Обзор и размышления о десяти главных инцидентах безопасности в Web3 за 2024 год
В 2024 году блокчейн-отрасль, наряду с технологическими инновациями и расширением экосистемы, также сталкивается с все более серьезными вызовами безопасности. Согласно данным о мониторинге безопасности, в этом году общие убытки в области Web3 из-за хакерских атак, фишинговых мошенничеств и ухода проектов составили 24,91 миллиарда долларов.
Эти события не только выявили технические недостатки, такие как управление приватными ключами и уязвимости смарт-контрактов, но также подчеркнули потенциальные риски социального инжиниринга и внутреннего управления. В данной статье мы рассмотрим десятку основных событий безопасности Web3 в 2024 году, надеясь извлечь из них уроки и предоставить рекомендации для будущей безопасности индустрии.
1. DMM Bitcoin: Утечка приватного ключа привела к потерям в 304 миллиона долларов
31 мая 2024 года японская известная криптовалютная биржа DMM Bitcoin подверглась серьезной атаке. Хакеры использовали утекший приватный ключ для непосредственного перевода биткойнов на сумму более 300 миллионов долларов, и быстро разослали украденные средства на несколько адресов. Этот инцидент выявил серьезные недостатки биржи в управлении приватными ключами и многоуровневой системе безопасности.
Несмотря на то, что биржа пыталась отслеживать хакеров с помощью мониторинга в цепочке и замораживания средств, похищенные биткойны были быстро распределены и очищены с помощью миксера, что значительно увеличило сложность возврата. Стоит отметить, что японская полиция 24 декабря подтвердила, что инцидент был совершён северокорейской хакерской группой Lazarus Group.
2. PlayDapp: Утечка приватных ключей привела к убыткам в 2.90 миллиарда долларов
9 февраля 2024 года PlayDapp понесла тяжелые потери. Хакеры, похитив приватные ключи, создали 2 миллиарда токенов PLA с первоначальной стоимостью 36,5 миллиона долларов. Поскольку переговоры проекта с хакерами провалились, хакеры впоследствии выпустили еще 15,9 миллиарда токенов PLA, стоимостью 253,9 миллиона долларов. Часть украденных токенов попала на биржи, после чего PlayDapp была вынуждена приостановить контракт PLA и перейти на новый контракт токена PDA. Этот инцидент подчеркивает недостатки блокчейн-проектов в защите приватных ключей и управлении экстренными ситуациями.
3. Некоторый индийский криптовалютный обменник: сетевые атаки и фишинг привели к убыткам в 235 миллионов долларов
18 июля 2024 года крупнейшая криптовалютная биржа Индии подверглась целенаправленному нападению на мультиподписной кошелек Safe Wallet. Злоумышленники использовали методы социальной инженерии, чтобы заставить подписантов мультиподписного кошелька подписать сделку по обновлению контракта, после чего воспользовались правами обновленного контракта для перевода всех активов из кошелька. Этот случай подчеркивает потенциальные риски мультиподписных кошельков в управлении правами и прозрачности операций, а также вызвал глубокие размышления в отрасли о внутренних механизмах управления рисками и безопасности проектов.
4. Gala Games: Уязвимость контроля доступа привела к убыткам в 216 миллионов долларов
20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint в токен-контракте, единовременно выпустили 5 миллиардов токенов GALA. Затем хакеры поэтапно обменяли эти токены на ETH, что напрямую привело к убыткам в размере 216 миллионов долларов. Команда Gala Games срочно активировала функцию черного списка, чтобы заблокировать некоторые аккаунты хакеров, и через юридические каналы смогла вернуть часть убытков.
5. Личный кошелек соучредителя Ripple подвергся атаке: украдено 112 миллионов долларов XRP
31 января 2024 года четыре личных кошелька сооснователя Ripple Крисом Ларсеном были взломаны хакерами, в результате чего было украдено 112 миллионов долларов в XRP. Эти кошельки могли стать мишенью для атаки из-за отсутствия двойной защиты с использованием аппаратных средств. После инцидента одна из бирж успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла Ларсену отследить украденные активы, но большая часть средств уже была отмыта через децентрализованные биржи и сервисы для микширования.
6. Munchables: Ущерб от атак социальной инженерии составил 62,5 миллиона долларов
26 марта 2024 года веб3 игровая платформа Munchables на базе Blast подверглась редкой внутренней атаке. Нападающий был хакером, замаскировавшимся под разработчика блокчейна, который, долгое время оставаясь в тени, получил доступ к исходному коду и чувствительным ключам. Несмотря на огромные убытки от атаки, под давлением сообщества и команды хакер в конечном итоге вернул все украденные средства. Этот инцидент подчеркнул важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонней разработки.
7. Некоторый турецкий криптовалютный обменник: утечка приватного ключа привела к убыткам в 55 миллионов долларов
22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке с утечкой приватных ключей, в результате чего были потеряны более 55 миллионов долларов в криптоактивах. Благодаря помощи команды одной из бирж было успешно заморожено 5,3 миллиона долларов украденных средств, но другие активы пока не возвращены. Этот инцидент усугубил опасения рынка по поводу управления приватными ключами централизованными биржами.
8. Radiant Capital: Уязвимость мультиподписного кошелька привела к убыткам в 53 миллиона долларов
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования низкопороговой модели проверки подписей 3/11, хакеры, получив доступ к закрытым ключам 3 подписантов, инициировали оффлайн-подпись, передав права собственности на контракт кошелька на злонамеренный адрес, что в конечном итоге привело к краже 53 миллионов долларов. Эта атака вызвала в индустрии размышления о дизайне и механизмах управления мультиподписными кошельками.
Важно отметить, что Radiant Capital уже потерял 4,5 миллиона долларов из-за уязвимости в контракте до этой атаки, и более 1900 ETH были украдены. Это еще раз подчеркивает, что у проектов Web3 есть возможность повысить уровень внимания к безопасности.
9. Hedgey Finance: Убытки в размере 44,7 миллиона долларов из-за уязвимости в контракте
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры воспользовались уязвимостью в контракте ClaimCampaigns, успешно извлекая токены с цепочек Ethereum и Arbitrum, общая сумма убытков составила 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Некоторый криптовалютный обменник: горячий кошелек был взломан, убытки составили 44,7 миллиона долларов.
19 сентября 2024 года горячий кошелек одной из криптовалютных бирж был взломан хакерами, затронув такими блокчейнами как Ethereum, BNB Chain, Tron и другими. Несмотря на то, что биржа быстро активировала механизмы перевода активов и заморозки вывода, хакеры смогли успешно вывести активы на сумму 44,7 миллиона долларов. Эта атака отражает высокие риски управления горячими кошельками централизованных бирж и далее способствует исследованию в индустрии более безопасных решений для хранения активов.
Заключение
В 2024 году события, связанные с атаками на безопасность, участились, что ещё раз напоминает нам о том, что развитие блокчейн-индустрии невозможно без надёжной защиты. От утечек приватных ключей до уязвимостей в контрактах, от внутренних управленческих ошибок до усовершенствования внешних атакующих методов — каждое событие принесло глубокие уроки. Чтобы противостоять всё более сложным угрозам атак, всем участникам отрасли необходимо продолжать усиливать инвестиции в научно-исследовательские разработки, управленческие нормы и меры по предотвращению рисков. В будущем мы ожидаем, что с помощью отраслевого сотрудничества и технологических инноваций мы сможем совместно создать более безопасную экосистему блокчейна, предоставляя пользователям и инвесторам более надёжную защиту.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
6 Лайков
Награда
6
3
Поделиться
комментарий
0/400
SocialAnxietyStaker
· 5ч назад
про Закрытый ключ можно украсть?
Посмотреть ОригиналОтветить0
pvt_key_collector
· 5ч назад
Всё равно ничего не упустили, просто притворяясь, что всё безопасно.
Обзор десяти самых крупных инцидентов безопасности в Web3: потери в 2024 году составили 24,91 миллиарда долларов.
Обзор и размышления о десяти главных инцидентах безопасности в Web3 за 2024 год
В 2024 году блокчейн-отрасль, наряду с технологическими инновациями и расширением экосистемы, также сталкивается с все более серьезными вызовами безопасности. Согласно данным о мониторинге безопасности, в этом году общие убытки в области Web3 из-за хакерских атак, фишинговых мошенничеств и ухода проектов составили 24,91 миллиарда долларов.
Эти события не только выявили технические недостатки, такие как управление приватными ключами и уязвимости смарт-контрактов, но также подчеркнули потенциальные риски социального инжиниринга и внутреннего управления. В данной статье мы рассмотрим десятку основных событий безопасности Web3 в 2024 году, надеясь извлечь из них уроки и предоставить рекомендации для будущей безопасности индустрии.
1. DMM Bitcoin: Утечка приватного ключа привела к потерям в 304 миллиона долларов
31 мая 2024 года японская известная криптовалютная биржа DMM Bitcoin подверглась серьезной атаке. Хакеры использовали утекший приватный ключ для непосредственного перевода биткойнов на сумму более 300 миллионов долларов, и быстро разослали украденные средства на несколько адресов. Этот инцидент выявил серьезные недостатки биржи в управлении приватными ключами и многоуровневой системе безопасности.
Несмотря на то, что биржа пыталась отслеживать хакеров с помощью мониторинга в цепочке и замораживания средств, похищенные биткойны были быстро распределены и очищены с помощью миксера, что значительно увеличило сложность возврата. Стоит отметить, что японская полиция 24 декабря подтвердила, что инцидент был совершён северокорейской хакерской группой Lazarus Group.
2. PlayDapp: Утечка приватных ключей привела к убыткам в 2.90 миллиарда долларов
9 февраля 2024 года PlayDapp понесла тяжелые потери. Хакеры, похитив приватные ключи, создали 2 миллиарда токенов PLA с первоначальной стоимостью 36,5 миллиона долларов. Поскольку переговоры проекта с хакерами провалились, хакеры впоследствии выпустили еще 15,9 миллиарда токенов PLA, стоимостью 253,9 миллиона долларов. Часть украденных токенов попала на биржи, после чего PlayDapp была вынуждена приостановить контракт PLA и перейти на новый контракт токена PDA. Этот инцидент подчеркивает недостатки блокчейн-проектов в защите приватных ключей и управлении экстренными ситуациями.
3. Некоторый индийский криптовалютный обменник: сетевые атаки и фишинг привели к убыткам в 235 миллионов долларов
18 июля 2024 года крупнейшая криптовалютная биржа Индии подверглась целенаправленному нападению на мультиподписной кошелек Safe Wallet. Злоумышленники использовали методы социальной инженерии, чтобы заставить подписантов мультиподписного кошелька подписать сделку по обновлению контракта, после чего воспользовались правами обновленного контракта для перевода всех активов из кошелька. Этот случай подчеркивает потенциальные риски мультиподписных кошельков в управлении правами и прозрачности операций, а также вызвал глубокие размышления в отрасли о внутренних механизмах управления рисками и безопасности проектов.
4. Gala Games: Уязвимость контроля доступа привела к убыткам в 216 миллионов долларов
20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint в токен-контракте, единовременно выпустили 5 миллиардов токенов GALA. Затем хакеры поэтапно обменяли эти токены на ETH, что напрямую привело к убыткам в размере 216 миллионов долларов. Команда Gala Games срочно активировала функцию черного списка, чтобы заблокировать некоторые аккаунты хакеров, и через юридические каналы смогла вернуть часть убытков.
5. Личный кошелек соучредителя Ripple подвергся атаке: украдено 112 миллионов долларов XRP
31 января 2024 года четыре личных кошелька сооснователя Ripple Крисом Ларсеном были взломаны хакерами, в результате чего было украдено 112 миллионов долларов в XRP. Эти кошельки могли стать мишенью для атаки из-за отсутствия двойной защиты с использованием аппаратных средств. После инцидента одна из бирж успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла Ларсену отследить украденные активы, но большая часть средств уже была отмыта через децентрализованные биржи и сервисы для микширования.
6. Munchables: Ущерб от атак социальной инженерии составил 62,5 миллиона долларов
26 марта 2024 года веб3 игровая платформа Munchables на базе Blast подверглась редкой внутренней атаке. Нападающий был хакером, замаскировавшимся под разработчика блокчейна, который, долгое время оставаясь в тени, получил доступ к исходному коду и чувствительным ключам. Несмотря на огромные убытки от атаки, под давлением сообщества и команды хакер в конечном итоге вернул все украденные средства. Этот инцидент подчеркнул важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонней разработки.
7. Некоторый турецкий криптовалютный обменник: утечка приватного ключа привела к убыткам в 55 миллионов долларов
22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке с утечкой приватных ключей, в результате чего были потеряны более 55 миллионов долларов в криптоактивах. Благодаря помощи команды одной из бирж было успешно заморожено 5,3 миллиона долларов украденных средств, но другие активы пока не возвращены. Этот инцидент усугубил опасения рынка по поводу управления приватными ключами централизованными биржами.
8. Radiant Capital: Уязвимость мультиподписного кошелька привела к убыткам в 53 миллиона долларов
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования низкопороговой модели проверки подписей 3/11, хакеры, получив доступ к закрытым ключам 3 подписантов, инициировали оффлайн-подпись, передав права собственности на контракт кошелька на злонамеренный адрес, что в конечном итоге привело к краже 53 миллионов долларов. Эта атака вызвала в индустрии размышления о дизайне и механизмах управления мультиподписными кошельками.
Важно отметить, что Radiant Capital уже потерял 4,5 миллиона долларов из-за уязвимости в контракте до этой атаки, и более 1900 ETH были украдены. Это еще раз подчеркивает, что у проектов Web3 есть возможность повысить уровень внимания к безопасности.
9. Hedgey Finance: Убытки в размере 44,7 миллиона долларов из-за уязвимости в контракте
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры воспользовались уязвимостью в контракте ClaimCampaigns, успешно извлекая токены с цепочек Ethereum и Arbitrum, общая сумма убытков составила 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Некоторый криптовалютный обменник: горячий кошелек был взломан, убытки составили 44,7 миллиона долларов.
19 сентября 2024 года горячий кошелек одной из криптовалютных бирж был взломан хакерами, затронув такими блокчейнами как Ethereum, BNB Chain, Tron и другими. Несмотря на то, что биржа быстро активировала механизмы перевода активов и заморозки вывода, хакеры смогли успешно вывести активы на сумму 44,7 миллиона долларов. Эта атака отражает высокие риски управления горячими кошельками централизованных бирж и далее способствует исследованию в индустрии более безопасных решений для хранения активов.
Заключение
В 2024 году события, связанные с атаками на безопасность, участились, что ещё раз напоминает нам о том, что развитие блокчейн-индустрии невозможно без надёжной защиты. От утечек приватных ключей до уязвимостей в контрактах, от внутренних управленческих ошибок до усовершенствования внешних атакующих методов — каждое событие принесло глубокие уроки. Чтобы противостоять всё более сложным угрозам атак, всем участникам отрасли необходимо продолжать усиливать инвестиции в научно-исследовательские разработки, управленческие нормы и меры по предотвращению рисков. В будущем мы ожидаем, что с помощью отраслевого сотрудничества и технологических инноваций мы сможем совместно создать более безопасную экосистему блокчейна, предоставляя пользователям и инвесторам более надёжную защиту.