Огляд десяти найважливіших безпекових інцидентів у сфері Web3 за 2024 рік

У 2024 році індустрія блокчейн, постійно інноваційно розвиваючись, також стикається з дедалі серйознішими викликами безпеки. За даними моніторингових платформ, на даний момент загальні втрати в сфері Web3 у 2024 році через хакерські атаки, фішинг та втечі проектів становлять 24,91 мільярда доларів.

Ці події не тільки виявили технічні недоліки в управлінні приватними ключами, смарт-контрактах та інших аспектах, але й підкреслили потенційні ризики, пов'язані з соціальною інженерією та внутрішнім управлінням. Давайте згадаємо десять найбільших інцидентів безпеки Web3 2024 року, щоб винести уроки та краще підготуватися до майбутніх загроз безпеці.

1. Один з японських обмінників зазнав серйозної атаки

Сума збитків: 304 мільйони доларів США Спосіб атаки: витік приватного ключа

31 травня 2024 року одна з відомих японських криптовалютних бірж зазнала історичної атаки. Зловмисники використали витік приватного ключа, щоб безпосередньо перевести біткоїни на суму понад 300 мільйонів доларів, і швидко розподілили викрадені кошти на понад 10 різних адрес. Цей інцидент виявив серйозні недоліки біржі в управлінні приватними ключами та багаторівневій безпеці. Хоча біржа намагалася відстежити хакера шляхом моніторингу в мережі та заморожування коштів, викрадені біткоїни були розподілені та очищені за допомогою міксуючих інструментів, що створило величезні труднощі для роботи з відстеження.

24 грудня японська поліція визнала, що цей випадок крадіжки був скоєний міжнародною хакерською організацією.

2. PlayDapp зазнав серйозних втрат

Сума збитків: 290 мільйонів доларів США Метод атаки: витік приватного ключа

9 лютого 2024 року PlayDapp зазнав серйозної безпекової аварії. Хакери, викравши приватні ключі, виготовили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. Оскільки команда проєкту не змогла домовитися з хакерами, ті згодом виготовили ще 15,9 мільярда токенів PLA, вартістю 253,9 мільйона доларів США. Після часткового потрапляння токенів на одну з бірж PlayDapp був змушений призупинити контракт PLA та перейти на новий контракт токенів. Цей інцидент підкреслив недоліки блокчейн-проєктів у захисті приватних ключів і реагуванні на надзвичайні ситуації.

3. Найбільша криптовалютна біржа Індії зазнала точкової атаки

Сума збитків: 235 мільйонів доларів США Способи атаки: мережеві атаки та фішинг

18 липня 2024 року найбільший криптовалютний обмін в Індії став жертвою точного хакерського нападу на свій багатопідписний гаманець. Зловмисники за допомогою соціальної інженерії змусили підписантів багатопідпису підписати угоду про оновлення контракту, а потім використали права, отримані внаслідок оновлення контракту, щоб вивести всі активи з гаманця. Цей випадок підкреслює потенційні ризики багатопідписних гаманців у налаштуванні управлінських прав і прозорості операцій, а також спонукає індустрію до глибокого роздуму над внутрішнім контролем ризиків і механізмами безпеки проектів.

4. Gala Games зазнала атаки надмірного випуску токенів

Сума збитків: 216 мільйонів доларів США Спосіб атаки: Вразливість контролю доступу

20 травня 2024 року, певна привілейована адреса Gala Games була зламано хакерами. Зловмисники, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Після цього хакер поетапно обміняв додатково випущені токени на ETH, що безпосередньо призвело до збитків у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку для блокування частини рахунків хакерів і через судові канали повернула частину збитків.

5. Особистий гаманець засновника відомої криптовалюти зазнав атаки

Сума збитків: 112 мільйонів доларів США Спосіб атаки: витік приватного ключа

31 січня 2024 року чотири особисті гаманці співзасновника відомого криптовалютного проєкту були зламані хакерами, що призвело до крадіжки криптовалюти на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту за допомогою апаратних засобів. Після інциденту одна велика біржа успішно заморозила вкрадені активи на суму 4,2 мільйона доларів і допомогла в їх відстеженні, але більша частина коштів вже була очищена через децентралізовані біржі та сервіси змішування.

6. Munchables зазнали внутрішньої атаки з проникненням

Сума втрат: 6250 мільйонів доларів США Спосіб атаки: атака соціальної інженерії

26 березня 2024 року веб3 ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої атаки. Зловмисники маскувалися під розробників блокчейну, тривалий час перебуваючи в системі, щоб отримати доступ до основного коду та чутливих ключів. Незважаючи на величезні збитки від атаки, під тиском спільноти та команди хакери врешті-решт повернули всі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальницького ланцюга, особливо для блокчейн-проектів, які залежать від розробок третіх сторін.

7. Найбільша криптовалютна біржа Туреччини піддалася атаці

Сума збитків: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа

22 червня 2024 року найбільша криптовалютна біржа Туреччини стала жертвою атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів криптоактивів. Завдяки допомозі однієї з великих бірж, 5,3 мільйона доларів вкрадених коштів вдалося успішно заморозити, але інші активи ще не були повернуті. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.

8. Багатопідписний гаманець Radiant Capital був зламаний

Сума втрат: 53 мільйони доларів США Спосіб атаки: витік приватного ключа

17 жовтня 2024 року мультипідписний гаманець Radiant Capital зазнав хакерської атаки. Через використання низького порогу моделі верифікації 3/11, хакер, отримавши приватні ключі трьох підписувачів, ініціював поза ланцюговий підпис, передавши право власності на контракт гаманця на зловмисну адресу, що в кінцевому підсумку призвело до крадіжки 53 мільйонів доларів. Ця атака викликала в індустрії роздуми щодо дизайну та механізму управління мультипідписними гаманцями.

Варто зазначити, що Radiant Capital втратила 4,5 мільйона доларів через вразливість контракту до цієї атаки, в результаті чого було вкрадено понад 1900 ETH. Це знову показує, що проектам Web3 слід підвищити увагу до безпеки.

9. Hedgey Finance Багатоланцюгові контракти зазнали атаки

Сума збитків: 44,7 мільйона доларів США Спосіб атаки: Вразливість контракту

19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Зловмисники використали вразливість затвердження в їхньому контракті ClaimCampaigns, успішно витягнувши токени з блокчейнів Ethereum та Arbitrum, загальні втрати становили 44,7 мільйона доларів. Цей випадок підкреслює важливість аудиту коду, особливо сувору перевірку логіки затвердження токенів.

10. Гарячий гаманець певної біржі був зламаний

Сума збитків: 44,7 мільйона доларів США Метод атаки: витік приватного ключа

19 вересня 2024 року гарячий гаманець однієї з бірж був зламаний хакерами, в атаці були залучені мережі, зокрема Ethereum, BNB Chain, Tron та кілька інших публічних блокчейнів. Незважаючи на те, що біржа швидко запровадила механізми для переміщення активів і заморожування виведення, хакерам вдалося успішно вивести активи на суму 44,7 мільйона доларів. Ця атака знову підкреслила високий ризик управління гарячими гаманцями централізованих бірж і подальше спонукала галузь шукати більш безпечні рішення для зберігання активів.

Часті випадки атак на безпеку у 2024 році ще раз нагадують нам, що розвиток блокчейн-індустрії не може обійтися без надійного захисту. Від витоку приватних ключів до вразливостей контрактів, від недоліків внутрішнього управління до вдосконалення зовнішніх атак, кожен випадок приніс глибокі уроки. Щоб протистояти все більш складним загрозам атак, всі учасники галузі повинні продовжувати інвестувати в розробку технологій, управлінські норми та ризик-менеджмент. У майбутньому ми сподіваємося на спільну роботу в галузі та технологічні інновації для створення безпечнішої екосистеми блокчейн, щоб надати користувачам та інвесторам надійнішу підтримку.