Beosin, 24. prosince 2024, 16:39, Singapur. V roce 2024 čelí blockchainový průmysl při technických inovacích a expanze ekosystému také stále vážnějším bezpečnostním výzvám. Podle monitorování platformy Alert pod bezpečnostní auditní společností Beosin dosáhly k datu vydání celkové ztráty v oblasti Web3 kvůli hackerským útokům, phishingovým podvodům a podvodům Rug Pull 2,491 miliardy dolarů.
Tyto incidenty nejen odhalily technické nedostatky v oblasti správy soukromých klíčů a chyb v chytrých kontraktech, ale také zdůraznily potenciální rizika sociálního inženýrství a interního managementu. Tento článek shrne 10 nejvýznamnějších bezpečnostních incidentů Web3 roku 2024 a pomůže odvětví poučit se z těchto událostí a lépe čelit budoucím bezpečnostním hrozbám.
Č. 1 DMM Bitcoin
Ztráta: 304 milionů dolarů
Útoková metoda: Únik soukromého klíče
31. května 2024 historická kryptoburza DMM Bitcoin utrpěla historický útok. Útočníci využili uniklé soukromé klíče k přímému převodu bitcoinů v hodnotě přes 300 milionů dolarů a rychle rozptýlili ukradené prostředky na více než 10 různých adres. Tento útok odhalil vážné nedostatky DMM Bitcoin v oblasti správy soukromých klíčů a víceúrovňové bezpečnostní ochrany. I když se burza pokusila sledovat hackera prostřednictvím on-chain monitorování a zmrazení prostředků, ukradené bitcoiny byly rozptýleny a využity k praní pomocí mixovacích nástrojů, což významně ztížilo sledovací práci.
24. prosince 2024 japonská policie potvrdila, že incident s krádeží DMM Bitcoin byl dílem severokorejské hackerské skupiny Lazarus Group. Podrobnou analýzu minulých útoků a praní peněz skupiny Lazarus Group si můžete přečíst (Odhalení nejodvážnějších krádeží kryptoměn v historii, analýza praní peněz skupiny Lazarus Group).
Č. 2 PlayDapp
Ztráta: 290 milionů dolarů
Útoková metoda: Únik soukromého klíče
9. února 2024 utrpěl PlayDapp těžkou ránu, když hackeři prostřednictvím krádeže soukromého klíče vytvořili 2 miliardy tokenů PLA, s počáteční hodnotou 36,5 milionu dolarů. Vzhledem k tomu, že vyjednávání mezi projektovým týmem a hackery selhalo, hackeři za krátkou dobu vytvořili dalších 15,9 miliardy tokenů PLA, v hodnotě 253,9 milionu dolarů. Tyto tokeny částečně dorazily na burzu Gate, což vedlo k tomu, že PlayDapp byla nucena pozastavit kontrakt PLA a přejít na kontrakt tokenu PDA. Tento incident zdůraznil nedostatky blockchainových projektů v ochraně soukromých klíčů a krizovém řízení.
Č. 3 WazirX
Ztráta: 235 milionů dolarů
Útoková metoda: Kybernetický útok a phishing
18. července 2024 se Safe Wallet vícestupňové peněženky největší indické kryptoburzy WazirX stala cílem přesného útoku hackerů. Útočníci pomocí sociálního inženýrství přiměli vícestupňové podepisovatele podepsat smlouvu o upgradu transakce, a poté využili práva upgradu kontraktu k vyprázdnění aktiv v peněžence. Tento případ zdůraznil potenciální rizika vícestupňových peněženek v oblasti správy oprávnění a transparentnosti operací, a vyvolal hlubokou reflexi v oboru o interním řízení rizik a bezpečnostních mechanismech projektů.
Podrobnou analýzu tohoto incidentu a sledování prostředků si můžete přečíst (Beosin | Analýza krádeže 235 milionů dolarů na indické burze WazirX).
Č. 4 Gala Games
Ztráta: 216 milionů dolarů
Útoková metoda: Chyba v řízení přístupu
20. května 2024 byla určena privilegovaná adresa Gala Games hackery, kteří prostřednictvím volání funkce mint v kontraktu tokenu jednorázově vyrazili 5 miliard tokenů GALA. Poté hackeři vyměnili vydané tokeny za ETH v několika dávkách, což vedlo k ztrátě 216 milionů dolarů. Tým Gala Games po incidentu okamžitě aktivoval funkci černé listiny pro zablokování některých hackerových účtů a prostřednictvím soudních cest se pokusil o náhradu ztrát.
Č. 5 Chris Larsen (spoluzakladatel Ripple)
Ztráta: 112 milionů dolarů
Útoková metoda: Únik soukromého klíče
31. ledna 2024 byly čtyři osobní peněženky spoluzakladatele Ripple, Chrisa Larsena, napadeny hackery, což vedlo ke ztrátě 112 milionů dolarů v XRP. Tyto peněženky se staly cílem útoku kvůli nedostatku dvojí ochrany hardwarovými zařízeními. Po incidentu se burze Binance podařilo zmrazit XRP v hodnotě 4,2 milionu dolarů a pomoci Larsenovi sledovat ukradená aktiva, ale většina prostředků již byla vypraná prostřednictvím decentralizovaných burz a mixovacích služeb.
Č. 6 Munchables
Ztráta: 62,5 milionu dolarů
Útoková metoda: Sociální inženýrství
26. března 2024 byla platforma Web3 hry Munchables založená na Blastu napadena vzácným interním infiltrací. Útočníci, kteří se vydávali za blockchainové vývojáře, dlouhodobě získali přístup k jádrovému kódu a citlivým klíčům. I když útok způsobil obrovské ztráty, díky tlaku komunity a týmu hacker nakonec vrátil všechny ukradené prostředky. Tento incident odhalil důležitost bezpečnosti dodavatelského řetězce, zejména u blockchainových projektů závislých na třetích stranách.
Č. 7 BtcTurk
Ztráta: 55 milionů dolarů
Útoková metoda: Únik soukromého klíče
22. června 2024 byl největší turecký kryptoměnový burzovní BtcTurk napaden útokem na únik soukromého klíče, což vedlo ke ztrátě více než 55 milionů dolarů v kryptoměnách. S pomocí týmu Binance bylo úspěšně zmraženo 5,3 milionu dolarů z ukradených prostředků, ale ostatní aktiva dosud nebyla obnovena. Tento incident prohloubil obavy trhu ohledně správy soukromých klíčů centralized exchanges.
Oficiální oznámení o útoku od BtcTurk
Č. 8 Radiant Capital
Ztráta: 53 milionů dolarů
Útoková metoda: Únik soukromého klíče
17. října 2024 byla vícestupňová peněženka Radiant Capital napadena hackery. Vzhledem k tomu, že použila nízkoprahový model ověřování 3/11, hackeři získali kontrolu nad soukromými klíči 3 podepisovatelů a zahájili offline podpis, čímž převedli vlastnictví kontraktu peněženky na zlovolnou adresu, což vedlo ke ztrátě 53 milionů dolarů. Tento útok vyvolal v oboru reflexi o designu a řídících mechanismech vícestupňových peněženek.
Radiant Capital před tímto útokem utrpěl ztrátu 4,5 milionu dolarů kvůli chybě v kontraktu, kdy bylo ukradeno více než 1900 ETH. Důraz na bezpečnost ze strany projektového týmu Web3 je stále nedostatečný.
Č. 9 Hedgey Finance
Ztráta: 44,7 milionu dolarů
Útoková metoda: Chyba v kontraktu
19. dubna 2024 se Hedgey Finance stala cílem útoku na více chainových kontraktů. Hackeři využili schválenou chybu v jejich kontraktu ClaimCampaigns a úspěšně extrahovali tokeny na dvou chainách, Ethereum a Arbitrum, s celkovou ztrátou ve výši 44,7 milionu dolarů. Tento incident ukázal důležitost auditu kódu, zejména přísné verifikace logiky schvalování tokenů.
Č. 10 BingX
Ztráta: 44,7 milionu dolarů
Útoková metoda: Únik soukromého klíče
19. září 2024 byla horká peněženka burzy BingX napadena hackery, přičemž zasažené chainy zahrnovaly Ethereum, BNB Chain, Tron a další veřejné chainy. I když burza rychle spustila mechanismus přesunu aktiv a jejich zmrazení, hackeři úspěšně extrahovali aktiva v hodnotě 44,7 milionu dolarů. Tento útok odhalil vysoká rizika správy horkých peněženek centralizovaných burz a dále podnítil odvětví k prozkoumání bezpečnějších řešení pro ukládání aktiv.
Rok 2024 zaznamenal časté bezpečnostní útoky, které nám opět připomněly, že rozvoj blockchainového průmyslu se neobejde bez bezpečnostního zajištění. Od úniku soukromých klíčů po chyby v kontraktech, od nedbalosti v interním managementu po zlepšování externích útoků, každý incident přinesl hluboké lekce. Abychom čelili stále složitějším hrozbám útoků, musí všechny strany v oboru nadále investovat do výzkumu technologií, managementu a řízení rizik. Do budoucna očekáváme, že prostřednictvím spolupráce v oboru a technologických inovací společně vybudujeme bezpečnější blockchainový ekosystém, který poskytne uživatelům a investorům spolehlivější ochranu.