Огляд інцидентів безпеки Web3 за 2024 рік: аналіз десяти випадків атак

У 2024 році блокчейн-індустрія, здійснюючи технологічні інновації та розширення екосистеми, також зіткнеться з дедалі серйознішими викликами безпеки. За статистикою, станом на кінець року, загальні втрати в сфері Web3 через хакерські атаки, фішингові шахрайства та втечі проектів сягнули 24,91 мільярда доларів. Ці події не тільки виявили технологічні недоліки в управлінні приватними ключами, смарт-контрактах та інших аспектах, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті буде розглянуто десять найбільших інцидентів безпеки в Web3 у 2024 році, щоб галузь могла винести уроки і краще підготуватися до майбутніх загроз безпеці.

1. DMM Біткойн

Сума втрат: 304 мільйони доларів США Спосіб атаки: витік приватного ключа

31 травня 2024 року японська відома криптовалютна біржа DMM Bitcoin зазнала значної атаки. Хакери, скориставшись витоками приватних ключів, безпосередньо перенесли біткоїни на суму понад 300 мільйонів доларів США та швидко розподілили вкрадені кошти на більше ніж десяток різних адрес. Цей інцидент виявив серйозні вразливості біржі в управлінні приватними ключами та багаторівневій системі безпеки. Незважаючи на те, що біржа вжила заходів, таких як моніторинг в мережі та замороження коштів, робота з відстеження зіткнулася з величезними труднощами через використання хакерами інструментів для змішування криптовалют.

Наприкінці року японська поліція підтвердила, що цей інцидент був здійснений північнокорейською хакерською групою Lazarus Group.

2. Додаток PlayDapp

Сума збитків: 2,90 мільярда доларів США Спосіб атаки: витік приватного ключа

9 лютого 2024 року PlayDapp зазнав серйозної атаки. Хакери, вкрадучи приватні ключі, викарбували 2 мільярди токенів PLA, первісна вартість яких становила 36,5 мільйона доларів США. Оскільки проект не зміг домовитися з хакерами, останні за короткий час викарбували ще 15,9 мільярда токенів PLA, вартістю 253,9 мільйона доларів США. Після часткового потрапляння токенів на біржі, PlayDapp був змушений призупинити контракт PLA і перейти на новий контракт токенів. Цей інцидент підкреслив недоліки проектів на блокчейні в захисті приватних ключів та реагуванні на надзвичайні ситуації.

3. Одна індійська криптовалютна біржа

Сума збитків: 235 мільйонів доларів США Методи атаки: мережеві атаки та фішинг

18 липня 2024 року найбільша криптовалютна біржа Індії зазнала точкової атаки на свій мультипідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії змусили підписантів мультипідпису підписати угоду про оновлення контракту, а потім використали права, отримані в результаті оновлення контракту, для переміщення активів з гаманця. Цей випадок виявив потенційні ризики мультипідписних гаманців у налаштуванні управлінських прав і прозорості операцій, а також викликав глибокі роздуми в галузі щодо внутрішнього контролю проектів та механізмів безпеки.

4. Гала-ігри

Сума втрат: 216 мільйонів доларів США Метод атаки: Вразливість контролю доступу

20 травня 2024 року привілейована адреса Gala Games була зламаною хакерами. Зловмисники, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Потім хакер поетапно обмінював випущені токени на ETH, що безпосередньо призвело до збитків у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку, щоб заблокувати деякі акаунти хакерів, і через судові канали повернула частину збитків.

5. Особистий гаманець співзасновника Ripple

Сума збитків: 1,12 мільярда доларів США Спосіб атаки: витік приватного ключа

31 січня 2024 року чотири особисті гаманці співзасновника Ripple Кріс Ларсена були зламані хакерами, що призвело до крадіжки 112 мільйонів доларів США у XRP. Ці гаманці, ймовірно, стали ціллю атаки через відсутність двофакторної автентифікації з використанням апаратних пристроїв. Після події одна з торгових платформ успішно заморозила XRP на суму 4,2 мільйона доларів США і допомогла відстежити вкрадені активи, але більша частина коштів була очищена через децентралізовані біржі та сервіси змішування.

6. Жувальні страви

Сума збитків: 6250 мільйонів доларів США Метод атаки: соціальна інженерія

26 березня 2024 року веб3 ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої атаки. Зловмисники маскувалися під розробників блокчейн, отримавши доступ до основного коду та чутливих ключів через тривале перебування в системі. Незважаючи на величезні збитки, під тиском спільноти та команди, хакери врешті-решт повернули всі вкрадені кошти. Ця подія підкреслює важливість безпеки постачальників, особливо для блокчейн-проектів, які залежать від розробки третіми сторонами.

7. Одна турецька криптовалютна біржа

Сума збитків: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа

22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів криптоактивів. Завдяки допомозі однієї з торгових платформ вдалося заморозити 5,3 мільйона доларів вкрадених коштів, але інші активи досі не повернуті. Ця подія поглибила стурбованість ринку щодо управління приватними ключами централізованими біржами.

8. Промениста столиця

Сума збитків: 53 мільйони доларів США Спосіб атаки: витік приватного ключа

17 жовтня 2024 року мультигрошовий гаманець Radiant Capital був зламаний хакерами. Завдяки використанню низького порогу моделі верифікації 3/11, хакери, отримавши приватні ключі трьох підписантів, ініціювали позаземний підпис, передавши право власності на контракт гаманця до зловмисної адреси, в результаті чого було вкрадено 53 мільйони доларів. Ця атака викликала в індустрії роздуми щодо дизайну мультигрошових гаманців і механізмів управління.

Варто зазначити, що Radiant Capital раніше втратила 4,5 мільйона доларів через вразливість у контракті, понад 1900 ETH були вкрадені, що підкреслює недостатню увагу з боку команди проекту до безпеки.

9. Хеджі Фінанс

Сума збитків: 44,7 мільйона доларів США Метод атаки: Вразливість контракту

19 квітня 2024 року Hedgey Finance зазнав атаки на кілька смарт-контрактів. Зловмисники використали вразливість затвердження в їхньому контракті ClaimCampaigns, успішно витягнувши токени з мереж Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів. Ця подія підкреслює важливість аудиту коду, зокрема сувору перевірку логіки затвердження токенів.

10. Платформа для обміну криптовалют

Сума збитків: 44,7 мільйона доларів США Спосіб атаки: витік приватного ключа

19 вересня 2024 року гарячий гаманець однієї з торгових платформ був зламаний хакерами, що торкнулося кількох публічних блокчейнів, таких як Ethereum, BNB Chain, Tron. Хоча біржа швидко запустила механізм переміщення активів і замороження виведення, хакери вже змогли вивести активи на суму 44,7 мільйона доларів США. Ця атака відображає високий ризик управління гарячими гаманцями централізованих бірж та подальше стимулювання галузі до пошуку більш безпечних рішень для зберігання активів.

Часті випадки безпеки у 2024 році ще раз нагадують нам, що розвиток блокчейн-індустрії не може обійтися без забезпечення безпеки. Від витоку приватних ключів до вразливостей контрактів, від недоліків внутрішнього управління до вдосконалення зовнішніх атак, кожен інцидент приносить глибокі уроки. Щоб протистояти дедалі складнішим загрозам атак, усім учасникам галузі необхідно продовжувати посилювати інвестиції в дослідження та розробки технологій, управлінські норми та управління ризиками. У майбутньому ми сподіваємося, що через співпрацю в галузі та технологічні інновації ми спільно створимо більш безпечну блокчейн-екосистему, щоб забезпечити надійнішу підтримку для користувачів і інвесторів.