Обзор десяти крупнейших инцидентов безопасности в Блокчейн-индустрии за 2024 год
С развитием технологий Блокчейн, в 2024 году эта отрасль достигла значительных успехов в области технологических инноваций и расширения экосистемы. Однако наряду с этими успехами, вызовы безопасности становятся все более серьезными. Согласно данным одной платформы мониторинга безопасности, по состоянию на конец 2024 года, общие потери в области Web3 из-за различных инцидентов безопасности составили 2.491 миллиарда долларов. Эти события не только выявили уязвимости на техническом уровне, такие как неправильное управление приватными ключами и дефекты смарт-контрактов, но и подчеркнули проблемы, такие как атаки социальной инженерии и риски внутреннего управления.
В данной статье будет рассмотрено десять самых значительных событий в области безопасности Web3 в 2024 году, с целью извлечения уроков и предоставления рекомендаций для будущей защиты.
1. Событие DMM Bitcoin
Сумма убытков: 304 миллиона долларов США
Методы атаки: утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа DMM Bitcoin подверглась серьезной атаке. Злоумышленники использовали скомпрометированные приватные ключи для прямого перевода более 300 миллионов долларов в биткойнах и быстро разбросали эти средства по нескольким адресам. Этот инцидент выявил серьезные недостатки биржи в управлении приватными ключами и многоуровневыми мерами безопасности. Несмотря на то, что биржа предприняла меры, такие как мониторинг на блокчейне и заморозка средств, работа по отслеживанию столкнулась с огромными трудностями из-за использования хакерами инструментов смешивания.
Стоит отметить, что японская полиция 24 декабря подтвердила, что инцидент был совершён международной хакерской группировкой, что подчеркивает серьезность транснациональной киберпреступности.
2. PlayDapp столкнулся с чрезмерной эмиссией токенов
Сумма убытков: 2.90 миллиарда долларов США
Метод атаки: утечка приватного ключа
9 февраля 2024 года проект PlayDapp понес серьезные убытки. Хакеры, получив доступ к приватному ключу, незаконно выпустили большое количество токенов PLA, что привело к первоначальным потерям в размере 36,5 миллиона долларов. В связи с неудачными переговорами между проектом и хакерами, злоумышленники дополнительно выпустили 15,9 миллиарда токенов PLA, что увеличило общие убытки до 253,9 миллиона долларов. Это событие заставило PlayDapp приостановить старый контракт и перейти на новый токен-контракт, подчеркивая недостатки проектов Блокчейн в защите приватных ключей и механизмах экстренного реагирования.
3. Мультиподписной кошелек WazirX подвергся атаке
Сумма убытков: 235 миллионов долларов США
Методы атаки: сетевые атаки и фишинг
18 июля 2024 года крупнейший в Индии криптовалютный обменник WazirX подвергся целевому атаке на мультиподписной кошелек Safe Wallet. Злоумышленники с помощью социальных инженерных методов заставили подписантов мультиподписного кошелька одобрить сделку по обновлению контракта, а затем, воспользовавшись правами обновленного контракта, перенесли все активы из кошелька. Этот инцидент выявил потенциальные риски мультиподписных кошельков в управлении правами и прозрачности операций, а также вызвал глубокое переосмысление внутреннего механизма управления рисками проектов в отрасли.
4. Уязвимость контракта токена Gala Games
Сумма убытков: 216 миллионов долларов США
Методы атаки: уязвимости контроля доступа
20 мая 2024 года один из привилегированных адресов Gala Games был взломан. Злоумышленники использовали функцию mint в токен-контракте для единовременного выпуска 5 миллиардов токенов GALA. Затем эти незаконно выпущенные токены были обменены на ETH партиями, что привело к убыткам в размере 216 миллионов долларов. Несмотря на то, что команда Gala Games быстро активировала функцию черного списка, чтобы заблокировать некоторые аккаунты хакеров, и через судебные инстанции вернула часть убытков, этот инцидент все же подчеркивает важность проектирования контрактов и управления правами.
5. Личный кошелек известного основателя криптовалюты был украден
Сумма убытков: 1.12 миллиарда долларов США
Метод атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька одного из известных проектов криптовалюты были взломаны, что привело к краже 112 миллионов долларов XRP. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты с использованием аппаратных средств. После инцидента одна крупная биржа успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла отслеживать украденные активы, но большая часть средств уже была отмыта через децентрализованные биржи и сервисы смешивания.
6. Munchables столкнулся с внутренним проникновением
Сумма убытков: 6250 миллионов долларов США
Методы атаки: атака социальной инженерии
26 марта 2024 года Web3 игровая платформа Munchables на основе Blast подверглась редкой внутренней атаке с проникновением. Злоумышленники замаскировались под разработчиков Блокчейн и, долго оставаясь в системе, получили доступ к исходному коду и конфиденциальным ключам. Несмотря на значительные убытки, под давлением сообщества и команды хакеры в конечном итоге вернули все украденные средства. Этот инцидент подчеркнул важность безопасности цепочки поставок, особенно для Блокчейн проектов, зависящих от сторонних разработчиков.
Сумма убытков: 55 миллионов долларов США
Метод атаки: утечка приватного ключа
22 июня 2024 года крупная криптовалютная биржа в Турции подверглась атаке на утечку приватных ключей, в результате чего были потеряны криптоактивы на сумму более 55 миллионов долларов. С помощью одной из известных бирж было успешно заморожено около 5,3 миллиона долларов из украденных средств, но другие активы все еще не возвращены. Этот инцидент снова вызвал беспокойство на рынке по поводу способности централизованных бирж управлять приватными ключами.
8. Мультиподписной кошелек Radiant Capital был взломан
Сумма убытков: 53 миллиона долларов США
Методы атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования более низкого уровня безопасности в режиме проверки подписей 3/11, хакеры, получив доступ к приватным ключам 3 подписантов, инициировали оффлайн-подпись, что привело к передаче прав собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала глубокое обсуждение в отрасли по поводу проектирования и механизмов управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital до этой атаки уже понес убытки в размере 4,5 миллиона долларов из-за уязвимости в контракте, и более 1900 ETH были украдены, что свидетельствует о продолжающихся проблемах этого проекта в области управления безопасностью.
9. Инцидент с уязвимостью контрактов Hedgey Finance
Сумма убытков: 4470 миллионов долларов США
Способы атаки: уязвимости контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в контракте ClaimCampaigns, что позволило им успешно вывести токены с сетей Ethereum и Arbitrum, общие потери составили 44,7 миллиона долларов. Этот инцидент еще раз подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек известной биржи был взломан
Сумма убытков: 4470 миллионов долларов США
Методы атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек известной биржи был взломан хакерами, затронув такими блокчейнами, как Ethereum, BNB Chain, Tron и другими. Хотя биржа быстро активировала механизм перевода активов и заморозки выводов, хакеры успешно вывели активы на сумму 44,7 миллиона долларов. Эта атака вновь подчеркивает высокие риски управления горячими кошельками централизованных бирж и побуждает отрасль к дальнейшим исследованиям более безопасных решений для хранения активов.
Заключение
Частые инциденты безопасности в 2024 году вновь напоминают нам о том, что здоровое развитие Блокчейн-отрасли невозможно без надежной безопасности. От управления приватными ключами до проектирования контрактов, от внутреннего управления до внешней защиты — каждый инцидент звонит в колокол для отрасли. В условиях все более сложных методов атак все стороны отрасли должны продолжать инвестировать в технические разработки, управленческие нормы и предотвращение рисков. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы совместно создадим более безопасную и надежную экосистему Блокчейн, предоставляя пользователям и инвесторам более мощную защиту.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
7
Поделиться
комментарий
0/400
GateUser-aa7df71e
· 19ч назад
неудачники крови снова потекли, а те, кто играет в управление закрытым ключом, все бумажные руки
Посмотреть ОригиналОтветить0
LightningClicker
· 08-06 14:54
Снова нашли уязвимость, все потеряли деньги.
Посмотреть ОригиналОтветить0
EntryPositionAnalyst
· 08-06 14:50
мир криптовалют за год разыгрывает людей как лохов так сильно, что это уже не в какие ворота.
Посмотреть ОригиналОтветить0
DeFiVeteran
· 08-06 14:50
Опять разыгрывают людей как лохов?
Посмотреть ОригиналОтветить0
ForumMiningMaster
· 08-06 14:41
С каждой новой аварией приходят новые неудачники
Посмотреть ОригиналОтветить0
OnChainSleuth
· 08-06 14:40
Ужасно, из этих инцидентов почти ничего не подлежит восстановлению.
Посмотреть ОригиналОтветить0
Whale_Whisperer
· 08-06 14:25
неудачники еще кричат зимой, Хакер уже заработал кучу денег
Топ-10 инцидентов в сфере Web3 в 2024 году с убытками почти 2,5 миллиарда долларов
Обзор десяти крупнейших инцидентов безопасности в Блокчейн-индустрии за 2024 год
С развитием технологий Блокчейн, в 2024 году эта отрасль достигла значительных успехов в области технологических инноваций и расширения экосистемы. Однако наряду с этими успехами, вызовы безопасности становятся все более серьезными. Согласно данным одной платформы мониторинга безопасности, по состоянию на конец 2024 года, общие потери в области Web3 из-за различных инцидентов безопасности составили 2.491 миллиарда долларов. Эти события не только выявили уязвимости на техническом уровне, такие как неправильное управление приватными ключами и дефекты смарт-контрактов, но и подчеркнули проблемы, такие как атаки социальной инженерии и риски внутреннего управления.
В данной статье будет рассмотрено десять самых значительных событий в области безопасности Web3 в 2024 году, с целью извлечения уроков и предоставления рекомендаций для будущей защиты.
1. Событие DMM Bitcoin
Сумма убытков: 304 миллиона долларов США Методы атаки: утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа DMM Bitcoin подверглась серьезной атаке. Злоумышленники использовали скомпрометированные приватные ключи для прямого перевода более 300 миллионов долларов в биткойнах и быстро разбросали эти средства по нескольким адресам. Этот инцидент выявил серьезные недостатки биржи в управлении приватными ключами и многоуровневыми мерами безопасности. Несмотря на то, что биржа предприняла меры, такие как мониторинг на блокчейне и заморозка средств, работа по отслеживанию столкнулась с огромными трудностями из-за использования хакерами инструментов смешивания.
Стоит отметить, что японская полиция 24 декабря подтвердила, что инцидент был совершён международной хакерской группировкой, что подчеркивает серьезность транснациональной киберпреступности.
2. PlayDapp столкнулся с чрезмерной эмиссией токенов
Сумма убытков: 2.90 миллиарда долларов США Метод атаки: утечка приватного ключа
9 февраля 2024 года проект PlayDapp понес серьезные убытки. Хакеры, получив доступ к приватному ключу, незаконно выпустили большое количество токенов PLA, что привело к первоначальным потерям в размере 36,5 миллиона долларов. В связи с неудачными переговорами между проектом и хакерами, злоумышленники дополнительно выпустили 15,9 миллиарда токенов PLA, что увеличило общие убытки до 253,9 миллиона долларов. Это событие заставило PlayDapp приостановить старый контракт и перейти на новый токен-контракт, подчеркивая недостатки проектов Блокчейн в защите приватных ключей и механизмах экстренного реагирования.
3. Мультиподписной кошелек WazirX подвергся атаке
Сумма убытков: 235 миллионов долларов США Методы атаки: сетевые атаки и фишинг
18 июля 2024 года крупнейший в Индии криптовалютный обменник WazirX подвергся целевому атаке на мультиподписной кошелек Safe Wallet. Злоумышленники с помощью социальных инженерных методов заставили подписантов мультиподписного кошелька одобрить сделку по обновлению контракта, а затем, воспользовавшись правами обновленного контракта, перенесли все активы из кошелька. Этот инцидент выявил потенциальные риски мультиподписных кошельков в управлении правами и прозрачности операций, а также вызвал глубокое переосмысление внутреннего механизма управления рисками проектов в отрасли.
4. Уязвимость контракта токена Gala Games
Сумма убытков: 216 миллионов долларов США Методы атаки: уязвимости контроля доступа
20 мая 2024 года один из привилегированных адресов Gala Games был взломан. Злоумышленники использовали функцию mint в токен-контракте для единовременного выпуска 5 миллиардов токенов GALA. Затем эти незаконно выпущенные токены были обменены на ETH партиями, что привело к убыткам в размере 216 миллионов долларов. Несмотря на то, что команда Gala Games быстро активировала функцию черного списка, чтобы заблокировать некоторые аккаунты хакеров, и через судебные инстанции вернула часть убытков, этот инцидент все же подчеркивает важность проектирования контрактов и управления правами.
5. Личный кошелек известного основателя криптовалюты был украден
Сумма убытков: 1.12 миллиарда долларов США Метод атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька одного из известных проектов криптовалюты были взломаны, что привело к краже 112 миллионов долларов XRP. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты с использованием аппаратных средств. После инцидента одна крупная биржа успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла отслеживать украденные активы, но большая часть средств уже была отмыта через децентрализованные биржи и сервисы смешивания.
6. Munchables столкнулся с внутренним проникновением
Сумма убытков: 6250 миллионов долларов США Методы атаки: атака социальной инженерии
26 марта 2024 года Web3 игровая платформа Munchables на основе Blast подверглась редкой внутренней атаке с проникновением. Злоумышленники замаскировались под разработчиков Блокчейн и, долго оставаясь в системе, получили доступ к исходному коду и конфиденциальным ключам. Несмотря на значительные убытки, под давлением сообщества и команды хакеры в конечном итоге вернули все украденные средства. Этот инцидент подчеркнул важность безопасности цепочки поставок, особенно для Блокчейн проектов, зависящих от сторонних разработчиков.
7. Утечка приватного ключа некоторой турецкой биржи
Сумма убытков: 55 миллионов долларов США Метод атаки: утечка приватного ключа
22 июня 2024 года крупная криптовалютная биржа в Турции подверглась атаке на утечку приватных ключей, в результате чего были потеряны криптоактивы на сумму более 55 миллионов долларов. С помощью одной из известных бирж было успешно заморожено около 5,3 миллиона долларов из украденных средств, но другие активы все еще не возвращены. Этот инцидент снова вызвал беспокойство на рынке по поводу способности централизованных бирж управлять приватными ключами.
8. Мультиподписной кошелек Radiant Capital был взломан
Сумма убытков: 53 миллиона долларов США Методы атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования более низкого уровня безопасности в режиме проверки подписей 3/11, хакеры, получив доступ к приватным ключам 3 подписантов, инициировали оффлайн-подпись, что привело к передаче прав собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала глубокое обсуждение в отрасли по поводу проектирования и механизмов управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital до этой атаки уже понес убытки в размере 4,5 миллиона долларов из-за уязвимости в контракте, и более 1900 ETH были украдены, что свидетельствует о продолжающихся проблемах этого проекта в области управления безопасностью.
9. Инцидент с уязвимостью контрактов Hedgey Finance
Сумма убытков: 4470 миллионов долларов США Способы атаки: уязвимости контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в контракте ClaimCampaigns, что позволило им успешно вывести токены с сетей Ethereum и Arbitrum, общие потери составили 44,7 миллиона долларов. Этот инцидент еще раз подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек известной биржи был взломан
Сумма убытков: 4470 миллионов долларов США Методы атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек известной биржи был взломан хакерами, затронув такими блокчейнами, как Ethereum, BNB Chain, Tron и другими. Хотя биржа быстро активировала механизм перевода активов и заморозки выводов, хакеры успешно вывели активы на сумму 44,7 миллиона долларов. Эта атака вновь подчеркивает высокие риски управления горячими кошельками централизованных бирж и побуждает отрасль к дальнейшим исследованиям более безопасных решений для хранения активов.
Заключение
Частые инциденты безопасности в 2024 году вновь напоминают нам о том, что здоровое развитие Блокчейн-отрасли невозможно без надежной безопасности. От управления приватными ключами до проектирования контрактов, от внутреннего управления до внешней защиты — каждый инцидент звонит в колокол для отрасли. В условиях все более сложных методов атак все стороны отрасли должны продолжать инвестировать в технические разработки, управленческие нормы и предотвращение рисков. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы совместно создадим более безопасную и надежную экосистему Блокчейн, предоставляя пользователям и инвесторам более мощную защиту.