Огляд десяти основних інцидентів безпеки у сфері Web3 у 2024 році

У 2024 році індустрія блокчейн, розвиваючись інноваційно, також стикається з дедалі серйознішими викликами безпеки. За даними статистичних платформ, на сьогоднішній день загальні збитки в області Web3 у 2024 році через хакерські атаки, шахрайство та втечі проектів становлять до 24,91 мільярда доларів.

Ці події не лише виявили вразливості на технічному рівні, такі як управління приватними ключами та смарт-контрактами, але й підкреслили потенційні ризики в аспектах соціальної інженерії та внутрішнього управління. У цій статті буде представлено десятку найбільших інцидентів безпеки у Web3 у 2024 році, щоб галузь могла винести уроки та краще підготуватися до майбутніх загроз безпеці.

1. Японська криптовалютна біржа зазнала серйозної атаки

Сума втрат: 304 мільйони доларів США Спосіб атаки: витік приватного ключа

31 травня 2024 року одна з відомих японських криптовалютних бірж зазнала історичної атаки. Зловмисники використали злиті приватні ключі для безпосереднього переміщення біткоїнів на суму понад 300 мільйонів доларів США та швидко розподілили вкрадені кошти на більш ніж 10 різних адрес. Ця подія виявила серйозні недоліки біржі в управлінні приватними ключами та багаторівневому захисті. Хоча біржа намагалася відслідковувати хакера через моніторинг в ланцюзі та замороження коштів, відслідковування зіткнулося з величезними труднощами через те, що вкрадені біткоїни були розподілені та очищені за допомогою міксуючих інструментів.

24 грудня японська поліція підтвердила, що цей інцидент є справою певної міжнародної хакерської організації.

2. PlayDapp зазнав серйозного удару

Сума збитків: 290 мільйонів доларів США Спосіб атаки: витік приватного ключа

9 лютого 2024 року PlayDapp зазнав серйозного удару: хакери, викравши приватний ключ, випустили 2 мільярди токенів PLA, первісна вартість яких становила 36,5 мільйона доларів США. Оскільки переговори між проектом та хакерами зазнали невдачі, хакери за короткий час випустили ще 15,9 мільярда токенів PLA на суму 253,9 мільйона доларів США. Після того, як частина токенів потрапила на біржі, PlayDapp був змушений призупинити контракт PLA та перейти на новий контракт токена. Цей інцидент підкреслює недоліки захисту приватних ключів та реагування на надзвичайні ситуації в блокчейн-проектах.

3. Найбільша криптовалютна біржа Індії зазнала атаки

Сума збитків: 235 мільйонів доларів США Способи атаки: мережеві атаки та фішинг

18 липня 2024 року найбільший криптовалютний обмін в Індії зазнав точного нападу на багатопідписний гаманець Safe Wallet. Зловмисники за допомогою соціальної інженерії спонукали підписантів багатопідпису підписати угоду про оновлення контракту, а потім використали права, отримані від оновленого контракту, щоб вивести всі активи з гаманця. Цей випадок виявив потенційні ризики багатопідписних гаманців у налаштуванні прав і прозорості операцій, а також спровокував глибокі роздуми в галузі щодо внутрішнього управління ризиками проектів і механізмів безпеки.

4. Gala Games зазнала масованої атаки

Сума втрат: 216 мільйонів доларів США Спосіб атаки: вразливість контролю доступу

20 травня 2024 року привілейована адреса Gala Games була зламаною хакерами. Зловмисники, викликавши функцію mint у контракті токена, одноразово випустили 5 мільярдів токенів GALA. Після цього хакер частинами обміняв випущені токени на ETH, що безпосередньо призвело до збитків у 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку для блокування деяких рахунків хакерів і через юридичні заходи повернула частину втрат.

5. Співзасновник відомого проекту блокчейн став жертвою нападу

Збитки: 112 мільйонів доларів США Спосіб атаки: витік приватного ключа

31 січня 2024 року чотири особисті гаманці одного з засновників відомого блокчейн-проекту були зламані хакерами, внаслідок чого було вкрадено криптовалюти на суму 112 мільйонів доларів США. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту апаратних засобів. Після інциденту одна велика біржа успішно заморозила вкрадені активи на суму 4,2 мільйона доларів США та допомогла в їх відстеженні, але більшість коштів вже була очищена через децентралізовані біржі та сервіси змішування.

6. Munchables зазнали внутрішньої проникнення

Сума збитків: 6250 мільйонів доларів США Методи атаки: соціальна інженерія

26 березня 2024 року, веб3 ігрова платформа Munchables на базі Blast зазнала рідкісної внутрішньої атаки з проникненням. Зловмисники маскувалися під розробників блокчейну і протягом тривалого часу отримали доступ до основного коду та чутливих ключів. Незважаючи на величезні втрати, під тиском спільноти та команди, хакери врешті-решт повернули всі вкрадені кошти. Ця подія підкреслила важливість безпеки постачальницького ланцюга, особливо для блокчейн-проєктів, які залежать від розробок третіх сторін.

7. Турецька криптовалютна біржа зазнала атаки

Сума збитків: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа

22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів США в криптоактивах. За допомогою команди однієї великої біржі вдалося заморозити 5,3 мільйона доларів США викрадених коштів, але інші активи досі не повернуті. Ця подія поглибила занепокоєння ринку щодо управління приватними ключами централізованими біржами.

8. Багатопідписний гаманець Radiant Capital зазнав атаки

Сума збитків: 53 мільйони доларів США Спосіб атаки: витік приватного ключа

17 жовтня 2024 року мультипідписний гаманець Radiant Capital був зламаний хакерами. Через використання низькопорогової моделі верифікації 3/11 хакери, отримавши приватні ключі трьох підписантів, ініціювали позацепочковий підпис, передавши право власності на гаманець до злочинної адреси, що в кінцевому підсумку призвело до викрадення 53 мільйонів доларів. Ця атака викликала в індустрії роздуми щодо дизайну мультипідписних гаманців та механізмів управління.

Варто зазначити, що Radiant Capital перед цією атакою вже втратила 4,5 мільйона доларів через уразливість контракту, понад 1900 ETH було вкрадено. Це ще раз підтверджує, що проєкти Web3 повинні підвищити свою обізнаність щодо безпеки.

9. Hedgey Finance зазнав крос-чейн атаки

Сума втрат: 44,7 мільйона доларів США Спосіб атаки: вразливість контракту

19 квітня 2024 року Hedgey Finance зазнав нападу на кілька смарт-контрактів. Хакери скористалися вразливістю в контракті ClaimCampaigns, успішно витягнувши токени з мереж Ethereum і Arbitrum, загальна сума збитків склала 44,7 мільйона доларів. Цей інцидент підкреслює важливість аудиту коду, особливо сувірної перевірки логіки схвалення токенів.

10. Гарячий гаманець певної криптовалютної біржі було зламано

Сума збитків: 44,7 мільйона доларів США Спосіб атаки: витік приватного ключа

19 вересня 2024 року гарячий гаманець одного з криптовалютних обмінників був зламаний хакерами, внаслідок чого постраждали кілька блокчейнів, зокрема Ethereum, BNB Chain, Tron та інші публічні ланцюги. Незважаючи на те, що обмінник швидко запровадив механізм переведення активів та замороження виведення, хакерам вдалося вивести активи на загальну суму 44,7 мільйона доларів США. Цей напад ще раз виявив високі ризики управління гарячими гаманцями централізованих обмінників, спонукаючи галузь до пошуків більш безпечних рішень для зберігання активів.

Часті випадки атак на безпеку у 2024 році знову нагадують нам, що розвиток блокчейн-індустрії неможливий без безпечного супроводу. Від витоку приватних ключів до вразливостей контрактів, від внутрішніх управлінських недоліків до вдосконалення зовнішніх атак, кожен випадок приносить глибокі уроки. Щоб впоратися зі все більш складними загрозами атак, усі учасники галузі повинні продовжувати посилювати інвестиції в розробку технологій, управлінські норми та ризик-менеджмент. У майбутньому ми сподіваємося на спільну роботу в галузі та технологічні інновації для спільного створення більш безпечної екосистеми блокчейн, щоб забезпечити користувачів та інвесторів надійнішою підтримкою.