Обзор инцидентов безопасности в индустрии Web3 за 2024 год: Анализ десяти атак
В 2024 году индустрия Web3, несмотря на бурное развитие, сталкивается с все более серьезными вызовами в области безопасности. По статистике, к концу года общие убытки в этой области составили до 2,491 миллиарда долларов из-за хакерских атак, мошенничества и ухода проектов. Эти события не только продемонстрировали уязвимости на техническом уровне, такие как управление приватными ключами и проблемы с умными контрактами, но также подчеркнули важность атак социальной инженерии и рисков внутреннего управления.
В данной статье рассматриваются десять основных инцидентов безопасности в области Web3 в 2024 году, с целью извлечения уроков для обеспечения безопасности в будущем.
1. В Японии произошла крупная атака на биржу
Убыток: 304 миллиона долларов СШАСпособы атаки: утечка приватного ключа
31 мая 2024 года одна из известных японских криптовалютных бирж подверглась исторической атаке. Хакеры использовали утерянный приватный ключ для прямого перевода биткойнов на сумму более 300 миллионов долларов и быстро распределили средства по нескольким адресам. Этот инцидент выявил серьезные недостатки в управлении приватными ключами и многоуровневой безопасности биржи. Несмотря на то что биржа пыталась отследить хакеров с помощью мониторинга в цепочке и замораживания средств, из-за того что похищенные средства были быстро распределены и очищены с помощью инструментов смешивания, вернуть их было крайне трудно.
В конце года японская полиция установила, что эту атаку осуществила определенная хакерская группа.
2. PlayDapp понес серьёзный удар
Убыток: 290 миллионов долларов СШАМетоды атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp столкнулся с серьезным инцидентом безопасности. Хакеры, похитившие приватные ключи, создали большое количество токенов PLA, первоначальная стоимость которых составила 36,5 миллиона долларов. Из-за неудачных переговоров с хакерами, злоумышленники затем создали еще больше токенов, что привело к общим потерям в 253,9 миллиона долларов. PlayDapp был вынужден приостановить оригинальный контракт и перейти на новый токен-контракт. Этот инцидент подчеркивает недостатки проектов на блокчейне в защите приватных ключей и экстренном реагировании.
3. Крупнейшая криптобиржа Индии подверглась целенаправленному удару
Убытки: 235 миллионов долларов СШАМетоды атаки: сетевые атаки и фишинг
18 июля 2024 года многофункциональный кошелек крупнейшей криптовалютной биржи в Индии стал объектом целенаправленной атаки хакеров. Злоумышленники с помощью социальной инженерии убедили подписантов многофункционального кошелька одобрить сделку по обновлению контракта, а затем использовали права, полученные от обновленного контракта, для переноса всех активов из кошелька. Этот инцидент выявил потенциальные риски многофункциональных кошельков в управлении правами и прозрачности операций, что вызвало глубокое размышление в отрасли о внутренних механизмах управления рисками проектов.
4. Gala Games столкнулась с атакой на эмиссию токенов
Убытки: 216 миллионов долларов СШАМетоды атаки: Уязвимости контроля доступа
20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint токен-контракта, единовременно выпустили 5 миллиардов токенов GALA. Затем эти токены были обменены на ETH частями, что привело к прямым убыткам в размере 216 миллионов долларов. Команда Gala Games затем активировала функцию черного списка, заблокировав некоторые аккаунты хакеров, и через судебные инстанции попыталась вернуть часть убытков.
5. У основателя известного криптовалютного проекта украли личный кошелек
Убыток: 112 миллионов долларовМетод атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька одного из соучредителей известного криптовалютного проекта были взломаны хакерами, в результате чего было похищено 112 миллионов долларов XRP. Эти кошельки, вероятно, стали целью атаки из-за отсутствия аппаратной двойной защиты. Хотя одна из бирж успешно заморозила часть похищенных средств и помогла в их отслеживании, большая часть средств уже была отмыта через децентрализованные биржи и сервисы смешивания.
6. Munchables столкнулся с внутренним проникновением
Убыток: 62,5 миллиона долларов СШАМетоды атаки: атака социальной инженерии
26 марта 2024 года веб3 игровая платформа Munchables на базе Blast подверглась редкой внутренней атаке с проникновением. Злоумышленник замаскировался под разработчика блокчейна и, долго оставаясь в системе, получил доступ к исходному коду и чувствительным ключам. Несмотря на огромные убытки, под давлением сообщества и команды хакер в конечном итоге вернул все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.
7. Основные биржи Турции столкнулись с утечкой приватных ключей
Убыток: 55 миллионов долларовМетод атаки: утечка приватного ключа
22 июня 2024 года крупная криптовалютная биржа в Турции подверглась атаке на утечку частных ключей, в результате чего были потеряны криптоактивы на сумму более 55 миллионов долларов. При помощи одной из крупных бирж удалось заморозить 5,3 миллиона долларов из украденных средств, но другие активы до сих пор не возвращены. Этот инцидент усилил опасения рынка по поводу способности централизованных бирж управлять частными ключами.
8. Мультиподписной кошелек Radiant Capital был взломан
Убыток: 53 миллиона долларов СШАМетоды атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital подвергся хакерской атаке. Из-за использования низкопороговой модели проверки подписей 3/11 хакеры получили доступ к приватным ключам 3 подписантов и инициировали оффлайн-подпись, что привело к передаче прав собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала отраслевую рефлексию по поводу дизайна и механизмов управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital недавно потерял 4,5 миллиона долларов из-за уязвимости в контракте, что отражает необходимость повышения уровня внимания к безопасности со стороны разработчиков проекта.
9. Hedgey Finance подвергся многосетевым атакам
Убыток: 44,7 миллиона долларов СШАМетоды атаки: Уязвимости контрактов
19 апреля 2024 года несколько смарт-контрактов Hedgey Finance подверглись атаке. Хакеры использовали уязвимость одобрения в контракте ClaimCampaigns и успешно извлекли токены на двух цепях: Ethereum и Arbitrum, суммарные потери составили 44,7 миллиона долларов. Этот инцидент еще раз подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек одной из бирж был взломан
Убыток: 44,7 миллиона долларов СШАМетод атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек одной из бирж был взломан хакерами, что затронуло несколько публичных цепочек, включая Ethereum, BNB Chain и Tron. Несмотря на то, что биржа быстро запустила механизм переноса активов и заморозки выводов, хакерам удалось успешно вывести активы на сумму 44,7 миллиона долларов. Эта атака вновь вызвала обеспокоенность в индустрии по поводу рисков управления горячими кошельками централизованных бирж и подтолкнула отрасль к поиску более безопасных решений для хранения активов.
Частые инциденты безопасности в 2024 году еще раз напоминают нам о том, что здоровое развитие блокчейн-индустрии невозможно без надежной системы безопасности. От управления приватными ключами до безопасности контрактов, от внутреннего контроля до внешней защиты, каждый инцидент звучит как тревожный сигнал для отрасли. В будущем мы надеемся, что благодаря технологическим инновациям и сотрудничеству в отрасли мы совместно создадим более безопасную и надежную экосистему блокчейн, обеспечивающую лучшую защиту для пользователей и инвесторов.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
18 Лайков
Награда
18
6
Репост
Поделиться
комментарий
0/400
Ser_This_Is_A_Casino
· 08-14 06:28
又输一波 неудачники 血赚
Посмотреть ОригиналОтветить0
SchrodingerAirdrop
· 08-14 01:07
Деньги были украдены Хакером.
Посмотреть ОригиналОтветить0
ThatsNotARugPull
· 08-11 09:01
Снова утечка Закрытый ключ.. Далеко от реальности
Посмотреть ОригиналОтветить0
RegenRestorer
· 08-11 08:57
Это действительно абсурд, снова утечка Закрытого ключа.
Посмотреть ОригиналОтветить0
New_Ser_Ngmi
· 08-11 08:38
Если действительно есть токен, то не трогайте web3.
2024 год, 10 крупнейших инцидентов безопасности в Web3 привели к потерям почти 2,5 миллиарда долларов. Основная причина - утечка Закрытых ключей.
Обзор инцидентов безопасности в индустрии Web3 за 2024 год: Анализ десяти атак
В 2024 году индустрия Web3, несмотря на бурное развитие, сталкивается с все более серьезными вызовами в области безопасности. По статистике, к концу года общие убытки в этой области составили до 2,491 миллиарда долларов из-за хакерских атак, мошенничества и ухода проектов. Эти события не только продемонстрировали уязвимости на техническом уровне, такие как управление приватными ключами и проблемы с умными контрактами, но также подчеркнули важность атак социальной инженерии и рисков внутреннего управления.
В данной статье рассматриваются десять основных инцидентов безопасности в области Web3 в 2024 году, с целью извлечения уроков для обеспечения безопасности в будущем.
1. В Японии произошла крупная атака на биржу
Убыток: 304 миллиона долларов США Способы атаки: утечка приватного ключа
31 мая 2024 года одна из известных японских криптовалютных бирж подверглась исторической атаке. Хакеры использовали утерянный приватный ключ для прямого перевода биткойнов на сумму более 300 миллионов долларов и быстро распределили средства по нескольким адресам. Этот инцидент выявил серьезные недостатки в управлении приватными ключами и многоуровневой безопасности биржи. Несмотря на то что биржа пыталась отследить хакеров с помощью мониторинга в цепочке и замораживания средств, из-за того что похищенные средства были быстро распределены и очищены с помощью инструментов смешивания, вернуть их было крайне трудно.
В конце года японская полиция установила, что эту атаку осуществила определенная хакерская группа.
2. PlayDapp понес серьёзный удар
Убыток: 290 миллионов долларов США Методы атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp столкнулся с серьезным инцидентом безопасности. Хакеры, похитившие приватные ключи, создали большое количество токенов PLA, первоначальная стоимость которых составила 36,5 миллиона долларов. Из-за неудачных переговоров с хакерами, злоумышленники затем создали еще больше токенов, что привело к общим потерям в 253,9 миллиона долларов. PlayDapp был вынужден приостановить оригинальный контракт и перейти на новый токен-контракт. Этот инцидент подчеркивает недостатки проектов на блокчейне в защите приватных ключей и экстренном реагировании.
3. Крупнейшая криптобиржа Индии подверглась целенаправленному удару
Убытки: 235 миллионов долларов США Методы атаки: сетевые атаки и фишинг
18 июля 2024 года многофункциональный кошелек крупнейшей криптовалютной биржи в Индии стал объектом целенаправленной атаки хакеров. Злоумышленники с помощью социальной инженерии убедили подписантов многофункционального кошелька одобрить сделку по обновлению контракта, а затем использовали права, полученные от обновленного контракта, для переноса всех активов из кошелька. Этот инцидент выявил потенциальные риски многофункциональных кошельков в управлении правами и прозрачности операций, что вызвало глубокое размышление в отрасли о внутренних механизмах управления рисками проектов.
4. Gala Games столкнулась с атакой на эмиссию токенов
Убытки: 216 миллионов долларов США Методы атаки: Уязвимости контроля доступа
20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint токен-контракта, единовременно выпустили 5 миллиардов токенов GALA. Затем эти токены были обменены на ETH частями, что привело к прямым убыткам в размере 216 миллионов долларов. Команда Gala Games затем активировала функцию черного списка, заблокировав некоторые аккаунты хакеров, и через судебные инстанции попыталась вернуть часть убытков.
5. У основателя известного криптовалютного проекта украли личный кошелек
Убыток: 112 миллионов долларов Метод атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька одного из соучредителей известного криптовалютного проекта были взломаны хакерами, в результате чего было похищено 112 миллионов долларов XRP. Эти кошельки, вероятно, стали целью атаки из-за отсутствия аппаратной двойной защиты. Хотя одна из бирж успешно заморозила часть похищенных средств и помогла в их отслеживании, большая часть средств уже была отмыта через децентрализованные биржи и сервисы смешивания.
6. Munchables столкнулся с внутренним проникновением
Убыток: 62,5 миллиона долларов США Методы атаки: атака социальной инженерии
26 марта 2024 года веб3 игровая платформа Munchables на базе Blast подверглась редкой внутренней атаке с проникновением. Злоумышленник замаскировался под разработчика блокчейна и, долго оставаясь в системе, получил доступ к исходному коду и чувствительным ключам. Несмотря на огромные убытки, под давлением сообщества и команды хакер в конечном итоге вернул все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.
7. Основные биржи Турции столкнулись с утечкой приватных ключей
Убыток: 55 миллионов долларов Метод атаки: утечка приватного ключа
22 июня 2024 года крупная криптовалютная биржа в Турции подверглась атаке на утечку частных ключей, в результате чего были потеряны криптоактивы на сумму более 55 миллионов долларов. При помощи одной из крупных бирж удалось заморозить 5,3 миллиона долларов из украденных средств, но другие активы до сих пор не возвращены. Этот инцидент усилил опасения рынка по поводу способности централизованных бирж управлять частными ключами.
8. Мультиподписной кошелек Radiant Capital был взломан
Убыток: 53 миллиона долларов США Методы атаки: утечка приватного ключа
17 октября 2024 года мультиподписной кошелек Radiant Capital подвергся хакерской атаке. Из-за использования низкопороговой модели проверки подписей 3/11 хакеры получили доступ к приватным ключам 3 подписантов и инициировали оффлайн-подпись, что привело к передаче прав собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала отраслевую рефлексию по поводу дизайна и механизмов управления мультиподписными кошельками.
Стоит отметить, что Radiant Capital недавно потерял 4,5 миллиона долларов из-за уязвимости в контракте, что отражает необходимость повышения уровня внимания к безопасности со стороны разработчиков проекта.
9. Hedgey Finance подвергся многосетевым атакам
Убыток: 44,7 миллиона долларов США Методы атаки: Уязвимости контрактов
19 апреля 2024 года несколько смарт-контрактов Hedgey Finance подверглись атаке. Хакеры использовали уязвимость одобрения в контракте ClaimCampaigns и успешно извлекли токены на двух цепях: Ethereum и Arbitrum, суммарные потери составили 44,7 миллиона долларов. Этот инцидент еще раз подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.
10. Горячий кошелек одной из бирж был взломан
Убыток: 44,7 миллиона долларов США Метод атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек одной из бирж был взломан хакерами, что затронуло несколько публичных цепочек, включая Ethereum, BNB Chain и Tron. Несмотря на то, что биржа быстро запустила механизм переноса активов и заморозки выводов, хакерам удалось успешно вывести активы на сумму 44,7 миллиона долларов. Эта атака вновь вызвала обеспокоенность в индустрии по поводу рисков управления горячими кошельками централизованных бирж и подтолкнула отрасль к поиску более безопасных решений для хранения активов.
Частые инциденты безопасности в 2024 году еще раз напоминают нам о том, что здоровое развитие блокчейн-индустрии невозможно без надежной системы безопасности. От управления приватными ключами до безопасности контрактов, от внутреннего контроля до внешней защиты, каждый инцидент звучит как тревожный сигнал для отрасли. В будущем мы надеемся, что благодаря технологическим инновациям и сотрудничеству в отрасли мы совместно создадим более безопасную и надежную экосистему блокчейн, обеспечивающую лучшую защиту для пользователей и инвесторов.