Огляд безпекових інцидентів Web3 за 2024 рік: десять випадків атак та їх уроки

У 2024 році індустрія блокчейн, поряд з технологічними інноваціями та розширенням екосистеми, також стикається з дедалі серйознішими викликами безпеки. Згідно з даними моніторингу, на кінець року загальні втрати в сфері Web3 через хакерські атаки, фішинг-шахрайства та втечі проектів становлять до 24,91 мільярда доларів.

Ці події не лише виявили вразливості на технічному рівні, такі як управління приватними ключами, смарт-контрактами тощо, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті буде розглянуто десять найбільших подій безпеки Web3 у 2024 році, щоб галузь могла винести уроки з цього і краще впоратися з майбутніми загрозами безпеці.

1. DMM Bitcoin: витік приватних ключів призвів до збитків у 304 мільйони доларів

31 травня 2024 року відома японська криптовалютна біржа DMM Bitcoin зазнала серйозної безпекової атаки. Зловмисники використали витік приватних ключів для безпосереднього переказу біткоїнів вартістю понад 300 мільйонів доларів і швидко розподілили вкрадені кошти на кілька різних адрес. Ця атака виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневій безпековій захисті.

Хоча біржа намагається відстежувати хакерів за допомогою моніторингу в блокчейні та заморожування коштів, відстеження стикається з величезними труднощами через те, що вкрадені біткоїни розподілені та очищені за допомогою міксингу. Наприкінці року японська поліція підтвердила, що цей інцидент був спланований і здійснений північнокорейською хакерською групою Lazarus Group.

2. PlayDapp: Витік приватних ключів призвів до збитків у 2,90 мільярда доларів

9 лютого 2024 року PlayDapp зазнав важкого удару. Хакери, викравши приватні ключі, створили 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів США. У зв'язку з невдачею переговорів між командою проєкту та хакерами, останні протягом короткого часу створили ще 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів США. Після часткового потрапляння токенів на біржі PlayDapp був змушений призупинити контракт PLA та перейти на новий токен-контракт. Цей інцидент підкреслює недоліки блокчейн-проєктів у захисті приватних ключів та в оперативному реагуванні.

3. Один з індійських бірж: атака соціальної інженерії призвела до збитків у 2,35 мільярда доларів

18 липня 2024 року найбільший криптовалютний обмін в Індії зазнав точного хакерського нападу на мультипідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії змусили підписувачів мультипідпису підписати угоду про оновлення контракту, а потім використали права оновленого контракту для переміщення всіх активів з гаманця. Цей випадок виявив потенційні ризики мультипідписних гаманців у сфері управління налаштуваннями прав і прозорості операцій, а також спровокував глибокі роздуми в галузі щодо внутрішнього контролю проектів та механізмів безпеки.

4. Gala Games: Вразливість контролю доступу призвела до втрат у 216 мільйонів доларів

20 травня 2024 року привілейована адреса Gala Games була зламаною хакерами. Зловмисники, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Після цього хакер частинами обміняв ці токени на ETH, що безпосередньо призвело до збитків у розмірі 216 мільйонів доларів США. Команда Gala Games терміново активувала функцію чорного списку для блокування частини рахунків хакерів і через судові канали повернула частину збитків.

5. Співзасновник Ripple: витік приватного ключа призвів до крадіжки 112 мільйонів доларів XRP

31 січня 2024 року чотири особисті гаманці співзасновника Ripple були зламані хакерами, що призвело до крадіжки 112 мільйонів доларів XRP. Ці гаманці, ймовірно, стали мішенню для атаки через відсутність двостороннього захисту на апаратних пристроях. Після інциденту одна з бірж успішно заморозила XRP на суму 4,2 мільйона доларів і допомогла в розслідуванні викрадених активів, але більшість коштів вже були очищені через децентралізовані біржі та сервіси змішування.

6. Munchables: Внутрішні атаки з проникненням призвели до збитків у 62,5 мільйона доларів

26 березня 2024 року веб3 ігрова платформа Munchables на основі Blast зазнала рідкісної внутрішньої атаки. Зловмисник, що маскувався під розробника блокчейну, тривалий час перебував у системі, отримавши доступ до основного коду та чутливих ключів. Незважаючи на величезні збитки, під тиском громади та команди зловмисник врешті-решт повернув усі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальників, особливо для блокчейн-проєктів, що залежать від сторонніх розробників.

7. Одна турецька біржа: витік приватного ключа призвів до збитків у 55 мільйонів доларів

22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів криптоактивів. За допомогою команди однієї з бірж вдалося успішно заморозити вкрадені 5,3 мільйона доларів, але інші активи досі не вдалося повернути. Ця подія поглибила побоювання ринку щодо управління приватними ключами централізованими біржами.

8. Radiant Capital: Втрата 53 мільйонів доларів через злом мультипідписного гаманця

17 жовтня 2024 року мульти-підписний гаманець Radiant Capital був зламаний хакерами. Через те, що він використовував низький поріг верифікації 3/11, хакери отримали доступ до приватних ключів трьох підписантів і здійснили офлайн-підпис, що призвело до передачі прав власності гаманця на зловмисну адресу, в результаті чого було вкрадено 53 мільйони доларів. Ця атака викликала в індустрії переосмислення дизайну та механізмів управління мульти-підписними гаманцями.

Варто зазначити, що Radiant Capital перед цією атакою вже втратила 4,5 мільйона доларів через вразливість контракту, з яких було вкрадено понад 1900 ETH. Це знову підтверджує, що проекти Web3 повинні ще більше приділяти увагу безпеці.

9. Hedgey Finance: Втрата 44,7 мільйона доларів через вразливість контракту

19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Хакери скористалися вразливістю в контракті ClaimCampaigns, успішно вилучивши токени з двох мереж - Ethereum та Arbitrum, загальні втрати склали 44,7 мільйона доларів США. Цей випадок підкреслює важливість аудиту коду, особливо ретельної перевірки логіки затвердження токенів.

10. певна торгова платформа: гарячий гаманець було зламано, втратили 44,7 мільйона доларів

19 вересня 2024 року гарячий гаманець певної торгової платформи був зламаний хакерами, до яких залучені кілька блокчейнів, включаючи Ethereum, BNB Chain, Tron та інші. Незважаючи на те, що біржа швидко активувала механізм переміщення активів та заморожування виведення коштів, хакери вже успішно витягли активи на суму 44,7 мільйона доларів. Ця атака відображає високий ризик управління гарячими гаманцями централізованих бірж і подальшого стимулювання галузі до пошуку більш безпечних рішень для зберігання активів.

Висновок

Часті випадки атак на безпеку у 2024 році знову нагадують нам, що розвиток блокчейн-індустрії неможливий без надійного захисту. Від витоку приватних ключів до вразливостей в контрактах, від недоліків внутрішнього управління до вдосконалення зовнішніх атак, кожен випадок приніс глибокі уроки. Щоб протистояти все більш складним загрозам атак, учасники індустрії повинні продовжувати посилювати інвестиції в технологічні розробки, управлінські норми та управління ризиками. У майбутньому ми сподіваємось, що завдяки співпраці в індустрії та технологічним інноваціям ми разом створимо більш безпечну екосистему блокчейну, щоб забезпечити користувачів та інвесторів більш надійним захистом.