Джерело статті: Beosin
Оригінальне джерело: Beosin
У 2024 році індустрія блокчейну, поряд з технічними інноваціями та розширенням екосистеми, також стикається з дедалі суворішими викликами безпеки. Згідно з моніторингом платформи Alert, що належить компанії з безпеки Beosin, на момент публікації загальні втрати в сфері Web3 у 2024 році через атаки хакерів, фішингові шахрайства та Rug Pull проектів досягли 2,491 мільярда доларів США.
Ці інциденти не лише виявляють технічні недоліки, такі як управління приватними ключами та вразливості смарт-контрактів, але й підкреслюють потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті буде підбито підсумки десяти найбільш значущих безпекових подій Web3 у 2024 році, щоб допомогти індустрії засвоїти уроки та краще протистояти майбутнім загрозам безпеки.
No.1 DMM Bitcoin
Сума втрат: 304 мільйона доларів США
Спосіб атаки: витік приватного ключа
31 травня 2024 року японська традиційна криптовалютна біржа DMM Bitcoin зазнала історичної атаки. Зловмисники, скориставшись витоком приватних ключів, безпосередньо перевели біткоїни на суму понад 300 мільйонів доларів США та швидко розподілили викрадені кошти на понад 10 різних адрес. Ця атака викрила серйозні недоліки DMM Bitcoin у управлінні приватними ключами та багаторівневим захистом. Незважаючи на спроби біржі відстежити хакера через моніторинг в ланцюзі та заморожування коштів, викрадені біткоїни були розподілені та очищені за допомогою міксуючих інструментів, що створило великі труднощі для відстеження.
24 грудня поліція Японії встановила, що крадіжка DMM Bitcoin була скоєна хакерською організацією Lazarus Group з Північної Кореї.
No.2 PlayDapp
Сума втрат: 290 мільйонів доларів США
Спосіб атаки: витік приватного ключа
9 лютого 2024 року PlayDapp зазнала серйозних втрат, коли хакери, викравши приватні ключі, випустили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Оскільки переговори проекту з хакерами не увінчалися успіхом, хакери за короткий час випустили ще 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів США. Частина цих токенів потрапила на біржу Gate, після чого PlayDapp була змушена призупинити контракт PLA та перенести його на контракт токену PDA. Цей інцидент підкреслює недоліки проектів блокчейну в захисті приватних ключів та у реагуванні на надзвичайні ситуації.
No.3 WazirX
Сума втрат: 235 мільйонів доларів США
Спосіб атаки: мережеві атаки та фішинг
18 липня 2024 року мультипідписний гаманець Safe Wallet найбільшої криптовалютної біржі Індії WazirX зазнав точкової атаки хакерів. Атакуючі за допомогою соціальної інженерії спонукали підписантів мультипідпису підписати угоду про оновлення контракту, а потім скористалися оновленими правами контракту, щоб перевести активи з гаманця. Цей випадок підкреслює потенційні ризики управління правами доступу та прозорості операцій у мультипідписних гаманцях, а також викликав глибокі роздуми в індустрії щодо внутрішнього контролю проектів та механізмів безпеки.
Для детального аналізу та відстеження коштів цього інциденту можна ознайомитися з (Beosin | Аналіз випадку крадіжки 2,35 мільйона доларів США з біржі WazirX в Індії).
No.4 Gala Games
Сума втрат: 216 мільйонів доларів США
Спосіб атаки: вразливість контролю доступу
20 травня 2024 року один з привілейованих адрес Gala Games був зламаний хакерами, які через виклик функції mint в контракті токена одноразово випустили 5 мільярдів токенів GALA. Потім хакер, розподіляючи нововипущені токени, обміняв їх на ETH, що призвело до втрат у 216 мільйонів доларів США. Команда Gala Games після інциденту терміново активувала функцію чорного списку для блокування деяких рахунків хакерів і через судові канали повернула частину втрат.
No.5 Chris Larsen (співзасновник Ripple)
Сума втрат: 112 мільйонів доларів США
Спосіб атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці співзасновника Ripple Кріс Ларсена були зламані хакерами, внаслідок чого було вкрадено 112 мільйонів доларів США XRP. Ці гаманці, ймовірно, стали ціллю атаки через відсутність двофакторної аутентифікації з апаратними засобами. Після інциденту Binance успішно заморозила XRP на суму 4,2 мільйона доларів США та допомогла Ларсену відстежити викрадені активи, але більша частина коштів вже була очищена через децентралізовані біржі та міксуючі сервіси.
No.6 Munchables
Сума втрат: 62,5 мільйона доларів США
Спосіб атаки: атака соціальної інженерії
26 березня 2024 року платформа Web3 ігор на основі Blast Munchables зазнала рідкісної внутрішньої проникаючої атаки. Атакуючий був хакером з Північної Кореї, що маскувався під розробника блокчейну, який через тривале перебування отримав доступ до основного коду та чутливих ключів. Незважаючи на величезні втрати, внаслідок тиску з боку спільноти та команди, хакер зрештою повернув усі викрадені кошти. Цей інцидент підкреслює важливість безпеки в ланцюгу постачання, особливо для проектів блокчейну, що залежать від розробників третьої сторони.
No.7 BtcTurk
Сума втрат: 55 мільйонів доларів США
Спосіб атаки: витік приватного ключа
22 червня 2024 року найбільша криптовалютна біржа Туреччини BtcTurk зазнала атаки через витік приватного ключа, в результаті чого було втрачено понад 55 мільйонів доларів США криптоактивів. За допомогою команди Binance 5,3 мільйона доларів США з викрадених коштів вдалося успішно заморозити, але інші активи все ще не повернені. Цей інцидент поглибив занепокоєння ринку щодо управління приватними ключами централізованих бірж.
Офіційне оголошення BtcTurk про атаку
No.8 Radiant Capital
Сума втрат: 53 мільйона доларів США
Спосіб атаки: витік приватного ключа
17 жовтня 2024 року мультипідписний гаманець Radiant Capital був зламаний хакерами. Через використання низького порогу верифікації 3/11 хакери, отримавши приватні ключі 3 підписантів, ініціювали позаштатний підпис, що призвело до передачі прав власності на гаманець до зловмисних адрес і, зрештою, до викрадення 53 мільйонів доларів США. Ця атака викликала роздуми в індустрії щодо дизайну мультипідписних гаманців та механізмів управління.
Radiant Capital перед цією атакою вже зазнала збитків у 4,5 мільйона доларів США через вразливість контракту, понад 1900 ETH було вкрадено. Увага проектів Web3 до безпеки все ще потребує покращення.
No.9 Hedgey Finance
Сума втрат: 44,7 мільйона доларів США
Спосіб атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Хакери скористалися вразливістю затвердження в контракті ClaimCampaigns, успішно витягнувши токени з двох ланцюгів Ethereum та Arbitrum, загальна сума втрат склала 44,7 мільйона доларів США. Цей інцидент демонструє важливість аудиту коду, особливо для суворої перевірки логіки затвердження токена.
No.10 BingX
Сума втрат: 44,7 мільйона доларів США
Спосіб атаки: витік приватного ключа
19 вересня 2024 року гаряче гаманці біржі BingX було зламано хакерами, уражені ланцюги включають Ethereum, BNB Chain, Tron та інші публічні блокчейни. Незважаючи на те, що біржа швидко запустила механізми перенесення активів та заморожування виведення, хакери успішно вивели активи на суму 44,7 мільйона доларів США. Ця атака відображає високі ризики управління гарячими гаманцями централізованих бірж та сприяє подальшому дослідженню більш безпечних рішень для зберігання активів в індустрії.
2024 рік став роком частих атак на безпеку, що ще раз нагадує нам, що розвиток індустрії блокчейну неможливий без забезпечення безпеки. Від витоку приватних ключів до вразливостей контрактів, від внутрішніх управлінських недоліків до оновлення зовнішніх атак, кожен інцидент приносить глибокі уроки. Щоб протистояти дедалі складнішим загрозам атак, усі сторони індустрії повинні продовжувати інвестувати в розробку технологій, управлінські норми та контроль ризиків. У майбутньому ми сподіваємося, що спільні зусилля в індустрії та технологічні інновації допоможуть створити безпечнішу екосистему блокчейну, забезпечуючи надійний захист для користувачів та інвесторів.
