Обзор событий безопасности Web3 2024 года: анализ десяти случаев атак

В 2024 году блокчейн-отрасль, наряду с техническими инновациями и расширением экосистемы, сталкивается с все более серьезными угрозами безопасности. Согласно статистике, к концу года общие убытки в области Web3 от хакерских атак, фишинга и скрытых проектов составили 2,491 миллиарда долларов. Эти события не только выявили технические недостатки в управлении приватными ключами и смарт-контрактами, но и подчеркнули потенциальные риски социальной инженерии и внутреннего управления. В данной статье будет рассмотрено десятка крупнейших инцидентов безопасности Web3 в 2024 году, чтобы отрасль могла извлечь уроки и лучше подготовиться к будущим угрозам безопасности.

1. DMM Биткойн

Сумма убытков: 304 миллиона долларов США Способ атаки: утечка приватного ключа

31 мая 2024 года японская известная криптовалютная биржа DMM Bitcoin подверглась значительной атаке. Хакеры использовали утечку приватных ключей для прямого перевода биткойнов на сумму более 300 миллионов долларов, а затем быстро распределили похищенные средства по более чем десяти различным адресам. Этот инцидент выявил серьезные уязвимости в управлении приватными ключами и многослойной безопасности биржи. Несмотря на то что биржа предприняла меры по мониторингу в цепочке и замораживанию средств, работа по отслеживанию столкнулась с огромными трудностями из-за использования хакерами инструментов для смешивания.

В конце года японская полиция подтвердила, что это преступление было совершено северокорейской хакерской группой Lazarus Group.

2. ПлейДапп

Сумма убытков: 290 миллионов долларов США Способ атаки: утечка приватного ключа

9 февраля 2024 года PlayDapp подвергся серьезной атаке. Хакеры, похитив приватные ключи, выпустили 2 миллиарда токенов PLA, первоначальная стоимость которых составила 36,5 миллиона долларов. Поскольку переговоры между проектом и хакерами провалились, хакеры за короткое время выпустили еще 15,9 миллиарда токенов PLA на сумму 253,9 миллиона долларов. После того как часть токенов попала на биржи, PlayDapp был вынужден приостановить контракт PLA и перейти на новый контракт токенов. Этот инцидент подчеркивает недостатки блокчейн-проектов в защите приватных ключей и в экстренных ситуациях.

3. Некоторый индийский криптовалютный обменник

Сумма убытков: 235 миллионов долларов США Способы атаки: сетевые атаки и фишинг

18 июля 2024 года в Индии крупнейшая криптовалютная биржа подверглась целенаправленной атаке на многоподписной кошелек Safe Wallet. Злоумышленники использовали методы социальной инженерии, чтобы заставить подписантов многоподписного кошелька подписать сделку на обновление контракта, после чего они использовали права, полученные от обновленного контракта, для перевода активов из кошелька. Этот случай выявил потенциальные риски многоподписных кошельков в управлении конфигурацией прав и прозрачности операций, а также вызвал глубокие размышления в отрасли о внутреннем контроле и механизмах безопасности проектов.

4. Гала-игры

Сумма убытков: 216 миллионов долларов США Способ атаки: Уязвимость контроля доступа

20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint в контракте токенов, однократно сгенерировали 5 миллиардов токенов GALA. Затем хакер поэтапно обменял увеличенные токены на ETH, что привело к прямым убыткам в 216 миллионов долларов. Команда Gala Games срочно активировала функцию черного списка, заблокировав часть учетных записей хакеров, и через судебные разбирательства вернула часть убытков.

5. Личный кошелек соучредителя Ripple

Сумма убытков: 112 миллионов долларов США Способ атаки: утечка приватного ключа

31 января 2024 года четыре личных кошелька соучредителя Ripple Криса Ларсена были взломаны хакерами, что привело к краже 112 миллионов долларов XRP. Эти кошельки стали мишенью атаки из-за отсутствия аппаратной двухфакторной защиты. После инцидента одна из торговых платформ успешно заморозила XRP на сумму 4,2 миллиона долларов и оказала помощь в отслеживании украденных активов, однако большая часть средств была отмыта через децентрализованные биржи и сервисы смешивания.

6. Манчеблы

Сумма убытков: 62,5 миллиона долларов США Способ атаки: Социальная инженерия

26 марта 2024 года веб3 игровая платформа Munchables на базе Blast подверглась редкому внутреннему проникающему нападению. Нападавшие маскировались под разработчиков блокчейна и, долго находясь в системе, получили доступ к исходному коду и чувствительным ключам. Несмотря на огромные убытки, под давлением сообщества и команды хакеры в конечном итоге вернули все украденные средства. Этот инцидент подчеркнул важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.

7. Некоторый турецкий криптовалютный обменник

Сумма убытков: 55 миллионов долларов США Способ атаки: утечка приватного ключа

22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке с утечкой приватных ключей, в результате чего было утеряно более 55 миллионов долларов США в криптоактивах. При содействии одной из торговых платформ удалось заморозить 5,3 миллиона долларов из украденных средств, однако остальные активы по-прежнему не возвращены. Этот инцидент углубил опасения рынка по поводу управления приватными ключами централизованными биржами.

8. Радиант Капитал

Сумма убытков: 53 миллиона долларов США Способ атаки: утечка приватного ключа

17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования низкого порога в 3/11 для проверки подписи хакеры, овладев тремя частными ключами подписантов, инициировали оффлайн-подпись, что привело к передаче прав собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала в индустрии размышления о дизайне и механизмах управления мультиподписными кошельками.

Стоит отметить, что Radiant Capital ранее понесла убытки в 4,5 миллиона долларов из-за уязвимости в контракте, более 1900 ETH были украдены, что подчеркивает недостаточную важность вопросов безопасности со стороны проекта.

9. Хеджи Финанс

Сумма убытков: 4470 миллионов долларов США Способ атаки: Уязвимость контракта

19 апреля 2024 года Hedgey Finance подвергся атакам на несколько смарт-контрактов. Хакеры воспользовались уязвимостью в контракте ClaimCampaigns, успешно извлекая токены на двух цепочках: Ethereum и Arbitrum, общие потери составили 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.

10. Платформа для обмена криптовалютами

Сумма потерь: 44,7 миллиона долларов США Способ атаки: утечка приватного ключа

19 сентября 2024 года горячий кошелек одной из торговых платформ был взломан хакерами, затронув Ethereum, BNB Chain, Tron и другие публичные блокчейны. Несмотря на то, что биржа быстро запустила механизмы переноса активов и заморозки вывода, хакеры успешно вывели активы на сумму 44,7 миллиона долларов. Эта атака отражает высокие риски управления горячими кошельками централизованных бирж и进一步推动行业探索更为安全的资产存储方案.

Частые инциденты безопасности в 2024 году вновь напоминают нам о том, что развитие блокчейн-отрасли невозможно без обеспечения безопасности. От утечки приватных ключей до уязвимостей в контрактах, от внутренних управленческих упущений до усовершенствования внешних методов атак, каждое событие приносит глубокие уроки. Чтобы противостоять все более сложным угрозам атак, всем сторонам в отрасли необходимо продолжать усиливать инвестиции в научные исследования и разработки технологий, стандарты управления и управление рисками. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы сможем совместно создать более безопасную блокчейн-экосистему, предоставляя пользователям и инвесторам более надежные гарантии.