Обзор десяти основных инцидентов безопасности в области Web3 за 2024 год

В 2024 году блокчейн-отрасль, развиваясь инновационно, сталкивается с всё более серьёзными вызовами безопасности. По данным статистической платформы, на сегодняшний день общие убытки в сфере Web3 в 2024 году из-за хакерских атак, мошенничества и бегства команды проекта составляют 24,91 миллиарда долларов.

Эти события не только выявили уязвимости в таких технологических аспектах, как управление приватными ключами и смарт-контрактами, но также подчеркнули потенциальные риски в социальных инженерных и внутренних управленческих процессах. В этой статье будет рассмотрено десять крупнейших инцидентов безопасности в области Web3 в 2024 году, чтобы отрасль могла извлечь уроки и лучше справляться с будущими угрозами безопасности.

1. Одна из японских криптовалютных бирж подверглась серьезной атаке

Сумма убытков: 304 миллиона долларов США Способ атаки: утечка приватного ключа

31 мая 2024 года одна из известных японских криптовалютных бирж подверглась исторической атаке. Злоумышленники использовали утечку закрытого ключа для прямого перевода биткойнов на сумму более 300 миллионов долларов, быстро распределив украденные средства по более чем 10 различным адресам. Этот инцидент выявил серьезные недостатки биржи в управлении закрытыми ключами и многоуровневой безопасности. Несмотря на то что биржа пыталась отслеживать хакера с помощью мониторинга в цепочке и замораживания средств, работа по отслеживанию столкнулась с огромными трудностями, поскольку украденные биткойны были распределены и очищены с помощью миксеров.

24 декабря японская полиция подтвердила, что это происшествие было совершено международной хакерской группой.

2. PlayDapp понес значительные убытки

Сумма убытков: 290 миллионов долларов США Способ атаки: утечка приватного ключа

9 февраля 2024 года PlayDapp понес серьезные убытки, когда хакеры, похитив приватные ключи, создали 2 миллиарда токенов PLA, начальная стоимость которых составила 36,5 миллиона долларов США. Поскольку команда проекта не смогла договориться с хакерами, те в короткие сроки создали еще 15,9 миллиарда токенов PLA, стоимость которых составила 253,9 миллиона долларов США. После того как часть токенов попала на биржи, PlayDapp была вынуждена приостановить контракт PLA и перейти на новый контракт токенов. Этот инцидент подчеркивает недостатки проектов на блокчейне в области защиты приватных ключей и экстренного реагирования.

3. Крупнейшая криптовалютная биржа Индии подверглась атаке

Сумма убытков: 235 миллионов долларов США Способы атаки: сетевые атаки и фишинг

18 июля 2024 года крупнейшая криптовалютная биржа Индии подверглась целенаправленной атаке на мультиподписной кошелек Safe Wallet. Злоумышленники использовали методы социальной инженерии, чтобы заставить подписантов мультиподписного кошелька подписать транзакцию по обновлению контракта, а затем воспользовались правами обновленного контракта, чтобы полностью вывести активы из кошелька. Этот случай выявил потенциальные риски мультиподписных кошельков в конфигурации прав и прозрачности операций, а также вызвал глубокие размышления в отрасли о внутренних механизмах контроля и безопасности проектов.

4. Gala Games подвергся массовой атаке

Сумма убытков: 216 миллионов долларов США Способ атаки: уязвимость контроля доступа

20 мая 2024 года привилегированный адрес Gala Games был взломан хакерами. Злоумышленники, вызвав функцию mint в токен-контракте, единовременно выпустили 5 миллиардов токенов GALA. Затем хакеры по частям обменяли выпущенные токены на ETH, что напрямую привело к убыткам в размере 216 миллионов долларов США. Команда Gala Games после инцидента срочно активировала функцию черного списка, чтобы заблокировать некоторые хакерские аккаунты, и через юридические меры смогла вернуть часть убытков.

5. Соучредитель известного блокчейн-проекта подвергся атаке

Сумма убытков: 112 миллионов долларов США Способ атаки: утечка приватного ключа

31 января 2024 года четыре личных кошелька одного известного проекта в сфере блокчейна, созданного соучредителем, были взломаны хакерами, что привело к краже криптовалюты на сумму 112 миллионов долларов. Эти кошельки стали целью атаки из-за отсутствия двойной защиты с использованием аппаратного оборудования. После инцидента одна крупная биржа успешно заморозила украденные активы на сумму 4,2 миллиона долларов и помогла в их отслеживании, однако большая часть средств уже была отмыта через децентрализованные биржи и услуги смешивания.

6. Munchables столкнулись с внутренним проникновением

Сумма убытков: 62,5 миллиона долларов США Способ атаки: Социальная инженерия

26 марта 2024 года веб3-игровая платформа Munchables на базе Blast столкнулась с редкой внутренней атакой на проникновение. Злоумышленники выдали себя за разработчиков блокчейна и, поджидая в течение долгого времени, получили доступ к исходному коду и конфиденциальным ключам. Несмотря на огромные убытки, под давлением сообщества и команды хакер в конечном итоге вернул все украденные средства. Этот инцидент подчеркивает важность безопасности цепочки поставок, особенно для блокчейн-проектов, зависящих от сторонних разработчиков.

7. Турецкая криптовалютная биржа подверглась атаке

Сумма убытков: 55 миллионов долларов США Способ атаки: утечка приватного ключа

22 июня 2024 года крупнейшая криптовалютная биржа Турции подверглась атаке с утечкой приватных ключей, в результате чего была потеряна криптоактивов на сумму более 55 миллионов долларов. С помощью команды одной крупной биржи было успешно заморожено 5,3 миллиона долларов из украденных средств, но другие активы до сих пор не были возвращены. Этот инцидент углубил беспокойство рынка по поводу управления приватными ключами централизованными биржами.

8. Мультиподписной кошелек Radiant Capital подвергся атаке

Сумма убытков: 53 миллиона долларов США Способ атаки: утечка приватного ключа

17 октября 2024 года мультиподписной кошелек Radiant Capital был взломан хакерами. Из-за использования низкопороговой модели проверки подписей 3/11, хакеры, получившие доступ к приватным ключам 3 подписантов, инициировали оффлайн-подпись, что привело к передаче прав собственности на контракт кошелька на злонамеренный адрес, в результате чего было украдено 53 миллиона долларов. Эта атака вызвала отраслевую рефлексию по поводу дизайна и механизмов управления мультиподписными кошельками.

Стоит отметить, что перед этой атакой Radiant Capital уже потерял 4,5 миллиона долларов из-за уязвимости в контракте, и более 1900 ETH было украдено. Это еще раз подчеркивает, что внимание проектов Web3 к безопасности все еще необходимо улучшить.

9. Hedgey Finance подвергся кросс-цепной атаке

Сумма убытков: 44,7 миллиона долларов США Способ атаки: уязвимость контракта

19 апреля 2024 года Hedgey Finance подвергся атаке на несколько смарт-контрактов. Хакеры использовали уязвимость одобрения в контракте ClaimCampaigns, успешно извлекая токены из сетей Ethereum и Arbitrum, с общими потерями в 44,7 миллиона долларов. Этот инцидент подчеркивает важность аудита кода, особенно строгой проверки логики одобрения токенов.

10. Горячий кошелек одного криптовалютного обмена был взломан

Сумма убытков: 44,7 миллиона долларов США Способ атаки: утечка приватного ключа

19 сентября 2024 года горячий кошелек одной из криптовалютных бирж был взломан хакерами, в результате чего были затронуты такие блокчейны, как Ethereum, BNB Chain, Tron и другие публичные цепочки. Несмотря на то, что биржа быстро активировала механизмы перевода активов и заморозки вывода, хакеры успешно извлекли активы на сумму 44,7 миллиона долларов. Эта атака вновь выявила высокие риски управления горячими кошельками централизованных бирж и подтолкнула отрасль к поиску более безопасных решений для хранения активов.

Частые случаи атак на безопасность в 2024 году снова напоминают нам о том, что развитие блокчейн-индустрии невозможно без безопасного сопровождения. От утечки приватных ключей до уязвимостей в контрактах, от внутренних управленческих упущений до усовершенствования внешних атакующих методов — каждое такое событие принесло глубокие уроки. Чтобы противостоять все более сложным угрозам атак, всем участникам отрасли необходимо продолжать усиливать инвестиции в разработку технологий, стандарты управления и предотвращение рисков. В будущем мы надеемся, что через сотрудничество в отрасли и технологические инновации мы сможем совместно построить более безопасную экосистему блокчейна, предоставляя пользователям и инвесторам более надежную защиту.