Autor: Beosin
V roce 2024 čelí blockchainový průmysl, kromě technických inovací a ekologického rozšíření, také stále vážnějším bezpečnostním výzvám. Podle monitorování platformy Alert patřící bezpečnostní auditorské společnosti Beosin, k datu vydání tohoto článku dosáhly celkové ztráty v oblasti Web3 v roce 2024 kvůli hackerským útokům, phishingovým podvodům a útokům typu Rug Pull 2,491 miliardy USD.
Tyto incidenty odhalily technické nedostatky, jako je správa soukromých klíčů a zranitelnosti inteligentních kontraktů, a také zdůraznily potenciální rizika sociálního inženýrství a vnitřního řízení. Tento článek shrnuje 10 nejvýznamnějších bezpečnostních incidentů Web3 v roce 2024, aby pomohl odvětví poučit se z těchto událostí a lépe čelit budoucím bezpečnostním hrozbám.
Č. 1 DMM Bitcoin
Ztráta: 304 milionů USD
Způsob útoku: Únik soukromého klíče
31. května 2024 byla japonská stará kryptoměnová burza DMM Bitcoin cílem historického útoku. Útočníci využili uniklé soukromé klíče k přímému převodu více než 300 milionů USD v bitcoinech a rychle rozptýlili ukradené prostředky na více než 10 různých adres. Tento útok odhalil vážné nedostatky DMM Bitcoin v řízení soukromých klíčů a víceúrovňové bezpečnostní ochraně. Ačkoliv se burza pokusila sledovat hackery prostřednictvím on-chain monitorování a zmrazení prostředků, ukradené bitcoiny byly rozptýleny a omývány pomocí mixovacích nástrojů, což značně ztížilo sledování.
24. prosince japonská policie určila, že incident s krádeží DMM Bitcoin je dílem severokorejské hackerské skupiny Lazarus Group. Podrobnou analýzu předchozích útoků a praní peněz skupiny Lazarus si můžete přečíst (Jak odhalit nejodvážnější skupinu kryptoměnových zlodějů v historii, analýza praní peněz hackerské skupiny Lazarus Group).
Č. 2 PlayDapp
Ztráta: 290 milionů USD
Způsob útoku: Únik soukromého klíče
9. února 2024 byl PlayDapp těžce zasažen, hackeři ukradli soukromé klíče a vyrazili 2 miliardy tokenů PLA, s počáteční hodnotou 36,5 milionu USD. Vzhledem k neúspěšnému vyjednávání mezi projektem a hackery, hackeři během krátké doby dále vyrazili 15,9 miliardy tokenů PLA, v hodnotě 253,9 milionu USD. Tyto tokeny částečně dorazily na burzu Gate, po čemž byl PlayDapp nucen pozastavit kontrakt PLA a přejít na kontrakt tokenu PDA. Tento incident zdůraznil nedostatky blockchainových projektů v ochraně soukromých klíčů a v krizovém řízení.
Č. 3 WazirX
Ztráta: 235 milionů USD
Způsob útoku: Kybernetický útok a phishing
18. července 2024 byl Safe Wallet s více podpisy největší indické kryptoměnové burzy WazirX cílem přesného útoku hackerů. Útočníci použili sociální inženýrství k tomu, aby přiměli signatáře více podpisů podepsat transakci upgradu kontraktu, a poté využili oprávnění nového kontraktu k vyprázdnění aktiv v peněžence. Tento případ zdůrazňuje možné riziko správy oprávnění a transparentnosti operací u peněženek s více podpisy a vyvolal hlubokou reflexi v oboru o vnitřním řízení rizik a bezpečnostních mechanismech projektů.
Podrobnou analýzu tohoto incidentu a sledování prostředků si můžete přečíst (Beosin | Analýza incidentu s krádeží 235 milionů USD na indické burze WazirX).
Č. 4 Gala Games
Ztráta: 216 milionů USD
Způsob útoku: Zranitelnost v řízení přístupu
20. května 2024 byla privilegovaná adresa Gala Games napadena hackery, kteří prostřednictvím volání funkce mint v tokenovém kontraktu najednou vyrazili 5 miliard tokenů GALA. Poté hackeři vyměnili nově vyražené tokeny za ETH po částech, což přímo vedlo ke ztrátě 216 milionů USD. Tým Gala Games po incidentu urgentně aktivoval funkci černé listiny a zablokoval některé účty hackerů a prostřednictvím soudních cest se pokusil získat zpět ztráty.
Č. 5 Chris Larsen (spoluzakladatel Ripple)
Ztráta: 112 milionů USD
Způsob útoku: Únik soukromého klíče
31. ledna 2024 byly čtyři osobní peněženky spoluzakladatele Ripple, Chrise Larsena, napadeny hackery, což vedlo ke krádeži 112 milionů USD v XRP. Tyto peněženky se staly cílem útoku zřejmě kvůli nedostatku dvojité ochrany hardwarovými zařízeními. Po incidentu Binance úspěšně zmrazila XRP v hodnotě 4,2 milionu USD a pomohla Larsenovi sledovat ukradená aktiva, ale většina prostředků již byla omyta prostřednictvím decentralizovaných burz a mixovacích služeb.
Č. 6 Munchables
Ztráta: 62,5 milionu USD
Způsob útoku: Útok pomocí sociálního inženýrství
26. března 2024 byla webová 3 herní platforma Munchables založená na Blast cílem vzácného vnitřního infiltračního útoku. Útočník, který se vydával za blockchainového vývojáře, se dlouhodobě infiltroval a získal přístup k základnímu kódu a citlivým klíčům. Ačkoliv útok způsobil obrovské ztráty, díky tlaku komunity a týmu hackeři nakonec vrátili veškeré ukradené prostředky. Tento incident odhalil důležitost bezpečnosti dodavatelského řetězce, zejména pro blockchainové projekty závislé na třetích stranách.
Č. 7 BtcTurk
Ztráta: 55 milionů USD
Způsob útoku: Únik soukromého klíče
22. června 2024 byla největší turecká kryptoměnová burza BtcTurk cílem útoku s únikem soukromého klíče, přičemž ztráty překročily 55 milionů USD v kryptoměnách. S pomocí týmu Binance bylo 5,3 milionu USD z ukradených prostředků úspěšně zmrazeno, ale ostatní aktiva stále nebyla obnovena. Tento incident prohloubil obavy trhu ohledně řízení soukromých klíčů u centralizovaných burz.
Oficiální oznámení o útoku od BtcTurk
Č. 8 Radiant Capital
Ztráta: 53 milionů USD
Způsob útoku: Únik soukromého klíče
17. října 2024 byla více podpisová peněženka Radiant Capital napadena hackery. Vzhledem k tomu, že použila nízkoprahový režim ověřování podpisů 3/11, hackeři, kteří ovládali soukromé klíče 3 signatářů, iniciovali off-chain podpisy, což vedlo k převodu vlastnictví peněžkového kontraktu na zlovolnou adresu, a nakonec k ukradení 53 milionů USD. Tento útok vyvolal v oboru reflexi o designu a řízení mechanismů více podpisových peněženek.
Radiant Capital před tímto útokem již utrpěl ztrátu 4,5 milionu USD kvůli zranitelnosti kontraktu, více než 1900 ETH bylo ukradeno. Úroveň důležitosti bezpečnosti pro projekty Web3 stále potřebuje zlepšení.
Č. 9 Hedgey Finance
Ztráta: 44,7 milionu USD
Způsob útoku: Zranitelnost kontraktu
19. dubna 2024 byla Hedgey Finance cílem útoku na více blockchainových kontraktů. Hackeři využili zranitelnosti schválení v jejím kontraktu ClaimCampaigns a úspěšně vybrali tokeny na dvou blockchainech, Ethereum a Arbitrum, celková ztráta dosáhla 44,7 milionu USD. Tento incident ukazuje na důležitost auditu kódu, zejména na přísnou validaci logiky schvalování tokenů.
Č. 10 BingX
Ztráta: 44,7 milionu USD
Způsob útoku: Únik soukromého klíče
19. září 2024 byla horká peněženka burzy BingX napadena hackery, přičemž byly zasaženy blockchainy jako Ethereum, BNB Chain, Tron a další veřejné řetězce. Ačkoliv burza rychle aktivovala mechanismus transferu aktiv a zmrazení výběrů, hackeři úspěšně vybrali aktiva v hodnotě 44,7 milionu USD. Tento útok odráží vysoké riziko správy horkých peněženek u centralizovaných burz a dále podněcuje průmysl k hledání bezpečnějších řešení pro ukládání aktiv.
Bezpečnostní útoky v roce 2024 se opětovně připomínají, že rozvoj blockchainového průmyslu nelze oddělit od bezpečnostního dohledu. Od úniku soukromých klíčů po zranitelnosti kontraktů, od nedostatků ve vnitřním řízení po aktualizace externích útočných metod, každý incident přinesl hluboké ponaučení. Abychom čelili stále složitějším hrozbám útoků, je třeba, aby všechny strany v odvětví nadále investovaly do technického vývoje, řízení norem a prevenci rizik. Do budoucna očekáváme, že prostřednictvím spolupráce v oboru a technologických inovací společně vytvoříme bezpečnější blockchainovou ekologii a poskytneme uživatelům a investorům spolehlivější ochranu.
