Огляд десяти основних безпекових подій у сфері Web3 за 2024 рік
У 2024 році індустрія Web3, розвиваючись інноваційно, також стикається з дедалі суворішими викликами безпеки. За даними платформи моніторингу, станом на кінець року загальні втрати в сфері Web3 через різноманітні атаки та шахрайства досягли 2,491 мільярда доларів США. Ці події не лише виявили технологічні вразливості, але й підкреслили потенційні ризики внутрішнього управління та соціальної інженерії. У цій статті буде розглянуто десять основних безпекових інцидентів Web3 у 2024 році, щоб отримати досвід і уроки, які можуть послужити орієнтиром для майбутнього захисту.
1. Подія DMM Bitcoin
Збитки: 304 мільйони доларів СШАМетод атаки: витік приватного ключа
31 травня відома японська криптовалютна біржа DMM Bitcoin зазнала серйозної безпекової аварії. Зловмисники використали скомпрометований приватний ключ для безпосереднього переведення понад 300 мільйонів доларів США в біткоїнах, швидко розподіливши кошти на кілька адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій безпеці. Незважаючи на те, що біржа вжила заходів, таких як моніторинг в мережі та заморожування коштів, повернення вкрадених коштів стикається з величезними викликами через те, що вони були очищені за допомогою міксера.
Наприкінці року японські правоохоронні органи підтвердили, що цю атаку здійснила певна хакерська організація.
2. Подія PlayDapp
Втрати: 290 мільйонів доларів СШАМетод атаки: витік приватного ключа
9 лютого PlayDapp зазнав серйозної вразливості безпеки. Хакери незаконно карбували велику кількість токенів PLA, викравши приватний ключ, початкова вартість яких становила 36,5 мільйона доларів. Через невдалі переговори з хакерами, зловмисники пізніше карбували токени вартістю 253,9 мільйона доларів. Ця подія змусила PlayDapp призупинити старий контракт і перейти на новий контракт токенів, підкресливши недоліки проектів на блокчейні в захисті приватних ключів та реагуванні на надзвичайні ситуації.
3. Подія на одному з індійських бірж
Втрати: 2,35 мільярда доларівМетоди атаки: мережеві атаки та фішинг
18 липня в Індії основна криптовалютна біржа зазнала цілеспрямованої атаки на свій мульти-підписний гаманець. Зловмисники за допомогою соціальної інженерії спонукали власників мульти-підпису підписати угоду про оновлення контракту, а потім скористалися оновленими правами для переведення всіх активів з гаманця. Ця подія виявила потенційні ризики мульти-підписних гаманців у питанні управління правами та прозорості операцій, що викликало глибоке обговорення механізмів внутрішнього контролю проектів в галузі.
4. Події Gala Games
Втрата: 216 мільйонів доларів СШАМетод атаки: вразливість контролю доступу
20 травня адреса привілеїв Gala Games була зламаною. Хакер використав функцію mint у контракті, щоб одноразово випустити 5 мільярдів токенів GALA та завдав збитків у розмірі 216 мільйонів доларів, обмінюючи їх на ETH частинами. Команда проекту потім активувала функцію чорного списку, щоб заблокувати деякі рахунки хакерів, та через юридичні заходи повернула частину збитків.
5. Засновник певного криптовалютного проєкту зазнав атаки
Збитки: 112 мільйонів доларівМетод атаки: витік приватного ключа
31 січня чотири особисті гаманці відомого співзасновника криптовалютного проекту стали жертвою хакерської атаки, що призвело до викрадення криптовалюти на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту апаратними засобами. Хоча деякі платформи для торгівлі змогли заморозити частину викрадених коштів, більша частина грошей вже була очищена через децентралізовані біржі та сервіси змішування.
6. Подія Munchables
Збиток: 62,5 мільйона доларів СШАМетод атаки: атака соціальної інженерії
26 березня веб3 ігрова платформа Munchables на базі Blast зазнала внутрішньої проникаючої атаки. Зловмисники маскувалися під розробників блокчейну та, тривалий час залишаючись непоміченими, отримали доступ до основного коду та чутливих ключів. Незважаючи на величезні збитки, під тиском громади та команди, хакери врешті-решт повернули всі вкрадені кошти. Ця подія підкреслює важливість безпеки постачального ланцюга, особливо для блокчейн-проектів, що залежать від сторонньої розробки.
7. Інцидент з турецькою біржею
Втрати: 55 мільйонів доларів СШАМетоди атаки: витік приватного ключа
22 червня одна з провідних криптовалютних бірж Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою однієї з торгових платформ вдалось заморозити 5,3 мільйона доларів США викрадених коштів, але більшість активів досі не повернено. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Події Radiant Capital
Втрата: 53 мільйони доларів СШАМетод атаки: витік приватного ключа
17 жовтня мультипідписний гаманець Radiant Capital зазнав хакерської атаки. Через використання моделі верифікації підписів з низьким порогом 3/11 хакери, отримавши приватні ключі 3 підписувачів, ініціювали підписання поза мережею, передавши право власності на контракт гаманця на зловмисну адресу, в результаті чого було вкрадено 53 мільйони доларів. Ця атака викликала галузеві роздуми про дизайн мультипідписних гаманців та механізми управління.
Варто зазначити, що Radiant Capital раніше зазнав збитків у розмірі 4,5 мільйона доларів через вразливість контракту, було вкрадено понад 1900 ETH, що свідчить про те, що команді проекту ще є куди розвиватися в плані безпеки.
9. Івент Hedgey Finance
Втрати: 44,7 мільйона доларів СШАМетод атаки: Уразливість контракту
19 квітня Hedgey Finance зазнав атаки на кілька смарт-контрактів. Хакери скористалися уразливістю в контракті ClaimCampaigns, успішно витягнувши токени з мереж Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів. Ця подія підкреслює важливість аудиту коду, особливо ретельної перевірки логіки затвердження токенів.
10. Гарячий гаманець певної торговельної платформи було вкрадено
Втрата: 44,7 мільйона доларів СШАМетод атаки: витік приватного ключа
19 вересня платформа для торгівлі зазнала хакерської атаки на свій гарячий гаманець, що торкнулося кількох блокчейнів, зокрема Ethereum, BNB Chain та Tron. Незважаючи на те, що біржа швидко запровадила механізм переведення активів та заморожування виведення, хакери все ж змогли вивести активи на суму 44,7 мільйона доларів. Ця атака знову виявила високі ризики управління гарячими гаманцями централізованими біржами, що спонукає галузь шукати більш безпечні рішення для зберігання активів.
Часті випадки безпеки у 2024 році знову нагадують нам, що здоровий розвиток блокчейн-індустрії неможливий без міцного захисту. Від управління приватними ключами до проектування контрактів, від внутрішнього контролю до зовнішньої оборони, кожен інцидент надає цінний досвід і уроки для галузі. З огляду на дедалі складніші загрози атак, галузі необхідно продовжувати інвестувати в дослідження та розробки технологій, управлінські норми та управління ризиками. У майбутньому ми сподіваємося, що спільна робота в галузі та технологічні інновації допоможуть створити більш безпечну та надійну екосистему блокчейну, щоб забезпечити кращий захист для користувачів і інвесторів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
18 лайків
Нагородити
18
5
Поділіться
Прокоментувати
0/400
SelfStaking
· 07-25 18:21
Безмежні інсайти, спокійний шлях.
Переглянути оригіналвідповісти на0
GateUser-9ad11037
· 07-25 03:07
Знову потрібно зберігати холодний гаманець.
Переглянути оригіналвідповісти на0
MEV_Whisperer
· 07-22 19:47
gm! Тільки що подивився, впало на 2.5B доларів. Знову ж таки, це рік, коли є справи.
Переглянути оригіналвідповісти на0
CrashHotline
· 07-22 19:45
Є стільки вкрадених грошей, не дивно, що мій гаманець щодня худне.
Переглянути оригіналвідповісти на0
fork_in_the_road
· 07-22 19:37
невдахи як обдурювати людей, як лохів так жорстоко
Безпекові втрати в сфері Web3 у 2024 році склали майже 2,5 мільярда доларів: Глибина огляду десяти основних подій
Огляд десяти основних безпекових подій у сфері Web3 за 2024 рік
У 2024 році індустрія Web3, розвиваючись інноваційно, також стикається з дедалі суворішими викликами безпеки. За даними платформи моніторингу, станом на кінець року загальні втрати в сфері Web3 через різноманітні атаки та шахрайства досягли 2,491 мільярда доларів США. Ці події не лише виявили технологічні вразливості, але й підкреслили потенційні ризики внутрішнього управління та соціальної інженерії. У цій статті буде розглянуто десять основних безпекових інцидентів Web3 у 2024 році, щоб отримати досвід і уроки, які можуть послужити орієнтиром для майбутнього захисту.
1. Подія DMM Bitcoin
Збитки: 304 мільйони доларів США Метод атаки: витік приватного ключа
31 травня відома японська криптовалютна біржа DMM Bitcoin зазнала серйозної безпекової аварії. Зловмисники використали скомпрометований приватний ключ для безпосереднього переведення понад 300 мільйонів доларів США в біткоїнах, швидко розподіливши кошти на кілька адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій безпеці. Незважаючи на те, що біржа вжила заходів, таких як моніторинг в мережі та заморожування коштів, повернення вкрадених коштів стикається з величезними викликами через те, що вони були очищені за допомогою міксера.
Наприкінці року японські правоохоронні органи підтвердили, що цю атаку здійснила певна хакерська організація.
2. Подія PlayDapp
Втрати: 290 мільйонів доларів США Метод атаки: витік приватного ключа
9 лютого PlayDapp зазнав серйозної вразливості безпеки. Хакери незаконно карбували велику кількість токенів PLA, викравши приватний ключ, початкова вартість яких становила 36,5 мільйона доларів. Через невдалі переговори з хакерами, зловмисники пізніше карбували токени вартістю 253,9 мільйона доларів. Ця подія змусила PlayDapp призупинити старий контракт і перейти на новий контракт токенів, підкресливши недоліки проектів на блокчейні в захисті приватних ключів та реагуванні на надзвичайні ситуації.
3. Подія на одному з індійських бірж
Втрати: 2,35 мільярда доларів Методи атаки: мережеві атаки та фішинг
18 липня в Індії основна криптовалютна біржа зазнала цілеспрямованої атаки на свій мульти-підписний гаманець. Зловмисники за допомогою соціальної інженерії спонукали власників мульти-підпису підписати угоду про оновлення контракту, а потім скористалися оновленими правами для переведення всіх активів з гаманця. Ця подія виявила потенційні ризики мульти-підписних гаманців у питанні управління правами та прозорості операцій, що викликало глибоке обговорення механізмів внутрішнього контролю проектів в галузі.
4. Події Gala Games
Втрата: 216 мільйонів доларів США Метод атаки: вразливість контролю доступу
20 травня адреса привілеїв Gala Games була зламаною. Хакер використав функцію mint у контракті, щоб одноразово випустити 5 мільярдів токенів GALA та завдав збитків у розмірі 216 мільйонів доларів, обмінюючи їх на ETH частинами. Команда проекту потім активувала функцію чорного списку, щоб заблокувати деякі рахунки хакерів, та через юридичні заходи повернула частину збитків.
5. Засновник певного криптовалютного проєкту зазнав атаки
Збитки: 112 мільйонів доларів Метод атаки: витік приватного ключа
31 січня чотири особисті гаманці відомого співзасновника криптовалютного проекту стали жертвою хакерської атаки, що призвело до викрадення криптовалюти на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту апаратними засобами. Хоча деякі платформи для торгівлі змогли заморозити частину викрадених коштів, більша частина грошей вже була очищена через децентралізовані біржі та сервіси змішування.
6. Подія Munchables
Збиток: 62,5 мільйона доларів США Метод атаки: атака соціальної інженерії
26 березня веб3 ігрова платформа Munchables на базі Blast зазнала внутрішньої проникаючої атаки. Зловмисники маскувалися під розробників блокчейну та, тривалий час залишаючись непоміченими, отримали доступ до основного коду та чутливих ключів. Незважаючи на величезні збитки, під тиском громади та команди, хакери врешті-решт повернули всі вкрадені кошти. Ця подія підкреслює важливість безпеки постачального ланцюга, особливо для блокчейн-проектів, що залежать від сторонньої розробки.
7. Інцидент з турецькою біржею
Втрати: 55 мільйонів доларів США Методи атаки: витік приватного ключа
22 червня одна з провідних криптовалютних бірж Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою однієї з торгових платформ вдалось заморозити 5,3 мільйона доларів США викрадених коштів, але більшість активів досі не повернено. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
8. Події Radiant Capital
Втрата: 53 мільйони доларів США Метод атаки: витік приватного ключа
17 жовтня мультипідписний гаманець Radiant Capital зазнав хакерської атаки. Через використання моделі верифікації підписів з низьким порогом 3/11 хакери, отримавши приватні ключі 3 підписувачів, ініціювали підписання поза мережею, передавши право власності на контракт гаманця на зловмисну адресу, в результаті чого було вкрадено 53 мільйони доларів. Ця атака викликала галузеві роздуми про дизайн мультипідписних гаманців та механізми управління.
Варто зазначити, що Radiant Capital раніше зазнав збитків у розмірі 4,5 мільйона доларів через вразливість контракту, було вкрадено понад 1900 ETH, що свідчить про те, що команді проекту ще є куди розвиватися в плані безпеки.
9. Івент Hedgey Finance
Втрати: 44,7 мільйона доларів США Метод атаки: Уразливість контракту
19 квітня Hedgey Finance зазнав атаки на кілька смарт-контрактів. Хакери скористалися уразливістю в контракті ClaimCampaigns, успішно витягнувши токени з мереж Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів. Ця подія підкреслює важливість аудиту коду, особливо ретельної перевірки логіки затвердження токенів.
10. Гарячий гаманець певної торговельної платформи було вкрадено
Втрата: 44,7 мільйона доларів США Метод атаки: витік приватного ключа
19 вересня платформа для торгівлі зазнала хакерської атаки на свій гарячий гаманець, що торкнулося кількох блокчейнів, зокрема Ethereum, BNB Chain та Tron. Незважаючи на те, що біржа швидко запровадила механізм переведення активів та заморожування виведення, хакери все ж змогли вивести активи на суму 44,7 мільйона доларів. Ця атака знову виявила високі ризики управління гарячими гаманцями централізованими біржами, що спонукає галузь шукати більш безпечні рішення для зберігання активів.
Часті випадки безпеки у 2024 році знову нагадують нам, що здоровий розвиток блокчейн-індустрії неможливий без міцного захисту. Від управління приватними ключами до проектування контрактів, від внутрішнього контролю до зовнішньої оборони, кожен інцидент надає цінний досвід і уроки для галузі. З огляду на дедалі складніші загрози атак, галузі необхідно продовжувати інвестувати в дослідження та розробки технологій, управлінські норми та управління ризиками. У майбутньому ми сподіваємося, що спільна робота в галузі та технологічні інновації допоможуть створити більш безпечну та надійну екосистему блокчейну, щоб забезпечити кращий захист для користувачів і інвесторів.