2024年Web3領域十大安全事件盤點

2024年,Web3行業在創新發展的同時,也面臨着日益嚴峻的安全挑戰。據數據平台監測,截至目前,2024年Web3領域因黑客攻擊、詐騙和項目方跑路等原因造成的總損失高達24.91億美元。

這些事件不僅暴露了私鑰管理、智能合約等技術層面的漏洞,也凸顯了社交工程和內部管理方面的潛在風險。本文將回顧2024年Web3十大安全事件,以供業界借鑑,更好地應對未來的安全威脅。

1. DMM Bitcoin事件

損失金額: 3.04億美元
攻擊方式: 私鑰泄露

2024年5月31日,日本知名加密貨幣交易所DMM Bitcoin遭遇重大攻擊。黑客利用泄露的私鑰直接轉移了價值超過3億美元的比特幣,並迅速將被盜資金分散到10多個不同地址。此次事件暴露了該交易所在私鑰管理和多層安全防護上的嚴重缺陷。

盡管交易所試圖通過鏈上監控和凍結資金來追蹤黑客,但被盜比特幣已被分散轉移並通過混幣工具清洗,大大增加了追蹤難度。12月24日,日本警方確認該事件由朝鮮黑客組織Lazarus Group實施。

2. PlayDapp攻擊事件

損失金額: 2.90億美元
攻擊方式: 私鑰泄露

2024年2月9日,PlayDapp遭受重創。黑客通過竊取私鑰鑄造了20億枚PLA代幣,初始價值3650萬美元。由於項目方與黑客談判失敗,黑客隨後又鑄造了159億枚PLA代幣,價值2.539億美元。部分代幣流入交易平台後,PlayDapp被迫暫停PLA合約並遷移至PDA代幣合約。此事件凸顯了區塊鏈項目在私鑰保護和應急處置方面的不足。

3. WazirX多簽錢包遭攻擊

損失金額: 2.35億美元
攻擊方式: 網路攻擊與釣魚

2024年7月18日,印度最大加密貨幣交易所WazirX的Safe Wallet多簽錢包遭到精準攻擊。攻擊者通過社會工程手段誘導多籤籤名者簽署了一份合約升級交易,隨後利用升級後的合約權限轉移了錢包中的全部資產。這起案件揭示了多簽錢包在權限配置和操作透明度上的潛在風險,也引發了業內對項目內部風控與安全機制的深入反思。

4. Gala Games代幣增發事件

損失金額: 2.16億美元
攻擊方式: 訪問控制漏洞

2024年5月20日,Gala Games的一個特權地址被黑客攻破。攻擊者通過調用代幣合約的mint函數,一次性鑄造了50億枚GALA代幣。隨後,黑客分批將這些代幣兌換成ETH,直接造成2.16億美元的損失。Gala Games團隊在事發後緊急啓用黑名單功能封鎖部分黑客帳戶,並通過法律途徑追回了損失。

5. Ripple聯合創始人個人錢包被盜

損失金額: 1.12億美元
攻擊方式: 私鑰泄露

2024年1月31日,Ripple聯合創始人Chris Larsen的四個個人錢包遭黑客入侵,導致1.12億美元的XRP被盜。這些錢包疑因缺乏硬件設備的雙重保護而成爲攻擊目標。事件發生後,某交易平台成功凍結了價值420萬美元的XRP,並協助Larsen追蹤被盜資產,但大部分資金已通過去中心化交易所和混幣服務被清洗。

6. Munchables內部滲透攻擊

損失金額: 6250萬美元
攻擊方式: 社會工程學攻擊

2024年3月26日,基於Blast的Web3遊戲平台Munchables遭遇罕見的內部滲透攻擊。攻擊者是僞裝成區塊鏈開發人員的朝鮮黑客,通過長期潛伏獲取了核心代碼和敏感密鑰。盡管造成巨額損失,但在社區和團隊壓力下,黑客最終歸還了所有被盜資金。這一事件揭示了供應鏈安全的重要性,特別是對依賴第三方開發的區塊鏈項目。

7. BtcTurk私鑰泄露事件

損失金額: 5500萬美元
攻擊方式: 私鑰泄露

2024年6月22日,土耳其最大加密貨幣交易所BtcTurk遭遇私鑰泄露攻擊,損失超過5500萬美元的加密資產。在某交易平台的協助下,530萬美元被盜資金成功被凍結,但其它資產仍未追回。這一事件加深了市場對中心化交易所私鑰管理的擔憂。

8. Radiant Capital多簽錢包被攻破

損失金額: 5300萬美元
攻擊方式: 私鑰泄露

2024年10月17日,Radiant Capital的多簽錢包遭黑客入侵。由於採用了低門檻的3/11籤名驗證模式,黑客通過掌握3個籤名者的私鑰發起鏈下籤名,將錢包合約所有權轉移至惡意地址,最終導致5300萬美元被盜。這次攻擊引發了對多簽錢包設計和治理機制的行業反思。

值得注意的是,Radiant Capital在此次攻擊前,已因合約漏洞損失450萬美元,超1900枚ETH被盜。這反映出Web3項目方對安全重視程度仍有待提高。

9. Hedgey Finance合約漏洞攻擊

損失金額: 4470萬美元
攻擊方式: 合約漏洞

2024年4月19日,Hedgey Finance遭遇針對多個鏈上合約的攻擊。黑客利用其ClaimCampaigns合約的批準漏洞,成功提取了以太坊和Arbitrum兩條鏈上的代幣,總損失達4470萬美元。該事件凸顯了代碼審計的重要性,尤其是對代幣批準邏輯的嚴格驗證。

10. BingX交易所熱錢包被入侵

損失金額: 4470萬美元
攻擊方式: 私鑰泄露

2024年9月19日,BingX交易所的熱錢包遭黑客入侵,涉及以太坊、BNB Chain、Tron等多條公鏈。盡管交易所迅速啓動資產轉移和提現凍結機制,黑客仍成功提取了價值4470萬美元的資產。這次攻擊反映了中心化交易所熱錢包管理的高風險性,推動行業探索更安全的資產存儲方案。

2024年安全攻擊事件頻發,再次提醒我們區塊鏈行業發展離不開安全保障。從私鑰泄露到合約漏洞,從內部管理疏漏到外部攻擊手段升級,每起事件都帶來深刻教訓。爲應對日益復雜的攻擊威脅,行業各方需在技術研發、管理規範和風險防控上持續加強投入。未來,我們期待通過行業協作和技術創新,共同構建更安全的區塊鏈生態,爲用戶和投資者提供更可靠的保障。