Обзор десяти крупнейших инцидентов безопасности в области Web3 за 2024 год

В 2024 году блокчейн-индустрия, продолжая инновации, также сталкивается с все более серьезными проблемами безопасности. По данным мониторинговой платформы, на сегодняшний день общие убытки в области Web3 в 2024 году из-за хакерских атак, фишинга и бегства проектных команд составляют 24,91 миллиарда долларов.

Эти события не только выявили технические недостатки в управлении приватными ключами, смарт-контрактах и других аспектах, но и подчеркнули потенциальные риски, связанные с социальным инжинирингом и внутренним управлением. Давайте вспомним десять крупнейших инцидентов безопасности Web3 в 2024 году, чтобы извлечь уроки и лучше подготовиться к будущим угрозам безопасности.

1. Японская биржа подверглась серьезной атаке

Сумма убытков: 304 миллиона долларов США Способ атаки: утечка приватного ключа

31 мая 2024 года одна из известных японских криптовалютных бирж стала жертвой исторической атаки. Нападающие использовали утекший приватный ключ для непосредственного перевода биткойнов на сумму более 300 миллионов долларов, а затем быстро распределили украденные средства на более чем десяток различных адресов. Этот инцидент выявил серьезные недостатки биржи в управлении приватными ключами и многоуровневыми мерами безопасности. Хотя биржа пыталась отслеживать хакеров с помощью мониторинга в цепочке и замораживания средств, украденные биткойны были распределены и очищены с помощью инструментов для смешивания, что создало огромные трудности для отслеживания.

24 декабря полиция Японии признала, что этот инцидент с кражей был совершён международной хакерской группировкой.

2. PlayDapp понес тяжелые потери

Сумма убытков: 290 миллионов долларов США Способ атаки: утечка приватного ключа

9 февраля 2024 года PlayDapp столкнулся с серьезным инцидентом безопасности. Хакеры, украдя приватные ключи, выпустили 2 миллиарда токенов PLA, первоначальная стоимость которых составила 36,5 миллиона долларов. Поскольку переговоры между проектом и хакерами не увенчались успехом, хакеры впоследствии выпустили еще 15,9 миллиарда токенов PLA, стоимость которых составила 253,9 миллиона долларов. После того как часть токенов поступила на одну из бирж, PlayDapp был вынужден приостановить контракт PLA и перейти на новый контракт токенов. Этот инцидент подчеркивает недостатки проектов на блокчейне в защите приватных ключей и экстренных мерах.

3. Крупнейшая криптовалютная биржа Индии подверглась целенаправленной атаке

Сумма убытков: 235 миллионов долларов США Способы атаки: сетевые атаки и фишинг

18 июля 2024 года мультиподписной кошелек крупнейшей криптовалютной биржи Индии стал объектом целевой атаки хакеров. Злоумышленники с помощью социальной инженерии заставили подписантов мультиподписного кошелька подписать сделку по обновлению контракта, а затем использовали права, полученные в результате обновления контракта, чтобы полностью вывести активы из кошелька. Этот инцидент подчеркивает потенциальные риски мультиподписных кошельков в управлении конфигурацией прав и прозрачности операций, а также вызывает глубокую рефлексию в отрасли по поводу внутренних механизмов контроля рисков и безопасности проектов.

4. Gala Games столкнулась с атакой избыточной эмиссии токенов

Сумма убытков: 216 миллионов долларов США Способ атаки: Уязвимость контроля доступа

20 мая 2024 года адрес привилегий Gala Games был взломан хакерами. Нападающие вызвали функцию mint в контракте токена, в результате чего было одномоментно выпущено 5 миллиардов токенов GALA. Затем хакеры поэтапно обменяли выпущенные токены на ETH, что непосредственно привело к убыткам в размере 216 миллионов долларов. Команда Gala Games после происшествия срочно активировала функцию черного списка, чтобы заблокировать некоторые аккаунты хакеров, и через судебные каналы вернула часть убытков.

5. Личный кошелек известного основателя криптовалюты подвергся атаке

Сумма убытков: 112 миллионов долларов США Способ атаки: утечка частного ключа

31 января 2024 года четыре личных кошелька соучредителя известного криптовалютного проекта были взломаны хакерами, что привело к краже 112 миллионов долларов в криптовалюте. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты с использованием аппаратных устройств. После инцидента одна крупная биржа успешно заморозила похищенные активы на сумму 4,2 миллиона долларов и оказала помощь в отслеживании, однако большая часть средств уже была отмыта через децентрализованные биржи и услуги смешивания.

6. Munchables столкнулись с внутренней атакой на проникновение

Сумма убытков: 62,5 миллиона долларов США Способ атаки: Социальная инженерия

26 марта 2024 года Web3 игровая платформа Munchables на базе Blast подверглась редкому внутреннему проникающему атаке. Злоумышленники маскировались под разработчиков блокчейна и, долго оставаясь в тени, получили доступ к исходному коду и конфиденциальным ключам. Несмотря на то, что атака привела к огромным потерям, под давлением сообщества и команды хакеры в конечном итоге вернули все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонней разработки.

7. Крупнейшая криптовалютная биржа Турции подверглась атаке

Сумма убытков: 55 миллионов долларов США Способ атаки: утечка закрытого ключа

22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке утечки приватных ключей, в результате чего был потерян криптоактив на сумму более 55 миллионов долларов. С помощью одной из крупных бирж 5,3 миллиона долларов украденных средств удалось успешно заморозить, но другие активы пока не возвращены. Этот инцидент усилил опасения рынка по поводу управления приватными ключами централизованными биржами.

8. Мультиподпись кошелька Radiant Capital была взломана

Сумма убытков: 53 миллиона долларов США Способ атаки: утечка приватного ключа

17 октября 2024 года мультиподписной кошелек Radiant Capital подвергся хакерской атаке. Из-за использования низкопороговой модели верификации с 3/11 подписями хакеры, получив доступ к приватным ключам 3 подписантов, инициировали оффлайн-подпись и перенесли право собственности на контракт кошелька на злонамеренный адрес, что в итоге привело к кражи 53 миллионов долларов. Эта атака вызвала в отрасли размышления о дизайне и механизмах управления мультиподписными кошельками.

Стоит отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости контракта до этой атаки, и более 1900 ETH были украдены. Это еще раз подчеркивает, что уровень внимания проектов Web3 к безопасности все еще нуждается в улучшении.

9. Hedgey Finance многоцепочечный контракт подвергся атаке

Сумма убытков: 44,7 миллиона долларов США Способ атаки: Уязвимость контракта

19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость одобрения в контракте ClaimCampaigns, успешно извлекая токены на двух сетях: Ethereum и Arbitrum, общая сумма убытков составила 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгую проверку логики одобрения токенов.

10. Горячий кошелек одной из бирж был взломан

Сумма убытков: 44,7 миллиона долларов США Способ атаки: утечка приватного ключа

19 сентября 2024 года горячий кошелек одной из бирж был взломан хакерами, затронутые цепочки включают Ethereum, BNB Chain, Tron и другие публичные цепочки. Несмотря на то, что биржа быстро активировала механизмы перевода активов и заморозки вывода, хакеры уже успешно извлекли активы на сумму 44,7 миллиона долларов. Эта атака снова отражает высокие риски управления горячими кошельками централизованных бирж и способствует дальнейшему исследованию более безопасных схем хранения активов в отрасли.

Частые инциденты с безопасностью в 2024 году вновь напоминают нам о том, что развитие блокчейн-индустрии невозможно без обеспечения безопасности. От утечек приватных ключей до уязвимостей в контрактах, от внутренних управленческих просчетов до повышения уровня внешних атак — каждое из этих событий принесло глубокие уроки. Чтобы справиться с все более сложными угрозами атак, всем сторонам в индустрии необходимо продолжать увеличивать инвестиции в научные разработки, управление и предотвращение рисков. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы сможем совместно создать более безопасную блокчейн-экосистему, предоставляя пользователям и инвесторам более надежную защиту.