Обзор десяти крупных инцидентов безопасности в области Web3 за 2024 год

В 2024 году блокчейн-отрасль, наряду с инновациями в технологиях и расширением экосистемы, также сталкивается с все более серьезными вызовами безопасности. Согласно данным платформы мониторинга безопасности, на сегодняшний день общие убытки в области Web3 в 2024 году из-за хакерских атак, фишинга и ухода проектных команд составляют 24,91 миллиарда долларов.

Эти события не только выявили технические недостатки, такие как управление закрытыми ключами и уязвимости смарт-контрактов, но и подчеркнули потенциальные риски социальной инженерии и внутреннего управления. В этой статье мы рассмотрим десять крупнейших инцидентов безопасности Web3 в 2024 году, чтобы индустрия могла извлечь уроки из этого и лучше справляться с будущими угрозами безопасности.

1. DMM Bitcoin: Утечка приватных ключей привела к потерям в 304 миллиона долларов

31 мая 2024 года японская известная криптовалютная биржа DMM Bitcoin столкнулась с серьезным инцидентом безопасности. Злоумышленники использовали утекший приватный ключ для прямого перевода биткойнов на сумму более 300 миллионов долларов, быстро распределив похищенные средства по нескольким адресам. Эта атака выявила серьезные уязвимости в управлении приватными ключами и многоуровневыми мерами безопасности биржи. Несмотря на попытки биржи отслеживать хакеров через мониторинг в цепочке и замораживание средств, разрозненные переводы и смешивание украденных биткойнов создали огромные трудности для работы по их возврату.

Стоит отметить, что 24 декабря японская полиция подтвердила, что эту атаку осуществила некая международная хакерская организация.

2. PlayDapp: утечка приватного ключа привела к убыткам в 290 миллионов долларов

9 февраля 2024 года PlayDapp столкнулся с серьезным инцидентом безопасности. Хакеры незаконно создали 2 миллиарда токенов PLA, похитив приватные ключи, с первоначальной стоимостью 36,5 миллиона долларов США. Поскольку переговоры между проектом и хакерами провалились, хакеры затем создали 15,9 миллиарда токенов PLA, стоимостью 253,9 миллиона долларов США. После того как часть украденных токенов попала на биржи, PlayDapp был вынужден приостановить контракт PLA и перейти на новый контракт токена. Этот инцидент подчеркивает недостатки блокчейн-проектов в защите приватных ключей и реагировании в экстренных ситуациях.

3. Некоторые индийские биржи: сетевые атаки и фишинг привели к убыткам в 235 миллионов долларов

18 июля 2024 года многофункциональный кошелек крупнейшей криптобиржи Индии подвергся целенаправленной атаке. Злоумышленники с помощью социальной инженерии заставили подписантов многофункционального кошелька утвердить сделку по обновлению контракта, после чего использовали права, предоставленные обновленным контрактом, для перевода всех активов из кошелька. Этот инцидент выявил потенциальные риски, связанные с конфигурацией прав и прозрачностью операций многофункционального кошелька, а также вызвал глубокие размышления в отрасли о внутренних механизмах контроля и безопасности проектов.

4. Gala Games: Уязвимость контроля доступа привела к убыткам в 216 миллионов долларов

20 мая 2024 года один из привилегированных адресов Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint в токен-контракте, мгновенно выпустили 5 миллиардов токенов GALA. Затем эти незаконно выпущенные токены были поэтапно обменены на ETH, что привело к убыткам в размере 216 миллионов долларов. Команда Gala Games быстро активировала функцию черного списка, чтобы заблокировать некоторые хакерские аккаунты, и через юридические пути вернула часть убытков.

5. Соучредитель одного криптовалютного проекта: Утечка приватного ключа привела к убыткам в 112 миллионов долларов

31 января 2024 года четыре личных кошелька соучредителя известного криптовалютного проекта были взломаны хакерами, в результате чего было украдено криптовалюты на сумму 112 миллионов долларов. Эти кошельки, вероятно, стали целью атаки из-за отсутствия двойной защиты аппаратных средств. После инцидента одна крупная биржа успешно заморозила украденные активы на сумму 4,2 миллиона долларов и помогла в отслеживании, но большая часть средств уже была отмыта через децентрализованные биржи и сервисы смешивания.

6. Munchables: Социальная инженерия привела к убыткам в 62,5 миллиона долларов

26 марта 2024 года веб3 игровая платформа Munchables на основе Blast столкнулась с редкой внутренней проникающей атакой. Злоумышленники выдавали себя за разработчиков блокчейна и, долго находясь в системе, получили доступ к исходному коду и конфиденциальным ключам. Несмотря на то, что атака привела к огромным потерям, под давлением сообщества и команды хакеры в конечном итоге вернули все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейновых проектов, зависящих от сторонних разработок.

7. Одна турецкая биржа: Утечка приватного ключа привела к убыткам в 55 миллионов долларов

22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке с утечкой приватных ключей, в результате чего были потеряны криптоактивы на сумму более 55 миллионов долларов. При помощи одной из крупных бирж были успешно заморожены украденные средства на сумму 5,3 миллиона долларов, но другие активы по-прежнему не возвращены. Это событие еще больше углубило опасения рынка относительно способности централизованных бирж управлять приватными ключами.

8. Radiant Capital: Утечка приватных ключей привела к убыткам в 53 миллиона долларов

17 октября 2024 года многофункциональный кошелек Radiant Capital был взломан хакерами. Из-за того, что он использовал низкопороговую модель проверки подписей 3/11, хакеры, получив доступ к закрытым ключам 3 подписантов, инициировали оффлайн-подпись, что привело к передаче прав собственности на контракт кошелька на злонамеренный адрес и в конечном итоге к краже 53 миллионов долларов. Эта атака вызвала в индустрии размышления о дизайне многофункциональных кошельков и механизмах управления.

Стоит отметить, что Radiant Capital потеряла 4,5 миллиона долларов из-за уязвимости в контракте до этой атаки, и более 1900 ETH были украдены. Это еще раз подчеркивает, что уровень внимания к безопасности со стороны проектов Web3 все еще требует улучшения.

9. Hedgey Finance: Уязвимость контракта привела к убыткам в 44,7 миллиона долларов

19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость в контракте ClaimCampaigns для утверждения и успешно извлекли токены на двух цепочках — Ethereum и Arbitrum, общие потери составили 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики утверждения токенов.

10. Некоторый криптовалютный обменник: утечка приватного ключа привела к убыткам в 44,7 миллиона долларов

19 сентября 2024 года горячий кошелек известной криптовалютной биржи был взломан хакерами, затронутыми цепочками являются Ethereum, BNB Chain, Tron и другими публичными блокчейнами. Несмотря на то, что биржа быстро запустила механизмы перевода активов и заморозки выводов, хакеры успешно извлекли активы на сумму 44,7 миллиона долларов. Эта атака вновь выявила высокие риски управления горячими кошельками централизованных бирж и further подтолкнула отрасль к поиску более безопасных решений для хранения активов.

Частые инциденты с атаками безопасности в 2024 году вновь напоминают нам о том, что развитие блокчейн-индустрии невозможно без обеспечения безопасности. От утечки приватных ключей до уязвимостей в контрактах, от внутренних управленческих недочетов до эволюции внешних методов атак — каждый инцидент приносил отрасли глубокие уроки. Чтобы справиться с все более сложными угрозами атак, всем сторонам в отрасли необходимо продолжать увеличивать инвестиции в научные исследования, нормативное управление и предотвращение рисков. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы сможем совместно создать более безопасную и надежную экосистему блокчейна, предоставляя пользователям и инвесторам более надежные гарантии.