Автор: Beosin
У 2024 році індустрія блокчейну, поряд з технологічними інноваціями та розширенням екосистеми, також стикається з дедалі серйознішими викликами безпеки. Згідно з моніторингом платформи Alert компанії Beosin, станом на момент публікації, загальні збитки в сфері Web3 через атаки хакерів, фішинг та Rug Pull від проектів досягли 2.491 мільярда доларів.
Ці події не лише виявили технічні дефекти, такі як управління приватними ключами та вразливості в смарт-контрактах, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті буде розглянуто 10 найбільш впливових безпекових подій у Web3 у 2024 році, щоб допомогти індустрії винести уроки і краще підготуватися до майбутніх загроз безпеці.
Номер 1 DMM Bitcoin
Сума збитків: 304 мільйони доларів
Метод атаки: витік приватного ключа
31 травня 2024 року японська старовинна криптовалютна біржа DMM Bitcoin зазнала історичної атаки. Атакуючі використали витік приватного ключа для прямого перенесення біткоїнів на суму понад 300 мільйонів доларів і швидко розподілили вкрадені кошти на більше ніж 10 різних адрес. Ця атака виявила серйозні недоліки DMM Bitcoin в управлінні приватними ключами та багаторівневій безпеці. Хоча біржа намагалася відстежити хакера за допомогою моніторингу в мережі та заморожування коштів, вкрадені біткоїни були розподілені та очищені за допомогою міксерів, що ускладнило процес відстеження.
24 грудня японська поліція підтвердила, що крадіжка DMM Bitcoin була здійснена північнокорейським хакерським угрупованням Lazarus Group. Докладний аналіз минулих атак та відмивання коштів групи Lazarus можна прочитати (Аналіз найбільшої криптовалютної крадіжки в історії, відмивання коштів хакерської організації Lazarus Group).
Номер 2 PlayDapp
Сума збитків: 290 мільйонів доларів
Метод атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозного удару: хакери, викравши приватний ключ, викарбували 2 мільярди токенів PLA, початкова вартість яких становила 36.5 мільйонів доларів. Оскільки переговори проекту з хакерами не дали результату, хакери за короткий час додатково викарбували 15.9 мільярда токенів PLA, вартістю 253.9 мільйонів доларів. Частина цих токенів потрапила на біржу Gate, після чого PlayDapp була змушена призупинити договір PLA та перейти на договір токена PDA. Ця подія підкреслила дефекти проектів блокчейну в захисті приватних ключів та реагуванні на надзвичайні ситуації.
Номер 3 WazirX
Сума збитків: 235 мільйонів доларів
Метод атаки: мережеві атаки та фішинг
18 липня 2024 року мультипідписний гаманець Safe Wallet найбільшої криптовалютної біржі Індії WazirX зазнав точкової атаки хакерів. Атакуючі за допомогою соціальної інженерії спонукали підписувачів мультипідпису підписати угоду про оновлення контракту, після чого використали оновлені права контракту, щоб перенести активи з гаманця. Цей випадок підкреслив потенційні ризики в управлінні правами мультипідписних гаманців та прозорості операцій, а також спровокував глибокі роздуми в індустрії щодо внутрішніх контролів проектів та механізмів безпеки.
Детальний аналіз цієї події та відстеження коштів можна прочитати (Beosin | Аналіз події крадіжки 235 мільйонів доларів на індійській біржі WazirX).
Номер 4 Gala Games
Сума збитків: 216 мільйонів доларів
Метод атаки: вразливість контролю доступу
20 травня 2024 року певна привілейована адреса Gala Games була зламаною хакерами, які, викликавши функцію mint у токен-контракті, одноразово викарбували 5 мільярдів токенів GALA. Після цього хакери почали поетапно обмінювати додаткові токени на ETH, що призвело до прямих збитків у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати частину рахунків хакерів, і повернула частину збитків через юридичні канали.
Номер 5 Chris Larsen (співзасновник Ripple)
Сума збитків: 112 мільйонів доларів
Метод атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Криса Ларсена були зламані хакерами, внаслідок чого було вкрадено 112 мільйонів доларів XRP. Ці гаманці, ймовірно, стали мішенню через відсутність подвійного захисту на апаратних пристроях. Після інциденту Binance вдалося заморозити XRP на суму 4.2 мільйона доларів і допомогти Ларсену відстежити вкрадені активи, але більшість коштів вже були очищені через децентралізовані біржі та міксери.
Номер 6 Munchables
Сума збитків: 62.5 мільйона доларів
Метод атаки: атака соціальної інженерії
26 березня 2024 року веб3 ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої атаки. Атакуючий, маскуючись під розробника блокчейну, був північнокорейським хакером, який отримав доступ до основного коду та чутливих ключів. Незважаючи на те, що атака призвела до великих збитків, внаслідок тиску з боку спільноти та команди, хакер зрештою повернув всі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальників, особливо для проектів блокчейну, які залежать від сторонніх розробників.
Номер 7 BtcTurk
Сума збитків: 55 мільйонів доларів
Метод атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки через витік приватного ключа, внаслідок чого було втрачено понад 55 мільйонів доларів криптоактивів. Завдяки допомозі команди Binance вдалося заморозити 5.3 мільйона доларів украдених коштів, але інші активи поки не повернуті. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.
Офіційне оголошення про атаку BtcTurk
Номер 8 Radiant Capital
Сума збитків: 53 мільйони доларів
Метод атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital був зламаний хакерами. Завдяки низькому порогу перевірки підписів 3/11 хакери, отримавши приватний ключ трьох підписувачів, ініціювали офлайн-підпис, передавши право власності на гаманець на зловмисну адресу, що в кінцевому підсумку призвело до крадіжки 53 мільйонів доларів. Ця атака викликала галузеві роздуми щодо дизайну мультипідписних гаманців та механізмів управління.
Radiant Capital до цієї атаки вже зазнав збитків у розмірі 4.5 мільйона доларів через вразливість контракту, понад 1900 ETH було вкрадено. Увага проектів Web3 до безпеки все ще потребує поліпшення.
Номер 9 Hedgey Finance
Сума збитків: 44.7 мільйонів доларів
Метод атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька ланцюгових контрактів. Хакери використали вразливість затвердження в контракті ClaimCampaigns, успішно витягнувши токени з Ethereum та Arbitrum, загальні збитки склали 44.7 мільйонів доларів. Ця подія показує важливість аудиту коду, особливо сувору перевірку логіки затвердження токенів.
Номер 10 BingX
Сума збитків: 44.7 мільйонів доларів
Метод атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець біржі BingX був зламаний хакерами, до яких потрапили блокчейни Ethereum, BNB Chain, Tron та інші. Незважаючи на те, що біржа швидко активувала механізми для переміщення активів та заморожування виведення, хакери вже встигли вивести активи на суму 44.7 мільйонів доларів. Ця атака відображає високий ризик управління гарячими гаманцями централізованих бірж і ще більше спонукає галузь шукати безпечніші рішення для зберігання активів.
2024 рік відзначився частими випадками безпекових атак, які ще раз нагадують нам, що розвиток індустрії блокчейну неможливий без забезпечення безпеки. Від витоків приватних ключів до вразливостей контрактів, від недоглядів в управлінні до еволюції зовнішніх атак, кожна подія принесла глибокі уроки. Щоб впоратися зі зростаючими загрозами атак, усі учасники індустрії повинні продовжувати інвестувати в наукові дослідження, управлінські норми та управління ризиками. Ми сподіваємося, що в майбутньому через співпрацю в галузі та технологічні інновації буде створено безпечнішу екосистему блокчейну, щоб забезпечити надійний захист для користувачів та інвесторів.