Топ-10 инцидентов безопасности Web3 в 2024 году привели к потерям почти в 2,5 миллиарда долларов, а DMM Bitcoin стал жертвой атаки на 300 миллионов долларов, заняв первое место.
Обзор десяти крупнейших инцидентов безопасности Web3 в 2024 году
В 2024 году блокчейн-индустрия сталкивается с все более серьезными вызовами безопасности в процессе технологических инноваций и расширения экосистемы. Согласно данным платформы мониторинга безопасности, по состоянию на сегодняшний день общие убытки в области Web3 в 2024 году из-за хакерских атак, фишинговых мошенничеств и ухода проектных команд составили 24,91 миллиарда долларов.
Эти события не только выявили уязвимости в таких технических аспектах, как управление приватными ключами и смарт-контрактами, но и подчеркнули потенциальные риски, связанные с атаками социальной инженерии и внутренним управлением. В этой статье мы рассмотрим десять самых значительных событий в области безопасности Web3 в 2024 году, с надеждой, что отрасль сможет извлечь из этого уроки и лучше подготовиться к будущим угрозам безопасности.
1. DMM Биткойн
Сумма убытка: 304 миллиона долларов США
Способ атаки: утечка личного ключа
31 мая 2024 года известная японская криптовалютная биржа DMM Bitcoin столкнулась с серьезным инцидентом безопасности. Злоумышленники использовали утекшие закрытые ключи для прямого перевода биткойнов на сумму более 300 миллионов долларов, быстро распределив похищенные средства на более чем 10 различных адресов. Этот инцидент выявил серьезные недостатки биржи в области управления закрытыми ключами и многоуровневой защиты. Хотя биржа пыталась отследить хакеров с помощью мониторинга в цепочке и заморозки средств, вернуть похищенные биткойны оказалось крайне сложно из-за быстрого распределения и отмывания через инструменты смешивания.
24 декабря японская полиция подтвердила, что эту атаку осуществила северокорейская хакерская группа Lazarus Group.
2. ПлейДапп
Сумма убытка: 290 миллионов долларов США
Способ атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp понес тяжелые потери. Хакеры, получив доступ к приватным ключам, выпустили 2 миллиарда токенов PLA на первоначальную сумму 36,5 миллиона долларов. Из-за неудачных переговоров с хакерами злоумышленники в короткие сроки выпустили еще 15,9 миллиарда токенов PLA на сумму 253,9 миллиона долларов. После того как часть украденных токенов попала на биржи, PlayDapp был вынужден приостановить контракт на PLA и перейти на новый контракт токена PDA. Этот инцидент подчеркивает недостатки проектов на блокчейне в защите приватных ключей и управлении чрезвычайными ситуациями.
3. Некоторый индийский криптовалютный обменник
Сумма убытков: 235 миллионов долларов США
Способы атаки: сетевые атаки и фишинг
18 июля 2024 года крупнейший криптовалютный обменник в Индии подвергся целенаправленной атаке на мультиподписной кошелек Safe Wallet. Злоумышленники с помощью социальной инженерии заставили подписантов мультиподписей подписать сделку по обновлению контракта, а затем использовали права, полученные от обновленного контракта, чтобы полностью перевести активы из кошелька. Этот случай подчеркивает потенциальные риски мультиподписных кошельков в управлении конфигурацией разрешений и прозрачности операций, а также вызвал глубокие размышления в отрасли о внутренних механизмах контроля и безопасности проектов.
4. Гала-игры
Сумма убытков: 216 миллионов долларов США
Способ атаки: Уязвимость контроля доступа
20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint в контракте токена, в один момент выпустили 5 миллиардов токенов GALA. Затем хакеры поэтапно обменяли выпущенные токены на ETH, что привело к прямым убыткам в 216 миллионов долларов. Команда Gala Games после инцидента срочно активировала функцию черного списка, заблокировав некоторые аккаунты хакеров, и попыталась вернуть часть убытков через юридические меры.
5. Личный кошелек соучредителя Ripple был украден
Сумма убытков: 112 миллионов долларов США
Способ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька соучредителя Ripple Крисом Ларсеном стали жертвой хакерской атаки, в результате которой было украдено 112 миллионов долларов XRP. Эти кошельки, вероятно, стали целью атаки из-за отсутствия защиты с помощью аппаратных устройств. После инцидента одна биржа успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла Ларсену отслеживать украденные активы, но большая часть средств уже была отмыта через децентрализованные биржи и службы смешивания.
6. Мунчаблс
Сумма убытка: 62,5 миллиона долларов США
Способы атаки: атака социальной инженерии
26 марта 2024 года Web3 игровая платформа Munchables на базе Blast подверглась редкой внутренней атаке с проникновением. Нападающие, маскируясь под разработчиков блокчейна, длительное время оставались в системе и получили доступ к исходному коду и конфиденциальным ключам. Несмотря на то, что атака привела к огромным потерям, под давлением сообщества и команды, хакеры в конечном итоге вернули все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.
7. Одна турецкая криптовалютная биржа
Сумма убытков: 55 миллионов долларов США
Способ атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке, в результате которой произошла утечка приватных ключей, что привело к убыткам более чем 55 миллионов долларов в криптоактивах. С помощью команды одной из бирж удалось заморозить украденные средства в размере 5,3 миллиона долларов, но другие активы пока не возвращены. Этот инцидент усилил беспокойство рынка по поводу управления приватными ключами централизованных бирж.
8. Радиант Капитал
Сумма убытка: 53 миллиона долларов США
Способ атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования низкопороговой модели проверки подписей 3/11, хакеры, получившие доступ к закрытым ключам 3 подписчиков, инициировали оффлайн-подпись и перенесли право собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала отраслевую рефлексию по поводу дизайна и механизма управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости в контракте до этой атаки, было украдено более 1900 ETH. Это еще раз подчеркивает необходимость повышения уровня безопасности для проектов Web3.
9. Хеджи Финанс
Сумма убытков: 44,7 миллиона долларов США
Способ атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подверглась атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в контракте ClaimCampaigns, успешно извлекая токены на двух цепочках: Ethereum и Arbitrum, с общими убытками в 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек одной криптовалютной биржи был украден
Сумма убытков: 44,7 миллиона долларов США
Способы атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек одной из криптовалютных бирж был взломан хакерами, затронутые блокчейны включают Ethereum, BNB Chain, Tron и другие публичные блокчейны. Несмотря на то, что биржа быстро активировала механизмы перевода активов и заморозки выводов, хакеры успешно извлекли активы на сумму 44,7 миллиона долларов. Эта атака отражает высокий риск управления горячими кошельками централизованных бирж и дополнительно побуждает индустрию исследовать более безопасные решения для хранения активов.
Частые инциденты с атаками безопасности в 2024 году снова напоминают нам о том, что развитие блокчейновой отрасли невозможно без обеспечения безопасности. От утечки приватных ключей до уязвимостей в контрактах, от недостатков внутреннего управления до повышения уровня внешних атак, каждое событие принесло глубокие уроки. Чтобы справиться с все более сложными угрозами атак, всем сторонам отрасли необходимо продолжать увеличивать инвестиции в научные исследования и разработки технологий, управление стандартами и риск-менеджмент. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы совместно создадим более безопасную экосистему блокчейна, предоставляя пользователям и инвесторам более надежную защиту.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Топ-10 инцидентов безопасности Web3 в 2024 году привели к потерям почти в 2,5 миллиарда долларов, а DMM Bitcoin стал жертвой атаки на 300 миллионов долларов, заняв первое место.
Обзор десяти крупнейших инцидентов безопасности Web3 в 2024 году
В 2024 году блокчейн-индустрия сталкивается с все более серьезными вызовами безопасности в процессе технологических инноваций и расширения экосистемы. Согласно данным платформы мониторинга безопасности, по состоянию на сегодняшний день общие убытки в области Web3 в 2024 году из-за хакерских атак, фишинговых мошенничеств и ухода проектных команд составили 24,91 миллиарда долларов.
Эти события не только выявили уязвимости в таких технических аспектах, как управление приватными ключами и смарт-контрактами, но и подчеркнули потенциальные риски, связанные с атаками социальной инженерии и внутренним управлением. В этой статье мы рассмотрим десять самых значительных событий в области безопасности Web3 в 2024 году, с надеждой, что отрасль сможет извлечь из этого уроки и лучше подготовиться к будущим угрозам безопасности.
1. DMM Биткойн
Сумма убытка: 304 миллиона долларов США Способ атаки: утечка личного ключа
31 мая 2024 года известная японская криптовалютная биржа DMM Bitcoin столкнулась с серьезным инцидентом безопасности. Злоумышленники использовали утекшие закрытые ключи для прямого перевода биткойнов на сумму более 300 миллионов долларов, быстро распределив похищенные средства на более чем 10 различных адресов. Этот инцидент выявил серьезные недостатки биржи в области управления закрытыми ключами и многоуровневой защиты. Хотя биржа пыталась отследить хакеров с помощью мониторинга в цепочке и заморозки средств, вернуть похищенные биткойны оказалось крайне сложно из-за быстрого распределения и отмывания через инструменты смешивания.
24 декабря японская полиция подтвердила, что эту атаку осуществила северокорейская хакерская группа Lazarus Group.
2. ПлейДапп
Сумма убытка: 290 миллионов долларов США Способ атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp понес тяжелые потери. Хакеры, получив доступ к приватным ключам, выпустили 2 миллиарда токенов PLA на первоначальную сумму 36,5 миллиона долларов. Из-за неудачных переговоров с хакерами злоумышленники в короткие сроки выпустили еще 15,9 миллиарда токенов PLA на сумму 253,9 миллиона долларов. После того как часть украденных токенов попала на биржи, PlayDapp был вынужден приостановить контракт на PLA и перейти на новый контракт токена PDA. Этот инцидент подчеркивает недостатки проектов на блокчейне в защите приватных ключей и управлении чрезвычайными ситуациями.
3. Некоторый индийский криптовалютный обменник
Сумма убытков: 235 миллионов долларов США Способы атаки: сетевые атаки и фишинг
18 июля 2024 года крупнейший криптовалютный обменник в Индии подвергся целенаправленной атаке на мультиподписной кошелек Safe Wallet. Злоумышленники с помощью социальной инженерии заставили подписантов мультиподписей подписать сделку по обновлению контракта, а затем использовали права, полученные от обновленного контракта, чтобы полностью перевести активы из кошелька. Этот случай подчеркивает потенциальные риски мультиподписных кошельков в управлении конфигурацией разрешений и прозрачности операций, а также вызвал глубокие размышления в отрасли о внутренних механизмах контроля и безопасности проектов.
4. Гала-игры
Сумма убытков: 216 миллионов долларов США Способ атаки: Уязвимость контроля доступа
20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint в контракте токена, в один момент выпустили 5 миллиардов токенов GALA. Затем хакеры поэтапно обменяли выпущенные токены на ETH, что привело к прямым убыткам в 216 миллионов долларов. Команда Gala Games после инцидента срочно активировала функцию черного списка, заблокировав некоторые аккаунты хакеров, и попыталась вернуть часть убытков через юридические меры.
5. Личный кошелек соучредителя Ripple был украден
Сумма убытков: 112 миллионов долларов США Способ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька соучредителя Ripple Крисом Ларсеном стали жертвой хакерской атаки, в результате которой было украдено 112 миллионов долларов XRP. Эти кошельки, вероятно, стали целью атаки из-за отсутствия защиты с помощью аппаратных устройств. После инцидента одна биржа успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла Ларсену отслеживать украденные активы, но большая часть средств уже была отмыта через децентрализованные биржи и службы смешивания.
6. Мунчаблс
Сумма убытка: 62,5 миллиона долларов США Способы атаки: атака социальной инженерии
26 марта 2024 года Web3 игровая платформа Munchables на базе Blast подверглась редкой внутренней атаке с проникновением. Нападающие, маскируясь под разработчиков блокчейна, длительное время оставались в системе и получили доступ к исходному коду и конфиденциальным ключам. Несмотря на то, что атака привела к огромным потерям, под давлением сообщества и команды, хакеры в конечном итоге вернули все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.
7. Одна турецкая криптовалютная биржа
Сумма убытков: 55 миллионов долларов США Способ атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке, в результате которой произошла утечка приватных ключей, что привело к убыткам более чем 55 миллионов долларов в криптоактивах. С помощью команды одной из бирж удалось заморозить украденные средства в размере 5,3 миллиона долларов, но другие активы пока не возвращены. Этот инцидент усилил беспокойство рынка по поводу управления приватными ключами централизованных бирж.
8. Радиант Капитал
Сумма убытка: 53 миллиона долларов США Способ атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования низкопороговой модели проверки подписей 3/11, хакеры, получившие доступ к закрытым ключам 3 подписчиков, инициировали оффлайн-подпись и перенесли право собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала отраслевую рефлексию по поводу дизайна и механизма управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости в контракте до этой атаки, было украдено более 1900 ETH. Это еще раз подчеркивает необходимость повышения уровня безопасности для проектов Web3.
9. Хеджи Финанс
Сумма убытков: 44,7 миллиона долларов США Способ атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подверглась атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в контракте ClaimCampaigns, успешно извлекая токены на двух цепочках: Ethereum и Arbitrum, с общими убытками в 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек одной криптовалютной биржи был украден
Сумма убытков: 44,7 миллиона долларов США Способы атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек одной из криптовалютных бирж был взломан хакерами, затронутые блокчейны включают Ethereum, BNB Chain, Tron и другие публичные блокчейны. Несмотря на то, что биржа быстро активировала механизмы перевода активов и заморозки выводов, хакеры успешно извлекли активы на сумму 44,7 миллиона долларов. Эта атака отражает высокий риск управления горячими кошельками централизованных бирж и дополнительно побуждает индустрию исследовать более безопасные решения для хранения активов.
Частые инциденты с атаками безопасности в 2024 году снова напоминают нам о том, что развитие блокчейновой отрасли невозможно без обеспечения безопасности. От утечки приватных ключей до уязвимостей в контрактах, от недостатков внутреннего управления до повышения уровня внешних атак, каждое событие принесло глубокие уроки. Чтобы справиться с все более сложными угрозами атак, всем сторонам отрасли необходимо продолжать увеличивать инвестиции в научные исследования и разработки технологий, управление стандартами и риск-менеджмент. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы совместно создадим более безопасную экосистему блокчейна, предоставляя пользователям и инвесторам более надежную защиту.