MetaEra совместно с CertiK выпустила отчет о безопасности за ноябрь, передавая ключевую информацию о безопасности в отрасли.
Автор статьи: Echo, MetaEra
Источник: MetaEra
В ноябре 2024 года индустрия Web 3.0 столкнулась с рядом проблем безопасности, включая атаки с использованием мгновенных кредитов, эксплуатацию уязвимостей и схемы ухода. По сравнению с прошлым месяцем, убытки, вызванные инцидентами безопасности, увеличились почти вдвое, общая сумма убытков составила 219 миллионов долларов. Основной причиной этого стали резкие увеличения инцидентов с мгновенными кредитами и эксплуатацией уязвимостей.
Основными событиями безопасности ноября стали Thala и DEXX, оба из которых являются случаями эксплуатации уязвимостей, с потерями в 25,5 миллиона долларов и 21 миллион долларов соответственно, что составляет значительную долю от общих потерь месяца. В известном инциденте DEXX хакеры использовали уязвимость управления приватным ключом платформы, легко получив доступ к платформе и переведя активы пользователей на сумму более 100 миллионов долларов на несколько анонимных адресов, общая потеря составила 21 миллион долларов.
Кроме того, отчет также углубленно исследует и анализирует десять крупнейших инцидентов безопасности в ноябре, представительные случаи из трех основных категорий инцидентов безопасности за месяц, а также суммы убытков по трем основным категориям инцидентов безопасности за каждый месяц этого года, с целью повышения безопасности пользователей и достижения образования пользователей для предотвращения атак. Конкретные данные и результаты анализа представлены на рисунке ниже.
Атака с использованием мгновенных кредитов
Polter Finance
17 ноября основатель SlowMist Ю Сян опубликовал сообщение на X, заявив, что проект по кредитованию на FTM Polter Finance потерял 12 миллионов долларов из-за проблем с «пустым рынком». Он добавил: «Если с безопасным аудитом дела обстоят так халатно, то как можно ожидать, что такие проекты будут понимать важность безопасности».
DeltaPrime
DeltaPrime потерял криптовалюту на сумму около 4,8 миллиона долларов на ARB и AVAX. Злоумышленники увеличили ликвидность на LFJ (ранее Trader Joe) и ферме USDC Stargate (примерно 1,3 миллиона долларов).
BGM
10 ноября токен BGM на BSC подвергся атаке, убытки составили более 450 тысяч долларов, злоумышленники получили прибыль через манипуляции с ценами.
vETH
14 ноября компания по безопасности блокчейнов SlowMist выпустила предупреждение о безопасности, заявив, что обнаружила подозрительную активность, связанную с токеном vETH (адрес контракта: 0x280a8955a11fcd81d72ba1f99d265a48ce39ac2e). Согласно анализу Cyvers Alerts, хакеры получили убыток около 440 тысяч долларов из-за манипуляций с ценами, сначала получив средства через Tornado Cash в сети BNB, а затем через Bridgers переместив их в Ethereum.
Токен DCF
25 ноября на DCF в сети BNB произошла атака, в результате которой были потеряны около 440 тысяч долларов. Причиной уязвимости стало неправильное логическое написание функции transfer проектной командой, а способ атаки — мгновенный кредит.
Уязвимость
Thala
Эта уязвимость произошла 15 ноября, когда хакеры использовали уязвимость для извлечения ликвидных токенов. Thala немедленно приостановила соответствующий контракт и заморозила активы на сумму 11,5 миллиона долларов, быстро идентифицировав личность хакера. С помощью правоохранительных органов, Seal 911 и Ogle Thala подтвердила личность злоумышленника. Пострадавшие пользователи получат 100% компенсацию. Хакер вернул все средства через 6 часов после инцидента, его личность не была раскрыта. Это событие завершилось успешным возвратом украденных 25,5 миллиона долларов ликвидных токенов.
DEXX
Это событие произошло 16 ноября, когда хакеры воспользовались уязвимостью управления приватным ключом платформы, легко получив доступ к платформе и переведя активы пользователей на сумму более 100 миллионов долларов на несколько анонимных адресов, общая потеря составила 21 миллион долларов.
6 декабря произошли последние события, в результате атаки пострадали 12 413 адресов пользователей, включая потери многопоточных активов, таких как 32 969 SOL, 634,56 ETH и 204,69 BNB. Платформа разработала четыре меры компенсации. В рамках повышения безопасности DEXX развернула архитектуру нулевого доверия и планирует запустить собственный кошелек и решения MPC. В настоящее время платформа подтвердила информацию о IP-адресах и устройствах хакеров с правоохранительными органами, расследование продолжается. Некоторые функции кошелька находятся на стадии тестирования, работа по повышению безопасности близка к завершению.
Gifto
Gifto 29 ноября в ранние утренние часы публиковал сообщение на платформе X, заявив: «Обратите внимание на серьезное событие безопасности, связанное с контрактом GFT. Контракт токена GFT был взломан, и выпущено больше токенов GFT. Мы проводим расследование и понимаем серьезность данного вопроса, уверяем вас, что принимаем необходимые меры. Мы просим все биржи, на которых торгуется GFT, остановить торговлю этим токеном. Мы работаем над решением этой проблемы». Ранее сообщалось, что после объявления Binance о снятии Gifto (GFT) с торгов 10 декабря, команда проекта увеличила эмиссию токенов на 1,2 миллиарда GFT и перевела их на несколько бирж. В настоящее время дело все еще находится на стадии расследования.
О CertiK
CertiK постоянно отслеживает тенденции безопасности в области Web 3.0 и на сегодняшний день провела более 70 операций белых шляп, сообщила более 4 000 инцидентов безопасности, обнаружила более 115 000 уязвимостей в коде и защитила цифровые активы на сумму более 360 миллиардов долларов от потенциальных убытков; и передает ключевую информацию о безопасности в отрасли через ежегодные и квартальные отчеты о безопасности.
О MetaEra
MetaEra — это бренд и эксперт по росту в индустрии Web 3.0, предлагающий креативные решения для клиентов. MetaEra использует всесторонние ресурсы по всему миру, чтобы предоставить индивидуализированные услуги для управления вашим брендом и роста бизнеса.
