Обзор десяти самых значительных инцидентов безопасности в области Web3 за 2024 год
В 2024 году индустрия блокчейна, наряду с технологическими инновациями и расширением экосистемы, сталкивается с все более серьезными вызовами в области безопасности. Согласно надежным данным, на текущий момент общие потери в области Web3 в 2024 году из-за хакерских атак, фишинговых мошенничеств и побегов команд проектов составили 2,491 миллиарда долларов.
Эти события не только выявили технические недостатки, такие как управление приватными ключами и уязвимости смарт-контрактов, но и подчеркнули потенциальные риски социального инжиниринга и внутреннего управления. В данной статье будет рассмотрено десять крупнейших инцидентов безопасности Web3 в 2024 году, чтобы помочь отрасли извлечь уроки и лучше справляться с будущими угрозами безопасности.
1. На японской бирже произошла серьезная атака
Сумма убытков: 304 миллиона долларов СШАСпособ атаки: утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа подверглась исторической атаке. Злоумышленники использовали утекшие приватные ключи для прямого перевода биткойнов на сумму более 300 миллионов долларов и быстро распределили украденные средства на несколько различных адресов. Эта атака выявила серьезные недостатки биржи в управлении приватными ключами и многоуровневой защите безопасности. Несмотря на то, что биржа пыталась отследить хакеров с помощью мониторинга в сети и замораживания средств, украденные биткойны были распределены и использованы с инструментами для смешивания, что создало огромные трудности для работы по отслеживанию.
24 декабря японская полиция установила, что кража в данной бирже была совершена северокорейской хакерской группой.
2. PlayDapp понесла серьезные убытки
Сумма убытков: 290 миллионов долларов СШАСпособ атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp понесла тяжелые потери, когда хакеры, выкрадя частные ключи, выпустили 2 миллиарда токенов PLA, первоначальная стоимость которых составила 36,5 миллиона долларов США. Поскольку переговоры между проектом и хакерами не увенчались успехом, хакеры в короткие сроки выпустили еще 15,9 миллиарда токенов PLA, стоимость которых составила 253,9 миллиона долларов США. После того как часть этих токенов попала на биржи, PlayDapp была вынуждена приостановить контракт PLA и перейти на контракт токенов PDA. Этот инцидент подчеркивает недостатки блокчейн-проектов в области защиты частных ключей и реагирования на чрезвычайные ситуации.
3. Мультиподписной кошелек одной из бирж Индии подвергся атаке
Сумма убытка: 235 миллионов долларов СШАСпособы атаки: сетевые атаки и фишинг
18 июля 2024 года крупнейшая криптовалютная биржа Индии столкнулась с целенаправленной атакой хакеров на мультиподписанный кошелек Safe Wallet. Злоумышленники с помощью социальной инженерии заставили подписанта мультиподписного кошелька подписать сделку по обновлению контракта, после чего использовали обновленные полномочия контракта, чтобы полностью вывести активы из кошелька. Этот инцидент подчеркивает потенциальные риски мультиподписных кошельков в управлении конфигурацией прав и прозрачности операций, а также вызывает глубокие размышления в отрасли о внутренних механизмах управления рисками и безопасности проектов.
4. Gala Games столкнулась с масштабной атакой на создание монет
Сумма убытков: 216 миллионов долларов СШАСпособ атаки: Уязвимость контроля доступа
20 мая 2024 года, адрес с привилегиями Gala Games был взломан хакерами, которые, вызывая функцию mint в токен-контракте, единовременно выпустили 5 миллиардов токенов GALA. Затем хакеры поэтапно обменивали выпущенные токены на ETH, что непосредственно привело к убыткам в размере 216 миллионов долларов. Команда Gala Games после инцидента срочно активировала функцию черного списка, чтобы заблокировать некоторые счета хакеров, и через судебные органы попыталась вернуть убытки.
5. Личный кошелек соучредителя Ripple был украден
Сумма убытков: 112 миллионов долларов СШАСпособ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька соучредителя Ripple Криса Ларсена были взломаны хакерами, что привело к краже 112 миллионов долларов в XRP. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты с использованием аппаратных устройств. После инцидента одна из бирж успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла Ларсену отследить украденные активы, но подавляющая часть средств уже была отмыта через децентрализованные биржи и миксеры.
6. Munchables столкнулись с внутренним проникновением
Сумма убытка: 6250 миллионов долларов СШАСпособ атаки: Социальная инженерия
26 марта 2024 года Web3 игровая платформа Munchables на основе Blast подверглась редкой внутренней атаке с проникновением. Злоумышленник, маскирующийся под разработчика блокчейна, долгое время находился в системе, получив доступ к исходному коду и конфиденциальным ключам. Несмотря на то, что атака привела к огромным убыткам, под давлением сообщества и команды злоумышленник в конечном итоге вернул все украденные средства. Этот инцидент подчеркнул важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.
7. Утечка приватного ключа на одной из бирж в Турции
Сумма убытков: 55 миллионов долларов СШАСпособ атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке утечки частных ключей, в результате чего были потеряны криптоактивы на сумму более 55 миллионов долларов. С помощью других платформ удалось заморозить 5,3 миллиона долларов украденных средств, однако другие активы пока не возвращены. Это событие углубило беспокойство рынка по поводу управления частными ключами централизованными биржами.
8. Мультиподписной кошелек Radiant Capital был взломан
Сумма убытков: 53 миллиона долларов СШАСпособ атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Поскольку он использовал низкий порог верификации с 3/11 подписями, хакеры, получив доступ к закрытым ключам трех подписантов, инициировали оффлайн-подпись, что привело к передаче прав собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала в индустрии размышления о дизайне и механизмах управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости в контракте до этой атаки, и более 1900 ETH были украдены. Это снова напоминает командам Web3 о необходимости уделять больше внимания вопросам безопасности.
9. Уязвимость контракта Hedgey Finance была использована
Сумма убытка: 44,7 миллиона долларов СШАСпособ атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в контракте ClaimCampaigns, успешно извлекая токены на блокчейнах Ethereum и Arbitrum, общие потери составили 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек одной из бирж был взломан
Сумма убытков: 44.7 миллиона долларов СШАСпособ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек известной биржи был взломан хакерами, затронуты такие блокчейны, как Ethereum, BNB Chain, Tron и другие. Хотя биржа быстро запустила механизм перевода активов и заморозки вывода, хакеры успешно вывели активы на сумму 44,7 миллиона долларов. Эта атака отражает высокие риски управления горячими кошельками централизованных бирж и进一步推动ит отрасль к поиску более безопасных решений для хранения активов.
Частые случаи безопасностных атак в 2024 году еще раз напоминают нам, что развитие блокчейн-индустрии невозможно без надежной защиты. От утечек приватных ключей до уязвимостей контрактов, от внутренних управленческих упущений до усовершенствованных внешних атак — каждое из этих событий принесло глубокие уроки. Чтобы справиться с все более сложными угрозами атак, всем сторонам в индустрии необходимо продолжать усиливать инвестиции в научно-исследовательские разработки, управление и предотвращение рисков. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы сможем совместно создать более безопасную блокчейн-экосистему, обеспечивая более надежную защиту для пользователей и инвесторов.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
12 Лайков
Награда
12
5
Поделиться
комментарий
0/400
ImpermanentLossEnjoyer
· 07-24 23:00
Снова порезали, будем лежать до следующего года
Посмотреть ОригиналОтветить0
SundayDegen
· 07-24 21:15
Еще думал, что розничные инвесторы играют для лохов, а на самом деле команда разыгрывает людей как лохов.
Посмотреть ОригиналОтветить0
ZKProofster
· 07-22 00:00
говоря технически... одни и те же старые недостатки, одни и те же старые потери. smh из-за этих новичковых ошибок SEC
Обзор десяти крупнейших инцидентов безопасности Web3 в 2024 году: убытки составили 24,91 миллиарда долларов.
Обзор десяти самых значительных инцидентов безопасности в области Web3 за 2024 год
В 2024 году индустрия блокчейна, наряду с технологическими инновациями и расширением экосистемы, сталкивается с все более серьезными вызовами в области безопасности. Согласно надежным данным, на текущий момент общие потери в области Web3 в 2024 году из-за хакерских атак, фишинговых мошенничеств и побегов команд проектов составили 2,491 миллиарда долларов.
Эти события не только выявили технические недостатки, такие как управление приватными ключами и уязвимости смарт-контрактов, но и подчеркнули потенциальные риски социального инжиниринга и внутреннего управления. В данной статье будет рассмотрено десять крупнейших инцидентов безопасности Web3 в 2024 году, чтобы помочь отрасли извлечь уроки и лучше справляться с будущими угрозами безопасности.
1. На японской бирже произошла серьезная атака
Сумма убытков: 304 миллиона долларов США Способ атаки: утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа подверглась исторической атаке. Злоумышленники использовали утекшие приватные ключи для прямого перевода биткойнов на сумму более 300 миллионов долларов и быстро распределили украденные средства на несколько различных адресов. Эта атака выявила серьезные недостатки биржи в управлении приватными ключами и многоуровневой защите безопасности. Несмотря на то, что биржа пыталась отследить хакеров с помощью мониторинга в сети и замораживания средств, украденные биткойны были распределены и использованы с инструментами для смешивания, что создало огромные трудности для работы по отслеживанию.
24 декабря японская полиция установила, что кража в данной бирже была совершена северокорейской хакерской группой.
2. PlayDapp понесла серьезные убытки
Сумма убытков: 290 миллионов долларов США Способ атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp понесла тяжелые потери, когда хакеры, выкрадя частные ключи, выпустили 2 миллиарда токенов PLA, первоначальная стоимость которых составила 36,5 миллиона долларов США. Поскольку переговоры между проектом и хакерами не увенчались успехом, хакеры в короткие сроки выпустили еще 15,9 миллиарда токенов PLA, стоимость которых составила 253,9 миллиона долларов США. После того как часть этих токенов попала на биржи, PlayDapp была вынуждена приостановить контракт PLA и перейти на контракт токенов PDA. Этот инцидент подчеркивает недостатки блокчейн-проектов в области защиты частных ключей и реагирования на чрезвычайные ситуации.
3. Мультиподписной кошелек одной из бирж Индии подвергся атаке
Сумма убытка: 235 миллионов долларов США Способы атаки: сетевые атаки и фишинг
18 июля 2024 года крупнейшая криптовалютная биржа Индии столкнулась с целенаправленной атакой хакеров на мультиподписанный кошелек Safe Wallet. Злоумышленники с помощью социальной инженерии заставили подписанта мультиподписного кошелька подписать сделку по обновлению контракта, после чего использовали обновленные полномочия контракта, чтобы полностью вывести активы из кошелька. Этот инцидент подчеркивает потенциальные риски мультиподписных кошельков в управлении конфигурацией прав и прозрачности операций, а также вызывает глубокие размышления в отрасли о внутренних механизмах управления рисками и безопасности проектов.
4. Gala Games столкнулась с масштабной атакой на создание монет
Сумма убытков: 216 миллионов долларов США Способ атаки: Уязвимость контроля доступа
20 мая 2024 года, адрес с привилегиями Gala Games был взломан хакерами, которые, вызывая функцию mint в токен-контракте, единовременно выпустили 5 миллиардов токенов GALA. Затем хакеры поэтапно обменивали выпущенные токены на ETH, что непосредственно привело к убыткам в размере 216 миллионов долларов. Команда Gala Games после инцидента срочно активировала функцию черного списка, чтобы заблокировать некоторые счета хакеров, и через судебные органы попыталась вернуть убытки.
5. Личный кошелек соучредителя Ripple был украден
Сумма убытков: 112 миллионов долларов США Способ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька соучредителя Ripple Криса Ларсена были взломаны хакерами, что привело к краже 112 миллионов долларов в XRP. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты с использованием аппаратных устройств. После инцидента одна из бирж успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла Ларсену отследить украденные активы, но подавляющая часть средств уже была отмыта через децентрализованные биржи и миксеры.
6. Munchables столкнулись с внутренним проникновением
Сумма убытка: 6250 миллионов долларов США Способ атаки: Социальная инженерия
26 марта 2024 года Web3 игровая платформа Munchables на основе Blast подверглась редкой внутренней атаке с проникновением. Злоумышленник, маскирующийся под разработчика блокчейна, долгое время находился в системе, получив доступ к исходному коду и конфиденциальным ключам. Несмотря на то, что атака привела к огромным убыткам, под давлением сообщества и команды злоумышленник в конечном итоге вернул все украденные средства. Этот инцидент подчеркнул важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.
7. Утечка приватного ключа на одной из бирж в Турции
Сумма убытков: 55 миллионов долларов США Способ атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке утечки частных ключей, в результате чего были потеряны криптоактивы на сумму более 55 миллионов долларов. С помощью других платформ удалось заморозить 5,3 миллиона долларов украденных средств, однако другие активы пока не возвращены. Это событие углубило беспокойство рынка по поводу управления частными ключами централизованными биржами.
8. Мультиподписной кошелек Radiant Capital был взломан
Сумма убытков: 53 миллиона долларов США Способ атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Поскольку он использовал низкий порог верификации с 3/11 подписями, хакеры, получив доступ к закрытым ключам трех подписантов, инициировали оффлайн-подпись, что привело к передаче прав собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала в индустрии размышления о дизайне и механизмах управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости в контракте до этой атаки, и более 1900 ETH были украдены. Это снова напоминает командам Web3 о необходимости уделять больше внимания вопросам безопасности.
9. Уязвимость контракта Hedgey Finance была использована
Сумма убытка: 44,7 миллиона долларов США Способ атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в контракте ClaimCampaigns, успешно извлекая токены на блокчейнах Ethereum и Arbitrum, общие потери составили 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек одной из бирж был взломан
Сумма убытков: 44.7 миллиона долларов США Способ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек известной биржи был взломан хакерами, затронуты такие блокчейны, как Ethereum, BNB Chain, Tron и другие. Хотя биржа быстро запустила механизм перевода активов и заморозки вывода, хакеры успешно вывели активы на сумму 44,7 миллиона долларов. Эта атака отражает высокие риски управления горячими кошельками централизованных бирж и进一步推动ит отрасль к поиску более безопасных решений для хранения активов.
Частые случаи безопасностных атак в 2024 году еще раз напоминают нам, что развитие блокчейн-индустрии невозможно без надежной защиты. От утечек приватных ключей до уязвимостей контрактов, от внутренних управленческих упущений до усовершенствованных внешних атак — каждое из этих событий принесло глубокие уроки. Чтобы справиться с все более сложными угрозами атак, всем сторонам в индустрии необходимо продолжать усиливать инвестиции в научно-исследовательские разработки, управление и предотвращение рисков. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы сможем совместно создать более безопасную блокчейн-экосистему, обеспечивая более надежную защиту для пользователей и инвесторов.