Převzato z: Beosin
Původní zdroj: Beosin
V roce 2024 čelil blockchainový průmysl při technologických inovacích a rozšiřování ekosystému stále vážnějším bezpečnostním výzvám. Podle monitorování platformy Alert společnosti Beosin, do data vydání dosáhly celkové ztráty v oblasti Web3 způsobené hackerskými útoky, phishingovými podvody a rug pully projektů 2,491 miliardy dolarů.
Tyto incidenty nejen odhalují technické nedostatky, jako je správa soukromých klíčů a chyby inteligentních smluv, ale také zdůrazňují potenciální rizika sociálního inženýrství a vnitřního managementu. Tento článek zhodnotí deset nejvýznamnějších bezpečnostních incidentů Web3 v roce 2024, aby pomohl odvětví poučit se z těchto událostí a lépe čelit budoucím bezpečnostním hrozbám.
Č. 1 DMM Bitcoin
Ztráty: 304 miliony dolarů
Útokový způsob: Únik soukromého klíče
31. května 2024 čelila japonská renomovaná kryptoměnová burza DMM Bitcoin historickému útoku. Útočníci využili uniklého soukromého klíče k přímému převodu bitcoinů v hodnotě přes 300 milionů dolarů a rychle rozptýlili ukradené prostředky na více než 10 různých adres. Tento útok odhalil závažné nedostatky DMM Bitcoin v oblasti správy soukromých klíčů a víceúrovňových bezpečnostních opatření. I když se burza snažila sledovat hackery prostřednictvím on-chain monitorování a zmrazení prostředků, ukradené bitcoiny byly rozptýleny a vyčištěny pomocí mixovacích nástrojů, což sledování velmi zkomplikovalo.
24. prosince japonská policie určila, že incident s krádeží DMM Bitcoin byl způsoben severokorejskou hackerskou organizací Lazarus Group.
Č. 2 PlayDapp
Ztráty: 290 milionů dolarů
Útokový způsob: Únik soukromého klíče
9. února 2024 utrpěl PlayDapp vážné ztráty, když hackeři ukradli soukromé klíče a vyrobili 2 miliardy tokenů PLA, s počáteční hodnotou 36,5 milionu dolarů. Kvůli neúspěšnému jednání mezi projektem a hackery hackeři v krátkém čase vyrobili dalších 15,9 miliardy tokenů PLA, v hodnotě 253,9 milionu dolarů. Tyto tokeny se částečně dostaly na burzu Gate, což vedlo k tomu, že PlayDapp byl nucen pozastavit smlouvu PLA a přejít na smlouvu tokenu PDA. Tento incident ukázal nedostatky blockchainových projektů v ochraně soukromých klíčů a v nouzovém řízení.
Č. 3 WazirX
Ztráty: 235 milionů dolarů
Útokový způsob: Kybernetický útok a phishing
18. července 2024 byla vícesignální peněženka Safe Wallet největší indické kryptoměnové burzy WazirX cíleně napadena hackery. Útočníci pomocí sociálního inženýrství přiměli signatáře vícesignálního účtu podepsat transakci o upgradu smlouvy, a poté využili oprávnění nově upravené smlouvy k převodu všech aktiv v peněžence. Tento případ zdůraznil potenciální rizika správy oprávnění a transparentnosti operací vícesignálních peněženek a vyvolal v odvětví hlubší reflexi na interní kontrolu a bezpečnostní mechanismy projektů.
Podrobnou analýzu tohoto incidentu a sledování prostředků si můžete přečíst (Beosin | Analýza incidentu s krádeží 235 milionů dolarů na indické burze WazirX).
Č. 4 Gala Games
Ztráty: 216 milionů dolarů
Útokový způsob: Chyba v řízení přístupu
20. května 2024 byla určena privilegovaná adresa Gala Games napadena hackery, kteří prostřednictvím volání funkce mint v tokenové smlouvě jednorázově vyrobili 5 miliard tokenů GALA. Následně hackeři postupně vyměnili nově vydané tokeny za ETH, což vedlo k ztrátě 216 milionů dolarů. Tým Gala Games po incidentu urgentně aktivoval funkci blacklistu a zablokoval některé účty hackerů, a prostřednictvím soudní cesty se pokusil o náhradu ztrát.
Č. 5 Chris Larsen (spoluzakladatel Ripple)
Ztráty: 112 milionů dolarů
Útokový způsob: Únik soukromého klíče
31. ledna 2024 byly čtyři osobní peněženky spoluzakladatele Ripple Chris Larsena napadeny hackery, což vedlo ke krádeži 112 milionů dolarů XRP. Tyto peněženky se staly cílem útoku pravděpodobně kvůli nedostatku dvoufaktorové ochrany s hardwarovými zařízeními. Po incidentu se Binance podařilo zmrazit XRP v hodnotě 4,2 milionu dolarů a pomohla Larsenovi sledovat ukradená aktiva, ale většina prostředků byla již vyčištěna prostřednictvím decentralizovaných burz a mixovacích služeb.
Č. 6 Munchables
Ztráty: 62,5 milionu dolarů
Útokový způsob: Sociální inženýrství
26. března 2024 čelila herní platforma Munchables založená na Blast vzácnému internímu infiltracímu útoku. Útočníci byli severokorejští hackeři, kteří se převlékli za blockchainové vývojáře a dlouhodobě se infiltrovali, aby získali jádrový kód a citlivé klíče. I když útok způsobil značné ztráty, hackeři nakonec vrátili všechny ukradené prostředky pod tlakem komunity a týmu. Tento incident odhalil důležitost zabezpečení dodavatelského řetězce, zejména pro blockchainové projekty závislé na třetích stranách.
Č. 7 BtcTurk
Ztráty: 55 milionů dolarů
Útokový způsob: Únik soukromého klíče
22. června 2024 byla největší turecká kryptoměnová burza BtcTurk napadena útokem na únik soukromého klíče, přičemž ztráty přesáhly 55 milionů dolarů v kryptoměnách. S pomocí týmu Binance bylo úspěšně zmraženo 5,3 milionu dolarů z ukradených prostředků, ale ostatní aktiva nebyla dosud obnovena. Tento incident prohloubil obavy trhu ohledně správy soukromých klíčů centralizovaných burz.
Oficiální oznámení o útoku od BtcTurk
Č. 8 Radiant Capital
Ztráty: 53 milionů dolarů
Útokový způsob: Únik soukromého klíče
17. října 2024 byl vícesignální peněženka Radiant Capital napadena hackery. Kvůli použití nízkoprahového režimu ověřování 3/11 hackeři získali přístup k soukromým klíčům 3 signatářů a spustili offline podepsání, čímž převedli vlastnictví smlouvy peněženky na zlovolnou adresu, což vedlo k odcizení 53 milionů dolarů. Tento útok vyvolal v odvětví reflexi designu a správy vícesignálních peněženek.
Radiant Capital před tímto útokem již ztratil 4,5 milionu dolarů kvůli chybě ve smlouvě, kdy bylo ukradeno více než 1900 ETH. Projekty Web3 musí zvýšit své zaměření na bezpečnost.
Č. 9 Hedgey Finance
Ztráty: 44,7 milionu dolarů
Útokový způsob: Chyba ve smlouvě
19. dubna 2024 čelila Hedgey Finance útoku na více řetězcových smluv. Hackeři využili schválení v jejich smlouvě ClaimCampaigns a úspěšně vytáhli tokeny na dvou řetězcích, Ethereum a Arbitrum, s celkovými ztrátami 44,7 milionu dolarů. Tento incident ukázal důležitost auditu kódu, zejména přísné kontroly logiky schvalování tokenů.
Č. 10 BingX
Ztráty: 44,7 milionu dolarů
Útokový způsob: Únik soukromého klíče
19. září 2024 byl horká peněženka burzy BingX napadena hackery, přičemž byly zasaženy řetězce jako Ethereum, BNB Chain, Tron a další veřejné řetězce. I když burza rychle zahájila mechanismus převodu aktiv a pozastavení výběru, hackeři úspěšně vytáhli aktiva v hodnotě 44,7 milionu dolarů. Tento útok odhaluje vysoké riziko správy horkých peněženek centralizovaných burz a dále podněcuje průmysl k hledání bezpečnějších řešení pro ukládání aktiv.
V roce 2024 došlo k častým bezpečnostním útokům, opět nám připomíná, že rozvoj blockchainového průmyslu není možný bez bezpečnostního dohledu. Od úniků soukromých klíčů po chyby ve smlouvách, od vnitřních manažerských pochybení po vnější útoky, každý incident přinesl hluboké ponaučení. Abychom čelili stále složitějším hrozbám útoků, je nutné, aby všechny strany v průmyslu pokračovaly v investicích do technického výzkumu, správních standardů a řízení rizik. Do budoucna očekáváme, že prostřednictvím spolupráce v průmyslu a technologických inovací společně vybudujeme bezpečnější blockchainový ekosystém a poskytneme uživatelům a investorům spolehlivější zajištění.
