Згідно з останнім звітом з безпеки промисловості Web3 від Gate Research, у грудні сталося загалом 27 випадків порушення безпеки, що призвели до збитків у розмірі приблизно 4,11 мільйона доларів. Типи випадків були різноманітними, з вразливостями контрактів залишаються основною загрозою, що становить 72% від загальних збитків. Звіт також надає детальний аналіз ключових подій з безпеки, включаючи вразливість FEG, вразливість контракту Clober, вразливість контракту Clipper DEX та атаку флеш-кредиту HarryPotterObamaSonic10Inu. Вразливості контрактів та взломи облікових записів були визначені як основні ризики безпеки протягом місяця, що підкреслює постійну потребу промисловості у посиленні своїх заходів безпеки.

Основні висновки

• У грудні 2024 року в індустрії Web3 сталося 27 випадків порушення безпеки, в результаті чого збитки становили приблизно 4,11 мільйона доларів, що є значним зниженням порівняно з попереднім місяцем.
• Цього місяця безпекові інциденти переважно стосувалися вразливостей контрактів та взлому облікових записів.
• Уразливості контракту залишаються серйозною загрозою, що становить 72% від загальних втрат у випадках порушення безпеки в криптовалютній індустрії.
• Більшість збитків сталася на основних блокчейнах, включаючи BSC, Ethereum, Cardano та Base.
• Ключові події цього місяця включали вразливість безпеки FEG (втрата $1 мільйон), вразливість контракту Clober (втрата $500,000), вразливість контракту Vestra DAO (втрата $500,000), взлом облікового запису Moonhacker (втрата $320,000) та атаку на флеш-кредит HarryPotterObamaSonic10Inu (втрата $243,000).

Огляд інцидентів з безпеки

Згідно з даними Slowmist, у грудні 2024 року загалом сталося 27 хакерських інцидентів, що призвело до збитків у розмірі 4,11 мільйона доларів. Атаки в основному стосувалися вразливостей контрактів, злому облікових записів та інших методів. Порівняно з листопадом як кількість інцидентів, так і загальні втрати значно знизилися, що свідчить про покращення заходів безпеки та обізнаності в галузі. Вразливості контрактів залишаються основною причиною атак: дев'ять інцидентів принесли збитки на суму понад 2,98 мільйона доларів, або 72% від загальної кількості. Офіційні облікові записи X і сайти криптовалютних проектів продовжують залишатися основними цілями хакерів [1].

Розподіл випадків порушень безпеки на публічних блокчейнах цього місяця показує, що більшість втрат сконцентровані на кількох зрілих і популярних блокчейнах, зокрема Ethereum та Base, з втратами відповідно в $2.01 млн і $950,000. Це підкреслює, що, незважаючи на міцний фундаментальний рівень безпеки публічних блокчейнів, вразливості в програмному рівні та розумних контрактах все ще становлять значні ризики для коштів користувачів.

Кілька блокчейн-проектів зазнали серйозних інцидентів у цьому місяці, що призвело до значних фінансових втрат. Серед помітних інцидентів варто відзначити вразливість безпеки FEG, яка призвела до втрати 1 мільйона доларів; вразливість контракту Clober, яка призвела до втрати 500 000 доларів; вразливість контракту Vestra DAO, що призвела до втрати 500 000 доларів; та вразливість контракту Clipper DEX, яка призвела до втрати 457 000 доларів.

Великі інциденти безпеки в грудні

Згідно з офіційними відомостями, у грудні зазначені проекти зазнали втрат, що перевищують 3,22 мільйона доларів. Ці події підкреслюють, що вразливості контрактів продовжують становити значну загрозу.

• Злочинці використали вразливість у розумному контракті, який використовує Clipper, маніпулюючи функцією депозиту / вилучення одного активу. Ця операція вплинула на ліквідні пули на мережах Optimism та Base, спричинивши дисбаланс у активах пулу та дозволяючи злочинцям зняти більше, ніж їхній депонований обсяг. Атака призвела до втрати приблизно 457,878 доларів.
• Vestra DAO у своєму твіттері повідомила, що хакер використав вразливість у контракті зі замокнутим стейкінгом, маніпулюючи механізмом нагород, щоб отримати надмірні винагороди, які перевищували те, що було належне. Інцидент призвів до крадіжки 73 720 000 токенів VSTR. Украдені токени поступово продавалися на Uniswap, що призвело до втрати ліквідності на суму близько 500 000 доларів у ETH. Щоб захистити токеноміку VSTR та стабільність проекту, залишених 755 631 188 токенів VSTR були остаточно вилучені з обігу.
• Ліквідний сховище на Clober DEX, побудоване на Base Network, було атаковане, що призвело до втрати 133,7 ETH (приблизно $ 501,000). Команда також запропонувала 20% викрадених коштів як винагороду за виявлення вразливості, сподіваючись відновити решту активів. Однак переговори не досягли консенсусу.
• HarryPotterObamaSonic10Inu був цільовим об'єктом нападу на флеш-кредит на Ethereum, який включав в себе серію експлуатаційних угод, спрямованих на пул ліквідності токена HarryPotterObamaSonic10Inu 2.0. Атакувальник заробив близько 243 000 доларів і вніс кошти в Tornado Cash.
• Проект FEG став жертвою атаки на безпеку, що призвела до втрат близько 1 мільйона доларів. Аналіз показує, що кореневою причиною була проблема композиції при інтеграції з підлеглим містом крос-чейн-мостом Wormhole, який використовується для крос-чейн-повідомлень та переказів токенів. Команда призупинила всі транзакції FEG на централізованих біржах, а протокол SmartDeFi також був призупинений.

Clipper Dex

Огляд проекту: Кліппер - децентралізована біржа (DEX), призначена для надання найкращих курсів для малих трейдерів криптовалют (менше 10 000 доларів США). Вона досягає цього, обмежуючи ліквідність та зменшуючи незначну втрату.

Огляд інциденту: Згідно з аналітичним звітом, опублікованим Clipper, 1 грудня 2024 року, зловмисники скористалися вразливістю в розумному контракті, використовуваному Clipper, маніпулюючи функцією депозиту/виведення одного активу. Ця операція вплинула на ліквідні пулы на мережах Optimism та Base, спричинивши дисбаланс у активах пулу та дозволяючи зловмисникам вивести більше активів, ніж вони внесли. Атака призвела до втрати приблизно 457 878 доларів.

Протягом кількох годин AdmiralDAO запустив план надзвичайної реагування, швидко прийнявши заходи щодо захисту залишених коштів в протоколі та зупинки атаки. Після реагування жодні додаткові кошти не постраждали[2].

Рекомендації після інциденту:

• Розширити перевірки незмінності: реалізувати перевірку на ланцюжку, щоб забезпечити, що незмінність пулу залишається стійкою під час вилучення одної активи, подібно до перевірок, які Clipper застосовує в останній версії свого контракту для обміну.
• Розширити перевірку цін Oracle: Інтегруйте on-chain цінові оракули в перевірку вартості активів для депозитів та виведення коштів, так само як Clipper виконує це в останній версії свого контракту для обміну.
• Розгляньте короткострокове блокування депозитів: Якщо нові депозити підлягають блокуванню на період, що перевищує час дії підпису депозиту (наприклад, кілька хвилин), такий атака була б неможлива.

Vestra DAO

Огляд проєкту: VSTR — це токен, розроблений NFT-спільнотою «CMLE» (Crypto Monster Limited Edition), який пропонує напівдецентралізовані гібридні послуги Web2+Web3. Він працює як проєкт децентралізованої автономної організації (DAO), надаючи DeFi-рішення.

Огляд інциденту: 4 грудня 2024 року Vestra DAO написала у Твіттері, що хакер скористався вразливістю в заблокованому контракті стейкінгу, маніпулюючи механізмом винагороди, щоб отримати надмірну винагороду понад належну. Інцидент призвів до крадіжки загалом 73 720 000 токенів VSTR. Вкрадені токени були поступово продані на Uniswap, що призвело до втрати близько $500 000 ліквідності ETH.

Команда швидко виявила проблему та вжила негайних заходів, заблокувавши контракти з блокуванням стейкінгу, тим самим вимкнувши подальші взаємодії з цими контрактами. В результаті з пулу стейкінгу вилучено з обігу 755 631 188 токенів VSTR, а кошти з цих контрактів більше не можуть бути зняті. 6 грудня команда оголосила, що для захисту токеноміки VSTR та стабільності проекту, залишившихся 755 631 188 токенів VSTR буде назавжди вилучено з обігу[3].

Рекомендації після інциденту:

• Проводьте комплексні аудити безпеки та оптимізацію контрактів
  Найміть надійну аудиторську фірму третьої сторони, щоб ретельно переглянути всі розумні контракти, особливо контракти стейкінгу та заблоковані контракти. Увага повинна бути спрямована на управління дозволами, обробку граничних умов та безпеку логіки коду. Після аудиту код контракту повинен бути оптимізований на основі рекомендацій, а звіт про аудит повинен бути оприлюднений для підвищення прозорості та довіри користувачів.

• Розгорнення багаторівневих механізмів захисту та моніторингу в реальному часі

• Впровадити функціональність таймлока: Введення затримок у часі для ключових операцій, щоб забезпечити достатній час для призупинення операцій або втручання в разі виникнення аномалії.
• Запровадьте системи моніторингу та оповіщення в режимі реального часу: використовуйте аналіз даних у ланцюжку, щоб виявляти аномальну торгову поведінку або взаємодію з контрактами в режимі реального часу, а також впроваджуйте системи сповіщень для сповіщення про підозрілу активність, мінімізуючи потенційні втрати, спричинені вразливостями.

Clober DEX

Огляд проекту: Clober - це повністю влаштована на ланцюжку біржа DEX, яка дозволяє виконувати замовлення на ланцюжку та розрахунки на децентралізованих платформах з розумними контрактами. З Clober учасники ринку можуть розміщувати лімітні та ринкові замовлення, повністю децентралізовані та безпечні за прийнятну вартість.

Огляд інциденту:
10 грудня 2024 року ліквідний сховище Clober DEX на Base Network було атаковано, що призвело до втрати 133,7 ETH (приблизно 501 000 доларів). Кореневою причиною атаки була уразливість рекурсивного виклику в функції _burn() в контракті Rebalancer.

Команда запропонувала 20% викрадених коштів як винагороду за виявлення уразливості безпеки, за умови, що решта активів може бути повернена. Крім того, команда запевнила, що будь-яких правових заходів не буде прийнято, якщо нападник співпрацюватиме. 31 грудня 2024 року команда заявила, що переговори не досягли консенсусу, і нападник перемістив викрадені активи в Tornado Cash. Команда співпрацює з правоохоронними органами для виявлення походження нападника[4].

Рекомендації після інциденту:

• Покращена безпека розумних контрактів: Команді проекту необхідно посилити перевірку безпеки розумних контрактів. Весь код повинен пройти суворі аудити перед розгортанням, з регулярними скануваннями на вразливості для зменшення ризику атак.
• Стратегії ефективного управління фондами: Впровадження гаманців з багатоцифровим підписом та систем зберігання фондів з рівними шарами, щоб запобігти надмірній концентрації активів в одному контракті, тим самим зменшуючи можливі збитки в разі атаки.
• Співпраця з організаціями безпеки: Швидка співпраця з командами безпеки блокчейну та правоохоронними органами може ефективно контролювати шкоду і прискорити відновлення активів після інциденту.

ГарріПоттерОбамаСонік10Іну

Огляд проекту: HarryPotterObamaSonic10Inu - це остаточна форма криптоактивів. Заохочуючи створення нової та веселої мемногої контенту, проект надихається BITCOIN. З відмовою від власності та блокуванням ліквідності, ростуча спільнота бере лідерство. Заохочуючись легендарним мемом Bitcoin, проект розробляє унікальний веб-сайт, ексклюзивний товар та електронну комерційну платформу. Мета полягає в створенні екосистеми, де активні члени спільноти можуть взаємодіяти та співпрацювати.

Огляд події:
18 грудня 2024 року на Ethereum мережі відбулася серія експлуатаційних транзакцій, спрямованих на ліквідність пулу токена HarryPotterObamaSonic10Inu 2.0. Атакувальник заробив приблизно 243 000 доларів і перевів кошти в Tornado Cash.

Протягом наступних чотирьох днів ціна токена відчула значне зниження на близько -33,42%, причому його капіталізація впала з $245 мільйонів до $168 мільйонів[5].

Рекомендації після інциденту:

• Покращити аудити безпеки та оптимізацію смарт-контрактів
  Залучити сторонню професійну організацію для проведення комплексної аудиту безпеки існуючих розумних контрактів, з фокусом на логіці ліквідності пулу та контролі доступу. Вразливості повинні бути виправлені, а код контракту повинен бути оптимізований. Механізми, такі як time-locks та обмеження швидкості, слід додати, щоб запобігти зловживанням протягом короткого часу.

• Інтегрувати цінові оракули на ланцюгу
  Інтегруйте надійні оракули на ланцюжку, щоб перевірити ціни активів під час операцій з депозитами та виведенням коштів, забезпечуючи відповідність операцій фактичним ринковим вартостям та запобігаючи маніпуляціям з коштами шляхом маніпулювання цінами.

• Збільшення прозорості та довіри спільноти
  Опублікуйте результати розслідування інциденту та план компенсації, забезпечуючи прозорість інформації та побудову довіри в спільноті користувачів.

FEG

Токен FEG - це дефляційний токен управління в екосистемі FEG, яка включає децентралізовану біржу та механізми передбачення пасивного доходу. Його метою є перетворення моделі функціонування децентралізованих торговельних мереж. Токен доступний як на Ethereum, так і на мережах Binance Smart Chain.

Огляд інциденту:
29 грудня 2024 року проєкт FEG зазнав атаки вразливостей безпеки, що призвело до збитків у розмірі приблизно 1 мільйона доларів США. Першопричиною інциденту, схоже, є проблема компонування, пов'язана з інтеграцією базового кросчейн-мосту Wormhole, який полегшує крос-чейн обмін повідомленнями та перекази токенів. Пізніше Wormhole Foundation уточнив, що в протоколі Wormhole не було виявлено жодних проблем, і атака не була пов'язана з Wormhole.

Після інциденту команда призупинила всі трансакції FEG на централізованих біржах та розпочала всебічне розслідування. Хоча код контракту SmartDeFi не був безпосередньо пошкоджений, протокол SmartDeFi також був призупинений як запобіжний захід. Однак, всі проекти на протоколі залишаються безпечними до цього часу [6].

Рекомендації після інциденту:

• Проведіть комплексний аудит безпеки: Залучіть сторонню професійну організацію для проведення ретельного аудиту безпеки смарт-контрактів і коду платформи, зосереджуючись на контролі доступу, логічних недоліках і вразливостях коду. На основі результатів аудиту оперативно усувайте та усувайте будь-які виявлені проблеми, а також оприлюднюйте аудиторський звіт, щоб підвищити довіру користувачів.
• Встановити Програму виявлення вразливостей і винагород: Запустити постійну програму винагороди за помилки, щоб спонукати вчених з безпеки та етичних хакерів виявляти й повідомляти про потенційні вразливості. Це допоможе швидко вирішувати вразливості для зменшення майбутніх ризиків безпеки.
• Покращення механізмів захисту активів та компенсації користувачів: розробка багаторівневих систем захисту активів, таких як моніторинг в реальному часі неправильних транзакцій, впровадження функцій блокування часу та використання гаманців з багато-підписом. Для постраждалих користувачів встановити справедливий і прозорий план компенсації для відновлення довіри користувачів та мінімізації фінансових втрат.

Висновок

У грудні 2024 року на кілька проектів DeFi були націлені уразливості безпеки, що призвело до втрати мільйонів доларів активів. Ці події включали атаку на криптовалютний сховище Clober DEX, крос-ланцюжкову експлуатацію, спричинену інтеграцією FEG з Wormhole, уразливість стейкінгу в Vestra DAO, маніпуляцію функцією зняття одного активу від Clipper DEX та атаку з флеш-кредиту на HarryPotterObamaSonic10Inu. Ці події підкреслили критичні ризики в безпеці смарт-контрактів, композабельності протоколів крос-ланцюжкових транзакцій та управління пулами ліквідності. Галузі терміново потрібно посилити аудити смарт-контрактів, впровадити моніторинг в режимі реального часу та впровадити багаторівневі механізми захисту для покращення безпеки платформи та довіри користувачів. Gate.io нагадує користувачам слідкувати за оновленнями в галузі безпеки, обирати надійні платформи та посилювати захист особистих активів.


Reference:

1. Slowmist,https://hacked.slowmist.io/zh/statistics
2. Кліпер,https://blog.clipper.exchange/clipper-dec-24-exploit-post-mortem/
3. X,https://x.com/Vestra_DAO/status/1864677381459390781
4. X,https://x.com/CloberDEX/status/1874039225001377816
5. Gate.io,https://www.gate.io/zh-tw/post/status/8242569
6. X,https://x.com/FEGtoken/status/1873265905867866294

Дослідження Gate
Дослідження Gate - це всеосяжна платформа для досліджень блокчейну та криптовалют, яка надає читачам глибокий контент, включаючи технічний аналіз, гарячі висновки, огляд ринку, дослідження галузі, прогнози тенденцій та аналіз макроекономічної політики.

Натисніть Посиланнядізнатися більше

Відмова від відповідальності
Інвестування на ринку криптовалют пов'язано з високим ризиком, тому рекомендується користувачам проводити незалежне дослідження й повністю розуміти природу активів та продуктів, які вони покупкаперед прийняттям будь-яких інвестиційних рішень.Gate.io не несе відповідальності за будь-які збитки або шкоду, спричинені такими інвестиційними рішеннями.