Autor: Beosin
V roce 2024 čelí blockchainový průmysl při technických inovacích a rozšiřování ekosystému stále závažnějším bezpečnostním výzvám. Podle monitorování platformy Alert společnosti Beosin, k datu vydání, celkové ztráty v oblasti Web3 v důsledku hackerských útoků, phishingových podvodů a rug pullů projdou 2,491 miliardy dolarů.
Tyto události neodhalily pouze technické nedostatky v oblasti správy soukromých klíčů a zranitelností chytrých kontraktů, ale také zdůraznily potenciální rizika sociálního inženýrství a vnitřního řízení. Tento článek shrnuje deset nejvýznamnějších bezpečnostních incidentů ve Web3 za rok 2024, aby pomohl průmyslu poučit se a lépe čelit budoucím bezpečnostním hrozbám.
č. 1 DMM Bitcoin
Ztráta: 304 milionů dolarů
Typ útoku: Únik soukromého klíče
31. května 2024, japonská renomovaná kryptoměnová burza DMM Bitcoin čelila historickému útoku. Útočníci využili uniklý soukromý klíč a přímo převedli více než 300 milionů dolarů v bitcoinech a rychle rozptýlili odcizené prostředky na více než 10 různých adres. Tento útok odhalil závažné nedostatky DMM Bitcoin v oblasti správy soukromých klíčů a víceúrovňové bezpečnosti. I když se burza pokusila sledovat hackery prostřednictvím monitorování na blockchainu a zmrazení prostředků, odcizené bitcoiny byly rozptýleny a vyprány pomocí mixovacích nástrojů, což značně ztížilo sledování.
24. prosince japonská policie potvrdila, že incident s krádeží DMM Bitcoin byl spáchán hackerskou organizací Lazarus Group z KLDR. Podrobná analýza předchozích útoků a praní peněz této skupiny je k dispozici v článku (Odkrytí nejodvážnější krádeže kryptoměn v historii, analýza praní peněz hackerské organizace Lazarus Group).
č. 2 PlayDapp
Ztráta: 290 milionů dolarů
Typ útoku: Únik soukromého klíče
9. února 2024 byl PlayDapp těžce zasažen, hackeři ukradli soukromé klíče a vyrazili 2 miliardy tokenů PLA, které měly počáteční hodnotu 36,5 milionu dolarů. Po neúspěšných jednáních mezi projektem a hackery hackeři během krátké doby vyrazili dalších 15,9 miliardy tokenů PLA, které měly hodnotu 253,9 milionu dolarů. Část těchto tokenů se po vstupu na burzu Gate dostala do oběhu, což vedlo k tomu, že PlayDapp musel pozastavit kontrakt PLA a přejít na kontrakt tokenu PDA. Tento incident zdůraznil nedostatky blockchainového projektu v oblasti ochrany soukromých klíčů a krizového řízení.
č. 3 WazirX
Ztráta: 235 milionů dolarů
Typ útoku: Síťový útok a phishing
18. července 2024, Safe Wallet vícestupňová peněženka největší indické kryptoměnové burzy WazirX byla cílem přesného útoku hackerů. Útočníci pomocí sociálního inženýrství přiměli podpisovatele vícestupňového podpisu k podepsání transakce o upgradování kontraktu a poté využili oprávnění vylepšeného kontraktu k vyprání všech aktiv z peněženky. Tento případ zdůraznil potenciální rizika správy oprávnění a transparentnosti operací vícestupňových peněženek a vyvolal hlubokou úvahu v odvětví o interním řízení rizik a bezpečnostních mechanismech projektu.
Podrobné analýzy a sledování prostředků k tomuto incidentu si můžete přečíst (Beosin | Analýza krádeže 235 milionů dolarů na indické burze WazirX).
č. 4 Gala Games
Ztráta: 216 milionů dolarů
Typ útoku: Zranitelnost přístupu
20. května 2024 byl hackersky napaden privilegovaný účet Gala Games, útočníci vyvolali funkci mint v kontraktu tokenu a vyrazili 5 miliard tokenů GALA najednou. Poté hackeři vyměnili nově vydané tokeny za ETH po částech, což vedlo k přímé ztrátě 216 milionů dolarů. Tým Gala Games po incidentu naléhavě aktivoval funkci blacklistu a zablokoval některé účty hackerů a prostřednictvím soudních cest se pokusil získat ztráty zpět.
č. 5 Chris Larsen (spoluzakladatel Ripple)
Ztráta: 112 milionů dolarů
Typ útoku: Únik soukromého klíče
31. ledna 2024 byly čtyři osobní peněženky spoluzakladatele Ripple, Chris Larsena, napadeny hackery, což vedlo ke krádeži 112 milionů dolarů v XRP. Tyto peněženky se pravděpodobně staly cílem útoku kvůli nedostatku dvojité ochrany hardwarovými zařízeními. Po incidentu se Binance podařilo zmrazit XRP v hodnotě 4,2 milionu dolarů a pomoci Larsenovi sledovat odcizená aktiva, ale většina prostředků byla již vyprána prostřednictvím decentralizovaných burz a mixovacích služeb.
č. 6 Munchables
Ztráta: 62,5 milionu dolarů
Typ útoku: Sociální inženýrství
26. března 2024, platforma Web3 založená na Blastu, Munchables, se stala obětí vzácného interního infiltračního útoku. Útočníci se maskovali jako blockchainoví vývojáři z KLDR a dlouhodobě získávali přístup ke klíčovému kódu a citlivým klíčům. I když útok způsobil obrovské ztráty, hackeři nakonec pod tlakem komunity a týmu vrátili všechny ukradené prostředky. Tento incident odhalil důležitost bezpečnosti dodavatelského řetězce, zejména pro blockchainové projekty závislé na třetích stran.
č. 7 BtcTurk
Ztráta: 55 milionů dolarů
Typ útoku: Únik soukromého klíče
22. června 2024, největší turecká kryptoměnová burza BtcTurk se stala obětí útoku na únik soukromého klíče, což vedlo k ztrátě více než 55 milionů dolarů v kryptoměnách. S pomocí týmu Binance se podařilo zmrazit 5,3 milionu dolarů z ukradených prostředků, ale ostatní aktiva zatím nebyla získána zpět. Tento incident prohloubil obavy trhu ohledně správy soukromých klíčů na centralizovaných burzách.
Oficiální oznámení o útoku od BtcTurk
č. 8 Radiant Capital
Ztráta: 53 milionů dolarů
Typ útoku: Únik soukromého klíče
17. října 2024, vícestupňová peněženka Radiant Capital byla napadena hackery. Vzhledem k tomu, že používala nízkoprahový 3/11 ověřovací režim, hackeři ovládli soukromé klíče 3 podpisovatelů a zahájili off-chain podpis, čímž převedli vlastnictví peněženkového kontraktu na škodlivou adresu, což vedlo k odcizení 53 milionů dolarů. Tento útok vyvolal v průmyslu úvahy o návrhu a mechanismu správy vícestupňových peněženek.
Před tímto útokem ztratila Radiant Capital v důsledku zranitelnosti kontraktu 4,5 milionu dolarů, více než 1900 ETH bylo odcizeno. Úroveň důrazu projektů Web3 na bezpečnost musí být stále zvyšována.
č. 9 Hedgey Finance
Ztráta: 44,7 milionu dolarů
Typ útoku: Zranitelnost kontraktu
19. dubna 2024, Hedgey Finance se stala obětí útoku zaměřeného na více blockchainových kontraktů. Hackeři využili zranitelnosti schvalování v kontraktu ClaimCampaigns a úspěšně vybrali tokeny na blockchainu Ethereum a Arbitrum, celková ztráta činila 44,7 milionu dolarů. Tento incident ukázal důležitost auditu kódu, zejména přísné verifikace logiky schvalování tokenů.
č. 10 BingX
Ztráta: 44,7 milionu dolarů
Typ útoku: Únik soukromého klíče
19. září 2024 byl horká peněženka burzy BingX napadena hackery, přičemž byly zasaženy blockchainy jako Ethereum, BNB Chain, Tron a další. I když burza rychle zahájila mechanismus převodu aktiv a zmrazení výběrů, hackeři již úspěšně odcizili aktiva v hodnotě 44,7 milionu dolarů. Tento útok odhalil vysoké riziko správy horkých peněženek centralizovaných burz a dále podnítil průmysl k hledání bezpečnějších řešení pro uchovávání aktiv.
Bezpečnostní útoky v roce 2024 byly časté a znovu nám připomněly, že rozvoj blockchainového průmyslu závisí na bezpečnosti. Od úniku soukromých klíčů po zranitelnosti kontraktů, od nedostatků ve vnitřním řízení po zvyšující se externe útočné metody, každý incident přinesl hluboké ponaučení. Abychom se vypořádali se stále složitějšími hrozbami útoků, všechny strany v průmyslu musí nadále zvyšovat investice do technologického vývoje, správy a prevenci rizik. Do budoucna očekáváme, že prostřednictvím spolupráce v průmyslu a technologických inovací společně vybudujeme bezpečnější blockchainovou ekologii, abychom uživatelům a investorům poskytli spolehlivější záruky.
