Обзор десяти крупнейших инцидентов безопасности в области Web3 за 2024 год
С учетом постоянных инноваций в технологии блокчейн и расширения экосистемы, в 2024 году индустрия Web3 сталкивается с все более серьезными вызовами в области безопасности. Согласно статистическим данным отрасли, к концу 2024 года общие потери в области Web3 из-за хакерских атак, фишинговых мошенничеств и злонамеренного ухода со стороны проектов достигнут 2,491 миллиарда долларов США. Эти события не только выявили уязвимости на техническом уровне, такие как управление приватными ключами и смарт-контрактами, но и подчеркнули потенциальные риски, связанные с социальными инженерными атаками и внутренним управлением. В этой статье будут перечислены десять самых влиятельных событий в области безопасности Web3 в 2024 году с целью предоставить индустрии примеры для подражания, чтобы лучше справляться с угрозами безопасности в будущем.
1. На одну японскую биржу было совершено серьезное нападение
Сумма убытка: 304 миллиона долларов США
Способ атаки: утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа подверглась исторической атаке. Злоумышленники использовали утекший приватный ключ для непосредственного перевода биткойнов на сумму более 300 миллионов долларов и быстро распределили украденные средства по более чем 10 различным адресам. Этот инцидент выявил серьезные недостатки биржи в управлении приватными ключами и многоуровневыми мерами безопасности. Несмотря на то, что биржа пыталась отслеживать хакера с помощью мониторинга в цепочке и замораживания средств, работа по отслеживанию столкнулась с огромными трудностями, так как украденные биткойны были распределены и очищены с использованием инструментов смешивания.
В конце года японская полиция подтвердила, что это происшествие связано с одной международной хакерской группировкой.
2. PlayDapp понес серьезные убытки
Сумма потерь: 290 миллионов долларов США
Способ атаки: утечка закрытого ключа
9 февраля 2024 года проект PlayDapp понес значительные убытки. Хакеры, получив доступ к закрытому ключу, выпустили 2 миллиарда токенов PLA, первоначальная стоимость которых составила 36,5 миллиона долларов. Поскольку проект не смог договориться с хакерами, в короткие сроки было выпущено еще 15,9 миллиарда токенов PLA на сумму 253,9 миллиона долларов. После того как часть украденных токенов попала на биржи, PlayDapp был вынужден приостановить контракт PLA и перейти на новый токен-контракт. Этот инцидент подчеркивает серьезные недостатки в защите закрытых ключей и экстренных мерах в блокчейн-проектах.
3. Крупнейшая криптовалютная биржа в Индии подверглась целенаправленной атаке
Сумма убытков: 235 миллионов долларов США
Способы атаки: сетевые атаки и фишинг
18 июля 2024 года крупнейшая криптовалютная биржа Индии пострадала от точной атаки хакеров на многоподписной кошелек Safe Wallet. Злоумышленники с помощью социальной инженерии заставили подписантов многоподписного кошелька подписать сделку по обновлению контракта, а затем использовали права, предоставленные обновленным контрактом, чтобы полностью вывести активы из кошелька. Этот случай подчеркивает потенциальные риски многоподписных кошельков в управлении конфигурацией прав и прозрачности операций, а также вызывает глубокое размышление в отрасли о внутреннем контроле рисков и механизмах безопасности проектов.
4. Gala Games подвергся атаке на эмиссию токенов
Сумма убытков: 216 миллионов долларов США
Метод атаки: Уязвимость управления доступом
20 мая 2024 года один из привилегированных адресов Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint в контракте токена, единовременно выпустили 5 миллиардов токенов GALA. Затем хакеры поэтапно обменяли выпущенные токены на ETH, что привело к убыткам в размере 216 миллионов долларов. Команда Gala Games после инцидента срочно активировала функцию черного списка, заблокировав некоторые счета хакеров, и через судебные меры смогла вернуть часть убытков.
5. Личный кошелек соучредителя одного криптовалютного проекта был взломан
Сумма убытков: 112 миллионов долларов США
Способ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька одного из соучредителей известного криптовалютного проекта были взломаны хакерами, в результате чего было украдено криптовалюты на сумму 112 миллионов долларов. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты с использованием аппаратных средств. После инцидента одна крупная биржа успешно заморозила украденные активы на сумму 4,2 миллиона долларов и помогла в отслеживании, но большая часть средств уже была отмыта через децентрализованные биржи и сервисы смешивания.
6. Munchables столкнулись с внутренней атакой на проникновение
Сумма убытков: 62,5 миллиона долларов США
Метод атаки: атака социальной инженерии
26 марта 2024 года Web3 игровая платформа Munchables на основе Blast стала жертвой редкого внутреннего проникающего нападения. Нападавшие маскировались под блокчейн-разработчиков и, долго оставаясь в тени, получили доступ к исходному коду и конфиденциальным ключам. Несмотря на значительные убытки, под давлением сообщества и команды хакеры в конечном итоге вернули все украденные средства. Этот инцидент выявил важность безопасности цепочки поставок, особенно для блокчейн-проектов, полагающихся на стороннюю разработку.
7. Крупнейшая криптовалютная биржа Турции столкнулась с утечкой приватных ключей
Сумма убытков: 55 миллионов долларов США
Способ атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке из-за утечки приватных ключей, в результате чего были потеряны более 55 миллионов долларов в криптоактивах. С помощью команды одной из крупных бирж было успешно заморожено 5,3 миллиона долларов украденных средств, но другие активы пока не возвращены. Это происшествие усилило беспокойство рынка по поводу управления приватными ключами централизованными биржами.
8. Мультиподпись Radiant Capital была взломана
Сумма убытков: 53 миллиона долларов США
Способ атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был атакован хакерами. Из-за использования низкопороговой модели проверки подписи 3/11, хакеры, завладев тремя приватными ключами подписантов, инициировали оффлайн-подписку и перенесли право собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала в индустрии размышления о дизайне и механизмах управления мультиподписными кошельками.
Важно отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости контракта до этой атаки, более 1900 ETH были украдены. Это еще раз подчеркивает важность повышения осведомленности о безопасности для проектов Web3.
9. Hedgey Finance многоцепочечный контракт подвергся атаке
Сумма убытков: 44,7 миллиона долларов США
Способы атаки: уязвимости контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в одобрении контракта ClaimCampaigns, успешно извлекая токены на блокчейнах Ethereum и Arbitrum, общие убытки составили 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек одной из бирж был взломан
Сумма убытков: 44,7 миллиона долларов США
Способ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек одной из бирж был взломан хакерами, затронувшими несколько публичных цепей, включая Ethereum, BNB Chain и Tron. Несмотря на то, что биржа быстро запустила механизмы перевода активов и заморозки выводов, хакеры смогли успешно вывести активы на сумму 44,7 миллиона долларов. Эта атака снова подчеркивает высокие риски управления горячими кошельками централизованных бирж и дальше побуждает индустрию искать более безопасные решения для хранения активов.
Частые инциденты безопасности в 2024 году снова напоминают нам о том, что развитие блокчейн-индустрии невозможно без обеспечения безопасности. От утечки частных ключей до уязвимостей в контрактах, от внутренних управленческих недостатков до усовершенствования внешних методов атаки — каждое из этих событий принесло индустрии глубокие уроки. Чтобы справиться с постоянно усложняющимися угрозами атак, всем участникам отрасли необходимо продолжать увеличивать инвестиции в научно-исследовательскую деятельность, управление нормативами и предотвращение рисков. В будущем мы ожидаем, что благодаря сотрудничеству в отрасли и технологическим инновациям мы сможем совместно создать более безопасную и надежную экосистему блокчейна, обеспечивая лучшую защиту для пользователей и инвесторов.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
8 Лайков
Награда
8
4
Поделиться
комментарий
0/400
QuorumVoter
· 7ч назад
Ещё один отчет о сборе неудачников за год
Посмотреть ОригиналОтветить0
LightningPacketLoss
· 7ч назад
Снова потерял Закрытый ключ.
Посмотреть ОригиналОтветить0
GateUser-cff9c776
· 7ч назад
Ещё один год данных о росте ВВП, внесённых неудачниками, опубликован!
Обзор инцидентов безопасности в области Web3 за 2024 год: 10 крупных атак с убытками в 2,491 миллиарда долларов США
Обзор десяти крупнейших инцидентов безопасности в области Web3 за 2024 год
С учетом постоянных инноваций в технологии блокчейн и расширения экосистемы, в 2024 году индустрия Web3 сталкивается с все более серьезными вызовами в области безопасности. Согласно статистическим данным отрасли, к концу 2024 года общие потери в области Web3 из-за хакерских атак, фишинговых мошенничеств и злонамеренного ухода со стороны проектов достигнут 2,491 миллиарда долларов США. Эти события не только выявили уязвимости на техническом уровне, такие как управление приватными ключами и смарт-контрактами, но и подчеркнули потенциальные риски, связанные с социальными инженерными атаками и внутренним управлением. В этой статье будут перечислены десять самых влиятельных событий в области безопасности Web3 в 2024 году с целью предоставить индустрии примеры для подражания, чтобы лучше справляться с угрозами безопасности в будущем.
1. На одну японскую биржу было совершено серьезное нападение
Сумма убытка: 304 миллиона долларов США Способ атаки: утечка приватного ключа
31 мая 2024 года известная японская криптовалютная биржа подверглась исторической атаке. Злоумышленники использовали утекший приватный ключ для непосредственного перевода биткойнов на сумму более 300 миллионов долларов и быстро распределили украденные средства по более чем 10 различным адресам. Этот инцидент выявил серьезные недостатки биржи в управлении приватными ключами и многоуровневыми мерами безопасности. Несмотря на то, что биржа пыталась отслеживать хакера с помощью мониторинга в цепочке и замораживания средств, работа по отслеживанию столкнулась с огромными трудностями, так как украденные биткойны были распределены и очищены с использованием инструментов смешивания.
В конце года японская полиция подтвердила, что это происшествие связано с одной международной хакерской группировкой.
2. PlayDapp понес серьезные убытки
Сумма потерь: 290 миллионов долларов США Способ атаки: утечка закрытого ключа
9 февраля 2024 года проект PlayDapp понес значительные убытки. Хакеры, получив доступ к закрытому ключу, выпустили 2 миллиарда токенов PLA, первоначальная стоимость которых составила 36,5 миллиона долларов. Поскольку проект не смог договориться с хакерами, в короткие сроки было выпущено еще 15,9 миллиарда токенов PLA на сумму 253,9 миллиона долларов. После того как часть украденных токенов попала на биржи, PlayDapp был вынужден приостановить контракт PLA и перейти на новый токен-контракт. Этот инцидент подчеркивает серьезные недостатки в защите закрытых ключей и экстренных мерах в блокчейн-проектах.
3. Крупнейшая криптовалютная биржа в Индии подверглась целенаправленной атаке
Сумма убытков: 235 миллионов долларов США Способы атаки: сетевые атаки и фишинг
18 июля 2024 года крупнейшая криптовалютная биржа Индии пострадала от точной атаки хакеров на многоподписной кошелек Safe Wallet. Злоумышленники с помощью социальной инженерии заставили подписантов многоподписного кошелька подписать сделку по обновлению контракта, а затем использовали права, предоставленные обновленным контрактом, чтобы полностью вывести активы из кошелька. Этот случай подчеркивает потенциальные риски многоподписных кошельков в управлении конфигурацией прав и прозрачности операций, а также вызывает глубокое размышление в отрасли о внутреннем контроле рисков и механизмах безопасности проектов.
4. Gala Games подвергся атаке на эмиссию токенов
Сумма убытков: 216 миллионов долларов США Метод атаки: Уязвимость управления доступом
20 мая 2024 года один из привилегированных адресов Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint в контракте токена, единовременно выпустили 5 миллиардов токенов GALA. Затем хакеры поэтапно обменяли выпущенные токены на ETH, что привело к убыткам в размере 216 миллионов долларов. Команда Gala Games после инцидента срочно активировала функцию черного списка, заблокировав некоторые счета хакеров, и через судебные меры смогла вернуть часть убытков.
5. Личный кошелек соучредителя одного криптовалютного проекта был взломан
Сумма убытков: 112 миллионов долларов США Способ атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька одного из соучредителей известного криптовалютного проекта были взломаны хакерами, в результате чего было украдено криптовалюты на сумму 112 миллионов долларов. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты с использованием аппаратных средств. После инцидента одна крупная биржа успешно заморозила украденные активы на сумму 4,2 миллиона долларов и помогла в отслеживании, но большая часть средств уже была отмыта через децентрализованные биржи и сервисы смешивания.
6. Munchables столкнулись с внутренней атакой на проникновение
Сумма убытков: 62,5 миллиона долларов США Метод атаки: атака социальной инженерии
26 марта 2024 года Web3 игровая платформа Munchables на основе Blast стала жертвой редкого внутреннего проникающего нападения. Нападавшие маскировались под блокчейн-разработчиков и, долго оставаясь в тени, получили доступ к исходному коду и конфиденциальным ключам. Несмотря на значительные убытки, под давлением сообщества и команды хакеры в конечном итоге вернули все украденные средства. Этот инцидент выявил важность безопасности цепочки поставок, особенно для блокчейн-проектов, полагающихся на стороннюю разработку.
7. Крупнейшая криптовалютная биржа Турции столкнулась с утечкой приватных ключей
Сумма убытков: 55 миллионов долларов США Способ атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке из-за утечки приватных ключей, в результате чего были потеряны более 55 миллионов долларов в криптоактивах. С помощью команды одной из крупных бирж было успешно заморожено 5,3 миллиона долларов украденных средств, но другие активы пока не возвращены. Это происшествие усилило беспокойство рынка по поводу управления приватными ключами централизованными биржами.
8. Мультиподпись Radiant Capital была взломана
Сумма убытков: 53 миллиона долларов США Способ атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital был атакован хакерами. Из-за использования низкопороговой модели проверки подписи 3/11, хакеры, завладев тремя приватными ключами подписантов, инициировали оффлайн-подписку и перенесли право собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала в индустрии размышления о дизайне и механизмах управления мультиподписными кошельками.
Важно отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости контракта до этой атаки, более 1900 ETH были украдены. Это еще раз подчеркивает важность повышения осведомленности о безопасности для проектов Web3.
9. Hedgey Finance многоцепочечный контракт подвергся атаке
Сумма убытков: 44,7 миллиона долларов США Способы атаки: уязвимости контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в одобрении контракта ClaimCampaigns, успешно извлекая токены на блокчейнах Ethereum и Arbitrum, общие убытки составили 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек одной из бирж был взломан
Сумма убытков: 44,7 миллиона долларов США Способ атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек одной из бирж был взломан хакерами, затронувшими несколько публичных цепей, включая Ethereum, BNB Chain и Tron. Несмотря на то, что биржа быстро запустила механизмы перевода активов и заморозки выводов, хакеры смогли успешно вывести активы на сумму 44,7 миллиона долларов. Эта атака снова подчеркивает высокие риски управления горячими кошельками централизованных бирж и дальше побуждает индустрию искать более безопасные решения для хранения активов.
Частые инциденты безопасности в 2024 году снова напоминают нам о том, что развитие блокчейн-индустрии невозможно без обеспечения безопасности. От утечки частных ключей до уязвимостей в контрактах, от внутренних управленческих недостатков до усовершенствования внешних методов атаки — каждое из этих событий принесло индустрии глубокие уроки. Чтобы справиться с постоянно усложняющимися угрозами атак, всем участникам отрасли необходимо продолжать увеличивать инвестиции в научно-исследовательскую деятельность, управление нормативами и предотвращение рисков. В будущем мы ожидаем, что благодаря сотрудничеству в отрасли и технологическим инновациям мы сможем совместно создать более безопасную и надежную экосистему блокчейна, обеспечивая лучшую защиту для пользователей и инвесторов.