Огляд десяти найбільших інцидентів безпеки в індустрії Блокчейн у 2024 році
З розвитком технології Блокчейн у 2024 році ця галузь досягла значних успіхів у технологічних інноваціях та розширенні екосистеми. Проте, поряд із цими досягненнями, виклики безпеки також стають все більш серйозними. Згідно з даними однієї платформи моніторингу безпеки, станом на кінець 2024 року загальні втрати в сфері Web3 через різні інциденти безпеки сягнули 24,91 мільярда доларів. Ці інциденти не лише виявили вразливості на технологічному рівні, такі як неналежне управління приватними ключами та дефекти смарт-контрактів, але й підкреслили проблеми соціальної інженерії та ризики внутрішнього управління.
Ця стаття огляне десять найбільш впливових подій безпеки в сфері Web3 у 2024 році, з метою отримати уроки з них та надати рекомендації для майбутнього захисту.
1. Подія DMM Bitcoin
Збитки: 304 мільйони доларів США
Метод атаки: витік приватного ключа
31 травня 2024 року японська відома криптовалютна біржа DMM Bitcoin зазнала суттєвого нападу. Зловмисники використали витік приватного ключа, щоб безпосередньо перевести понад 300 мільйонів доларів США у біткоїнах, і швидко розподілили ці кошти на кілька адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій безпеці. Незважаючи на те, що біржа вжила заходів, таких як моніторинг в ланцюгу та заморожування коштів, через використання зловмисниками інструментів для змішування відстеження зіткнулося з величезними труднощами.
Варто зазначити, що 24 грудня японська поліція підтвердила, що цей інцидент є справою певної міжнародної хакерської організації, що підкреслює серйозність транснаціональної кіберзлочинності.
2. PlayDapp зазнав надмірної емісії токенів
Збиток: 2.90 мільйонів доларів
Методи атаки: витік приватного ключа
9 лютого 2024 року проект PlayDapp зазнав серйозного удару. Хакери незаконно випустили велику кількість токенів PLA, отримавши приватний ключ, що призвело до початкових втрат у 36,5 мільйона доларів. Через невдачу переговорів між проектом та хакерами, зловмисники додатково випустили 15,9 мільярда токенів PLA, внаслідок чого загальні втрати зросли до 253,9 мільйона доларів. Ця подія змусила PlayDapp призупинити оригінальний контракт і перейти на новий токен-контракт, що підкреслило недоліки проектів на Блокчейн у захисті приватних ключів і механізмах екстреного реагування.
3. Мультипідписний гаманець WazirX зазнав атаки
Сума збитків: 2.35 мільйона доларів США
Методи атаки: мережеві атаки та фішинг
18 липня 2024 року найбільший криптовалютний обмін в Індії WazirX зазнав точного нападу на багатопідписаний гаманець Safe Wallet. Зловмисники використовували соціальну інженерію, щоб спонукати підписувачів багатопідпису затвердити угоду на оновлення контракту, після чого скористалися правами оновленого контракту для переміщення всіх активів з гаманця. Цей інцидент виявив потенційні ризики багатопідписаних гаманців у питаннях управління правами та прозорості операцій, а також викликав глибокі роздуми в галузі щодо внутрішніх механізмів управління ризиками проектів.
4. Вразливість контракту токенів Gala Games
Збиток: 216 мільйонів доларів США
Метод атаки: вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламано. Зловмисник скористався функцією mint у токен-контракті, одноразово випустивши 5 мільярдів токенів GALA. Після цього ці незаконно випущені токени були поетапно обміняні на ETH, що призвело до збитків у розмірі 216 мільйонів доларів. Хоча команда Gala Games швидко активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через судові канали повернула частину збитків, ця подія все ж підкреслила важливість проектування контрактів і управління правами.
5. Особистий гаманець відомого засновника криптовалюти був вкрадений
Сума збитків: 1.12 мільярда доларів США
Метод атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника відомого криптовалютного проєкту були зламані, внаслідок чого було вкрадено 112 мільйонів доларів США у XRP. Ці гаманці, ймовірно, стали мішенню атаки через відсутність двостороннього захисту за допомогою апаратного забезпечення. Після інциденту одна велика біржа успішно заморозила XRP на суму 4,2 мільйона доларів США та допомогла відстежити вкрадені активи, але більша частина коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Munchables зазнає внутрішньої проникнення
Сума збитків: 6250 мільйонів доларів США
Метод атаки: атака соціальної інженерії
26 березня 2024 року Web3 ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої атаки. Зловмисники маскувалися під розробників блокчейну і протягом тривалого часу отримували доступ до основного коду та чутливих ключів. Незважаючи на величезні втрати, під тиском спільноти та команди, хакери врешті-решт повернули всі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальних ланцюгів, особливо для блокчейн проектів, що покладаються на сторонні розробки.
7. Витік приватного ключа деякої турецької біржі
Сума збитків: 55 мільйонів доларів США
Метод атаки: витік приватного ключа
22 червня 2024 року, одна з великих криптовалютних бірж у Туреччині зазнала атаки на витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою однієї відомої біржі було успішно заморожено близько 5,3 мільйона доларів США викрадених коштів, але інші активи досі не були повернуті. Ця подія знову викликала занепокоєння на ринку щодо здатності централізованих бірж управляти приватними ключами.
8. Мультипідписний гаманець Radiant Capital було зламано
Сума збитків: 53 мільйони доларів США
Методи атаки: витік приватного ключа
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Через використання низького рівня безпеки в моделі перевірки підписів 3/11, хакери, отримавши приватні ключі 3 підписувачів, ініціювали офлайн-підписання, передавши право власності на контракт гаманця на зловмисну адресу, що в підсумку призвело до крадіжки 53 мільйонів доларів. Ця атака викликала глибоке обговорення в галузі про дизайн багатопідписних гаманців та механізми управління.
Варто зазначити, що Radiant Capital до цієї атаки вже втратив 4,5 мільйона доларів через вразливість у контракті, було вкрадено понад 1900 ETH, що свідчить про наявність постійних проблем з безпекою в цьому проекті.
9. Подія з вразливістю контракту Hedgey Finance
Сума збитків: 4470 мільйонів доларів США
Метод атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Хакери використали уразливість затвердження в їхньому контракті ClaimCampaigns, успішно витягнувши токени з блокчейнів Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів. Ця подія ще раз підкреслила важливість аудиту коду, особливо щодо сувірної перевірки логіки затвердження токенів.
10. Гарячий гаманець відомої біржі було зламано
Сума втрат: 4470 мільйонів доларів США
Метод атаки: витік приватного ключа
19 вересня 2024 року відбулася атака на гарячий гаманець відомої біржі, внаслідок чого були скомпрометовані кілька публічних блокчейнів, зокрема Ethereum, BNB Chain та Tron. Незважаючи на те, що біржа швидко запустила механізм трансферу активів та заморожування виведення, хакери успішно витягли активи на суму 44,7 мільйона доларів. Ця атака знову підкреслила високі ризики управління гарячими гаманцями централізованими біржами, спонукаючи галузь до подальшого вивчення більш безпечних рішень для зберігання активів.
Висновок
Часті випадки безпеки у 2024 році ще раз нагадують нам, що здоровий розвиток індустрії Блокчейн неможливий без потужного забезпечення безпеки. Від управління приватними ключами до проектування контрактів, від внутрішнього управління до зовнішнього захисту, кожен випадок бив на сполох для індустрії. Перед обличчям дедалі складніших методів атак, усі учасники індустрії повинні продовжувати інвестувати в наукові дослідження, управлінські норми та управління ризиками. У майбутньому ми сподіваємося на спільну роботу в індустрії та технологічні інновації, щоб спільно створити більш безпечну, надійну екосистему Блокчейн, яка забезпечить більш потужний захист для користувачів та інвесторів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
7
Поділіться
Прокоментувати
0/400
GateUser-aa7df71e
· 21год тому
невдахи кров знову витекла, а всі, хто грає в управління закритими ключами, - це паперові руки
Переглянути оригіналвідповісти на0
LightningClicker
· 08-06 14:54
Знову викрили вразливість, вже все програли.
Переглянути оригіналвідповісти на0
EntryPositionAnalyst
· 08-06 14:50
криптосвіт один рік обдурював людей, як лохів так багато невдахи далеко від реальності
Переглянути оригіналвідповісти на0
DeFiVeteran
· 08-06 14:50
Знову обдурили людей, як лохів?
Переглянути оригіналвідповісти на0
ForumMiningMaster
· 08-06 14:41
Незначні аварії один за одним, знову прийшов великий невдаха.
Переглянути оригіналвідповісти на0
OnChainSleuth
· 08-06 14:40
Трагедія, практично немає чого повернути з цих аварій.
Десять найбільших інцидентів безпеки в індустрії Web3 у 2024 році призвели до збитків майже 2,5 мільярда доларів
Огляд десяти найбільших інцидентів безпеки в індустрії Блокчейн у 2024 році
З розвитком технології Блокчейн у 2024 році ця галузь досягла значних успіхів у технологічних інноваціях та розширенні екосистеми. Проте, поряд із цими досягненнями, виклики безпеки також стають все більш серйозними. Згідно з даними однієї платформи моніторингу безпеки, станом на кінець 2024 року загальні втрати в сфері Web3 через різні інциденти безпеки сягнули 24,91 мільярда доларів. Ці інциденти не лише виявили вразливості на технологічному рівні, такі як неналежне управління приватними ключами та дефекти смарт-контрактів, але й підкреслили проблеми соціальної інженерії та ризики внутрішнього управління.
Ця стаття огляне десять найбільш впливових подій безпеки в сфері Web3 у 2024 році, з метою отримати уроки з них та надати рекомендації для майбутнього захисту.
1. Подія DMM Bitcoin
Збитки: 304 мільйони доларів США Метод атаки: витік приватного ключа
31 травня 2024 року японська відома криптовалютна біржа DMM Bitcoin зазнала суттєвого нападу. Зловмисники використали витік приватного ключа, щоб безпосередньо перевести понад 300 мільйонів доларів США у біткоїнах, і швидко розподілили ці кошти на кілька адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій безпеці. Незважаючи на те, що біржа вжила заходів, таких як моніторинг в ланцюгу та заморожування коштів, через використання зловмисниками інструментів для змішування відстеження зіткнулося з величезними труднощами.
Варто зазначити, що 24 грудня японська поліція підтвердила, що цей інцидент є справою певної міжнародної хакерської організації, що підкреслює серйозність транснаціональної кіберзлочинності.
2. PlayDapp зазнав надмірної емісії токенів
Збиток: 2.90 мільйонів доларів Методи атаки: витік приватного ключа
9 лютого 2024 року проект PlayDapp зазнав серйозного удару. Хакери незаконно випустили велику кількість токенів PLA, отримавши приватний ключ, що призвело до початкових втрат у 36,5 мільйона доларів. Через невдачу переговорів між проектом та хакерами, зловмисники додатково випустили 15,9 мільярда токенів PLA, внаслідок чого загальні втрати зросли до 253,9 мільйона доларів. Ця подія змусила PlayDapp призупинити оригінальний контракт і перейти на новий токен-контракт, що підкреслило недоліки проектів на Блокчейн у захисті приватних ключів і механізмах екстреного реагування.
3. Мультипідписний гаманець WazirX зазнав атаки
Сума збитків: 2.35 мільйона доларів США Методи атаки: мережеві атаки та фішинг
18 липня 2024 року найбільший криптовалютний обмін в Індії WazirX зазнав точного нападу на багатопідписаний гаманець Safe Wallet. Зловмисники використовували соціальну інженерію, щоб спонукати підписувачів багатопідпису затвердити угоду на оновлення контракту, після чого скористалися правами оновленого контракту для переміщення всіх активів з гаманця. Цей інцидент виявив потенційні ризики багатопідписаних гаманців у питаннях управління правами та прозорості операцій, а також викликав глибокі роздуми в галузі щодо внутрішніх механізмів управління ризиками проектів.
4. Вразливість контракту токенів Gala Games
Збиток: 216 мільйонів доларів США Метод атаки: вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламано. Зловмисник скористався функцією mint у токен-контракті, одноразово випустивши 5 мільярдів токенів GALA. Після цього ці незаконно випущені токени були поетапно обміняні на ETH, що призвело до збитків у розмірі 216 мільйонів доларів. Хоча команда Gala Games швидко активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і через судові канали повернула частину збитків, ця подія все ж підкреслила важливість проектування контрактів і управління правами.
5. Особистий гаманець відомого засновника криптовалюти був вкрадений
Сума збитків: 1.12 мільярда доларів США Метод атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника відомого криптовалютного проєкту були зламані, внаслідок чого було вкрадено 112 мільйонів доларів США у XRP. Ці гаманці, ймовірно, стали мішенню атаки через відсутність двостороннього захисту за допомогою апаратного забезпечення. Після інциденту одна велика біржа успішно заморозила XRP на суму 4,2 мільйона доларів США та допомогла відстежити вкрадені активи, але більша частина коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Munchables зазнає внутрішньої проникнення
Сума збитків: 6250 мільйонів доларів США Метод атаки: атака соціальної інженерії
26 березня 2024 року Web3 ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої атаки. Зловмисники маскувалися під розробників блокчейну і протягом тривалого часу отримували доступ до основного коду та чутливих ключів. Незважаючи на величезні втрати, під тиском спільноти та команди, хакери врешті-решт повернули всі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальних ланцюгів, особливо для блокчейн проектів, що покладаються на сторонні розробки.
7. Витік приватного ключа деякої турецької біржі
Сума збитків: 55 мільйонів доларів США Метод атаки: витік приватного ключа
22 червня 2024 року, одна з великих криптовалютних бірж у Туреччині зазнала атаки на витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою однієї відомої біржі було успішно заморожено близько 5,3 мільйона доларів США викрадених коштів, але інші активи досі не були повернуті. Ця подія знову викликала занепокоєння на ринку щодо здатності централізованих бірж управляти приватними ключами.
8. Мультипідписний гаманець Radiant Capital було зламано
Сума збитків: 53 мільйони доларів США Методи атаки: витік приватного ключа
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Через використання низького рівня безпеки в моделі перевірки підписів 3/11, хакери, отримавши приватні ключі 3 підписувачів, ініціювали офлайн-підписання, передавши право власності на контракт гаманця на зловмисну адресу, що в підсумку призвело до крадіжки 53 мільйонів доларів. Ця атака викликала глибоке обговорення в галузі про дизайн багатопідписних гаманців та механізми управління.
Варто зазначити, що Radiant Capital до цієї атаки вже втратив 4,5 мільйона доларів через вразливість у контракті, було вкрадено понад 1900 ETH, що свідчить про наявність постійних проблем з безпекою в цьому проекті.
9. Подія з вразливістю контракту Hedgey Finance
Сума збитків: 4470 мільйонів доларів США Метод атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Хакери використали уразливість затвердження в їхньому контракті ClaimCampaigns, успішно витягнувши токени з блокчейнів Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів. Ця подія ще раз підкреслила важливість аудиту коду, особливо щодо сувірної перевірки логіки затвердження токенів.
10. Гарячий гаманець відомої біржі було зламано
Сума втрат: 4470 мільйонів доларів США Метод атаки: витік приватного ключа
19 вересня 2024 року відбулася атака на гарячий гаманець відомої біржі, внаслідок чого були скомпрометовані кілька публічних блокчейнів, зокрема Ethereum, BNB Chain та Tron. Незважаючи на те, що біржа швидко запустила механізм трансферу активів та заморожування виведення, хакери успішно витягли активи на суму 44,7 мільйона доларів. Ця атака знову підкреслила високі ризики управління гарячими гаманцями централізованими біржами, спонукаючи галузь до подальшого вивчення більш безпечних рішень для зберігання активів.
Висновок
Часті випадки безпеки у 2024 році ще раз нагадують нам, що здоровий розвиток індустрії Блокчейн неможливий без потужного забезпечення безпеки. Від управління приватними ключами до проектування контрактів, від внутрішнього управління до зовнішнього захисту, кожен випадок бив на сполох для індустрії. Перед обличчям дедалі складніших методів атак, усі учасники індустрії повинні продовжувати інвестувати в наукові дослідження, управлінські норми та управління ризиками. У майбутньому ми сподіваємося на спільну роботу в індустрії та технологічні інновації, щоб спільно створити більш безпечну, надійну екосистему Блокчейн, яка забезпечить більш потужний захист для користувачів та інвесторів.