Sursa articolului: Beosin
Sursa originală: Beosin
În 2024, industria blockchain se confruntă cu provocări de securitate din ce în ce mai severe, în timp ce inovează tehnologic și se extinde ecologic. Potrivit platformei Alert a companiei de audit de securitate Beosin, până la momentul publicării, pierderile totale în domeniul Web3 din cauza atacurilor hackerilor, escrocheriilor de phishing și a furtișagurilor de la proiecte au ajuns la 2,491 miliarde de dolari.
Aceste evenimente nu doar că expun deficiențele tehnice precum gestionarea cheilor private și vulnerabilitățile contractelor inteligente, dar evidențiază și riscurile potențiale ale ingineriei sociale și gestionării interne. Acest articol va prezenta cele mai importante 10 evenimente de securitate din Web3 în 2024, ajutând industria să învețe din acestea și să se pregătească mai bine pentru amenințările de securitate viitoare.
Nr. 1 DMM Bitcoin
Suma pierdută: 304 milioane de dolari
Metoda de atac: scurgerea cheii private
Pe 31 mai 2024, DMM Bitcoin, un exchange de criptomonede cu vechime din Japonia, a suferit un atac istoric. Hackerii au folosit o cheie privată scursă pentru a transfera direct criptomonede în valoare de peste 300 de milioane de dolari și au dispersat rapid fondurile furate în peste 10 adrese diferite. Acest atac a expus deficiențele grave ale DMM Bitcoin în gestionarea cheilor private și a protecției de securitate în mai multe straturi. Deși exchange-ul a încercat să urmărească hackerii prin monitorizarea pe lanț și înghețarea fondurilor, bitcoinul furat a fost dispersat și transferat folosind instrumente de amestecare, ceea ce a făcut urmărirea extrem de provocatoare.
Pe 24 decembrie, poliția japoneză a confirmat că incidentul de furt de la DMM Bitcoin a fost cauzat de grupul de hackeri din Coreea de Nord, Lazarus Group.
Nr. 2 PlayDapp
Suma pierdută: 290 milioane de dolari
Metoda de atac: scurgerea cheii private
Pe 9 februarie 2024, PlayDapp a suferit o lovitură severă, hackerii au furat chei private și au emis 2 miliarde de tokenuri PLA, cu o valoare inițială de 36,5 milioane de dolari. Deoarece negocierile dintre echipa de proiect și hackeri nu au avut succes, hackerii au emis rapid 15,9 miliarde de tokenuri PLA, cu o valoare de 253,9 milioane de dolari. Aceste tokenuri au ajuns parțial pe exchange-ul Gate, iar PlayDapp a fost nevoit să suspende contractul PLA și să migreze către contractul tokenului PDA. Acest incident a evidențiat deficiențele proiectelor blockchain în protecția cheilor private și gestionarea urgențelor.
Nr. 3 WazirX
Suma pierdută: 235 milioane de dolari
Metoda de atac: atacuri cibernetice și phishing
Pe 18 iulie 2024, portofelul multisig Safe Wallet al celui mai mare exchange de criptomonede din India, WazirX, a fost atacat de hackeri. Hackerii au indus în eroare semnatarul multisig prin inginerie socială pentru a semna o tranzacție de actualizare a contractului, apoi au folosit permisiunile contractului actualizat pentru a transfera toate activele din portofel. Această caz a evidențiat riscurile potențiale ale configurării permisiunilor de gestionare și transparenței operațiunilor portofelelor multisig, generând o reflecție profundă asupra mecanismelor interne de control și securitate ale proiectelor din industrie.
Pentru o analiză detaliată a acestui incident și urmărirea fondurilor, citiți (Beosin | Analiza incidentului de furt de 235 milioane de dolari de la exchange-ul indian WazirX).
Nr. 4 Gala Games
Suma pierdută: 216 milioane de dolari
Metoda de atac: vulnerabilitate de control al accesului
Pe 20 mai 2024, o adresă privilegiată a Gala Games a fost compromisă de hackeri, care au apelat funcția mint din contractul tokenului pentru a emite 5 miliarde de tokenuri GALA. Ulterior, hackerii au schimbat în loturi tokenurile emise în ETH, provocând o pierdere directă de 216 milioane de dolari. Echipa Gala Games a activat urgent funcția de blacklist pentru a bloca anumite conturi ale hackerilor și a recuperat pierderile prin căi legale.
Nr. 5 Chris Larsen (co-fondator Ripple)
Suma pierdută: 112 milioane de dolari
Metoda de atac: scurgerea cheii private
Pe 31 ianuarie 2024, patru portofele personale ale co-fondatorului Ripple, Chris Larsen, au fost compromise de hackeri, ducând la furtul a 112 milioane de dolari în XRP. Aceste portofele au devenit ținte datorită lipsei protecției duale cu dispozitive hardware. După incident, Binance a înghețat cu succes XRP în valoare de 4,2 milioane de dolari și a ajutat la urmărirea activelor furate, dar cea mai mare parte a fondurilor a fost deja spălată prin exchange-uri descentralizate și servicii de amestecare.
Nr. 6 Munchables
Suma pierdută: 62,5 milioane de dolari
Metoda de atac: atac de inginerie socială
Pe 26 martie 2024, platforma de jocuri Web3 Munchables bazată pe Blast a suferit un atac rar de infiltrare internă. Hackerii, care s-au deghizat în dezvoltatori de blockchain din Coreea de Nord, au obținut codul de bază și cheile sensibile printr-o infiltrare pe termen lung. Deși atacul a cauzat pierderi uriașe, hackerii au returnat în cele din urmă toate fondurile furate sub presiunea comunității și a echipei. Acest incident a evidențiat importanța securității lanțului de aprovizionare, în special pentru proiectele de blockchain care depind de dezvoltatori terți.
Nr. 7 BtcTurk
Suma pierdută: 55 milioane de dolari
Metoda de atac: scurgerea cheii private
Pe 22 iunie 2024, cel mai mare exchange de criptomonede din Turcia, BtcTurk, a fost atacat prin scurgerea cheii private, pierzând peste 55 milioane de dolari în active criptografice. Cu ajutorul echipei Binance, 5,3 milioane de dolari din fondurile furate au fost înghețate cu succes, dar alte active nu au fost recuperate. Acest incident a adâncit îngrijorările pieței cu privire la gestionarea cheilor private de către exchange-urile centralizate.
BtcTurk a publicat oficial un anunț despre atac
Nr. 8 Radiant Capital
Suma pierdută: 53 milioane de dolari
Metoda de atac: scurgerea cheii private
Pe 17 octombrie 2024, portofelul multisig al Radiant Capital a fost compromis de hackeri. Deoarece a adoptat un model de verificare a semnăturilor 3/11 cu praguri scăzute, hackerii au inițiat semnături off-chain prin stăpânirea cheilor private ale 3 semnatari, transferând proprietatea contractului portofelului către o adresă malițioasă, ceea ce a dus în final la furtul a 53 milioane de dolari. Acest atac a generat o reflecție la nivel de industrie asupra designului și mecanismului de guvernanță al portofelelor multisig.
Radiant Capital a pierdut 4,5 milioane de dolari din cauza unei vulnerabilități a contractului înainte de acest atac, cu peste 1900 de ETH furate. Proiectele Web3 trebuie să acorde o atenție sporită securității.
Nr. 9 Hedgey Finance
Suma pierdută: 44,7 milioane de dolari
Metoda de atac: vulnerabilitate de contract
Pe 19 aprilie 2024, Hedgey Finance a fost atacat prin atacuri asupra mai multor contracte pe lanț. Hackerii au profitat de o vulnerabilitate de aprobat în contractul său ClaimCampaigns, reușind să extragă tokenuri de pe două lanțuri, Ethereum și Arbitrum, cu o pierdere totală de 44,7 milioane de dolari. Acest incident a evidențiat importanța auditului de cod, în special pentru validarea strictă a logicii de aprobat a tokenurilor.
Nr. 10 BingX
Suma pierdută: 44,7 milioane de dolari
Metoda de atac: scurgerea cheii private
Pe 19 septembrie 2024, portofelul cald al exchange-ului BingX a fost spart de hackeri, implicând lanțuri precum Ethereum, BNB Chain, Tron și alte lanțuri publice. Deși exchange-ul a inițiat rapid mecanismele de transfer de active și înghețare a retragerilor, hackerii au reușit să extragă active în valoare de 44,7 milioane de dolari. Acest atac reflectă riscurile ridicate ale gestionării portofelelor calde de către exchange-urile centralizate și încurajează industria să exploreze soluții de stocare a activelor mai sigure.
În 2024, evenimentele de atacuri de securitate au fost frecvente, amintindu-ne din nou că dezvoltarea industriei blockchain nu poate fi separată de securitate. De la scurgeri de chei private la vulnerabilități de contract, de la neglijența în managementul intern la metodele de atac externe, fiecare incident a adus lecții profunde. Pentru a face față amenințărilor de atacuri din ce în ce mai complexe, toate părțile din industrie trebuie să continue să investească în cercetarea tehnologică, norme de management și prevenirea riscurilor. În viitor, așteptăm ca prin colaborarea din industrie și inovația tehnologică, să construim împreună un ecosistem blockchain mai sigur, oferind utilizatorilor și investitorilor o protecție mai fiabilă.
