Původní zdroj: Beosin
V roce 2024 čelí blockchainový průmysl, zatímco se rozvíjí technologická inovace a expanze ekosystému, také stále vážnějším bezpečnostním výzvám. Podle sledování platformy Alert bezpečnostní auditorské společnosti Beosin dosáhly do data zveřejnění celkové ztráty v oblasti Web3 v důsledku hackerských útoků, phishingových podvodů a podvodů projektových týmů Rug Pull 2,491 miliardy dolarů.
Tyto události odhalují nejen technické nedostatky, jako je správa soukromých klíčů a chyby ve smlouvách, ale také zdůrazňují potenciální rizika sociálního inženýrství a vnitřního řízení. Tento článek shrnuje deset nejvýznamnějších bezpečnostních incidentů Web3 v roce 2024, aby pomohl odvětví získat ponaučení a lépe reagovat na budoucí bezpečnostní hrozby.
č. 1 DMM Bitcoin
Ztráta: 304 milionů dolarů
Způsob útoku: Únik soukromého klíče
31. května 2024 byla japonská stará kryptoměnová burza DMM Bitcoin vystavena historickému útoku. Útočníci využili úniku soukromého klíče k přímému převedení více než 300 milionů dolarů v bitcoinech a rychle ukradli prostředky na více než 10 různých adres. Tento útok odhalil vážné nedostatky DMM Bitcoin v oblasti správy soukromých klíčů a víceúrovňové bezpečnostní ochrany. I když se burza pokusila sledovat hackera prostřednictvím on-chain monitorování a zmrazení prostředků, ukradené bitcoiny byly rozptýleny a prané pomocí mixérů, což velmi ztížilo sledování.
24. prosince japonská policie potvrdila, že incident s krádeží DMM Bitcoin je dílem severokorejské hackerské skupiny Lazarus Group.
č. 2 PlayDapp
Ztráta: 290 milionů dolarů
Způsob útoku: Únik soukromého klíče
9. února 2024 byla PlayDapp těžce zasazena, hackeři prostřednictvím krádeže soukromého klíče vyrazili 2 miliardy PLA tokenů, počáteční hodnota činila 36,5 milionu dolarů. Vzhledem k tomu, že jednání mezi projektem a hackery selhalo, hackeři během krátké doby dále vyrazili 15,9 miliardy PLA tokenů v hodnotě 253,9 milionu dolarů. Tyto tokeny se částečně dostaly na burzu Gate, po čemž byla PlayDapp nucena pozastavit smlouvu PLA a přejít na smlouvu tokenu PDA. Tento incident ukázal nedostatky blockchainových projektů v ochraně soukromých klíčů a v krizovém řízení.
č. 3 WazirX
Ztráta: 235 milionů dolarů
Způsob útoku: Kybernetický útok a phishing
18. července 2024 byl multi-podpisový peněženka Safe Wallet největší indické kryptoměnové burzy WazirX přesně napadena hackery. Útočníci pomocí sociálního inženýrství přiměli podpisující osobu k podpisu smlouvy o aktualizaci transakce, a poté využili práv k aktualizované smlouvě k přesunu prostředků z peněženky. Tato událost zdůraznila potenciální rizika multi-podpisových peněženek v oblasti řízení konfigurace práv a transparentnosti operací, a vyvolala hlubokou reflexi v oboru ohledně vnitřních kontrolních a bezpečnostních mechanismů projektu.
Podrobné analýzy a sledování prostředků tohoto incidentu lze přečíst (Beosin | Analýza incidentu krádeže 235 milionů dolarů na indické burze WazirX).
č. 4 Gala Games
Ztráta: 216 milionů dolarů
Způsob útoku: Chyba přístupu
20. května 2024 byl hackerem napaden určitý privilegovaný účet Gala Games, kde útočník prostřednictvím volání mint funkce v tokenové smlouvě jednorázově vyrazil 5 miliard GALA tokenů. Následně hacker postupně vyměnil nově vydané tokeny za ETH, což vedlo k ztrátě 216 milionů dolarů. Tým Gala Games po incidentu urgentně aktivoval funkci černé listiny k zablokování některých hackerských účtů a prostřednictvím soudních cest se pokusil získat ztráty.
č. 5 Chris Larsen (spoluzakladatel Ripple)
Ztráta: 112 milionů dolarů
Způsob útoku: Únik soukromého klíče
31. ledna 2024 byly čtyři osobní peněženky spoluzakladatele Ripple Chris Larsena napadeny hackery, což vedlo k odcizení 112 milionů dolarů v XRP. Tyto peněženky se staly cílem útoku kvůli nedostatku dvojité ochrany hardwarových zařízení. Po incidentu se Binance podařilo zmrazit XRP v hodnotě 4,2 milionu dolarů a pomoci Larsenovi při sledování ukradených aktiv, ale většina prostředků již byla vyprána prostřednictvím decentralizovaných burz a mixovacích služeb.
č. 6 Munchables
Ztráta: 62,5 milionu dolarů
Způsob útoku: Útok sociálním inženýrstvím
26. března 2024 se platforma Web3 her Munchables na bázi Blast setkala s vzácným interním průnikem. Útočník byl severokorejský hacker, který se maskoval jako blockchainový vývojář a získal přístup k jádrovému kódu a citlivým klíčům. I když útok způsobil obrovské ztráty, díky tlaku komunity a týmu hacker nakonec vrátil všechny ukradené prostředky. Tato událost odhalila důležitost bezpečnosti dodavatelského řetězce, zejména pro blockchainové projekty závislé na třetí straně.
č. 7 BtcTurk
Ztráta: 55 milionů dolarů
Způsob útoku: Únik soukromého klíče
22. června 2024 byla největší turecká kryptoměnová burza BtcTurk napadena útokem na únik soukromého klíče, což vedlo k ztrátě více než 55 milionů dolarů v kryptoměnách. S pomocí týmu Binance bylo úspěšně zmrazeno 5,3 milionu dolarů ukradených prostředků, ale jiné prostředky dosud nebyly získány. Tento incident prohloubil obavy trhu ohledně správy soukromých klíčů centralizovaných burz.
Oficiální oznámení o útoku od BtcTurk
č. 8 Radiant Capital
Ztráta: 53 milionů dolarů
Způsob útoku: Únik soukromého klíče
17. října 2024 byla multi-podpisová peněženka Radiant Capital napadena hackery. Vzhledem k tomu, že použila nízkoprahový model ověření podpisu 3/11, hackeři získali soukromé klíče tří podpisujících a iniciovali offline podpis, čímž převedli vlastnictví peněženkové smlouvy na škodlivou adresu, což vedlo k odcizení 53 milionů dolarů. Tento útok vyvolal v oboru reflexi ohledně designu a řídicího mechanismu multi-podpisových peněženek.
Radiant Capital již před tímto útokem utrpěl ztrátu 4,5 milionu dolarů kvůli chybě ve smlouvě, přičemž bylo odcizeno více než 1900 ETH. Úroveň pozornosti věnovaná bezpečnosti ze strany Web3 projektů stále potřebuje zlepšení.
č. 9 Hedgey Finance
Ztráta: 44,7 milionu dolarů
Způsob útoku: Chyba ve smlouvě
19. dubna 2024 byla Hedgey Finance napadena s cílem několika řetězcových smluv. Hackeři využili schválené chyby v jejich smlouvě ClaimCampaigns a úspěšně extrahovali tokeny na dvou řetězcích - Ethereum a Arbitrum, celková ztráta dosáhla 44,7 milionu dolarů. Tento incident ukázal důležitost auditu kódu, zejména přísné ověření logiky schvalování tokenů.
č. 10 BingX
Ztráta: 44,7 milionu dolarů
Způsob útoku: Únik soukromého klíče
19. září 2024 byla horká peněženka burzy BingX napadena hackery, přičemž se jednalo o více řetězců včetně Ethereum, BNB Chain, Tron a dalších veřejných řetězců. I když burza rychle spustila mechanismus pro převod aktiv a zmrazení výběrů, hackeři již úspěšně extrahovali aktiva v hodnotě 44,7 milionu dolarů. Tento útok odráží vysokou rizikovost správy horkých peněženek centralizovaných burz a dále podněcuje průmysl k hledání bezpečnějších řešení pro ukládání aktiv.
Rok 2024 přinesl četné bezpečnostní útoky, což znovu připomíná, že rozvoj blockchainového průmyslu se neobejde bez bezpečnostní ochrany. Od úniku soukromých klíčů po chyby ve smlouvách, od vnitřních manažerských pochybení po eskalaci externích útočných metod, každá událost přinesla hluboké ponaučení. Abychom se vyrovnali se stále složitějšími hrozbami útoků, musí všechny zúčastněné strany v průmyslu nadále zvyšovat investice do výzkumu a vývoje technologií, standardizace řízení a prevenci rizik. Do budoucna se těšíme na to, že prostřednictvím spolupráce v oboru a technologických inovací společně vybudujeme bezpečnější blockchainovou ekosystém, který poskytne uživatelům a investorům spolehlivější zajištění.
