rounded

Автор: Beosin


В 2024 году блокчейн-индустрия, наряду с технологическими инновациями и расширением экосистемы, также сталкивается с возрастающими угрозами безопасности. По данным компании по безопасности Beosin и платформы Alert, по состоянию на момент публикации, общие убытки в сфере Web3 из-за атак хакеров, фишинговых мошенничеств и Rug Pull со стороны проектных команд составили 2.491 миллиарда долларов.


Эти события не только выявили технические недостатки, такие как управление приватными ключами и уязвимости смарт-контрактов, но и подчеркнули потенциальные риски социальной инженерии и внутреннего управления. Эта статья перечислит 10 самых значимых инцидентов безопасности в сфере Web3 в 2024 году, чтобы помочь отрасли извлечь уроки и лучше подготовиться к будущим угрозам безопасности.


№1 DMM Bitcoin


Сумма убытков: 304 миллиона долларов

Способ атаки: утечка приватного ключа

31 мая 2024 года японская криптовалютная биржа DMM Bitcoin подверглась исторической атаке. Атакующий использовал украденный приватный ключ для прямой передачи биткойнов на сумму более 300 миллионов долларов и быстро распределил украденные средства на более чем 10 различных адресов. Эта атака выявила серьезные недостатки в управлении приватными ключами и многоуровневыми мерами безопасности на DMM Bitcoin. Несмотря на попытки биржи отследить хакера с помощью мониторинга в цепочке и заморозки средств, украденные биткойны были распределены и использованы с помощью инструментов смешивания, что значительно усложнило работу по отслеживанию.
24 декабря японская полиция признала, что инцидент с кражей DMM Bitcoin был осуществлен хакерской группой Lazarus из Северной Кореи. Для подробного анализа прошлых атак и отмывания средств группой Lazarus можно ознакомиться с материалом (Обзор одной из самых смелых групп по краже криптовалюты в истории, анализ отмывания средств хакерской группы Lazarus).

№2 PlayDapp


Сумма убытков: 290 миллионов долларов

Способ атаки: утечка приватного ключа

9 февраля 2024 года PlayDapp понесла тяжелые потери, хакеры, похитив приватные ключи, выпустили 2 миллиарда токенов PLA, начальная стоимость которых составила 36.5 миллиона долларов. Поскольку переговоры между проектом и хакерами не увенчались успехом, хакеры в короткие сроки дополнительно выпустили 15.9 миллиарда токенов PLA на сумму 253.9 миллиона долларов. Часть этих токенов попала на биржу Gate, после чего PlayDapp была вынуждена приостановить контракт на PLA и перейти на контракт токена PDA. Этот инцидент подчеркнул недостатки защиты приватных ключей и реагирования на инциденты в блокчейн-проектах.


№3 WazirX


Сумма убытков: 235 миллионов долларов

Способ атаки: сетевые атаки и фишинг

18 июля 2024 года горячий кошелек Safe Wallet крупнейшей криптовалютной биржи Индии WazirX стал объектом точечной атаки хакеров. Атакующие использовали социальную инженерию, чтобы заставить подписантов многофункционального кошелька подписать сделку по обновлению контракта, а затем использовали права доступа обновленного контракта, чтобы полностью вывести активы из кошелька. Этот случай подчеркнул потенциальные риски управления многофункциональными кошельками в контексте настройки прав доступа и прозрачности операций, а также вызвал глубокие размышления в отрасли о внутренних механизмах контроля и безопасности проектов.


Для подробного анализа инцидента и отслеживания средств можно ознакомиться с материалом (Beosin | Анализ инцидента с кражей 235 миллионов долларов у индийской биржи WazirX).

№4 Gala Games


Сумма убытков: 216 миллионов долларов

Способ атаки: уязвимость контроля доступа


20 мая 2024 года хакеры атаковали один из привилегированных адресов Gala Games, использовав функцию mint в токен-контракте, что позволило им выпустить 5 миллиардов токенов GALA за один раз. Затем хакеры обменяли выпущенные токены на ETH, что привело к убыткам в 216 миллионов долларов. Команда Gala Games экстренно активировала функцию черного списка для блокировки некоторых хакерских счетов и попыталась вернуть средства через судебные инстанции.

№5 Chris Larsen (сооснователь Ripple)


Сумма убытков: 112 миллионов долларов

Способ атаки: утечка приватного ключа

31 января 2024 года четыре личных кошелька сооснователя Ripple Криса Ларсена были взломаны хакерами, что привело к краже 112 миллионов долларов XRP. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двухфакторной аутентификации с использованием аппаратного обеспечения. После инцидента Binance успешно заморозила XRP на сумму 4.2 миллиона долларов и помогла Ларсену отследить украденные активы, но большая часть средств уже была выведена через децентрализованные биржи и услуги по смешиванию.

№6 Munchables


Сумма убытков: 62.5 миллиона долларов

Способ атаки: атака социальной инженерии


26 марта 2024 года веб-игровая платформа Munchables на базе Blast подверглась редкой внутренней атаке. Атакующий, маскирующийся под разработчика блокчейна, был северокорейским хакером, который долго находился внутри и получил доступ к исходному коду и чувствительным ключам. Несмотря на огромные убытки, под давлением сообщества и команды хакер в конечном итоге вернул все украденные средства. Этот инцидент выявил важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработок.


№7 BtcTurk


Сумма убытков: 55 миллионов долларов

Способ атаки: утечка приватного ключа

22 июня 2024 года крупнейшая криптовалютная биржа Турции BtcTurk подверглась атаке утечки приватного ключа, в результате чего были потеряны криптоактивы на сумму более 55 миллионов долларов. С помощью команды Binance было успешно заморожено 5.3 миллиона долларов украденных средств, но другие активы до сих пор не были возвращены. Этот инцидент углубил беспокойство рынка по поводу управления приватными ключами централизованными биржами.


Официальное уведомление о нападении от BtcTurk

№8 Radiant Capital


Сумма убытков: 53 миллиона долларов

Способ атаки: утечка приватного ключа


17 октября 2024 года многофункциональный кошелек Radiant Capital был взломан хакерами. Поскольку он использовал низкопороговую модель проверки подписей 3/11, хакеры, обладая приватными ключами 3 подписантов, инициировали оффлайн-подпись и передали право собственности на кошелек злонамеренному адресу, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала отраслевую рефлексию по поводу дизайна и механизмов управления многофункциональными кошельками.


Radiant Capital перед этой атакой уже понесла убытки в 4.5 миллиона долларов из-за уязвимости контракта, более 1900 ETH было украдено. Уровень внимания Web3 проектов к безопасности все еще требует улучшения.

№9 Hedgey Finance


Сумма убытков: 44.7 миллиона долларов

Способ атаки: уязвимость контракта

19 апреля 2024 года Hedgey Finance подверглась атаке на несколько цепочных контрактов. Хакеры использовали уязвимость одобрения контракта ClaimCampaigns и успешно извлекли токены на цепочках Ethereum и Arbitrum, общая сумма убытков составила 44.7 миллиона долларов. Этот инцидент демонстрирует важность аудита кода, особенно строгую проверку логики одобрения токенов.

№10 BingX


Сумма убытков: 44.7 миллиона долларов

Способ атаки: утечка приватного ключа

19 сентября 2024 года горячий кошелек биржи BingX был взломан хакерами, затронувшими такие цепочки, как Ethereum, BNB Chain, Tron и другие публичные цепи. Несмотря на то, что биржа быстро активировала механизмы перевода активов и заморозки выводов, хакеры успешно извлекли активы на сумму 44.7 миллиона долларов. Эта атака отразила высокие риски управления горячими кошельками централизованных бирж и еще больше подтолкнула отрасль к поиску более безопасных схем хранения активов.

2024 год стал годом частых инцидентов безопасности, вновь напомнив нам, что развитие блокчейн-индустрии невозможно без обеспечения безопасности. От утечек приватных ключей до уязвимостей контрактов, от просчетов внутреннего управления до эволюции внешних методов атак, каждый инцидент принес глубокие уроки. Чтобы справиться с постоянно усложняющимися угрозами атак, всем участникам отрасли необходимо продолжать увеличивать инвестиции в научные исследования и разработки технологий, управление нормами и предотвращение рисков. В будущем мы надеемся, что через сотрудничество отрасли и технологические инновации мы сможем создать более безопасную экосистему блокчейн для пользователей и инвесторов.