Огляд та роздуми про десять найважливіших подій безпеки Web3 у 2024 році
У 2024 році блокчейн-індустрія, поряд з технологічними інноваціями та розширенням екосистеми, стикається з дедалі суворішими викликами безпеки. Згідно з даними моніторингу безпеки, цього року в сфері Web3 загальні збитки внаслідок хакерських атак, фішингових шахрайств і втечі проектів склали 24,91 мільярда доларів.
Ці події не лише виявили технічні недоліки, такі як управління приватними ключами та вразливості смарт-контрактів, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті буде розглянуто десять найбільших інцидентів безпеки у Web3 за 2024 рік, з метою винесення уроків для забезпечення безпеки індустрії в майбутньому.
1. DMM Bitcoin: витік приватного ключа призвів до збитків у 304 мільйони доларів
31 травня 2024 року японська відома криптовалютна біржа DMM Bitcoin зазнала значної атаки. Хакери використали витоку приватного ключа для безпосереднього переказу біткоїнів на суму понад 300 мільйонів доларів, швидко розподіливши вкрадені кошти на кілька адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій безпеці.
Хоча біржі намагаються відстежити хакерів за допомогою моніторингу в ланцюзі та заморожування коштів, викрадені біткойни швидко розподіляються та очищуються за допомогою міксерів, що значно ускладнює їх повернення. Варто зазначити, що японська поліція 24 грудня підтвердила, що цей інцидент є справою північнокорейської хакерської групи Lazarus Group.
2. PlayDapp: витік приватного ключа призвів до збитків у розмірі 2,90 мільярда доларів
9 лютого 2024 року PlayDapp зазнав серйозного удару. Хакери, викравши приватний ключ, випустили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Оскільки переговори між командою проекту та хакерами завершилися невдачею, хакери згодом випустили ще 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів США. Після часткового потрапляння вкрадених токенів на біржі PlayDapp був змушений призупинити контракт PLA та перейти на новий контракт токена PDA. Цей інцидент підкреслює недоліки проектів на блокчейні в питаннях захисту приватних ключів та реагування на надзвичайні ситуації.
3. Один індійський криптовалютний бірж: мережеві атаки та фішинг призвели до збитків у 235 мільйонів доларів
18 липня 2024 року найбільша криптовалютна біржа Індії зазнала цілеспрямованої атаки на багатопідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії спонукали підписувачів багатопідпису підписати угоду на оновлення контракту, а потім використали права, надані оновленим контрактом, для переміщення всіх активів з гаманця. Цей випадок підкреслює потенційні ризики багатопідписних гаманців у управлінні правами та прозорості операцій, а також викликав глибоке обговорення в галузі щодо внутрішнього контролю проектів та механізмів безпеки.
4. Gala Games: Вразливість контролю доступу призвела до збитків у 216 мільйонів доларів
20 травня 2024 року привілейований адрес Gala Games був зламаний хакерами. Зловмисники, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Після цього хакери поетапно обміняли ці токени на ETH, що безпосередньо призвело до втрат у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через судові заходи повернула частину збитків.
5. Особистий гаманець співзасновника Ripple піддався атаці: вкрадено 112 мільйонів доларів XRP
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Криса Ларсена були зламані хакерами, що призвело до викрадення 112 мільйонів доларів США у XRP. Ці гаманці, можливо, стали мішенню атаки через відсутність подвійного захисту апаратних засобів. Після інциденту одна з бірж успішно заморозила XRP на суму 4,2 мільйона доларів США і допомогла Ларсену відстежити викрадені активи, але більша частина коштів вже була очищена через децентралізовані біржі та послуги змішування.
6. Munchables: Утрати від соціально-інженерних атак становлять 62,5 мільйона доларів
26 березня 2024 року веб3 геймерська платформа Munchables на базі Blast зазнала рідкісної внутрішньої кібератаки. Зловмисник, що маскувався під розробника блокчейну, довгий час перебував у системі, отримавши доступ до основного коду та чутливих ключів. Хоча атака призвела до величезних збитків, під тиском спільноти та команди зловмисник зрештою повернув усі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальницького ланцюга, особливо для блокчейн-проєктів, що залежать від сторонніх розробок.
7. Одна турецька криптовалютна біржа: витік приватного ключа призвів до збитків у 55 мільйонів доларів
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки витоку приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою команди однієї з бірж було успішно заморожено 5,3 мільйона доларів США викрадених коштів, але інші активи досі не повернені. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Radiant Capital: Вразливість мультипідписного гаманця призвела до втрат у 53 мільйони доларів
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Через використання низького порогу верифікації 3/11 підписів, хакер, отримавши приватні ключі трьох підписувачів, ініціював поза ланцюговий підпис, що призвело до передачі прав власності на контракт гаманця на зловмисну адресу, в результаті чого було вкрадено 53 мільйони доларів. Ця атака викликала у галузі роздуми про дизайн багатопідписних гаманців і механізми управління.
Варто зазначити, що Radiant Capital перед цією атакою вже зазнав збитків у розмірі 4,5 мільйона доларів через вразливість у контракті, в результаті чого було вкрадено понад 1900 ETH. Це ще раз підкреслює, що у Web3 проектів є можливість покращити увагу до безпеки.
9. Hedgey Finance: Втрата 44,7 мільйона доларів через вразливості контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Зловмисники використали вразливість в договорі ClaimCampaigns, успішно витягнувши токени з мереж Ethereum та Arbitrum, загальні втрати склали 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо сувірної перевірки логіки затвердження токенів.
10. Одна криптовалютна біржа: гарячий гаманець був зламаний, втратили 44,7 мільйона доларів
19 вересня 2024 року гарячий гаманець одного з криптовалютних бірж був зламаний хакерами, що торкнулося декількох блокчейнів, таких як Ethereum, BNB Chain, Tron. Незважаючи на те, що біржа швидко запустила механізм переміщення активів та замороження виведення, хакери вже успішно вилучили активи на суму 44,7 мільйона доларів. Ця атака відображає високий ризик управління гарячими гаманцями централізованих бірж і подальше спонукання галузі до пошуку більш безпечних рішень для зберігання активів.
Висновок
Події безпеки у 2024 році відбуваються все частіше, ще раз нагадуючи нам, що розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від витоку приватних ключів до вразливостей в контракті, від внутрішніх управлінських недоліків до удосконалення зовнішніх атак, кожен з цих інцидентів приніс глибокі уроки. Щоб протистояти все більш складним загрозам атак, усі учасники індустрії повинні продовжувати посилювати інвестиції в дослідження технологій, управлінські норми та управління ризиками. У майбутньому ми сподіваємося на спільну роботу в індустрії та технологічні інновації для створення більш безпечного блокчейн-екосистеми з метою надання користувачам та інвесторам більш надійного захисту.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
6 лайків
Нагородити
6
3
Поділіться
Прокоментувати
0/400
SocialAnxietyStaker
· 5год тому
про Закритий ключ можуть бути вкрадені.
Переглянути оригіналвідповісти на0
pvt_key_collector
· 5год тому
Волосся навіть не впало, а вже вважається дуже безпечним.
Огляд десяти основних подій безпеки Web3: збитки досягли 24,91 мільярда доларів у 2024 році
Огляд та роздуми про десять найважливіших подій безпеки Web3 у 2024 році
У 2024 році блокчейн-індустрія, поряд з технологічними інноваціями та розширенням екосистеми, стикається з дедалі суворішими викликами безпеки. Згідно з даними моніторингу безпеки, цього року в сфері Web3 загальні збитки внаслідок хакерських атак, фішингових шахрайств і втечі проектів склали 24,91 мільярда доларів.
Ці події не лише виявили технічні недоліки, такі як управління приватними ключами та вразливості смарт-контрактів, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті буде розглянуто десять найбільших інцидентів безпеки у Web3 за 2024 рік, з метою винесення уроків для забезпечення безпеки індустрії в майбутньому.
1. DMM Bitcoin: витік приватного ключа призвів до збитків у 304 мільйони доларів
31 травня 2024 року японська відома криптовалютна біржа DMM Bitcoin зазнала значної атаки. Хакери використали витоку приватного ключа для безпосереднього переказу біткоїнів на суму понад 300 мільйонів доларів, швидко розподіливши вкрадені кошти на кілька адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій безпеці.
Хоча біржі намагаються відстежити хакерів за допомогою моніторингу в ланцюзі та заморожування коштів, викрадені біткойни швидко розподіляються та очищуються за допомогою міксерів, що значно ускладнює їх повернення. Варто зазначити, що японська поліція 24 грудня підтвердила, що цей інцидент є справою північнокорейської хакерської групи Lazarus Group.
2. PlayDapp: витік приватного ключа призвів до збитків у розмірі 2,90 мільярда доларів
9 лютого 2024 року PlayDapp зазнав серйозного удару. Хакери, викравши приватний ключ, випустили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Оскільки переговори між командою проекту та хакерами завершилися невдачею, хакери згодом випустили ще 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів США. Після часткового потрапляння вкрадених токенів на біржі PlayDapp був змушений призупинити контракт PLA та перейти на новий контракт токена PDA. Цей інцидент підкреслює недоліки проектів на блокчейні в питаннях захисту приватних ключів та реагування на надзвичайні ситуації.
3. Один індійський криптовалютний бірж: мережеві атаки та фішинг призвели до збитків у 235 мільйонів доларів
18 липня 2024 року найбільша криптовалютна біржа Індії зазнала цілеспрямованої атаки на багатопідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії спонукали підписувачів багатопідпису підписати угоду на оновлення контракту, а потім використали права, надані оновленим контрактом, для переміщення всіх активів з гаманця. Цей випадок підкреслює потенційні ризики багатопідписних гаманців у управлінні правами та прозорості операцій, а також викликав глибоке обговорення в галузі щодо внутрішнього контролю проектів та механізмів безпеки.
4. Gala Games: Вразливість контролю доступу призвела до збитків у 216 мільйонів доларів
20 травня 2024 року привілейований адрес Gala Games був зламаний хакерами. Зловмисники, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Після цього хакери поетапно обміняли ці токени на ETH, що безпосередньо призвело до втрат у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через судові заходи повернула частину збитків.
5. Особистий гаманець співзасновника Ripple піддався атаці: вкрадено 112 мільйонів доларів XRP
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Криса Ларсена були зламані хакерами, що призвело до викрадення 112 мільйонів доларів США у XRP. Ці гаманці, можливо, стали мішенню атаки через відсутність подвійного захисту апаратних засобів. Після інциденту одна з бірж успішно заморозила XRP на суму 4,2 мільйона доларів США і допомогла Ларсену відстежити викрадені активи, але більша частина коштів вже була очищена через децентралізовані біржі та послуги змішування.
6. Munchables: Утрати від соціально-інженерних атак становлять 62,5 мільйона доларів
26 березня 2024 року веб3 геймерська платформа Munchables на базі Blast зазнала рідкісної внутрішньої кібератаки. Зловмисник, що маскувався під розробника блокчейну, довгий час перебував у системі, отримавши доступ до основного коду та чутливих ключів. Хоча атака призвела до величезних збитків, під тиском спільноти та команди зловмисник зрештою повернув усі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальницького ланцюга, особливо для блокчейн-проєктів, що залежать від сторонніх розробок.
7. Одна турецька криптовалютна біржа: витік приватного ключа призвів до збитків у 55 мільйонів доларів
22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки витоку приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою команди однієї з бірж було успішно заморожено 5,3 мільйона доларів США викрадених коштів, але інші активи досі не повернені. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Radiant Capital: Вразливість мультипідписного гаманця призвела до втрат у 53 мільйони доларів
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Через використання низького порогу верифікації 3/11 підписів, хакер, отримавши приватні ключі трьох підписувачів, ініціював поза ланцюговий підпис, що призвело до передачі прав власності на контракт гаманця на зловмисну адресу, в результаті чого було вкрадено 53 мільйони доларів. Ця атака викликала у галузі роздуми про дизайн багатопідписних гаманців і механізми управління.
Варто зазначити, що Radiant Capital перед цією атакою вже зазнав збитків у розмірі 4,5 мільйона доларів через вразливість у контракті, в результаті чого було вкрадено понад 1900 ETH. Це ще раз підкреслює, що у Web3 проектів є можливість покращити увагу до безпеки.
9. Hedgey Finance: Втрата 44,7 мільйона доларів через вразливості контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Зловмисники використали вразливість в договорі ClaimCampaigns, успішно витягнувши токени з мереж Ethereum та Arbitrum, загальні втрати склали 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо сувірної перевірки логіки затвердження токенів.
10. Одна криптовалютна біржа: гарячий гаманець був зламаний, втратили 44,7 мільйона доларів
19 вересня 2024 року гарячий гаманець одного з криптовалютних бірж був зламаний хакерами, що торкнулося декількох блокчейнів, таких як Ethereum, BNB Chain, Tron. Незважаючи на те, що біржа швидко запустила механізм переміщення активів та замороження виведення, хакери вже успішно вилучили активи на суму 44,7 мільйона доларів. Ця атака відображає високий ризик управління гарячими гаманцями централізованих бірж і подальше спонукання галузі до пошуку більш безпечних рішень для зберігання активів.
Висновок
Події безпеки у 2024 році відбуваються все частіше, ще раз нагадуючи нам, що розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від витоку приватних ключів до вразливостей в контракті, від внутрішніх управлінських недоліків до удосконалення зовнішніх атак, кожен з цих інцидентів приніс глибокі уроки. Щоб протистояти все більш складним загрозам атак, усі учасники індустрії повинні продовжувати посилювати інвестиції в дослідження технологій, управлінські норми та управління ризиками. У майбутньому ми сподіваємося на спільну роботу в індустрії та технологічні інновації для створення більш безпечного блокчейн-екосистеми з метою надання користувачам та інвесторам більш надійного захисту.