Автор: Beosin
У 2024 році блокчейн-індустрія, водночас займаючись технологічними інноваціями та розширенням екосистеми, також стикається з дедалі серйознішими викликами безпеки. За даними компанії з безпеки Beosin, за станом на момент публікації, загальні збитки в сфері Web3 через кібератаки, фішинг та Rug Pull від проектів становлять 2.491 мільярда доларів США.
Ці інциденти не лише виявили технічні недоліки, такі як управління приватними ключами та вразливості смарт-контрактів, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті ми розглянемо 10 найвпливовіших безпекових подій Web3 у 2024 році, щоб допомогти галузі вчитися на цих уроках і краще реагувати на майбутні загрози безпеці.
No.1 DMM Bitcoin
Сума збитків: 3.04 мільярдів доларів США
Спосіб атаки: витік приватного ключа
31 травня 2024 року японська стара криптовалютна біржа DMM Bitcoin зазнала історичної атаки. Атакуючі, скориставшись витоками приватного ключа, безпосередньо перевели біткойни на суму понад 300 мільйонів доларів, швидко розподіливши вкрадені кошти на понад 10 різних адрес. Ця атака виявила серйозні недоліки DMM Bitcoin у управлінні приватними ключами та багаторівневій системі безпеки. Хоча біржа намагалася відстежити хакерів за допомогою моніторингу в ланцюгу та заморожування коштів, вкрадені біткойни були розподілені та очищені за допомогою міксуючих інструментів, що створило великі труднощі для роботи з відстеження.
24 грудня японська поліція визнала, що крадіжка DMM Bitcoin була здійснена північнокорейською хакерською організацією Lazarus Group. Детальний аналіз минулих атак та відмивання коштів Lazarus Group можна знайти у статті (Витоки найсміливішої крадіжки криптовалюти в історії, аналіз відмивання коштів хакерської організації Lazarus Group).
No.2 PlayDapp
Сума збитків: 2.90 мільярдів доларів США
Спосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнав серйозного удару, коли хакери через крадіжку приватного ключа випустили 2 мільярди токенів PLA, первісна вартість яких становила 36.5 мільйонів доларів США. Оскільки переговори між проектом та хакерами не дали результату, хакери за короткий час додатково випустили 15.9 мільярдів токенів PLA на суму 253.9 мільйонів доларів США. Частина цих токенів потрапила на біржу Gate, після чого PlayDapp був змушений призупинити контракт PLA та перейти на токен-контракт PDA. Цей інцидент підкреслив недоліки в захисті приватних ключів та реагуванні на події в блокчейн-проектах.
No.3 WazirX
Сума збитків: 2.35 мільярдів доларів США
Спосіб атаки: кібератака та фішинг
18 липня 2024 року багаторазовий гаманець Safe Wallet найбільшої криптовалютної біржі Індії WazirX зазнав точної атаки хакерів. Атакуючі за допомогою соціальної інженерії спонукали підписувачів кількох підписів підписати угоду на оновлення контракту, а потім використали повноваження оновленого контракту, щоб витягти всі активи з гаманця. Цей випадок підкреслив потенційні ризики у конфігурації управлінських прав та прозорості операцій у багатопідписних гаманцях, а також спровокував глибокі роздуми в галузі щодо внутрішнього контролю проектів і механізмів безпеки.
Детальний аналіз даного інциденту та відстеження коштів можна знайти у статті (Beosin | Аналіз інциденту з крадіжкою 2.35 мільярдів доларів з індійської біржі WazirX).
No.4 Gala Games
Сума збитків: 216 мільйонів доларів США
Спосіб атаки: вразливість контролю доступу
20 травня 2024 року один з привілейованих адрес Gala Games був зламаний хакерами, які за допомогою виклику функції mint у токен-контракті одноразово випустили 5 мільярдів токенів GALA. Після цього хакери поетапно обміняли випущені токени на ETH, що безпосередньо призвело до збитків у 216 мільйонів доларів США. Команда Gala Games після інциденту терміново активувала функцію чорного списку, заблокувавши частину акаунтів хакерів, і через судові заходи повернула збитки.
No.5 Chris Larsen (співзасновник Ripple)
Сума збитків: 112 мільйонів доларів США
Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Кріса Ларсена були зламані, в результаті чого було вкрадено 112 мільйонів доларів XRP. Ці гаманці, ймовірно, стали мішенню через відсутність двофакторної автентифікації з використанням апаратних засобів. Після інциденту Binance успішно заморозила XRP на суму 4.2 мільйона доларів і допомогла Ларсену відстежити вкрадені активи, але більшість коштів вже були очищені через децентралізовані біржі та міксуючі сервіси.
No.6 Munchables
Сума збитків: 6250 мільйонів доларів США
Спосіб атаки: атака соціальної інженерії
26 березня 2024 року платформа Web3 ігор Munchables на базі Blast зазнала рідкісної внутрішньої атаки. Атакуючі, які маскувалися під розробників блокчейн, довго залишалися в системі, отримавши доступ до основного коду та чутливих ключів. Незважаючи на величезні збитки, хакери врешті-решт повернули всі вкрадені кошти під тиском громади та команди. Цей інцидент виявив важливість безпеки в ланцюгах постачання, особливо для блокчейн-проектів, які покладаються на сторонніх розробників.
No.7 BtcTurk
Сума збитків: 5500 мільйонів доларів США
Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки через витік приватного ключа, в результаті чого було втрачено понад 5500 мільйонів доларів США криптоактивів. За допомогою команди Binance вдалося заморозити вкрадені кошти на суму 5.3 мільйона доларів США, але інші активи досі не повернені. Цей інцидент поглибив занепокоєння ринку щодо управління приватними ключами централізованими біржами.
Офіційне оголошення BtcTurk про атаку
No.8 Radiant Capital
Сума збитків: 5300 мільйонів доларів США
Спосіб атаки: витік приватного ключа
17 жовтня 2024 року багатопідписний гаманець Radiant Capital був зламаний хакерами. Оскільки він використовував низький поріг перевірки підпису 3/11, хакери, отримавши доступ до приватних ключів трьох підписувачів, ініціювали підписання поза мережею, передавши право власності на контракт гаманця до зловмисної адреси, в результаті чого було вкрадено 5300 мільйонів доларів США. Ця атака викликала індустріальну рефлексію щодо дизайну багатопідписних гаманців та механізмів управління.
Radiant Capital зазнав збитків у 4.5 мільйона доларів США через вразливість контракту перед цією атакою, в результаті чого було вкрадено понад 1900 ETH. Рівень уваги проектів Web3 до безпеки все ще потребує підвищення.
No.9 Hedgey Finance
Сума збитків: 4470 мільйонів доларів США
Спосіб атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнав атаки на кілька контрактів на ланцюзі. Хакери скористались вразливістю в контракті ClaimCampaigns, успішно витягнувши токени з Ethereum та Arbitrum, загальна сума збитків становила 4470 мільйонів доларів США. Цей інцидент підкреслив важливість аудиту коду, особливо сувору перевірку логіки схвалення токенів.
No.10 BingX
Сума збитків: 4470 мільйонів доларів США
Спосіб атаки: витік приватного ключа
19 вересня 2024 року гарячий гаманець біржі BingX був зламаний хакерами, зокрема, вражаючи кілька публічних ланцюгів, таких як Ethereum, BNB Chain, Tron тощо. Незважаючи на те, що біржа швидко активувала механізм переміщення активів та заморожування виведення, хакерам вдалося витягнути активи на суму 4470 мільйонів доларів США. Ця атака відобразила високий ризик управління гарячими гаманцями централізованих бірж і ще більше спонукала галузь шукати більш безпечні рішення для зберігання активів.
Безпекові атаки 2024 року відбуваються частіше, ще раз нагадуючи нам, що розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від витоку приватних ключів до вразливостей контрактів, від внутрішніх управлінських помилок до зовнішніх атак, кожен випадок приніс глибокі уроки. Щоб впоратися з дедалі складнішими загрозами атак, усі учасники індустрії повинні продовжувати посилювати інвестиції в технологічні розробки, управлінські норми та управління ризиками. У майбутньому ми сподіваємося, що через співпрацю в галузі та технологічні інновації буде створено більш безпечну блокчейн-екосистему, що забезпечить надійнішу підтримку для користувачів і інвесторів.