Огляд десяти найважливіших інцидентів безпеки у сфері Web3 у 2024 році
У 2024 році, коли індустрія Web3 активно розвивається, питання безпеки стає все більш помітним. За статистикою, до кінця року загальні збитки внаслідок хакерських атак, шахрайства та втечі проектних команд сягнули 24,91 мільярда доларів. Ці події не лише виявили технічні вразливості, а й підкреслили потенційні ризики в управлінні та експлуатації. У цій статті буде представлено десятку найбільш впливових інцидентів безпеки у сфері Web3 у 2024 році для нагадування та роздумів для галузі.
1. Японська біржа зазнала серйозної атаки
Сума збитків: 304 мільйони доларів СШАМетод атаки: витік приватного ключа
31 травня відома японська криптовалютна біржа зазнала серйозного інциденту безпеки. Зловмисники використали витік приватного ключа для прямого переміщення біткоїнів на суму понад 300 мільйонів доларів, а потім швидко розподілили вкрадені кошти на кілька адрес. Цей інцидент виявив серйозні недоліки біржі в управлінні приватними ключами та багаторівневій системі безпеки. Незважаючи на те, що біржа вжила заходів, таких як моніторинг в ланцюзі та заморожування коштів, через використання зловмисниками міксуючих інструментів робота з відстеження стикнулася з величезними труднощами.
В кінці року японська поліція підтвердила, що цей напад здійснено міжнародною хакерською організацією.
2. PlayDapp зазнав атаки надмірного випуску токенів
Сума збитків: 2,90 мільярда доларів СШАСпосіб атаки: витік приватного ключа
9 лютого проект PlayDapp зазнав серйозного удару. Хакери шляхом викрадення приватних ключів випустили велику кількість токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Через невдачу в переговорах з хакерами зловмисники додатково випустили ще більше токенів, загальна вартість яких досягла 253,9 мільйона доларів США. Після часткового потрапляння цих токенів на біржі PlayDapp був змушений призупинити оригінальний контракт і перейти на новий токен-контракт. Ця подія підкреслила недоліки проектів на блокчейні в захисті приватних ключів та у випадкових ситуаціях.
3. Найбільша криптовалютна біржа Індії зазнала атаки на мультипідписний гаманець
Сума збитків: 235 мільйонів доларів СШАСпособи атаки: мережеві атаки та фішинг
18 липня найбільша криптовалютна біржа в Індії зазнала точного нападу на свій багатопідписний гаманець Safe Wallet. Зловмисники шляхом соціальної інженерії спонукали підписувачів багатопідпису підписати угоду про оновлення контракту, а потім використали права оновленого контракту для переміщення всіх активів з гаманця. Цей випадок виявив потенційні ризики багатопідписних гаманців у налаштуванні прав та прозорості операцій, а також спровокував глибоке переосмислення внутрішніх механізмів управління ризиками проектів в індустрії.
4. Gala Games зазнала атаки на збільшення випуску токенів
Сума збитків: 216 мільйонів доларів СШАСпосіб атаки: Вразливість контролю доступу
20 травня привілейований адрес Gala Games був зламаний хакерами. Зловмисники, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Потім ці нововипущені токени були обміняні на ETH партіями, що безпосередньо спричинило збитки в розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через судові заходи повернула частину збитків.
5. Особистий гаманець засновника відомого криптовалютного проекту був вкрадений
Сума збитків: 112 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
31 січня чотири особисті гаманці спільного засновника відомого проєкту криптовалюти зазнали хакерської атаки, внаслідок чого було вкрадено криптовалюти на суму 112 мільйонів доларів США. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту за допомогою апаратних пристроїв. Після інциденту одна велика біржа успішно заморозила вкрадені активи на суму 4,2 мільйона доларів США, але більша частина коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Munchables зазнали внутрішньої атаки
Сума збитків: 6250 мільйонів доларів СШАСпосіб нападу: атака соціальної інженерії
26 березня платформа Web3 ігор на базі Blast Munchables зазнала рідкісної внутрішньої проникнення. Зловмисник маскувався під розробника блокчейну та, довго перебуваючи в системі, отримав доступ до основного коду та чутливих ключів. Незважаючи на величезні втрати, під тиском спільноти та команди, хакер врешті-решт повернув усі вкрадені кошти. Ця подія підкреслює важливість безпеки постачальників, особливо для блокчейн-проєктів, що залежать від розробки сторонніх компаній.
7. Найбільша криптовалютна біржа Туреччини зазнала витоку приватних ключів
Сума збитків: 55 мільйонів доларів СШАСпосіб атаки: витік приватного ключа
22 червня найбільша криптовалютна біржа Туреччини зазнала атаки на витік приватних ключів, внаслідок якої було втрачено понад 55 мільйонів доларів криптоактивів. За допомогою однієї з великих бірж 5,3 мільйона доларів вкрадених коштів вдалося заморозити, але інші активи досі не повернуті. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованих бірж.
8. Гаманець з багатопідписом Radiant Capital був зламаний
Сума збитків: 53 мільйони доларів СШАСпосіб атаки: витік приватного ключа
17 жовтня багатопідписний гаманець Radiant Capital зазнав хакерської атаки. Через використання низького порогу верифікації підпису 3/11, хакер, отримавши приватні ключі трьох підписувачів, ініціював позамежне підписання, що призвело до передачі прав власності на контракт гаманця на зловмисну адресу, в результаті чого було вкрадено 53 мільйони доларів. Ця атака викликала роздуми в індустрії щодо дизайну багатопідписних гаманців та механізмів управління.
Варто зазначити, що Radiant Capital до цієї атаки вже втратила 4,5 мільйона доларів через уразливість контракту, більше 1900 ETH було вкрадено. Це ще раз доводить, що проекти Web3 повинні підвищити рівень уваги до безпеки.
9. Hedgey Finance багатоцільовий контракт зазнав атаки
Сума збитків: 44,7 мільйона доларів СШАСпосіб атаки: Уразливість контракту
19 квітня Hedgey Finance зазнав атаки на кілька смарт-контрактів. Зловмисники використали вразливість затвердження в його контракті ClaimCampaigns, успішно витягнувши токени з Ethereum та Arbitrum на загальну суму втрат у 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо сувору перевірку логіки затвердження токенів.
10. Гарячий гаманець певної біржі був зламаний хакерами
Сума збитків: 44,7 мільйона доларів СШАСпосіб атаки: витік приватного ключа
19 вересня хакери зламали гарячий гаманець однієї з бірж, що призвело до порушення безпеки декількох публічних блокчейнів, зокрема Ethereum, BNB Chain та Tron. Хоча біржа швидко активувала механізми переведення активів та замороження виведення, хакери вже встигли вивести активи на суму 44,7 мільйона доларів. Ця атака ще раз підкреслила високі ризики управління гарячими гаманцями централізованих бірж, спонукаючи галузь шукати більш безпечні рішення для зберігання активів.
Часті інциденти безпеки у 2024 році знову попереджають нас про те, що розвиток індустрії блокчейн неможливий без забезпечення безпеки. Від управління приватними ключами до вразливостей у контрактах, від внутрішнього управління до підвищення зовнішніх атак, кожен інцидент б'є на сполох для галузі. Щоб впоратися з дедалі складнішими загрозами безпеці, галузь повинна продовжувати збільшувати інвестиції в технологічні дослідження, управлінські норми та запобігання ризикам. У майбутньому ми сподіваємося, що через співпрацю в галузі та технологічні інновації ми зможемо спільно створити більш безпечну і надійну екосистему блокчейн.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Топ-10 безпекових інцидентів у сфері Web3 у 2024 році завдали шкоди на 24,91 мільярда доларів США.
Огляд десяти найважливіших інцидентів безпеки у сфері Web3 у 2024 році
У 2024 році, коли індустрія Web3 активно розвивається, питання безпеки стає все більш помітним. За статистикою, до кінця року загальні збитки внаслідок хакерських атак, шахрайства та втечі проектних команд сягнули 24,91 мільярда доларів. Ці події не лише виявили технічні вразливості, а й підкреслили потенційні ризики в управлінні та експлуатації. У цій статті буде представлено десятку найбільш впливових інцидентів безпеки у сфері Web3 у 2024 році для нагадування та роздумів для галузі.
1. Японська біржа зазнала серйозної атаки
Сума збитків: 304 мільйони доларів США Метод атаки: витік приватного ключа
31 травня відома японська криптовалютна біржа зазнала серйозного інциденту безпеки. Зловмисники використали витік приватного ключа для прямого переміщення біткоїнів на суму понад 300 мільйонів доларів, а потім швидко розподілили вкрадені кошти на кілька адрес. Цей інцидент виявив серйозні недоліки біржі в управлінні приватними ключами та багаторівневій системі безпеки. Незважаючи на те, що біржа вжила заходів, таких як моніторинг в ланцюзі та заморожування коштів, через використання зловмисниками міксуючих інструментів робота з відстеження стикнулася з величезними труднощами.
В кінці року японська поліція підтвердила, що цей напад здійснено міжнародною хакерською організацією.
2. PlayDapp зазнав атаки надмірного випуску токенів
Сума збитків: 2,90 мільярда доларів США Спосіб атаки: витік приватного ключа
9 лютого проект PlayDapp зазнав серйозного удару. Хакери шляхом викрадення приватних ключів випустили велику кількість токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Через невдачу в переговорах з хакерами зловмисники додатково випустили ще більше токенів, загальна вартість яких досягла 253,9 мільйона доларів США. Після часткового потрапляння цих токенів на біржі PlayDapp був змушений призупинити оригінальний контракт і перейти на новий токен-контракт. Ця подія підкреслила недоліки проектів на блокчейні в захисті приватних ключів та у випадкових ситуаціях.
3. Найбільша криптовалютна біржа Індії зазнала атаки на мультипідписний гаманець
Сума збитків: 235 мільйонів доларів США Способи атаки: мережеві атаки та фішинг
18 липня найбільша криптовалютна біржа в Індії зазнала точного нападу на свій багатопідписний гаманець Safe Wallet. Зловмисники шляхом соціальної інженерії спонукали підписувачів багатопідпису підписати угоду про оновлення контракту, а потім використали права оновленого контракту для переміщення всіх активів з гаманця. Цей випадок виявив потенційні ризики багатопідписних гаманців у налаштуванні прав та прозорості операцій, а також спровокував глибоке переосмислення внутрішніх механізмів управління ризиками проектів в індустрії.
4. Gala Games зазнала атаки на збільшення випуску токенів
Сума збитків: 216 мільйонів доларів США Спосіб атаки: Вразливість контролю доступу
20 травня привілейований адрес Gala Games був зламаний хакерами. Зловмисники, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Потім ці нововипущені токени були обміняні на ETH партіями, що безпосередньо спричинило збитки в розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через судові заходи повернула частину збитків.
5. Особистий гаманець засновника відомого криптовалютного проекту був вкрадений
Сума збитків: 112 мільйонів доларів США Спосіб атаки: витік приватного ключа
31 січня чотири особисті гаманці спільного засновника відомого проєкту криптовалюти зазнали хакерської атаки, внаслідок чого було вкрадено криптовалюти на суму 112 мільйонів доларів США. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту за допомогою апаратних пристроїв. Після інциденту одна велика біржа успішно заморозила вкрадені активи на суму 4,2 мільйона доларів США, але більша частина коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Munchables зазнали внутрішньої атаки
Сума збитків: 6250 мільйонів доларів США Спосіб нападу: атака соціальної інженерії
26 березня платформа Web3 ігор на базі Blast Munchables зазнала рідкісної внутрішньої проникнення. Зловмисник маскувався під розробника блокчейну та, довго перебуваючи в системі, отримав доступ до основного коду та чутливих ключів. Незважаючи на величезні втрати, під тиском спільноти та команди, хакер врешті-решт повернув усі вкрадені кошти. Ця подія підкреслює важливість безпеки постачальників, особливо для блокчейн-проєктів, що залежать від розробки сторонніх компаній.
7. Найбільша криптовалютна біржа Туреччини зазнала витоку приватних ключів
Сума збитків: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа
22 червня найбільша криптовалютна біржа Туреччини зазнала атаки на витік приватних ключів, внаслідок якої було втрачено понад 55 мільйонів доларів криптоактивів. За допомогою однієї з великих бірж 5,3 мільйона доларів вкрадених коштів вдалося заморозити, але інші активи досі не повернуті. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованих бірж.
8. Гаманець з багатопідписом Radiant Capital був зламаний
Сума збитків: 53 мільйони доларів США Спосіб атаки: витік приватного ключа
17 жовтня багатопідписний гаманець Radiant Capital зазнав хакерської атаки. Через використання низького порогу верифікації підпису 3/11, хакер, отримавши приватні ключі трьох підписувачів, ініціював позамежне підписання, що призвело до передачі прав власності на контракт гаманця на зловмисну адресу, в результаті чого було вкрадено 53 мільйони доларів. Ця атака викликала роздуми в індустрії щодо дизайну багатопідписних гаманців та механізмів управління.
Варто зазначити, що Radiant Capital до цієї атаки вже втратила 4,5 мільйона доларів через уразливість контракту, більше 1900 ETH було вкрадено. Це ще раз доводить, що проекти Web3 повинні підвищити рівень уваги до безпеки.
9. Hedgey Finance багатоцільовий контракт зазнав атаки
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: Уразливість контракту
19 квітня Hedgey Finance зазнав атаки на кілька смарт-контрактів. Зловмисники використали вразливість затвердження в його контракті ClaimCampaigns, успішно витягнувши токени з Ethereum та Arbitrum на загальну суму втрат у 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо сувору перевірку логіки затвердження токенів.
10. Гарячий гаманець певної біржі був зламаний хакерами
Сума збитків: 44,7 мільйона доларів США Спосіб атаки: витік приватного ключа
19 вересня хакери зламали гарячий гаманець однієї з бірж, що призвело до порушення безпеки декількох публічних блокчейнів, зокрема Ethereum, BNB Chain та Tron. Хоча біржа швидко активувала механізми переведення активів та замороження виведення, хакери вже встигли вивести активи на суму 44,7 мільйона доларів. Ця атака ще раз підкреслила високі ризики управління гарячими гаманцями централізованих бірж, спонукаючи галузь шукати більш безпечні рішення для зберігання активів.
Часті інциденти безпеки у 2024 році знову попереджають нас про те, що розвиток індустрії блокчейн неможливий без забезпечення безпеки. Від управління приватними ключами до вразливостей у контрактах, від внутрішнього управління до підвищення зовнішніх атак, кожен інцидент б'є на сполох для галузі. Щоб впоратися з дедалі складнішими загрозами безпеці, галузь повинна продовжувати збільшувати інвестиції в технологічні дослідження, управлінські норми та запобігання ризикам. У майбутньому ми сподіваємося, що через співпрацю в галузі та технологічні інновації ми зможемо спільно створити більш безпечну і надійну екосистему блокчейн.