Autor: Beosin
În 2024, industria blockchain, în timp ce inovează tehnologic și extinde ecosistemul, se confruntă și cu provocări de securitate din ce în ce mai severe. Potrivit platformei Alert, deținută de compania de audit de securitate Beosin, până la data publicării, pierderile totale din domeniul Web3 din cauza atacurilor hackerilor, înșelătoriilor de phishing și a Rug Pull-urilor din partea echipelor de proiect au ajuns la 2,491 miliarde de dolari.
Aceste evenimente nu doar că au expus defectele tehnice precum gestionarea cheilor private și vulnerabilitățile contractelor inteligente, dar au evidențiat și riscurile potențiale ale ingineriei sociale și gestionării interne. Această lucrare va analiza cele mai importante zece evenimente de securitate Web3 din 2024, ajutând industria să învețe lecții din acestea și să se pregătească mai bine pentru amenințările de securitate viitoare.
Nr. 1 DMM Bitcoin
Suma pierdută: 304 milioane de dolari
Metodă de atac: scurgerea cheii private
Pe 31 mai 2024, bursa de criptomonede DMM Bitcoin din Japonia a fost victima unui atac istoric. Atacatorii au folosit cheile private scurse pentru a transfera direct peste 300 de milioane de dolari în bitcoin și au dispersat rapid fondurile furate în peste 10 adrese diferite. Acest atac a expus deficiențele grave ale DMM Bitcoin în gestionarea cheilor private și protecția multi-nivel. Deși bursa a încercat să urmărească hackerii prin monitorizarea on-chain și blocarea fondurilor, bitcoinul furat a fost dispersat și spălat prin instrumente de mixare, ceea ce a creat provocări majore în urmăririle.
Pe 24 decembrie, poliția japoneză a concluzionat că incidentul de furt DMM Bitcoin a fost comis de grupul de hackeri nord-coreeni Lazarus. Pentru o analiză detaliată a atacurilor anterioare ale Lazarus Group și a spălării de bani, puteți citi (Despre cea mai îndrăzneață bandă de furt de criptomonede din istorie, analiza spălării de bani de către grupul de hackeri Lazarus).
Nr. 2 PlayDapp
Suma pierdută: 290 milioane de dolari
Metodă de atac: scurgerea cheii private
Pe 9 februarie 2024, PlayDapp a suferit o lovitură grea, hackerii au furat cheia privată și au creat 2 miliarde de token-uri PLA, având o valoare inițială de 36,5 milioane de dolari. Deoarece negocierile dintre echipa proiectului și hackeri nu au avut succes, hackerii au creat rapid alte 15,9 miliarde de token-uri PLA, având o valoare de 253,9 milioane de dolari. O parte din aceste token-uri au fost transferate pe exchange-ul Gate, iar PlayDapp a fost nevoită să suspende contractul PLA și să migreze la contractul token-ului PDA. Acest incident a evidențiat defectele în protecția cheilor private și gestionarea situațiilor de urgență în proiectele blockchain.
Nr. 3 WazirX
Suma pierdută: 235 milioane de dolari
Metodă de atac: atacuri cibernetice și phishing
Pe 18 iulie 2024, portofelul multi-semnătură Safe Wallet al celei mai mari burse de criptomonede din India, WazirX, a fost atacat cu precizie de hackeri. Atacatorii au folosit ingineria socială pentru a induceri în eroare semnatarilor multi-semnătură să semneze o tranzacție de upgrade a contractului, apoi au folosit drepturile contractului actualizat pentru a transfera toate activele din portofel. Această caz a evidențiat riscurile potențiale ale configurării permisiunilor de management și transparenței operațiunilor în portofelele multi-semnătură și a generat o reflecție profundă în industrie cu privire la mecanismele interne de control al riscurilor și de securitate.
Pentru o analiză detaliată a acestui incident și urmărirea fondurilor, puteți citi (Beosin | Analiza incidentului de furt de 235 milioane de dolari de la bursa indiană WazirX).
Nr. 4 Gala Games
Suma pierdută: 216 milioane de dolari
Metodă de atac: vulnerabilitate în controlul accesului
Pe 20 mai 2024, o adresă privilegiată a Gala Games a fost compromisă de hackeri, atacatorii au apelat funcția mint din contractul token-ului și au creat instantaneu 5 miliarde de token-uri GALA. Ulterior, hackerii au schimbat token-urile emise în loturi pentru ETH, provocând o pierdere de 216 milioane de dolari. Echipa Gala Games a activat rapid funcția de blocare a conturilor pentru a bloca unele conturi ale hackerilor și a recuperat pierderile prin intermediul căilor legale.
Nr. 5 Chris Larsen (co-fondator Ripple)
Suma pierdută: 112 milioane de dolari
Metodă de atac: scurgerea cheii private
Pe 31 ianuarie 2024, patru portofele personale ale co-fondatorului Ripple, Chris Larsen, au fost compromise de hackeri, ducând la furtul a 112 milioane de dolari în XRP. Aceste portofele au fost probabil vizate din cauza lipsei protecției hardware în ceea ce privește protecția duală. După incident, Binance a reușit să blocheze 4,2 milioane de dolari în XRP și a ajutat-o pe Larsen să urmărească activele furate, dar cea mai mare parte a fondurilor au fost deja spălate prin burse descentralizate și servicii de mixare.
Nr. 6 Munchables
Suma pierdută: 62,5 milioane de dolari
Metodă de atac: atacuri de inginerie socială
Pe 26 martie 2024, platforma de jocuri Web3 Munchables, bazată pe Blast, a fost victima unei atacuri rare de infiltrare internă. Atacatorii s-au deghizat în dezvoltatori de blockchain din Coreea de Nord, obținând acces la codul sursă și cheile sensibile printr-o infiltrare pe termen lung. Deși atacul a provocat pierderi semnificative, hackerii au returnat în final toate fondurile furate sub presiunea comunității și echipei. Acest incident a subliniat importanța securității lanțului de aprovizionare, în special pentru proiectele blockchain care depind de dezvoltatori terți.
Nr. 7 BtcTurk
Suma pierdută: 55 milioane de dolari
Metodă de atac: scurgerea cheii private
Pe 22 iunie 2024, cea mai mare bursă de criptomonede din Turcia, BtcTurk, a fost victima unui atac de scurgere a cheii private, pierzând peste 55 milioane de dolari în active criptografice. Cu ajutorul echipei Binance, 5,3 milioane de dolari din fondurile furate au fost blocate cu succes, dar alte active nu au fost recuperate. Acest incident a adâncit îngrijorările pieței cu privire la gestionarea cheilor private de către bursele centralizate.
BtcTurk a emis un anunț oficial privind atacul
Nr. 8 Radiant Capital
Suma pierdută: 53 milioane de dolari
Metodă de atac: scurgerea cheii private
Pe 17 octombrie 2024, portofelul multi-semnătură al Radiant Capital a fost compromis de hackeri. Datorită adoptării unui model de verificare a semnăturilor 3/11 cu un prag scăzut, hackerii au obținut cheile private de la 3 semnatari și au inițiat o semnătură off-chain, transferând proprietatea contractului portofelului într-o adresă malițioasă, ceea ce a dus la furtul a 53 milioane de dolari. Acest atac a generat o reflexie în industrie asupra designului portofelelor multi-semnătură și mecanismelor de guvernare.
Radiant Capital, înainte de acest atac, a suferit deja o pierdere de 4,5 milioane de dolari din cauza unei vulnerabilități în contracte, cu peste 1900 de ETH furate. Proiectele Web3 trebuie să acorde mai multă atenție securității.
Nr. 9 Hedgey Finance
Suma pierdută: 44,7 milioane de dolari
Metodă de atac: vulnerabilitate în contracte
Pe 19 aprilie 2024, Hedgey Finance a fost victima unui atac asupra mai multor contracte de pe lanț. Hackerii au exploatat o vulnerabilitate de aprobat în contractul lor ClaimCampaigns, extrăgând cu succes token-uri de pe lanțurile Ethereum și Arbitrum, având o pierdere totală de 44,7 milioane de dolari. Acest incident arată importanța auditului de cod, în special în ceea ce privește verificarea riguroasă a logicii de aprobat a token-urilor.
Nr. 10 BingX
Suma pierdută: 44,7 milioane de dolari
Metodă de atac: scurgerea cheii private
Pe 19 septembrie 2024, portofelul cald al bursei BingX a fost compromis de hackeri, implicând lanțuri precum Ethereum, BNB Chain, Tron și alte lanțuri publice. Deși bursa a activat rapid mecanismul de transfer al activelor și blocarea retragerilor, hackerii au reușit să extragă active în valoare de 44,7 milioane de dolari. Acest atac reflectă riscurile ridicate ale gestionării portofelelor calde de către bursele centralizate și promovează explorarea unor soluții mai sigure de stocare a activelor în industrie.
Incidentele de atacuri de securitate din 2024 au fost frecvente, reamintindu-ne din nou că dezvoltarea industriei blockchain nu poate fi separată de protecția securității. De la scurgerea cheilor private la vulnerabilitățile contractelor, de la neglijențele în gestionarea internă la metodele de atac externe în evoluție, fiecare incident a adus lecții profunde. Pentru a face față amenințărilor de atac din ce în ce mai complexe, toate părțile din industrie trebuie să continue să investească în dezvoltarea tehnologică, standardele de management și prevenirea riscurilor. În viitor, ne așteptăm ca, prin colaborarea în industrie și inovația tehnologică, să construim un ecosistem blockchain mai sigur, oferind utilizatorilor și investitorilor o protecție mai fiabilă.
