Автор: команда безпеки SlowMist
Огляд
У листопаді 2024 року загальні збитки від безпеки в Web3 становлять близько 86,240,000 доларів США. Згідно з даними архіву злочинності SlowMist (https://hacked.slowmist.io), сталося 21 випадок зламу, які призвели до збитків близько 76,860,000 доларів США, із яких 25,500,000 доларів було повернуто. Причини збитків пов’язані з уразливостями контрактів, зломом облікових записів та маніпуляцією цінами тощо. Крім того, згідно зі статистикою платформи Scam Sniffer, в цьому місяці 9,208 осіб стали жертвами фішингових атак, загальні збитки склали 9,380,000 доларів США.
(https://dune.com/scam-sniffer/november-scam-sniffer-2024-phishing-report)
Великі події безпеки
MetaWin
4 листопада 2024 року, за моніторингом ланцюгового детектива ZachXBT, криптобукмекерська платформа MetaWin ймовірно зазнала атаки, внаслідок якої було вкрадено понад 4 мільйони доларів США на блокчейнах Ethereum та Solana. За словами CEO MetaWin Skel, атакуючі зламали гарячий гаманець MetaWin через систему безперешкодного виведення коштів платформи.
DeltaPrime
11 листопада 2024 року DeFi протокол DeltaPrime зазнав атаки на Avalanche та Arbitrum, попередньо оцінюючи збитки в 4,750,000 доларів США. Основною причиною цієї атаки стало відсутність валідації введення функції отримання винагороди.
(https://x.com/DeltaPrimeDefi/status/1855899502944903195)
Thala
15 листопада 2024 року проект DeFi Thala на базі Aptos зазнав атаки, внаслідок якої було вкрадено 25,500,000 доларів США. Атакуючі скористалися вразливістю в його смарт-контракті. Проект призупинив відповідні смарт-контракти та заморозив частину токенів, в результаті чого вдалося успішно заморозити активи на суму близько 11,500,000 доларів США. У співпраці з правоохоронними органами та кількома командами безпеки блокчейну проекту вдалося успішно домовитися про повернення активів, дозволивши атакуючим залишити 300,000 доларів США як винагороду.
(https://x.com/thalalabs/status/1857703541089120541?s=46&t=bcMyidYO0QkS5ajIW9CBdg)
DEXX
16 листопада 2024 року кілька користувачів платформи DEXX стали жертвами крадіжки коштів. За оцінками команди безпеки SlowMist, загальний обсяг збитків у цій справі становить 21 мільйон доларів США. Наразі команда SlowMist допомагає офіційним представникам DEXX та партнерам у продовженні аналізу. 28 листопада команда SlowMist оголосила про збір 8,612 адрес атакуючих на блокчейні Solana, адреси атакуючих на EVM-блокчейні також будуть оприлюднені після завершення очищення статистики.
(https://x.com/MistTrack_io/status/1862134946090881368)
Polter Finance
17 листопада 2024 року проект DeFi Polter Finance на базі Fantom зазнав атаки, внаслідок чого збитки склали близько 12,000,000 доларів США. Атакуючі вичерпали резерв токенів BOO через миттєвий кредит і штучно підвищили обчислювальну ціну BOO. Це дозволило їм позичити токени, що в кілька разів перевищують реальну вартість забезпечення, отримавши при цьому величезний прибуток. Засновник платформи заявив, що вони подали звіт до органів влади Сінгапуру та намагаються зв'язатися з атакуючими через повідомлення в ланцюзі для переговорів про повернення коштів, але поки не отримали відповіді.
(https://x.com/polterfinance/status/1857971122043551898)
Аналіз характеристик та рекомендації з безпеки
Цього місяця кількість подій безпеки та обсяг збитків значно знизилися в порівнянні з минулим місяцем, що певною мірою відображає постійне покращення заходів безпеки в індустрії. Варто зазначити, що незалежно від розподілу причин атак або обсягу збитків, уразливості контрактів займають найвищу частку. У цьому місяці сталося 7 випадків використання уразливостей контрактів, які призвели до збитків приблизно в 30,000,000 доларів США, що становить 39% від загальних збитків. Команда безпеки SlowMist рекомендує проектам завжди залишатися насторожі та регулярно проводити всебічний аудит безпеки, відстежувати та усувати нові загрози та уразливості безпеки, щоб захистити проекти та активи.
Крім того, команда безпеки SlowMist звернула увагу на те, що цього місяця сталися випадки реальних атак з використанням AI на криптоіндустрію. Цей феномен свідчить про розширення цілей атак на ланцюг постачання. Деякі розробники, прагнучи підвищити ефективність, можуть надмірно покладатися на код, згенерований AI, і нехтувати перевіркою безпеки коду. Тому команда безпеки SlowMist нагадує розробникам та проектам, що при використанні AI для генерації коду не можна сліпо довіряти результатам. Всі коди повинні проходити суворий аудит безпеки та тестування перед використанням, щоб уникнути загроз безпеці та захистити активи проекту та користувачів. Водночас проекти мають зміцнити загальне управління безпекою ланцюга постачання, всебічно оцінити інструменти та послуги третіх сторін і постійно стежити за безпекою у відповідних сферах, щоб своєчасно реагувати на нові загрози.
Нарешті, у цій статті зібрані основні події безпеки цього місяця, більше подій безпеки блокчейнів можна переглянути в архіві злочинності SlowMist (https://hacked.slowmist.io/), натиснувши на читати оригінал для переходу.