Обзор событий безопасности Web3 за 2024 год: десять случаев атак и их уроки

В 2024 году отрасль блокчейна, наряду с технологическими инновациями и расширением экосистемы, сталкивается с все более серьезными вызовами в области безопасности. Согласно мониторинговым данным, к концу года общие убытки в сфере Web3 из-за хакерских атак, фишинговых схем и сбежавших проектных команд составили 24,91 миллиарда долларов.

Эти события не только выявили уязвимости на техническом уровне, такие как управление приватными ключами и смарт-контрактами, но также подчеркнули потенциальные риски в области социальной инженерии и внутреннего управления. В этой статье будет рассмотрено десять крупнейших инцидентов безопасности Web3 в 2024 году, с целью того, чтобы индустрия могла извлечь уроки и лучше справляться с будущими угрозами безопасности.

1. DMM Bitcoin: Утечка приватных ключей привела к убыткам в 304 миллиона долларов

31 мая 2024 года известная японская криптовалютная биржа DMM Bitcoin подверглась серьезному инциденту безопасности. Злоумышленники использовали утечку закрытых ключей для прямого перемещения биткойнов на сумму более 300 миллионов долларов и быстро распределили похищенные средства на несколько различных адресов. Эта атака выявила серьезные недостатки биржи в управлении закрытыми ключами и многоуровневой безопасности.

Несмотря на то, что биржа пыталась отследить хакеров с помощью мониторинга в блокчейне и замораживания средств, работа по отслеживанию столкнулась с огромными трудностями, поскольку украденные биткойны были распределены и использовались с инструментами для смешивания. В конце года японская полиция подтвердила, что это событие было запланировано и осуществлено северокорейской хакерской группировкой Lazarus Group.

2. PlayDapp: Утечка приватных ключей привела к убыткам в 290 миллионов долларов

9 февраля 2024 года PlayDapp понес серьезный удар. Хакеры, украдя приватные ключи, сгенерировали 2 миллиарда токенов PLA, первоначальная стоимость которых составила 36,5 миллиона долларов. Из-за неудачных переговоров с хакерами, они в короткий срок сгенерировали еще 15,9 миллиарда токенов PLA, стоимость которых составила 253,9 миллиона долларов. После того как часть токенов попала на биржи, PlayDapp был вынужден приостановить контракт на PLA и перейти на новый контракт токенов. Этот инцидент подчеркивает недостатки проектов на блокчейне в области защиты приватных ключей и экстренных мер.

3. Индийская биржа: Социальная инженерия привела к потерям в 235 миллионов долларов

18 июля 2024 года крупнейшая криптовалютная биржа Индии подверглась целенаправленной атаке хакеров на мультиподписной кошелек Safe Wallet. Злоумышленники с помощью социальных инженерных методов заставили подписантов мультиподписного кошелька подписать транзакцию обновления контракта, а затем воспользовались правами обновленного контракта для перевода всех активов из кошелька. Этот случай выявил потенциальные риски мультиподписных кошельков в управлении конфигурацией прав и прозрачности операций, а также вызвал глубокое размышление в отрасли о внутренних механизмах контроля рисков и безопасности проектов.

4. Gala Games: Уязвимость контроля доступа привела к потерям в 216 миллионов долларов

20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint в контракте токенов, за один раз выпустили 5 миллиардов токенов GALA. Затем хакер поэтапно обменял эти токены на ETH, что непосредственно привело к убыткам в размере 216 миллионов долларов. Команда Gala Games после инцидента срочно активировала функцию черного списка, заблокировав некоторые аккаунты хакеров, и через юридические пути вернула часть убытков.

5. Соучредитель Ripple: Утечка закрытого ключа привела к краже 112 миллионов долларов XRP

31 января 2024 года четыре личных кошелька соучредителя Ripple были взломаны хакерами, в результате чего было украдено 112 миллионов долларов в XRP. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты с использованием аппаратных устройств. После инцидента одна из бирж успешно заморозила XRP на сумму 4,2 миллиона долларов и помогла отследить украденные активы, но большая часть средств уже была отмыта через децентрализованные биржи и услуги по смешиванию монет.

6. Munchables: Внутренние атаки с проникновением привели к убыткам в 62,5 миллиона долларов

26 марта 2024 года игровая платформа Munchables на базе Blast столкнулась с редкой внутренней утечкой. Нападавший, замаскировавшийся под разработчика блокчейна, в течение длительного времени скрывался и получил доступ к основному коду и конфиденциальным ключам. Несмотря на то, что атака привела к огромным потерям, под давлением сообщества и команды хакер в конечном итоге вернул все украденные средства. Этот инцидент подчеркнул важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.

7. Одна турецкая биржа: Утечка приватного ключа привела к убыткам в 55 миллионов долларов

22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке с утечкой приватных ключей, в результате чего были потеряны более 55 миллионов долларов криптоактивов. При поддержке команды одной из бирж 5,3 миллиона долларов украденных средств были успешно заморожены, но другие активы пока не возвращены. Этот инцидент усилил опасения рынка по поводу управления приватными ключами централизованными биржами.

8. Radiant Capital: Взлом мультиподписного кошелька привел к убыткам в 53 миллиона долларов

17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Поскольку он использовал низкопороговую модель верификации 3/11, хакеры, получив доступ к приватным ключам 3 подписантов, инициировали оффлайн-подпись и перенесли право собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала в отрасли размышления о дизайне и механизмах управления мультиподписными кошельками.

Стоит отметить, что Radiant Capital потерял 4,5 миллиона долларов из-за уязвимости контракта до этой атаки, было украдено более 1900 ETH. Это еще раз подчеркивает, что проектам Web3 следует повысить уровень внимания к безопасности.

9. Hedgey Finance: Убытки в 44,7 миллиона долларов из-за уязвимости контракта

19 апреля 2024 года Hedgey Finance столкнулась с атакой на несколько смарт-контрактов. Хакеры использовали уязвимость одобрения в их контракте ClaimCampaigns и успешно извлекли токены на двух цепочках: Ethereum и Arbitrum, общие убытки составили 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгую проверку логики одобрения токенов.

10. Платформа для торговли: горячий кошелек был взломан, убытки составили 44,7 миллиона долларов

19 сентября 2024 года горячий кошелек одной из торговых платформ был взломан хакерами, при этом затронуты такие блокчейны, как Ethereum, BNB Chain, Tron и другие публичные цепочки. Несмотря на то, что биржа быстро запустила механизмы перемещения активов и замораживания вывода, хакеры успешно вывели активы на сумму 44,7 миллиона долларов. Эта атака отражает высокий риск управления горячими кошельками централизованных бирж и способствует дальнейшему исследованию более безопасных решений для хранения активов в индустрии.

Заключение

Частые инциденты с безопасностью в 2024 году снова напоминают нам о том, что развитие блокчейн-индустрии невозможно без безопасной поддержки. От утечки приватных ключей до уязвимостей контрактов, от внутренних управленческих просчетов до повышения внешних атакующих методов — каждое происшествие принесло глубокие уроки. Для того чтобы справиться с все более сложными угрозами атак, всем участникам отрасли необходимо продолжать усиливать инвестиции в научные разработки технологий, управление и предотвращение рисков. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы совместно создадим более безопасную блокчейн-экосистему, предоставляя пользователям и инвесторам более надежную защиту.