10. Якась криптовалютна біржа: витік приватного ключа призвів до збитків у 44,7 мільйона доларів
19 вересня 2024 року гарячий гаманець деякої біржі був зламаний хакерами, що стосувалося кількох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron та інші. Хоча біржа швидко запустила механізм переведення активів та заморожування виведення, хакери вже встигли вивести активи на суму 44,7 мільйона доларів. Ця атака ще раз підкреслила високий ризик управління гарячими гаманцями централізованих бірж, що спонукає галузь шукати більш безпечні рішення для зберігання активів.
Часті інциденти безпеки у 2024 році знову нагадують нам, що розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від управління приватними ключами до вразливостей у контрактах, від внутрішніх управлінських помилок до вдосконалення зовнішніх атак, кожен випадок приніс глибокі уроки. Щоб протистояти все більш складним загрозам безпеці, сторонам у галузі потрібно постійно посилювати інвестиції в технологічні дослідження, управлінські норми та ризиковий контроль. У майбутньому ми сподіваємося, що завдяки співпраці в галузі та технологічним інноваціям ми спільно створимо більш безпечну екосистему блокчейн для забезпечення надійнішого захисту для користувачів та інвесторів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Огляд десяти найбільших інцидентів безпеки Web3 у 2024 році: збитки в розмірі майже 2,5 мільярда доларів попереджають про небезпеку в галузі
Огляд десяти найбільших інцидентів безпеки Web3 у 2024 році
У 2024 році індустрія блокчейну, швидко розвиваючись, також стикається з серйозними викликами в сфері безпеки. За даними платформи моніторингу, до кінця року загальні збитки в області Web3 через хакерські атаки, шахрайство та зникнення проектів сягнули 24,91 мільярда доларів. Ці події не лише виявили вразливості на технічному рівні, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. Давайте згадаємо десять найвпливовіших інцидентів безпеки в сфері Web3 у 2024 році, сподіваючись отримати уроки з них, щоб краще справлятися з майбутніми загрозами безпеці.
1. DMM Bitcoin: витік приватного ключа призвів до збитків у 304 мільйони доларів
31 травня 2024 року відома японська криптовалютна біржа DMM Bitcoin зазнала серйозного удару. Зловмисники використали витік приватних ключів для переведення понад 300 мільйонів доларів США в біткоїнах і швидко розподілили кошти на кілька адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневою безпекою. Незважаючи на спроби біржі відстежити хакерів через моніторинг в мережі та замороження коштів, вкрадені кошти вже були розподілені та очищені за допомогою міксувальних інструментів, що значно ускладнило їх повернення.
Наприкінці року японська поліція підтвердила, що цей напад було здійснено певною хакерською організацією.
2. PlayDapp: Витік приватних ключів спричинив збитки у розмірі 2,90 мільярда доларів
9 лютого 2024 року PlayDapp зазнав серйозної безпекової аварії. Хакери, викравши приватні ключі, виготовили велику кількість токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Через невдачу в переговорах з хакерами нападники потім виготовили ще більше токенів, загальна вартість яких досягла 253,9 мільйона доларів США. Після часткового надходження цих токенів на біржі PlayDapp змушений був призупинити контракт PLA і перейти на новий токен-контракт. Цей інцидент підкреслив недоліки проектів на блокчейні в захисті приватних ключів та екстрених заходах.
3. Один індійський обмін: кібернапади та фішинг призвели до збитків у 235 мільйонів доларів
18 липня 2024 року найбільший криптовалютний обмін в Індії зазнав точного нападу на мультипідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії спонукали підписувачів мультипідпису підписати угоду про оновлення контракту, а потім використали права, надані оновленим контрактом, для переміщення активів з гаманця. Цей випадок виявив потенційні ризики мультипідписного гаманця в конфігурації прав та прозорості операцій, що викликало глибокі роздуми в галузі щодо внутрішнього контролю проекту та механізмів безпеки.
4. Gala Games: Уразливість контролю доступу призвела до збитків у 216 мільйонів доларів
20 травня 2024 року привілейована адреса Gala Games була зламана хакерами. Зловмисники, викликавши функцію mint токен-контракту, одноразово випустили 5 мільярдів токенів GALA. Після цього ці токени були обміняні на ETH у кілька етапів, що призвело до збитків у 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через судові канали повернула частину збитків.
5. Співзасновник певної криптовалюти: витік приватного ключа призвів до збитків у 112 мільйонів доларів
31 січня 2024 року чотири особисті гаманці спільного засновника відомого криптовалютного проекту були зламані хакерами, що призвело до крадіжки токенів на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту з використанням апаратних засобів. Після інциденту одна з бірж успішно заморозила токени на суму 4,2 мільйона доларів, але більшість коштів вже була очищена через децентралізовані біржі та послуги змішування.
6. Munchables: атаки соціальної інженерії призвели до збитків у 62,5 мільйона доларів
26 березня 2024 року веб3 ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої атаки. Зловмисники маскувалися під розробників блокчейну, тривалий час залишаючись непоміченими, щоб отримати доступ до основного коду та чутливих ключів. Незважаючи на значні збитки, під тиском громади та команди хакери врешті решт повернули всі викрадені кошти. Ця подія підкреслює важливість безпеки постачальної мережі, особливо для блокчейн-проєктів, які покладаються на розробку третьою стороною.
7. Одна турецька біржа: витік приватного ключа призвів до збитків у 55 мільйонів доларів
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, втративши понад 55 мільйонів доларів криптоактивів. За допомогою команди однієї з бірж вдалося заблокувати 5,3 мільйона доларів вкрадених коштів, але інші активи досі не повернуті. Цей інцидент поглибив занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Radiant Capital: витік приватних ключів призвів до збитків у 53 мільйони доларів
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Завдяки використанню моделі верифікації підписів 3/11, хакери, отримавши приватні ключі трьох підписантів, ініціювали підписання поза ланцюгом, передавши право власності на контракт гаманця на зловмисну адресу, що в кінцевому підсумку призвело до крадіжки 53 мільйонів доларів. Цей напад спровокував роздуми в індустрії щодо дизайну багатопідписних гаманців та механізмів управління.
Варто зазначити, що Radiant Capital раніше втратив 4,5 мільйона доларів через вразливість у контракті, більше 1900 ETH було вкрадено, що свідчить про те, що проєкти Web3 все ще мають підвищити увагу до безпеки.
9. Hedgey Finance: Витік контракту призвів до втрат у 44,7 мільйона доларів
19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Хакери використали вразливість в контракті ClaimCampaigns, успішно витягнувши токени з Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо для суворої перевірки логіки затвердження токенів.
10. Якась криптовалютна біржа: витік приватного ключа призвів до збитків у 44,7 мільйона доларів
19 вересня 2024 року гарячий гаманець деякої біржі був зламаний хакерами, що стосувалося кількох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron та інші. Хоча біржа швидко запустила механізм переведення активів та заморожування виведення, хакери вже встигли вивести активи на суму 44,7 мільйона доларів. Ця атака ще раз підкреслила високий ризик управління гарячими гаманцями централізованих бірж, що спонукає галузь шукати більш безпечні рішення для зберігання активів.
Часті інциденти безпеки у 2024 році знову нагадують нам, що розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від управління приватними ключами до вразливостей у контрактах, від внутрішніх управлінських помилок до вдосконалення зовнішніх атак, кожен випадок приніс глибокі уроки. Щоб протистояти все більш складним загрозам безпеці, сторонам у галузі потрібно постійно посилювати інвестиції в технологічні дослідження, управлінські норми та ризиковий контроль. У майбутньому ми сподіваємося, що завдяки співпраці в галузі та технологічним інноваціям ми спільно створимо більш безпечну екосистему блокчейн для забезпечення надійнішого захисту для користувачів та інвесторів.