Автор: Beosin
В 2024 году блокчейн-отрасль сталкивается с все более жесткими вызовами безопасности, одновременно с техническими инновациями и расширением экосистемы. Согласно мониторингу платформы Alert компании Beosin, к моменту публикации общие потери в области Web3 из-за атак хакеров, фишинга и Rug Pull со стороны проектов составили 2.491 миллиарда долларов.
Эти события не только выявили технические недостатки, такие как управление приватными ключами и уязвимости смарт-контрактов, но также подчеркнули потенциальные риски социальной инженерии и внутреннего управления. В этой статье мы рассмотрим десятку самых влиятельных инцидентов безопасности Web3 в 2024 году, чтобы помочь отрасли извлечь уроки и лучше подготовиться к будущим угрозам безопасности.
No.1 DMM Bitcoin
Сумма ущерба: 3.04 миллиарда долларов
Методы атаки: утечка приватного ключа
31 мая 2024 года японская старейшая криптобиржа DMM Bitcoin подверглась исторической атаке. Атакующий использовал утекший приватный ключ, чтобы напрямую перевести более 300 миллионов долларов в биткойнах, и быстро разбросал украденные средства по более чем 10 различным адресам. Эта атака выявила серьезные недостатки DMM Bitcoin в управлении приватными ключами и многоуровнями безопасности. Несмотря на то, что биржа пыталась отслеживать хакеров с помощью мониторинга в цепочке и замораживания средств, украденные биткойны были разбросаны и использованы в инструментах для отмывания, что создало огромные сложности в работе по отслеживанию.
24 декабря японская полиция подтвердила, что кража DMM Bitcoin была совершена северокорейской хакерской группировкой Lazarus Group. Подробный анализ прошлых атак Lazarus Group и отмывания денег можно прочитать в (История самой дерзкой кражи криптовалюты, анализ отмывания денег хакерской группировки Lazarus Group).
No.2 PlayDapp
Сумма ущерба: 2.90 миллионов долларов
Методы атаки: утечка приватного ключа
9 февраля 2024 года PlayDapp подвергся серьезному удару, хакеры, похитившие приватный ключ, создали 2 миллиарда токенов PLA с первоначальной стоимостью 36.5 миллионов долларов. Поскольку переговоры проекта с хакерами не увенчались успехом, хакеры в короткие сроки дополнительно выпустили 15.9 миллиарда токенов PLA, стоимостью 253.9 миллионов долларов. Эти токены частично попали на биржу Gate, после чего PlayDapp был вынужден приостановить контракт PLA и перейти на контракт токена PDA. Этот инцидент подчеркнул недостатки защиты приватных ключей и реагирования на инциденты в проектах на блокчейне.
No.3 WazirX
Сумма ущерба: 2.35 миллиарда долларов
Методы атаки: сетевые атаки и фишинг
18 июля 2024 года многоподписной кошелек Safe Wallet крупнейшей криптобиржи Индии WazirX стал целью точной атаки хакеров. Атакующие с помощью социальной инженерии убедили подписантов многоподписного кошелька подписать транзакцию обновления контракта, после чего использовали права обновленного контракта, чтобы полностью вывести активы из кошелька. Этот случай подчеркнул потенциальные риски многоподписных кошельков в управлении настройками прав и прозрачности операций, также вызвав глубокие размышления в отрасли о внутреннем контроле и механизмах безопасности проекта.
Подробный анализ этого инцидента и отслеживание средств можно прочитать в (Beosin | Анализ кражи 2.35 миллиарда долларов биржи WazirX).
No.4 Gala Games
Сумма ущерба: 216 миллионов долларов
Методы атаки: уязвимость контроля доступа
20 мая 2024 года хакеры атаковали привилегированный адрес Gala Games, использовав вызов функции mint в токен-контракте для создания 5 миллиардов токенов GALA за один раз. Затем хакеры поэтапно обменяли вновь выпущенные токены на ETH, что привело к прямым потерям в 216 миллионов долларов. Команда Gala Games срочно активировала функцию черного списка и заблокировала некоторые аккаунты хакеров, а также попыталась вернуть утраченные средства через судебные инстанции.
No.5 Крис Ларсен (соучредитель Ripple)
Сумма ущерба: 112 миллионов долларов
Методы атаки: утечка приватного ключа
31 января 2024 года четыре личных кошелька соучредителя Ripple Криса Ларсена были взломаны, в результате чего было украдено 112 миллионов долларов XRP. Эти кошельки стали целью атаки из-за отсутствия двойной защиты с помощью аппаратных средств. После инцидента Binance успешно заморозила XRP на сумму 4.2 миллиона долларов и помогла Ларсену отследить украденные активы, но большая часть средств уже была отмыта через децентрализованные биржи и сервисы для смешивания.
No.6 Munchables
Сумма ущерба: 6250 миллионов долларов
Методы атаки: атака социальной инженерии
26 марта 2024 года Web3 игровая платформа Munchables на базе Blast подверглась редкой внутренней атаке. Атакующий, маскирующийся под разработчика блокчейна, получил доступ к исходному коду и чувствительным ключам, долгое время оставаясь незамеченным. Несмотря на огромные потери, под давлением сообщества и команды хакер в конечном итоге вернул все украденные средства. Этот инцидент подчеркнул важность безопасности цепочки поставок, особенно для проектов блокчейна, зависящих от сторонних разработчиков.
No.7 BtcTurk
Сумма ущерба: 5500 миллионов долларов
Методы атаки: утечка приватного ключа
22 июня 2024 года крупнейшая криптобиржа Турции BtcTurk подверглась атаке с утечкой приватного ключа, в результате чего были потеряны криптоактивы на сумму более 5500 миллионов долларов. При помощи команды Binance удалось заморозить успешно 5.3 миллиона долларов украденных средств, но другие активы до сих пор не возвращены. Этот инцидент углубил опасения рынка по поводу управления приватными ключами централизованных бирж.
Официальное сообщение BtcTurk о нападении
No.8 Radiant Capital
Сумма ущерба: 5300 миллионов долларов
Методы атаки: утечка приватного ключа
17 октября 2024 года многоподписной кошелек Radiant Capital был взломан хакерами. Поскольку он использовал низкий порог проверки подписей 3/11, хакеры, обладая приватными ключами 3 подписантов, инициировали подпись вне цепи, передав права собственности на контракт кошелька на злонамеренный адрес, что в конечном итоге привело к краже 5300 миллионов долларов. Эта атака вызвала размышления в отрасли о дизайне и механизмах управления многоподписными кошельками.
Radiant Capital до данной атаки уже понес потери в 4.5 миллиона долларов из-за уязвимости контракта, более 1900 ETH было украдено. Уровень внимания проектов Web3 к безопасности все еще нуждается в повышении.
No.9 Hedgey Finance
Сумма ущерба: 4470 миллионов долларов
Методы атаки: уязвимость контракта
19 апреля 2024 года Hedgey Finance подвергся атаке на несколько цепочных контрактов. Хакеры использовали уязвимость согласования в контракте ClaimCampaigns, успешно извлекая токены из Ethereum и Arbitrum, с общими потерями в 4470 миллионов долларов. Этот инцидент показал важность аудита кода, особенно строгой проверки логики согласования токенов.
No.10 BingX
Сумма ущерба: 4470 миллионов долларов
Методы атаки: утечка приватного ключа
19 сентября 2024 года горячий кошелек биржи BingX был взломан хакерами, затронувшими несколько публичных цепей, включая Ethereum, BNB Chain, Tron и другие. Несмотря на то, что биржа быстро активировала механизмы перевода активов и заморозки выводов, хакеры успешно вывели активы на сумму 4470 миллионов долларов. Эта атака отразила высокие риски управления горячими кошельками централизованных бирж и еще больше подтолкнула отрасль к поиску более безопасных решений для хранения активов.
В 2024 году частота атак безопасности снова напоминает нам о том, что развитие блокчейн-отрасли невозможно без обеспечения безопасности. От утечки приватных ключей до уязвимостей контрактов, от внутренних управленческих упущений до усовершенствования внешних методов атак, каждое событие приносит глубокие уроки. Чтобы справиться с растущими сложностями угроз атак, всем участникам отрасли необходимо продолжать увеличивать инвестиции в разработку технологий, управление нормами и предотвращение рисков. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы сможем создать более безопасную блокчейн-экосистему, обеспечив более надежную защиту для пользователей и инвесторов.