Ежегодный отчет о безопасности блокчейна Web3 для 2024 года
Предисловие
Этот исследовательский отчет инициирован Blockchain Security Alliance и совместно создан его членами Beosin и Footprint Analytics. Он направлен на всестороннее исследование глобального ландшафта безопасности блокчейна в 2024 году. Благодаря анализу и оценке текущего состояния безопасности блокчейна во всем мире, отчет раскроет проблемы и угрозы безопасности, с которыми сталкиваются сегодня, а также предложит решения и лучшие практики. С помощью этого отчета читатели получат более полное представление о динамической эволюции безопасности блокчейна Web3. Это поможет читателям оценить и решить проблемы безопасности, с которыми сталкиваются в пространстве блокчейна. Кроме того, отчет предоставляет ценную информацию о мерах безопасности и тенденциях развития отрасли, помогая читателям принимать обоснованные решения и действовать в этой новой области. Безопасность и регулирование блокчейна являются ключевыми вопросами в развитии эпохи Web3. Благодаря углубленным исследованиям и обсуждениям мы можем лучше понять и решить эти проблемы, способствуя безопасности и устойчивому развитию технологии блокчейн.
1. Обзор ландшафта безопасности блокчейна Web3 2024
По данным мониторинга платформы Alert компании по проверке безопасности Beosin, общие потери в пространстве Web3 в 2024 году от хакерских атак, фишинговых мошенничеств и руг пулов от команд проектов составили 2,513 миллиарда долларов. Среди них было 131 серьезных инцидента атак, причинивших ущерб примерно на 1,792 миллиарда долларов; 68 случаев руг пулов от команд проектов с общим ущербом около 148 миллионов долларов; а фишинговые мошенничества привели к общим потерям примерно 574 миллиона долларов.
В 2024 году количество хакерских атак и фишинговых мошенничеств значительно возросло по сравнению с 2023 годом, при этом фишинговые мошенничества выросли на 140,66%. Убытки от случаев вывода ликвидности проектными командами значительно снизились, сократившись на примерно 61,94%.
В 2024 году к типам проектов, пострадавших от атак, относились DeFi, CEX, DEX, публичные цепи, мосты межцепочной связи, кошельки, платформы платежей, платформы азартных игр, криптоброкеры, инфраструктура, менеджеры паролей, инструменты разработки, боты MEV, боты TG и другие. Наиболее часто атакованным типом проекта был DeFi, с 75 атаками на DeFi, приведшими к общим потерям около $390 млн. У CEX была самая высокая общая сумма убытков, с 10 атаками на CEX, приведшими к потерям примерно $724 млн.
В 2024 году произошли атаки на различные типы публичных цепей, при этом произошло несколько случаев нарушения безопасности, связанных с кражей на разных цепях. Эфириум остался публичной цепью с наибольшим объемом потерь, с 66 атаками на Эфириум, в результате которых были потери около 844 миллионов долларов, что составляет 33,57% от общих потерь за год.
С точки зрения методов атаки, 35 инцидентов утечки приватных ключей привели к потерям в размере около 1,306 миллиардов долларов, что составляет 51,96% от общих потерь и делает его наиболее разрушительным методом атаки.
Эксплуатация уязвимостей контрактов была самым частым методом атаки, причем 76 из 131 атак произошли из уязвимостей контрактов, составляя 58,02% от общего количества инцидентов.
Было восстановлено примерно 531 миллионов долларов украденных средств, что составляет около 21,13%. Около 109 миллионов долларов украденных средств были переведены на смешиватели, что составляет около 4,34% от общей суммы украденных средств, что является снижением примерно на 66,97% по сравнению с 2023 годом.
2. Топ-10 инцидентов безопасности Web3 в 2024 году
В 2024 году произошло 5 крупных инцидентов атак с убытками, превышающими 100 миллионов долларов: DMM Bitcoin (304 миллиона долларов), PlayDapp (290 миллионов долларов), WazirX (235 миллионов долларов), Gala Games (216 миллионов долларов) и кража Криса Ларсена (112 миллионов долларов). Общие убытки от 10 крупнейших случаев нарушения безопасности составили около 1,417 миллиарда долларов, что составляет около 79,07% от общих годовых убытков от атак.
No.1 DMM Биткоин
Потери: $304 миллиона
Метод атаки: утечка закрытого ключа
31 мая 2024 года японская криптовалютная биржа DMM Bitcoin была атакована, и было похищено биткоинов на сумму более 304 миллионов долларов. Хакеры разбросали похищенные средства по более чем 10 адресам в попытке их отмыть.
No.2 PlayDapp
Потеря: $290 миллионов
Метод атаки: утечка закрытого ключа
9 февраля 2024 года была атакована игровая платформа PlayDapp на блокчейне, в ходе которой хакеры создали 2 миллиарда токенов PLA на сумму $36.5 миллиона. После неудачных переговоров с PlayDapp 12 февраля хакеры создали еще 15.9 миллиарда токенов PLA на сумму $253.9 миллиона и отправили часть средств на биржу gate. Затем PlayDapp приостановила контракт PLA и перевела токены PLA в токены PDA.
No.3 WazirX
Сумма убытков: $235 миллионов
Метод атаки: сетевая атака и рыбалка
18 июля 2024 года был украден мультиподписной кошелек индийской криптовалютной биржи WazirX, что привело к потере более 235 миллионов долларов. Мультиподписной кошелек был смарт-контрактом Safe wallet. Атакующий обманул участников мультиподписи, чтобы они подписали транзакцию обновления, и через обновленный контракт перевел активы непосредственно из кошелька.
No.4 Gala Games
Сумма убытков: $216 миллионов
Метод атаки: уязвимость контроля доступа
20 мая 2024 года был скомпрометирован привилегированный адрес Gala Games. Злоумышленник использовал этот адрес для вызова функции монетизации и прямого выпуска 5 миллиардов токенов GALA стоимостью около 216 миллионов долларов, преобразовав выпущенные токены в ETH пакетами. Команда Gala Games затем использовала функцию черного списка, чтобы заблокировать хакера и вернуть убытки.
No.5 Крис Ларсен (сооснователь Ripple)
Сумма убытка: $112 миллионов
Метод атаки: утечка приватного ключа
31 января 2024 года сооснователь Ripple Крис Ларсен сообщил, что четыре его кошелька были взломаны, что привело к общим потерям около 112 миллионов долларов. Команда Binance успешно заморозила украденные токены XRP на сумму 4,2 миллиона долларов.
No.6 Munchables
Сумма убытков: $62.5 миллиона
Метод атаки: атака через социальную инженерию
26 марта 2024 года веб-платформа для игр Munchables на основе Blast была атакована, что привело к потере около 62,5 миллионов долларов. Проект был атакован, потому что в качестве разработчиков были привлечены хакеры из Северной Кореи. Все украденные средства в конечном итоге были возвращены хакерами.
No.7 BTCTurk
Сумма убытков: $55 миллионов
Метод атаки: утечка закрытого ключа
22 июня 2024 года турецкая криптовалютная биржа BTCTurk была атакована, что привело к потере около 55 миллионов долларов. Binance помогла заморозить более 5,3 миллионов украденных средств.
No.8 Radiant Capital
Сумма убытка: 53 миллиона долларов
Метод атаки: Утечка приватного ключа
17 октября 2024 года мультичейн протокол кредитования Radiant Capital был атакован. Злоумышленник незаконно получил разрешения от 3 владельцев мультиподписного кошелька Radiant Capital. Мультиподписной кошелек использовал модель валидации подписи 3/11, и злоумышленник использовал 3 частных ключа для оффлайн подписи. Затем злоумышленник инициировал ончейн-транзакцию для передачи владения контрактом Radiant Capital злонамеренному контракту под контролем злоумышленника, что привело к потере более 53 миллионов долларов.
No.9 Hedgey Finance
Сумма убытков: $44,7 миллиона
Метод атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подверглась нескольким атакам со стороны злоумышленника. Злоумышленник использовал уязвимость подтверждения токенов, чтобы украсть большое количество токенов из контракта ClaimCampaigns, включая токены стоимостью более 2,1 миллиона долларов, украденные с Ethereum и токены стоимостью около 42,6 миллионов долларов, украденные с Arbitrum.
No.10 BingX
Сумма убытка: $44.7 миллиона
Метод атаки: утечка закрытого ключа
19 сентября 2024 года горячий кошелек биржи BingX был атакован. Хотя BingX активировал аварийные меры, включая перевод активов и приостановку вывода, статистика Beosin показывает, что общий ущерб от аномального оттока активов с горячего кошелька составил 44,7 миллиона долларов. Украденные активы включали в себя несколько блокчейнов, включая Ethereum, BNB Chain, Tron, Polygon, Avalanche и Base.
3. Типы атакуемых проектов
В 2024 году типы атакованных проектов включали не только обычные типы, такие как DeFi, CEX, DEX, публичные цепочки и мосты между цепями, но также распространились на платформы платежей, платформы азартных игр, криптовалютные брокеры, инфраструктуру, менеджеры паролей, инструменты разработки, боты MEV, боты TG и различные другие типы проектов.
В 2024 году произошло 75 атак проектов DeFi, что делает его самым часто атакуемым типом проекта (около 50,70%). Общий ущерб от атак DeFi составил примерно 390 миллионов долларов, что составляет около 15,50% от общего ущерба и делает его четвертым по величине убытков типом проекта.
Тип проекта с наибольшими потерями был Централизованные биржи (CEX). Десять атак на Централизованные биржи привели к потерям около 724 миллионов долларов, что делает его типом проекта с наибольшей суммой потерь. В целом биржи были наиболее часто атакуемым типом проекта в 2024 году, и безопасность бирж остается самой большой проблемой в экосистеме Web3.
Второй по величине убыток произошел от личных кошельков, общая сумма убытков составила около 445 миллионов долларов. Двенадцать атак на крипто-китов, а также множество фишинговых и социально-инженерных атак на обычных пользователей, привели к росту общих убытков от личных кошельков на 464,72% по сравнению с 2023 годом, что делает безопасность личных кошельков второй по величине проблемой после безопасности бирж.
4. Сумма убытков по цепочке
По сравнению с 2023 годом, в 2024 году было атаковано более разнообразные типы общедоступных цепей. Пять самых больших потерь понесли Ethereum, Bitcoin, Arbitrum, Ripple и Blast.
Топ-6 цепей по количеству атакующих событий:
Ethereum, BNB Chain, Arbitrum, Others, Base и Solana.
Как и в 2023 году, Эфириум остался цепочкой с наибольшей суммой убытков. Шестьдесят шесть атак на Эфириум привели к убыткам примерно на 844 миллиона долларов, что составляет 33,59% от общей годовой потери.
Примечание: Данные об общих потерях не включают потери от рыбалки в сети и некоторые потери горячего кошелька Централизованных бирж криптовалют (CEX). Потери сети биткоинов заняли второе место, при одном инциденте безопасности была потеря в размере 238 миллионов долларов. Arbitrum занял третье место с общей потерей приблизительно в 114 миллионов долларов.
5. Анализ методов атаки
Методы атак в 2024 году были высоко диверсифицированы. Помимо распространенных атак на уязвимости контрактов были использованы несколько других методов, включая атаки на цепочку поставок, атаки на поставщиков услуг третьих сторон, атаки типа man-in-the-middle, атаки DNS и атаки на фронт-энд.
В 2024 году 35 инцидентов утечки приватного ключа вызвали общий убыток в размере 1,306 миллиарда долларов, что составляет 51,96% от общего убытка, что делает его самым разрушительным методом атаки. Среди заметных инцидентов утечки приватного ключа были: DMM Bitcoin (304 миллиона долларов), PlayDapp (290 миллионов долларов), сооснователь Ripple Крис Ларсен (112 миллионов долларов), BTCTurk (55 миллионов долларов), Radiant Capital (53 миллиона долларов), BingX (44,7 миллиона долларов) и DEXX (21 миллион долларов).
Эксплуатация уязвимостей контрактов была наиболее частым методом атаки. Из 131 инцидента атаки 76 были вызваны уязвимостями контрактов, что составляет 58,02% от общего числа. Общий ущерб от уязвимостей контрактов составил примерно 321 миллион долларов, занимая третье место по сумме убытков.
Что касается конкретных уязвимостей, то самые частые и наиболее убыточные инциденты были связаны с уязвимостями логики бизнеса. Около 53,95% убытков от уязвимостей контрактов были вызваны дефектами логики бизнеса, что привело к потере около 158 миллионов долларов.
6. Анализ типичных событий отмывания денег
6.1 Инцидент безопасности Polter Finance
Обзор мероприятия
17 ноября 2024 года служба мониторинга Beosin Alert обнаружила атаку на Polter Finance, протокол кредитования на цепи FTM. Атакующий использовал манипуляции ценой токена в проектном контракте для извлечения прибыли с помощью моментального кредита.
Анализ уязвимости и фонда
Контракт LendingPool (0xd47ae558623638f676c1e38dad71b53054f54273) был атакован. В качестве оракула использовался 0x6808b5ce79d44e89883c5393b487c4296abb69fe. Этот оракул использовал недавно развернутый контракт price-feed (0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe), который расчитывает цены на основе резервов токенов в контракте uniswapV2_pair (0xEc71), который является уязвимым для атак с помощью флэш-кредитов.
Атакующий использовал флеш-займ для искусственного увеличения цены токена $BOO и заимствовал другие криптоактивы. Украденные средства затем были конвертированы в токены FTM и перекреплены к ETH-цепочке, где хранились все средства. Ниже приведена схема движения средств на цепочках ARB и ETH.
20 ноября злоумышленник продолжил переводить более 2 625 ETH в Tornado Cash, как показано на следующей диаграмме:
6.2 Инцидент безопасности BitForex
Обзор мероприятия
23 февраля 2024 года известный исследователь блокчейна ZachXBT сообщил через свой аналитический инструмент, что горячий кошелек BitForex испытал отток в размере 56,5 миллиона долларов США, и платформа приостановила услуги вывода во время этого процесса.
Анализ фонда
Команда безопасности Beosin провела углубленное отслеживание и анализ инцидента BitForex с помощью Trace:
Ethereum
24 февраля 2024 года в 6:11 утра (UTC+8) BitForex начал переводить 40 771 USDT, 258 700 USDC, 148.01 ETH и 471 405 TRB на адрес Ethereum-выхода (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f).
9 августа выходной адрес передал все токены, кроме TRB, обратно на счет BitForex (0xcce7300829f49b8f2e4aee6123b12da64662a8b8).
С 9 по 10 ноября выходной адрес передал 355 000 TRB четырем различным адресам пользователей OKX через семь транзакций:
0x274c481bf400c2abfd2b5e648a0056ef34970b0a
0x45798ca76a589647acc21040c50562dcc33cf6bf
0x712d2fd67fe65510c5fad49d5a9181514d94183d
0xe8ec263ad9ee6947bf773837a2c86dff3a737bba
Затем адрес выхода перевел оставшиеся 116,414.93 TRB на промежуточный адрес (0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e), который затем был разделен на две транзакции и отправлен на два разных адреса пользователей Binance:
0x431c916ef45e660dae7cd7184e3226a72fa50c0c
0xe7b1fb77baaa3bba9326af2af3cd5857256519df
BNB Chain
24 февраля BitForex вывел 166 ETH, 46 905 USDT и 57 810 USDC на адрес BNB Chain (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f), где он по-прежнему находится.
Полигон
24 февраля BitForex вывел 99 000 MATIC, 20 300 USDT и 1 700 USDC на адрес цепи Polygon (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f).
Из 99 000 MATIC 8 000 были переведены на адрес 0xcce7300829f49b8f2e4aee6123b12da64662a8b8 9 августа, где они остаются, а остальные токены USDT и USDC также остаются.
TRON
24 февраля BitForex вывел 44 000 TRX и 657 698 USDT на адрес цепочки TRON (TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o).
9 августа все эти токены были возвращены на адрес пользователя BitForex (TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo).
Биткоин
С 24 февраля 16 адресов BitForex начали передачу общей суммы 5,7 BTC на адрес цепочки BTC (3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2).
9 августа 5,7 BTC были полностью переведены обратно на адрес BitForex (11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz).
Подводя итог, 24 февраля BitForex перевел 40 771 USDT, 258 700 USDC, 148,01 ETH и 471 405 TRB на цепочку Ethereum; 44 000 TRX и 657 698 USDT на цепочку TRON; 5,7 BTC на цепочку BTC; 166 ETH, 46 905 USDT и 57 810 USDC на цепочку BNB; и 99 000 MATIC, 20 300 USDT и 1 700 USDC на цепочку Polygon.
9 августа все токены на цепи BTC, цепи TRON и цепи Ethereum (за исключением TRB) были переведены обратно на BitForex. 9 и 10 ноября полные 471 405 TRB были переведены на четыре счета OKX и два счета Binance.
Таким образом, все токены на цепях ETH, TRON и BTC были переведены, а на BSC осталось 166 ETH, 46 905 USDT и 57 810 USDC, а на POL осталось 99 000 MATIC, 20 300 USDT и 1 700 USDC.
Адрес для депозита TRB прикреплен:
7. Анализ потока украденных средств
В 2024 году около 1,312 миллиарда долларов украденных средств осталось на адресах хакеров (включая средства, переведенные между цепями и разбросанные по нескольким адресам), что составляет 52,20% от общей суммы украденных средств. В сравнении с прошлым годом хакеры в этом году имеют больше склонности отмывать средства через несколько транзакций между цепями и распределить украденные активы по множеству адресов, а не прямо использовать миксеры. Увеличение количества адресов и сложности путей отмывания безусловно усложняет задачу для команд проектов и регулирующих органов в расследовании этих деятельностей.
Было восстановлено примерно 531 миллионов долларов похищенных средств, что составляет около 21,13%. В 2023 году сумма восстановленных средств составляла около 295 миллионов долларов.
В течение года около 109 миллионов долларов украденных средств были переведены в миксеры, что составляет примерно 4,34% от общей суммы украденных средств. После того как Управление по контролю за иностранными активами США наложило санкции на Tornado Cash в августе 2022 года, количество украденных средств, переведенных в Tornado Cash, значительно уменьшилось.
8. Анализ ситуации аудита проекта
Среди 131 инцидента атаки 42 инцидента связаны с проектами, которые не прошли аудит, 78 инцидентов связаны с проектами, которые были протестированы, а 11 инцидентов имеют неясный статус аудита.
Среди 42 проектов, которые не были проаудированы, 30 инцидентов (приблизительно 71,43%) были связаны с уязвимостями контрактов. Это указывает на то, что проекты без аудита более подвержены потенциальным рискам безопасности. В то же время среди 78 проаудированных проектов 49 инцидентов (приблизительно 62,82%) были связаны с уязвимостями контрактов. Это свидетельствует о том, что аудиты могут в некоторой степени повысить безопасность проекта.
Однако из-за отсутствия комплексных стандартов на рынке Web3 качество аудитов неравномерно, и результаты часто не соответствуют ожиданиям. Для эффективной защиты безопасности активов рекомендуется, чтобы проекты обращались к профессиональным компаниям по безопасности для проведения аудита перед запуском.
9. Анализ Rug Pull
В 2024 году платформа Beosin Alert отслеживала общее количество 68 крупных инцидентов Rug Pull в экосистеме Web3 на общую сумму приблизительно 148 миллионов долларов. Это представляет собой значительное снижение по сравнению с 388 миллионами долларов в 2023 году.
По стоимости среди 68 инцидентов Rug Pull у 9 проектов были убытки более $1 миллиона. Это были: Essence Finance ($20 миллионов), Shido Global ($2.4 миллиона), ETHTrustFund ($2.2 миллиона), Nexera ($1.8 миллиона), Grand Base ($1.7 миллиона), SAGA Token ($1.6 миллиона), OrdiZK ($1.4 миллиона), MangoFarmSOL ($1.29 миллиона) и RiskOnBlast ($1.25 миллиона). Общий убыток от этих 9 инцидентов составил $33.64 миллиона, что составляет 22.73% от общих убытков от всех инцидентов Rug Pull.
Проекты Rug Pull на Ethereum и BNB Chain составляют 82,35% от общего числа, с 24 случаями на Ethereum и 32 на BNB Chain. Кроме того, один случай в размере более 20 миллионов долларов произошел на Scroll. Другие публичные блокчейны, включая Polygon, BASE и Solana, также столкнулись с небольшим количеством событий Rug Pull.
10. 2024 Обзор ситуации с безопасностью блокчейна Web3
В 2024 году активность взломов on-chain и случаи Rug Pull в экосистеме Web3 значительно снизились по сравнению с 2023 годом. Однако объем убытков продолжал расти, и фишинговые атаки становились более распространенными. Самым распространенным методом атаки, приводящим к убыткам, оставался утечка закрытого ключа. Основные причины этого изменения включают:
После беспрепятственной хакерской деятельности в прошлом году весь экосистема Web3 больше сосредоточилась на безопасности в 2024 году. Были предприняты усилия со стороны команд проектов и компаний по безопасности в разных аспектах, таких как мониторинг в режиме реального времени на цепи, увеличенное внимание к проверкам безопасности и активное изучение прошлых уязвимостей контрактов. Это сделало задачу взломщикам сложнее по сравнению с прошлым годом похищать средства через уязвимости контрактов. Однако командам проектов все еще необходимо укрепить осознание управления приватными ключами и операционной безопасности.
С интеграцией крипто-рынка и традиционных рынков хакеры больше не ограничены в атаках на DeFi, межцепочечные мосты, биржи и т. д., а смещаются на нападения на платежные платформы, платформы азартных игр, крипто-брокеров, инфраструктуру, менеджеры паролей, инструменты разработки, боты MEV, боты TG и другие разнообразные цели.
В 2024-2025 годах, по мере того как криптовалютный рынок входит в бычий рынок и онлайн-фонды становятся более активными, это будет привлекать больше хакерских атак. Кроме того, региональное регулирование криптовалютных активов постепенно улучшается для борьбы с преступлениями, связанными с криптовалютными активами. При этой тенденции ожидается, что активность хакеров останется высокой в 2025 году, и мировые правоохранительные органы и регулирующие органы по-прежнему будут сталкиваться с серьезными вызовами.
Отказ от ответственности:
- Эта статья воспроизведена с [Анализ блокчейна Footprint]. Авторские права принадлежат оригинальному автору [Beosin, Footprint Analytics], если у вас есть возражения против перепечатки, пожалуйста, свяжитесь Команда Gate Learn, и команда обработает это как можно скорее в соответствии с соответствующими процедурами.
- Отказ от ответственности за обязательства: Взгляды и мнения, выраженные в этой статье, принадлежат только автору и не являются инвестиционным советом.
- Команда Gate Learn перевела статью на другие языки. Копирование, распространение или плагиат переведенных статей запрещено, если не указано иное.
Пригласить больше голосов
Статьи по теме
Что такое Tronscan и как Вы можете его использовать?
Что такое Neiro? Все, что вам нужно знать о NEIROETH
Что такое индикатор дельты кумулятивного объема (CVD)?
Ежегодный отчет о безопасности блокчейна Web3 для 2024 года
Предисловие
Этот исследовательский отчет инициирован Blockchain Security Alliance и совместно создан его членами Beosin и Footprint Analytics. Он направлен на всестороннее исследование глобального ландшафта безопасности блокчейна в 2024 году. Благодаря анализу и оценке текущего состояния безопасности блокчейна во всем мире, отчет раскроет проблемы и угрозы безопасности, с которыми сталкиваются сегодня, а также предложит решения и лучшие практики. С помощью этого отчета читатели получат более полное представление о динамической эволюции безопасности блокчейна Web3. Это поможет читателям оценить и решить проблемы безопасности, с которыми сталкиваются в пространстве блокчейна. Кроме того, отчет предоставляет ценную информацию о мерах безопасности и тенденциях развития отрасли, помогая читателям принимать обоснованные решения и действовать в этой новой области. Безопасность и регулирование блокчейна являются ключевыми вопросами в развитии эпохи Web3. Благодаря углубленным исследованиям и обсуждениям мы можем лучше понять и решить эти проблемы, способствуя безопасности и устойчивому развитию технологии блокчейн.
1. Обзор ландшафта безопасности блокчейна Web3 2024
По данным мониторинга платформы Alert компании по проверке безопасности Beosin, общие потери в пространстве Web3 в 2024 году от хакерских атак, фишинговых мошенничеств и руг пулов от команд проектов составили 2,513 миллиарда долларов. Среди них было 131 серьезных инцидента атак, причинивших ущерб примерно на 1,792 миллиарда долларов; 68 случаев руг пулов от команд проектов с общим ущербом около 148 миллионов долларов; а фишинговые мошенничества привели к общим потерям примерно 574 миллиона долларов.
В 2024 году количество хакерских атак и фишинговых мошенничеств значительно возросло по сравнению с 2023 годом, при этом фишинговые мошенничества выросли на 140,66%. Убытки от случаев вывода ликвидности проектными командами значительно снизились, сократившись на примерно 61,94%.
В 2024 году к типам проектов, пострадавших от атак, относились DeFi, CEX, DEX, публичные цепи, мосты межцепочной связи, кошельки, платформы платежей, платформы азартных игр, криптоброкеры, инфраструктура, менеджеры паролей, инструменты разработки, боты MEV, боты TG и другие. Наиболее часто атакованным типом проекта был DeFi, с 75 атаками на DeFi, приведшими к общим потерям около $390 млн. У CEX была самая высокая общая сумма убытков, с 10 атаками на CEX, приведшими к потерям примерно $724 млн.
В 2024 году произошли атаки на различные типы публичных цепей, при этом произошло несколько случаев нарушения безопасности, связанных с кражей на разных цепях. Эфириум остался публичной цепью с наибольшим объемом потерь, с 66 атаками на Эфириум, в результате которых были потери около 844 миллионов долларов, что составляет 33,57% от общих потерь за год.
С точки зрения методов атаки, 35 инцидентов утечки приватных ключей привели к потерям в размере около 1,306 миллиардов долларов, что составляет 51,96% от общих потерь и делает его наиболее разрушительным методом атаки.
Эксплуатация уязвимостей контрактов была самым частым методом атаки, причем 76 из 131 атак произошли из уязвимостей контрактов, составляя 58,02% от общего количества инцидентов.
Было восстановлено примерно 531 миллионов долларов украденных средств, что составляет около 21,13%. Около 109 миллионов долларов украденных средств были переведены на смешиватели, что составляет около 4,34% от общей суммы украденных средств, что является снижением примерно на 66,97% по сравнению с 2023 годом.
2. Топ-10 инцидентов безопасности Web3 в 2024 году
В 2024 году произошло 5 крупных инцидентов атак с убытками, превышающими 100 миллионов долларов: DMM Bitcoin (304 миллиона долларов), PlayDapp (290 миллионов долларов), WazirX (235 миллионов долларов), Gala Games (216 миллионов долларов) и кража Криса Ларсена (112 миллионов долларов). Общие убытки от 10 крупнейших случаев нарушения безопасности составили около 1,417 миллиарда долларов, что составляет около 79,07% от общих годовых убытков от атак.
No.1 DMM Биткоин
Потери: $304 миллиона
Метод атаки: утечка закрытого ключа
31 мая 2024 года японская криптовалютная биржа DMM Bitcoin была атакована, и было похищено биткоинов на сумму более 304 миллионов долларов. Хакеры разбросали похищенные средства по более чем 10 адресам в попытке их отмыть.
No.2 PlayDapp
Потеря: $290 миллионов
Метод атаки: утечка закрытого ключа
9 февраля 2024 года была атакована игровая платформа PlayDapp на блокчейне, в ходе которой хакеры создали 2 миллиарда токенов PLA на сумму $36.5 миллиона. После неудачных переговоров с PlayDapp 12 февраля хакеры создали еще 15.9 миллиарда токенов PLA на сумму $253.9 миллиона и отправили часть средств на биржу gate. Затем PlayDapp приостановила контракт PLA и перевела токены PLA в токены PDA.
No.3 WazirX
Сумма убытков: $235 миллионов
Метод атаки: сетевая атака и рыбалка
18 июля 2024 года был украден мультиподписной кошелек индийской криптовалютной биржи WazirX, что привело к потере более 235 миллионов долларов. Мультиподписной кошелек был смарт-контрактом Safe wallet. Атакующий обманул участников мультиподписи, чтобы они подписали транзакцию обновления, и через обновленный контракт перевел активы непосредственно из кошелька.
No.4 Gala Games
Сумма убытков: $216 миллионов
Метод атаки: уязвимость контроля доступа
20 мая 2024 года был скомпрометирован привилегированный адрес Gala Games. Злоумышленник использовал этот адрес для вызова функции монетизации и прямого выпуска 5 миллиардов токенов GALA стоимостью около 216 миллионов долларов, преобразовав выпущенные токены в ETH пакетами. Команда Gala Games затем использовала функцию черного списка, чтобы заблокировать хакера и вернуть убытки.
No.5 Крис Ларсен (сооснователь Ripple)
Сумма убытка: $112 миллионов
Метод атаки: утечка приватного ключа
31 января 2024 года сооснователь Ripple Крис Ларсен сообщил, что четыре его кошелька были взломаны, что привело к общим потерям около 112 миллионов долларов. Команда Binance успешно заморозила украденные токены XRP на сумму 4,2 миллиона долларов.
No.6 Munchables
Сумма убытков: $62.5 миллиона
Метод атаки: атака через социальную инженерию
26 марта 2024 года веб-платформа для игр Munchables на основе Blast была атакована, что привело к потере около 62,5 миллионов долларов. Проект был атакован, потому что в качестве разработчиков были привлечены хакеры из Северной Кореи. Все украденные средства в конечном итоге были возвращены хакерами.
No.7 BTCTurk
Сумма убытков: $55 миллионов
Метод атаки: утечка закрытого ключа
22 июня 2024 года турецкая криптовалютная биржа BTCTurk была атакована, что привело к потере около 55 миллионов долларов. Binance помогла заморозить более 5,3 миллионов украденных средств.
No.8 Radiant Capital
Сумма убытка: 53 миллиона долларов
Метод атаки: Утечка приватного ключа
17 октября 2024 года мультичейн протокол кредитования Radiant Capital был атакован. Злоумышленник незаконно получил разрешения от 3 владельцев мультиподписного кошелька Radiant Capital. Мультиподписной кошелек использовал модель валидации подписи 3/11, и злоумышленник использовал 3 частных ключа для оффлайн подписи. Затем злоумышленник инициировал ончейн-транзакцию для передачи владения контрактом Radiant Capital злонамеренному контракту под контролем злоумышленника, что привело к потере более 53 миллионов долларов.
No.9 Hedgey Finance
Сумма убытков: $44,7 миллиона
Метод атаки: Уязвимость контракта
19 апреля 2024 года Hedgey Finance подверглась нескольким атакам со стороны злоумышленника. Злоумышленник использовал уязвимость подтверждения токенов, чтобы украсть большое количество токенов из контракта ClaimCampaigns, включая токены стоимостью более 2,1 миллиона долларов, украденные с Ethereum и токены стоимостью около 42,6 миллионов долларов, украденные с Arbitrum.
No.10 BingX
Сумма убытка: $44.7 миллиона
Метод атаки: утечка закрытого ключа
19 сентября 2024 года горячий кошелек биржи BingX был атакован. Хотя BingX активировал аварийные меры, включая перевод активов и приостановку вывода, статистика Beosin показывает, что общий ущерб от аномального оттока активов с горячего кошелька составил 44,7 миллиона долларов. Украденные активы включали в себя несколько блокчейнов, включая Ethereum, BNB Chain, Tron, Polygon, Avalanche и Base.
3. Типы атакуемых проектов
В 2024 году типы атакованных проектов включали не только обычные типы, такие как DeFi, CEX, DEX, публичные цепочки и мосты между цепями, но также распространились на платформы платежей, платформы азартных игр, криптовалютные брокеры, инфраструктуру, менеджеры паролей, инструменты разработки, боты MEV, боты TG и различные другие типы проектов.
В 2024 году произошло 75 атак проектов DeFi, что делает его самым часто атакуемым типом проекта (около 50,70%). Общий ущерб от атак DeFi составил примерно 390 миллионов долларов, что составляет около 15,50% от общего ущерба и делает его четвертым по величине убытков типом проекта.
Тип проекта с наибольшими потерями был Централизованные биржи (CEX). Десять атак на Централизованные биржи привели к потерям около 724 миллионов долларов, что делает его типом проекта с наибольшей суммой потерь. В целом биржи были наиболее часто атакуемым типом проекта в 2024 году, и безопасность бирж остается самой большой проблемой в экосистеме Web3.
Второй по величине убыток произошел от личных кошельков, общая сумма убытков составила около 445 миллионов долларов. Двенадцать атак на крипто-китов, а также множество фишинговых и социально-инженерных атак на обычных пользователей, привели к росту общих убытков от личных кошельков на 464,72% по сравнению с 2023 годом, что делает безопасность личных кошельков второй по величине проблемой после безопасности бирж.
4. Сумма убытков по цепочке
По сравнению с 2023 годом, в 2024 году было атаковано более разнообразные типы общедоступных цепей. Пять самых больших потерь понесли Ethereum, Bitcoin, Arbitrum, Ripple и Blast.
Топ-6 цепей по количеству атакующих событий:
Ethereum, BNB Chain, Arbitrum, Others, Base и Solana.
Как и в 2023 году, Эфириум остался цепочкой с наибольшей суммой убытков. Шестьдесят шесть атак на Эфириум привели к убыткам примерно на 844 миллиона долларов, что составляет 33,59% от общей годовой потери.
Примечание: Данные об общих потерях не включают потери от рыбалки в сети и некоторые потери горячего кошелька Централизованных бирж криптовалют (CEX). Потери сети биткоинов заняли второе место, при одном инциденте безопасности была потеря в размере 238 миллионов долларов. Arbitrum занял третье место с общей потерей приблизительно в 114 миллионов долларов.
5. Анализ методов атаки
Методы атак в 2024 году были высоко диверсифицированы. Помимо распространенных атак на уязвимости контрактов были использованы несколько других методов, включая атаки на цепочку поставок, атаки на поставщиков услуг третьих сторон, атаки типа man-in-the-middle, атаки DNS и атаки на фронт-энд.
В 2024 году 35 инцидентов утечки приватного ключа вызвали общий убыток в размере 1,306 миллиарда долларов, что составляет 51,96% от общего убытка, что делает его самым разрушительным методом атаки. Среди заметных инцидентов утечки приватного ключа были: DMM Bitcoin (304 миллиона долларов), PlayDapp (290 миллионов долларов), сооснователь Ripple Крис Ларсен (112 миллионов долларов), BTCTurk (55 миллионов долларов), Radiant Capital (53 миллиона долларов), BingX (44,7 миллиона долларов) и DEXX (21 миллион долларов).
Эксплуатация уязвимостей контрактов была наиболее частым методом атаки. Из 131 инцидента атаки 76 были вызваны уязвимостями контрактов, что составляет 58,02% от общего числа. Общий ущерб от уязвимостей контрактов составил примерно 321 миллион долларов, занимая третье место по сумме убытков.
Что касается конкретных уязвимостей, то самые частые и наиболее убыточные инциденты были связаны с уязвимостями логики бизнеса. Около 53,95% убытков от уязвимостей контрактов были вызваны дефектами логики бизнеса, что привело к потере около 158 миллионов долларов.
6. Анализ типичных событий отмывания денег
6.1 Инцидент безопасности Polter Finance
Обзор мероприятия
17 ноября 2024 года служба мониторинга Beosin Alert обнаружила атаку на Polter Finance, протокол кредитования на цепи FTM. Атакующий использовал манипуляции ценой токена в проектном контракте для извлечения прибыли с помощью моментального кредита.
Анализ уязвимости и фонда
Контракт LendingPool (0xd47ae558623638f676c1e38dad71b53054f54273) был атакован. В качестве оракула использовался 0x6808b5ce79d44e89883c5393b487c4296abb69fe. Этот оракул использовал недавно развернутый контракт price-feed (0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe), который расчитывает цены на основе резервов токенов в контракте uniswapV2_pair (0xEc71), который является уязвимым для атак с помощью флэш-кредитов.
Атакующий использовал флеш-займ для искусственного увеличения цены токена $BOO и заимствовал другие криптоактивы. Украденные средства затем были конвертированы в токены FTM и перекреплены к ETH-цепочке, где хранились все средства. Ниже приведена схема движения средств на цепочках ARB и ETH.
20 ноября злоумышленник продолжил переводить более 2 625 ETH в Tornado Cash, как показано на следующей диаграмме:
6.2 Инцидент безопасности BitForex
Обзор мероприятия
23 февраля 2024 года известный исследователь блокчейна ZachXBT сообщил через свой аналитический инструмент, что горячий кошелек BitForex испытал отток в размере 56,5 миллиона долларов США, и платформа приостановила услуги вывода во время этого процесса.
Анализ фонда
Команда безопасности Beosin провела углубленное отслеживание и анализ инцидента BitForex с помощью Trace:
Ethereum
24 февраля 2024 года в 6:11 утра (UTC+8) BitForex начал переводить 40 771 USDT, 258 700 USDC, 148.01 ETH и 471 405 TRB на адрес Ethereum-выхода (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f).
9 августа выходной адрес передал все токены, кроме TRB, обратно на счет BitForex (0xcce7300829f49b8f2e4aee6123b12da64662a8b8).
С 9 по 10 ноября выходной адрес передал 355 000 TRB четырем различным адресам пользователей OKX через семь транзакций:
0x274c481bf400c2abfd2b5e648a0056ef34970b0a
0x45798ca76a589647acc21040c50562dcc33cf6bf
0x712d2fd67fe65510c5fad49d5a9181514d94183d
0xe8ec263ad9ee6947bf773837a2c86dff3a737bba
Затем адрес выхода перевел оставшиеся 116,414.93 TRB на промежуточный адрес (0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e), который затем был разделен на две транзакции и отправлен на два разных адреса пользователей Binance:
0x431c916ef45e660dae7cd7184e3226a72fa50c0c
0xe7b1fb77baaa3bba9326af2af3cd5857256519df
BNB Chain
24 февраля BitForex вывел 166 ETH, 46 905 USDT и 57 810 USDC на адрес BNB Chain (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f), где он по-прежнему находится.
Полигон
24 февраля BitForex вывел 99 000 MATIC, 20 300 USDT и 1 700 USDC на адрес цепи Polygon (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f).
Из 99 000 MATIC 8 000 были переведены на адрес 0xcce7300829f49b8f2e4aee6123b12da64662a8b8 9 августа, где они остаются, а остальные токены USDT и USDC также остаются.
TRON
24 февраля BitForex вывел 44 000 TRX и 657 698 USDT на адрес цепочки TRON (TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o).
9 августа все эти токены были возвращены на адрес пользователя BitForex (TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo).
Биткоин
С 24 февраля 16 адресов BitForex начали передачу общей суммы 5,7 BTC на адрес цепочки BTC (3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2).
9 августа 5,7 BTC были полностью переведены обратно на адрес BitForex (11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz).
Подводя итог, 24 февраля BitForex перевел 40 771 USDT, 258 700 USDC, 148,01 ETH и 471 405 TRB на цепочку Ethereum; 44 000 TRX и 657 698 USDT на цепочку TRON; 5,7 BTC на цепочку BTC; 166 ETH, 46 905 USDT и 57 810 USDC на цепочку BNB; и 99 000 MATIC, 20 300 USDT и 1 700 USDC на цепочку Polygon.
9 августа все токены на цепи BTC, цепи TRON и цепи Ethereum (за исключением TRB) были переведены обратно на BitForex. 9 и 10 ноября полные 471 405 TRB были переведены на четыре счета OKX и два счета Binance.
Таким образом, все токены на цепях ETH, TRON и BTC были переведены, а на BSC осталось 166 ETH, 46 905 USDT и 57 810 USDC, а на POL осталось 99 000 MATIC, 20 300 USDT и 1 700 USDC.
Адрес для депозита TRB прикреплен:
7. Анализ потока украденных средств
В 2024 году около 1,312 миллиарда долларов украденных средств осталось на адресах хакеров (включая средства, переведенные между цепями и разбросанные по нескольким адресам), что составляет 52,20% от общей суммы украденных средств. В сравнении с прошлым годом хакеры в этом году имеют больше склонности отмывать средства через несколько транзакций между цепями и распределить украденные активы по множеству адресов, а не прямо использовать миксеры. Увеличение количества адресов и сложности путей отмывания безусловно усложняет задачу для команд проектов и регулирующих органов в расследовании этих деятельностей.
Было восстановлено примерно 531 миллионов долларов похищенных средств, что составляет около 21,13%. В 2023 году сумма восстановленных средств составляла около 295 миллионов долларов.
В течение года около 109 миллионов долларов украденных средств были переведены в миксеры, что составляет примерно 4,34% от общей суммы украденных средств. После того как Управление по контролю за иностранными активами США наложило санкции на Tornado Cash в августе 2022 года, количество украденных средств, переведенных в Tornado Cash, значительно уменьшилось.
8. Анализ ситуации аудита проекта
Среди 131 инцидента атаки 42 инцидента связаны с проектами, которые не прошли аудит, 78 инцидентов связаны с проектами, которые были протестированы, а 11 инцидентов имеют неясный статус аудита.
Среди 42 проектов, которые не были проаудированы, 30 инцидентов (приблизительно 71,43%) были связаны с уязвимостями контрактов. Это указывает на то, что проекты без аудита более подвержены потенциальным рискам безопасности. В то же время среди 78 проаудированных проектов 49 инцидентов (приблизительно 62,82%) были связаны с уязвимостями контрактов. Это свидетельствует о том, что аудиты могут в некоторой степени повысить безопасность проекта.
Однако из-за отсутствия комплексных стандартов на рынке Web3 качество аудитов неравномерно, и результаты часто не соответствуют ожиданиям. Для эффективной защиты безопасности активов рекомендуется, чтобы проекты обращались к профессиональным компаниям по безопасности для проведения аудита перед запуском.
9. Анализ Rug Pull
В 2024 году платформа Beosin Alert отслеживала общее количество 68 крупных инцидентов Rug Pull в экосистеме Web3 на общую сумму приблизительно 148 миллионов долларов. Это представляет собой значительное снижение по сравнению с 388 миллионами долларов в 2023 году.
По стоимости среди 68 инцидентов Rug Pull у 9 проектов были убытки более $1 миллиона. Это были: Essence Finance ($20 миллионов), Shido Global ($2.4 миллиона), ETHTrustFund ($2.2 миллиона), Nexera ($1.8 миллиона), Grand Base ($1.7 миллиона), SAGA Token ($1.6 миллиона), OrdiZK ($1.4 миллиона), MangoFarmSOL ($1.29 миллиона) и RiskOnBlast ($1.25 миллиона). Общий убыток от этих 9 инцидентов составил $33.64 миллиона, что составляет 22.73% от общих убытков от всех инцидентов Rug Pull.
Проекты Rug Pull на Ethereum и BNB Chain составляют 82,35% от общего числа, с 24 случаями на Ethereum и 32 на BNB Chain. Кроме того, один случай в размере более 20 миллионов долларов произошел на Scroll. Другие публичные блокчейны, включая Polygon, BASE и Solana, также столкнулись с небольшим количеством событий Rug Pull.
10. 2024 Обзор ситуации с безопасностью блокчейна Web3
В 2024 году активность взломов on-chain и случаи Rug Pull в экосистеме Web3 значительно снизились по сравнению с 2023 годом. Однако объем убытков продолжал расти, и фишинговые атаки становились более распространенными. Самым распространенным методом атаки, приводящим к убыткам, оставался утечка закрытого ключа. Основные причины этого изменения включают:
После беспрепятственной хакерской деятельности в прошлом году весь экосистема Web3 больше сосредоточилась на безопасности в 2024 году. Были предприняты усилия со стороны команд проектов и компаний по безопасности в разных аспектах, таких как мониторинг в режиме реального времени на цепи, увеличенное внимание к проверкам безопасности и активное изучение прошлых уязвимостей контрактов. Это сделало задачу взломщикам сложнее по сравнению с прошлым годом похищать средства через уязвимости контрактов. Однако командам проектов все еще необходимо укрепить осознание управления приватными ключами и операционной безопасности.
С интеграцией крипто-рынка и традиционных рынков хакеры больше не ограничены в атаках на DeFi, межцепочечные мосты, биржи и т. д., а смещаются на нападения на платежные платформы, платформы азартных игр, крипто-брокеров, инфраструктуру, менеджеры паролей, инструменты разработки, боты MEV, боты TG и другие разнообразные цели.
В 2024-2025 годах, по мере того как криптовалютный рынок входит в бычий рынок и онлайн-фонды становятся более активными, это будет привлекать больше хакерских атак. Кроме того, региональное регулирование криптовалютных активов постепенно улучшается для борьбы с преступлениями, связанными с криптовалютными активами. При этой тенденции ожидается, что активность хакеров останется высокой в 2025 году, и мировые правоохранительные органы и регулирующие органы по-прежнему будут сталкиваться с серьезными вызовами.
Отказ от ответственности:
- Эта статья воспроизведена с [Анализ блокчейна Footprint]. Авторские права принадлежат оригинальному автору [Beosin, Footprint Analytics], если у вас есть возражения против перепечатки, пожалуйста, свяжитесь Команда Gate Learn, и команда обработает это как можно скорее в соответствии с соответствующими процедурами.
- Отказ от ответственности за обязательства: Взгляды и мнения, выраженные в этой статье, принадлежат только автору и не являются инвестиционным советом.
- Команда Gate Learn перевела статью на другие языки. Копирование, распространение или плагиат переведенных статей запрещено, если не указано иное.
Статьи по теме
Что такое Tronscan и как Вы можете его использовать?
Что такое Neiro? Все, что вам нужно знать о NEIROETH