Огляд десяти найбільших інцидентів безпеки у сфері Web3 у 2024 році

У 2024 році індустрія блокчейн, поряд з технологічними інноваціями та розширенням екосистеми, також стикається з дедалі серйознішими викликами безпеки. Згідно з даними платформи моніторингу безпеки, станом на сьогодні, загальні втрати у сфері Web3 у 2024 році внаслідок хакерських атак, фішингових шахрайств і втечі проектів досягли 24,91 мільярда доларів.

Ці події не лише виявили технічні недоліки, такі як управління приватними ключами та вразливості смарт-контрактів, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті буде розглянуто десять найбільших інцидентів безпеки Web3 2024 року, з метою того, щоб галузь могла винести уроки з цього та краще реагувати на майбутні загрози безпеці.

1. DMM Bitcoin: витік приватних ключів призвів до збитків у розмірі 304 мільйонів доларів

31 травня 2024 року японська відома криптовалютна біржа DMM Bitcoin зазнала значної безпекової інциденту. Зловмисники використали витік приватного ключа для безпосереднього переміщення біткоїнів на суму понад 300 мільйонів доларів, і швидко розподілили вкрадені кошти на кілька адрес. Ця атака виявила серйозні вразливості біржі в управлінні приватними ключами та багатошаровій безпеці. Незважаючи на те, що біржа намагалася відстежити хакера через моніторинг у ланцюгу та заморожування коштів, розподіл вкрадених біткоїнів і операції з міксування створили величезні виклики для повернення.

Зверніть увагу, що 24 грудня японська поліція підтвердила, що цю атаку здійснила якась міжнародна хакерська група.

2. PlayDapp: витік приватних ключів призвів до збитків у 2,90 мільярда доларів

9 лютого 2024 року PlayDapp зазнав серйозної безпекової події. Хакери незаконно створили 2 мільярди токенів PLA шляхом викрадення приватного ключа, початкова вартість яких становила 36,5 мільйона доларів США. Оскільки проектна команда не змогла домовитися з хакерами, вони в подальшому створили ще 15,9 мільярда токенів PLA, вартість яких становила 253,9 мільйона доларів США. Частина вкрадених токенів потрапила на біржі, після чого PlayDapp був змушений призупинити контракт PLA та перейти на новий токен-контракт. Ця подія підкреслила недоліки проектів на блокчейні в захисті приватних ключів і реагуванні на надзвичайні ситуації.

3. Один індійський обмін: мережеві атаки та фішинг призвели до збитків у 235 мільйонів доларів

18 липня 2024 року, мультипідписний гаманець найбільшої криптовалютної біржі Індії зазнав цілеспрямованої атаки. Зловмисники за допомогою соціальної інженерії змусили підписантів мультипідпису затвердити угоду на оновлення контракту, а потім використали права оновленого контракту для переведення всіх активів з гаманця. Цей випадок виявив потенційні ризики мультипідписних гаманців у конфігурації прав та прозорості операцій, а також спровокував глибоке осмислення внутрішніх механізмів контролю ризиків і безпеки проектів у галузі.

4. Gala Games: Вразливість контролю доступу призвела до збитків у 216 мільйонів доларів

20 травня 2024 року привілейована адреса Gala Games була зламаною хакерами. Зловмисники, викликавши функцію mint у токен-контракті, одноразово випустили 5 мільярдів токенів GALA. Після цього ці незаконно випущені токени були обміняні на ETH частинами, що безпосередньо призвело до збитків у розмірі 216 мільйонів доларів. Команда Gala Games швидко активувала функцію чорного списку для блокування деяких рахунків хакерів після інциденту та через юридичні канали повернула частину збитків.

5. Співзасновник певного криптовалютного проєкту: витік приватного ключа призвів до збитків у 112 мільйонів доларів

31 січня 2024 року чотири особисті гаманці одного з засновників відомого криптовалютного проєкту були зламані хакерами, що призвело до крадіжки криптовалюти на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню для атаки через відсутність подвійного захисту з використанням апаратних пристроїв. Після інциденту одна велика біржа успішно заморозила викрадені активи на суму 4,2 мільйона доларів і сприяла їхньому відстеженню, але більша частина коштів вже була очищена через децентралізовані біржі та сервіси змішування.

6. Munchables: атаки соціальної інженерії призвели до збитків у 62,5 мільйона доларів

26 березня 2024 року веб3 ігрова платформа Munchables на основі Blast зазнала рідкісної внутрішньої проникаючої атаки. Зловмисник маскувався під розробника блокчейн, протягом тривалого часу отримуючи доступ до основного коду та чутливих ключів. Хоча атака призвела до величезних втрат, під тиском спільноти та команди хакер зрештою повернув усі вкрадені кошти. Ця подія підкреслює важливість безпеки постачального ланцюга, особливо для блокчейн-проектів, що залежать від сторонніх розробників.

7. Одна турецька біржа: витік приватного ключа призвів до збитків у 55 мільйонів доларів

22 червня 2024 року найбільша криптовалютна біржа Туреччини зазнала атаки через витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів криптоактивів. За допомогою однієї великої біржі вдалося заморозити 5,3 мільйона доларів викрадених коштів, але інші активи досі не повернуті. Ця подія ще більше посилила занепокоєння ринку щодо можливостей централізованих бірж у управлінні приватними ключами.

8. Radiant Capital: витік приватних ключів призвів до збитків у 53 мільйони доларів

17 жовтня 2024 року мультипідписаний гаманець Radiant Capital був зламаний хакерами. Оскільки він використовував низький поріг моделі верифікації 3/11, хакери, отримавши приватні ключі трьох підписантів, ініціювали позасистемне підписання, передавши право власності на контракт гаманця на зловмисну адресу, що в кінцевому підсумку призвело до крадіжки 53 мільйонів доларів. Ця атака викликала в індустрії роздуми щодо дизайну мультипідписаних гаманців та механізмів управління.

Варто зазначити, що Radiant Capital перед цією атакою вже втратила 4,5 мільйона доларів через вразливість у контракті, більше 1900 ETH було вкрадено. Це ще раз підкреслює, що проєкти Web3 мають покращити свою увагу до безпеки.

9. Hedgey Finance: Витік контракту призвів до втрати 44,7 мільйона доларів

19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Хакери скористалися уразливістю дозволів у їхньому контракті ClaimCampaigns, успішно витягнувши токени з мереж Ethereum та Arbitrum, загальні збитки становлять 44,7 мільйона доларів США. Цей інцидент підкреслює важливість аудиту коду, особливо сувору перевірку логіки дозволів токенів.

10. Деяка криптовалютна біржа: витік приватних ключів призвів до збитків у 44,7 мільйона доларів

19 вересня 2024 року популярна криптовалютна біржа зазнала хакерської атаки на свій гарячий гаманець, в якій були залучені такі блокчейни, як Ethereum, BNB Chain, Tron та інші. Незважаючи на те, що біржа швидко запустила механізм переміщення активів та замороження виведення, хакерам вдалося успішно вивести активи на суму 44,7 мільйона доларів. Ця атака знову показала високий ризик управління гарячими гаманцями централізованих бірж і ще більше спонукала галузь шукати більш безпечні рішення для зберігання активів.

Часті випадки атак на безпеку у 2024 році ще раз нагадують нам про те, що розвиток індустрії блокчейн не може обійтися без забезпечення безпеки. Від витоку приватних ключів до вразливостей у контрактах, від управлінських недоліків до вдосконалення зовнішніх атак - кожен випадок приносить глибокі уроки для індустрії. Щоб протистояти все більш складним загрозам атак, усі учасники галузі повинні продовжувати збільшувати інвестиції в дослідження та розробки, управлінські норми та управління ризиками. У майбутньому ми сподіваємося на співпрацю в індустрії та технологічні інновації, щоб спільно створити більш безпечну та надійну екосистему блокчейн, яка надасть користувачам та інвесторам більш потужні гарантії.