Щорічний звіт про стан безпеки блокчейна Web3 2024

Початківець1/15/2025, 12:08:45 PM
Детальний аналіз безпеки блокчейну Web3 на 2024 рік, що охоплює такі великі інциденти, як взлом BitForex, події Rug Pull, тенденції відмивання коштів та стан аудитів проектів. Він досліджує зростаючі виклики безпеки, включаючи вплив міжланцюгового відмивання коштів, та пропонує висновки про те, як захищати цифрові активи в швидкозмінному екосистемі.

Передмова

Цей дослідницький звіт ініційований Blockchain Security Alliance і спільно створений його членами Beosin і Footprint Analytics. Він має на меті забезпечити всебічне дослідження глобального ландшафту безпеки блокчейну у 2024 році. Завдяки аналізу та оцінці поточного стану безпеки блокчейну в усьому світі, звіт розкриє виклики та загрози безпеці, з якими стикаються сьогодні, а також запропонує рішення та найкращі практики. Завдяки цьому звіту читачі отримають більш повне розуміння динамічної еволюції безпеки блокчейну Web3. Це допоможе читачам оцінити та вирішити проблеми безпеки, з якими стикаються в блокчейн-просторі. Крім того, звіт містить цінну інформацію про заходи безпеки та тенденції розвитку галузі, допомагаючи читачам приймати обґрунтовані рішення та дії в цій галузі, що розвивається. Безпека та регулювання блокчейну є ключовими питаннями розвитку ери Web3. Завдяки глибоким дослідженням та обговоренням ми можемо краще зрозуміти та вирішити ці проблеми, сприяючи безпеці та сталому розвитку технології блокчейн.

1. 2024 Огляд ландшафту безпеки Blockchain Web3

За даними моніторингу платформи Alert під компанією з аудиту безпеки Beosin, загальні втрати в просторі Web3 в 2024 році внаслідок хакерських атак, шахрайських обманів і різких вилучень командами проектів досягли 2,513 мільярди доларів. Зокрема, тут сталося 131 випадоків серйозних атак, що призвели до втрат приблизно 1,792 мільярда доларів; 68 випадків різких вилучень командами проектів, з загальними втратами приблизно 148 мільйонів доларів; і шахрайські обмани призвели до загальних втрат приблизно 574 мільйонів доларів.

У 2024 році як хакерські атаки, так і фішингові шахрайства значно зросли порівняно з 2023 роком: фішингові шахрайства зросли на 140,66%. Втрати від інцидентів з перетягуванням килима проектними командами помітно зменшилися, знизившись приблизно на 61,94%.

У 2024 році типи проєктів, які постраждали від атак, включали DeFi, CEX, DEX, публічні ланцюги, кросчейн-мости, гаманці, платіжні платформи, платформи для азартних ігор, криптоброкерів, інфраструктуру, менеджери паролів, інструменти розробки, MEV-боти, TG-боти та інші. DeFi був найбільш часто атакованим типом проєкту: 75 атак на DeFi завдали загальних збитків у розмірі близько 390 мільйонів доларів. Найвища загальна сума збитків була у CEX: 10 атак на CEX призвели до збитків у розмірі приблизно 724 мільйони доларів.

У 2024 році атаки сталися на більшій кількості типів громадських ланцюгів, і відбулося кілька випадків порушення безпеки з викраденням коштів на різних ланцюгах. Ethereum залишався громадським ланцюгом з найбільшими втратами, з 66 атак на Ethereum, що призвели до втрат приблизно 844 мільйонів доларів, що становить 33,57% від загальних втрат за рік.

З точки зору методів атаки, 35 випадків витоку приватних ключів призвели до втрат приблизно на $1,306 мільярда, що склало 51,96% від загальних втрат, що робить його найбільш шкідливим методом атаки.

Експлуатація вразливостей контракту була найбільш поширеним методом атаки, причому 76 з 131 нападів виникли внаслідок вразливостей контракту, що становить 58,02% від загальної кількості випадків.

Приблизно $531 мільйон вкрадених коштів було відновлено, що становить близько 21,13%. Близько $109 мільйонів украдених коштів було переведено в міксери, що становить близько 4,34% від загальної суми вкрадених коштів, зниження на приблизно 66,97% порівняно з 2023 роком.

2. Топ-10 випадків порушення безпеки Web3 в 2024 році

У 2024 році сталося 5 великих інцидентів атак зі збитками, що перевищують 100 мільйонів доларів: DMM Bitcoin (304 мільйони доларів), PlayDapp (290 мільйонів доларів), WazirX (235 мільйонів доларів), Gala Games (216 мільйонів доларів) і крадіжка Кріса Ларсена (112 мільйонів доларів). Загальні збитки від 10 найбільших інцидентів безпеки становлять приблизно 1,417 мільярда доларів, що становить приблизно 79,07% від загальних щорічних збитків від атак.

No.1 DMM Bitcoin

Втрата: $304 мільйони

Метод атаки: витік приватного ключа

31 травня 2024 року японська криптовалютна біржа DMM Bitcoin була атакована, і було викрадено понад 304 мільйони доларів у вартості Bitcoin. Хакери розподілили викрадені кошти по більш ніж 10 адресах у спробі відмити їх.

No2 PlayDapp

Втрата: $290 мільйонів

Спосіб атаки: витік приватного ключа

9 лютого 2024 року геймінгову платформу блокчейну PlayDapp атакували, хакери виготовили 2 мільярди токенів PLA на суму 36.5 мільйонів доларів. Після невдалих переговорів з PlayDapp, 12 лютого хакери виготовили ще 15.9 мільярдів токенів PLA на суму 253.9 мільйонів доларів і відправили частину коштів на біржу gate. Після цього PlayDapp призупинив контракт PLA та мігрував токени PLA у токени PDA.

No.3 WazirX

Сума збитку: $235 мільйонів

Метод атаки: мережева атака та рибальство

18 липня 2024 року з мультипідписного гаманця індійської криптовалютної біржі WazirX було викрадено, що призвело до збитків понад 235 мільйонів доларів. Мультипідписний гаманець був смарт-контрактом безпечного гаманця. Атакувальник обманув мультипідписних підписників на підписання транзакції оновлення, і через оновлений контракт переказав активи безпосередньо з гаманця.

No.4 Gala Games

Сума збитку: $216 мільйонів

Метод атаки: Вразливість доступу до контролю

20 травня 2024 року привілейована адреса Gala Games була скомпрометована. Атакувальник використовував цю адресу для виклику функції монети і безпосередньо ковтав 5 мільярдів токенів GALA на суму приблизно $216 мільйонів, перетворюючи сковтані токени на ETH партіями. Команда Gala Games потім використала функцію чорного списку, щоб заблокувати хакера та відновити збитки.

№5 Кріс Ларсен (співзасновник Ripple)

Сума збитку: $112 мільйонів

Метод атаки: витік особистого ключа

31 січня 2024 року співзасновник Ripple Кріс Ларсен повідомив, що чотири його гаманці були скомпрометовані, що призвело до загального збитку приблизно 112 мільйонів доларів. Команда Binance успішно заморозила вкрадені токени XRP на суму 4,2 мільйона доларів.

No.6 Munchables

Сума збитків: $62.5 мільйона

Метод атаки: атака соціальним інженерством

26 березня 2024 року було атаковано ігрову платформу Web3 Munchables на основі Blast, що призвело до втрати близько 62,5 мільйонів доларів. Проект був атакований через те, що використовував північнокорейських хакерів як розробників. Всі викрадені кошти врешті-решт були повернуті хакерами.

No.7 BTCTurk

Сума збитків: $55 мільйонів

Метод атаки: Витік приватного ключа

22 червня 2024 року турецька криптовалютна біржа BTCTurk була атакована, що призвело до втрати приблизно 55 мільйонів доларів. Binance допомогла заморозити понад 5,3 мільйона викрадених коштів.

No.8 Radiant Capital

Сума збитку: $53 мільйона

Метод атаки: Витік приватного ключа

17 жовтня 2024 року протокол мульти-ланцюжкового кредитування Radiant Capital був атакований. Зловмисник незаконно отримав дозволи 3 власників мультипідписного гаманця Radiant Capital. Мультипідписний гаманець використовував модель перевірки підпису 3/11, і зловмисник використовував 3 приватних ключі для офлайн-підпису. Після цього зловмисник ініціював он-чейн транзакцію для передачі власності контракту Radiant Capital до зловісного контракту під контролем зловмисника, що призвело до втрати понад 53 мільйонів доларів.

No9 Хеджі Фінанси

Сума збитків: $44.7 мільйона

Метод атаки: Вразливість контракту

19 квітня 2024 року Hedgey Finance було атаковано кілька разів зловмисником. Зловмисник використовував вразливість схвалення токена, щоб вкрасти велику кількість токенів з контракту ClaimCampaigns, включаючи токени на суму понад 2,1 мільйона доларів, вкрадені з ланцюжка Ethereum, та токени на суму близько 42,6 мільйона доларів, вкрадені з ланцюжка Arbitrum.

No.10 BingX

Сума збитку: $44.7 мільйона

Метод атаки: витік приватного ключа

У вересні 2024 року була атакована гаряча гаманці біржі BingX. Хоча BingX активувала надзвичайні заходи, включаючи переказ активів та призупинення виведення, статистика Beosin показує, що загальна втрата від аномальноговиливу активів з гарячого гаманця становила 44,7 мільйона доларів США. Викрадені активи включали декілька блокчейнів, включаючи Ethereum, BNB Chain, Tron, Polygon, Avalanche та Base.

3. Типи атакованих проектів

У 2024 році до атакованих проєктів увійшли не тільки загальні типи, такі як DeFi, CEX, DEX, публічні ланцюжки та містки між ланцюжками, а й розширилися на платформи платежів, азартні платформи, криптовалютні брокери, інфраструктуру, менеджери паролів, інструменти розробки, боти MEV, TG боти та різноманітні інші типи проєктів.

У 2024 році атаки на проекти DeFi сталися 75 разів, що робить його найчастіше атакованим типом проекту (приблизно 50,70%). Загальний збиток від атак DeFi становив приблизно 390 мільйонів доларів, що становить близько 15,50% від загальних збитків, роблячи його четвертим за обсягом збитків типом проекту.

Тип проекту з найвищими втратами був CEX (централізовані біржі). Десять атак на CEX призвели до втрат приблизно на $ 724 мільйони, що робить його типом проекту з найвищою сумою втрат. Загалом обмінники були найчастіше атакованим типом проекту в 2024 році, і безпека обміну залишається найбільшим викликом в екосистемі Web3.

Найбільші збитки відбулися через особисті гаманці, загальна втрата становила близько 445 мільйонів доларів. Дванадцять атак на криптовалютних валютних баланси, а також безліч фішингових та соціально-інженерних атак на звичайних користувачів, призвели до зростання загальних збитків від особистих гаманців на 464,72% порівняно з 2023 роком, роблячи безпеку особистих гаманців другим найбільшим викликом після безпеки обміну.

4. Сума втрати за ланцюгом

Порівняно з 2023 роком, типи публічних ланцюжків, які були атаковані в 2024 році, були більш різноманітними. П'ятірка ланцюжків за сумою втрат складала Ethereum, Bitcoin, Arbitrum, Ripple та Blast.

Шість найпопулярніших ланцюгів за кількістю подій атаки були:

Ethereum, BNB Chain, Arbitrum, Інші, База та Solana.

У 2023 році Ethereum залишався ланцюгом з найбільшим обсягом втрат. Шістдесят шість атак на Ethereum спричинили приблизно 844 мільйони доларів втрат, що становить 33,59% від загальної щорічної втрати.

Примітка: Загальні дані про збитки не включають втрати від шахрайства на ланцюжку та деякі втрати у гарячому гаманці CEX. Втрати мережі Bitcoin посіли друге місце, одне злочинне подія спричинило втрати у розмірі 238 мільйонів доларів США. Arbitrum посів третє місце, загальні втрати становили близько 114 мільйонів доларів США.

5. Аналіз методів атаки

Методи атак у 2024 році були дуже різноманітні. Крім звичайних атак на вразливості контрактів, було використано кілька інших методів, включаючи атаки на ланцюжок постачання, атаки на постачальників послуг третіх сторін, атаки людини посередині, атаки DNS та атаки на фронт-енд.

У 2024 році 35 випадків витоку особистого ключа призвели до загальної втрати в розмірі 1,306 мільярда доларів, що становить 51.96% від загальної втрати, що робить його найбільш руйнівним методом атаки. Серед помітних випадків витоку особистого ключа були: DMM Bitcoin (304 мільйони доларів), PlayDapp (290 мільйонів доларів), співзасновник Ripple Кріс Ларсен (112 мільйонів доларів), BTCTurk (55 мільйонів доларів), Radiant Capital (53 мільйони доларів), BingX (44.7 мільйонів доларів) і DEXX (21 мільйон доларів).

Використання вразливостей контракту було найпоширенішим методом атаки. З 131 випадків атак, 76 були через вразливості контракту, що складає 58,02% від загальної кількості. Загальний збиток від вразливостей контракту становив приблизно 321 мільйон доларів, що робить його третім за розміром збитку.

Щодо конкретних вразливостей, найчастіші та найбільш втратні інциденти сталися через вразливості логіки бізнесу. Приблизно 53,95% втрат від вразливостей контракту були спричинені дефектами логіки бізнесу, що призвело до втрати приблизно 158 мільйонів доларів.

6. Аналіз типових подій з перебуванням грошей

6.1 Полтер Фінанс Безпековий Інцидент

Огляд події

17 листопада 2024 року Beosin Alert виявив атаку на Polter Finance, протокол позики на ланцюгу FTM. Атакувальник маніпулював ціною токенів у проектному контракті для отримання прибутку за допомогою швидкого кредиту.

Аналіз вразливостей та фондів

Контракт LendingPool (0xd47ae558623638f676c1e38dad71b53054f54273), який був атакований, використовував 0x6808b5ce79d44e89883c5393b487c4296abb69fe як оракул. Цей оракул використовував недавно розгорнутий контракт price-feed (0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe), який обчислює ціни на основі резервів токенів у контракті uniswapV2_pair (0xEc71), контракт, який вразливий до атак на миттєві кредити.

Атакувальник використовував флеш-кредит, щоб штучно збільшити ціну токена $BOO та позичив інші криптовалюти. Вкрадені кошти потім були конвертовані в токени FTM та перехресно-зв'язані з ланцюжком ETH, де всі кошти були збережені. Нижче наведено діаграму потоку, що ілюструє рух коштів на ланцюжках ARB та ETH:

20 листопада нападник продовжив переказувати понад 2,625 ETH на Tornado Cash, як показано на діаграмі нижче:

6.2 Подія з безпекою BitForex

Огляд події

23 лютого 2024 року відомий дослідник блокчейну ЗаксХБТ повідомив за допомогою свого аналітичного інструменту, що гарячий гаманець BitForex зазнав витоку на суму 56,5 мільйона доларів, і платформа призупинила послуги з виведення коштів протягом цього процесу.

Аналіз фонду

Команда безпеки Beosin провела поглиблене відстеження та аналіз інциденту BitForex за допомогою Trace:

Ethereum

24 лютого 2024 року о 6:11 ранку (UTC+8) BitForex розпочав переказ 40 771 USDT, 258 700 USDC, 148.01 ETH та 471 405 TRB на адресу виходу з Ethereum (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f).

9 серпня вихідна адреса перекинула всі токени, крім TRB, назад на рахунок BitForex (0xcce7300829f49b8f2e4aee6123b12da64662a8b8).

З 9 по 10 листопада вихідна адреса через сім транзакцій переказала 355 000 TRB на чотири різні адреси користувачів OKX:

0x274c481bf400c2abfd2b5e648a0056ef34970b0a

0x45798ca76a589647acc21040c50562dcc33cf6bf

0x712d2fd67fe65510c5fad49d5a9181514d94183d

0xe8ec263ad9ee6947bf773837a2c86dff3a737bba

Пізніше адреса виходу перевела залишок 116 414,93 TRB на проміжну адресу (0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e), яка потім була розділена на дві транзакції та відправлена на дві різні адреси користувачів Binance:

0x431c916ef45e660dae7cd7184e3226a72fa50c0c

0xe7b1fb77baaa3bba9326af2af3cd5857256519df

BNB Chain

24 лютого BitForex вивела 166 ETH, 46 905 USDT і 57 810 USDC на адресу BNB Chain (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f), де вони залишаються.

Полігон

24 лютого BitForex вивів 99 000 MATIC, 20 300 USDT та 1 700 USDC на адресу ланцюжка Polygon (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f).

З 99 000 MATIC 8 000 були переказані на адресу 0xcce7300829f49b8f2e4aee6123b12da64662a8b8 9 серпня, де вони залишаються, а решта токенів USDT та USDC також залишаються.

TRON

24 лютого BitForex вивів 44 000 TRX та 657 698 USDT на адресу ланцюга TRON (TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o).

9 серпня всі ці токени були повернуті на адреси користувачів BitForex (TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo).

Bitcoin

Починаючи з 24 лютого, 16 адрес BitForex почали передавати загалом 5,7 BTC на адресу ланцюжка BTC (3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2).

9 серпня 5,7 BTC повністю переказані на адресу BitForex (11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz).

Підсумовуючи, 24 лютого BitForex передав 40 771 USDT, 258 700 USDC, 148,01 ETH і 471 405 TRB на ланцюжок Ethereum; 44 000 TRX та 657 698 USDT - на ланцюг TRON; 5,7 BTC - на ланцюг BTC; 166 ETH, 46 905 USDT та 57 810 USDC - на ланцюжок BNB; а також 99 000 MATIC, 20 300 USDT та 1 700 USDC - на ланцюг Polygon.

9 серпня всі токени на ланцюгу BTC, TRON та Ethereum (крім TRB) були передані назад до BitForex. 9 та 10 листопада повних 471,405 TRB було переведено на чотири облікові записи OKX та два облікові записи Binance.

Таким чином, всі токени на ланцюжках ETH, TRON і BTC були переведені, а на BSC залишається 166 ETH, 46 905 USDT і 57 810 USDC, а на POL залишається 99 000 MATIC, 20 300 USDT і 1 700 USDC.

Прикріплена адреса для внесення TRB на біржу:

7. Аналіз потоку вкрадених коштів

У 2024 році в адресах хакерів (включаючи кошти, переведені через ланцюжки та розподілені на кілька адрес) залишилося приблизно 1,312 мільярда доларів США викрадених коштів, що становить 52,20% від загальної суми викрадених коштів. Порівняно з минулим роком, хакери цього року більш схильні відмивати кошти через кілька міжланцюжкових транзакцій та розподіляти вкрадені активи по багатьом адресам, а не безпосередньо використовувати змішувачі. Збільшення кількості адрес та складності шляхів відмивання безумовно ускладнює завдання команд проектів та регуляторних органів у розслідуванні цих діяльностей.

Було відновлено приблизно 531 мільйонів доларів викрадених коштів, що становить близько 21,13%. У 2023 році сума відновлених коштів становила близько 295 мільйонів доларів.

Протягом року в міксери було переведено близько $109 млн вкрадених коштів, що становить приблизно 4,34% від загального обсягу викрадених коштів. Після того, як у серпні 2022 року Міністерство закордонних справ США наклало санкції на Tornado Cash, сума вкрадених коштів, переведених у Tornado Cash, значно зменшилася.

8. Аналіз ситуації аудиту проекту

Зі 131 інциденту нападу, 42 інциденти стосувалися проектів, які не пройшли аудит, 78 інцидентів стосувалися проектів, які були проаудитовані, а 11 інцидентів мали невизначений статус аудиту.

Серед 42 проектів, які не були перевірені, 30 випадків (приблизно 71,43%) були пов'язані з вразливістю контракту. Це свідчить про те, що проекти без аудиту мають більше ймовірності мати потенційні проблеми з безпекою. У порівнянні, серед 78 перевірених проектів 49 випадків (приблизно 62,82%) були пов'язані з вразливістю контракту. Це свідчить про те, що аудити можуть покращити безпеку проекту в певній мірі.

Однак, через відсутність комплексних стандартів на ринку Web3, якість аудитів є нерівномірною, і результати часто не відповідають очікуванням. Для ефективного захисту безпеки активів рекомендується, щоб проекти зверталися до професійних компаній з безпеки для проведення аудиту перед виходом на ринок.

9. Аналіз ризику відмови від підтримки

У 2024 році платформа моніторингу Beosin Alert виявила загалом 68 випадків великих інцидентів Rug Pull в екосистемі Web3, загальною вартістю приблизно $148 мільйонів. Це значний спад порівняно з $388 мільйонами у 2023 році.

За вартістю серед 68 випадків Rug Pull 9 проектів зазнали збитків, що перевищують 1 мільйон доларів. Це були: Essence Finance (20 мільйонів доларів), Shido Global (2,4 мільйона доларів), ETHTrustFund (2,2 мільйона доларів), Nexera (1,8 мільйона доларів), Grand Base (1,7 мільйона доларів), SAGA Token (1,6 мільйона доларів), OrdiZK (1,4 мільйона доларів), MangoFarmSOL (1,29 мільйона доларів) і RiskOnBlast (1,25 мільйона доларів). Загальний збиток від цих 9 випадків склав 33,64 мільйона доларів, що становить 22,73% від загального збитку від усіх випадків Rug Pull.

Проекти Rug Pull на Ethereum та BNB Chain склали 82,35% від загальної кількості, з 24 випадками на Ethereum та 32 на BNB Chain. Крім того, один випадок, що перевищував 20 мільйонів доларів, стався на Scroll. Інші публічні блокчейни, включаючи Polygon, BASE та Solana, також зазнали невеликої кількості подій Rug Pull.

10. 2024 Зведення щодо ситуації з безпекою Blockchain Web3

У 2024 році кібератаки та випадки від’ємних дій в екосистемі Web3 на блокчейні значно зменшилися порівняно з 2023 роком. Однак обсяг збитків продовжив зростати, а фішингові атаки стали більш поширеними. Найбільше збитків приводили втрати особистого ключа. Основні причини цієї зміни включають:

Після бурхливої діяльності хакерів минулого року, весь екосистема Web3 у 2024 році більше зосередились на безпеці. Зусилля з боку команд проектів та компаній з безпеки були зроблені в різних аспектах, таких як моніторинг в реальному часі на ланцюжку, збільшена увага до аудитів безпеки та активне вивчення минулих вразливостей контрактів. Це ускладнило злодіям вкрасти кошти через вразливості контрактів порівняно з минулим роком. Проте, командам проектів все ще необхідно посилити свідомість щодо управління приватними ключами та операційної безпеки.

З інтеграцією криптовалютного ринку та традиційних ринків хакери вже не обмежені нападами на DeFi, міжланцюжкові мости, біржі тощо, а перейшли до націлювання платіжних платформ, азартних платформ, криптоброкерів, інфраструктури, менеджерів паролів, інструментів розробки, ботів MEV, TG ботів та інших різноманітних цілей.

У 2024-2025 роках, коли криптовалютний ринок входить у биковий ринок і активність коштів на ланцюгу стає більш активною, це приверне більше хакерських атак. Крім того, регіональні регулювання криптовалютних активів поступово покращуються з метою боротьби з злочинами, пов'язаними з криптовалютними активами. За цим трендом очікується, що хакерські діяльності залишаться на високому рівні в 2025 році, і глобальні правоохоронні органи та регуляторні органи все ще стикатимуться зі складними викликами.

Відмова від відповідальності:

  1. Ця стаття відтворена з [ Аналіз блокчейну Footprint]. Авторське право належить початковому автору [Beosin, Footprint Analytics]. Якщо у вас є скарги на перепост, будь ласка, зв'яжіться з нами Команда Gate Learn, і команда обробить його якнайшвидше згідно з відповідними процедурами.
  2. Відповідальність за відмову: Погляди та думки, висловлені в цій статті, належать виключно автору і не є інвестиційними порадами.
  3. Команда Learn від gate переклала статтю на інші мови. Копіювання, поширення або плагіат статей в перекладі заборонені, якщо не зазначено інше.

Поділіться

Щорічний звіт про стан безпеки блокчейна Web3 2024

Початківець1/15/2025, 12:08:45 PM
Детальний аналіз безпеки блокчейну Web3 на 2024 рік, що охоплює такі великі інциденти, як взлом BitForex, події Rug Pull, тенденції відмивання коштів та стан аудитів проектів. Він досліджує зростаючі виклики безпеки, включаючи вплив міжланцюгового відмивання коштів, та пропонує висновки про те, як захищати цифрові активи в швидкозмінному екосистемі.

Передмова

Цей дослідницький звіт ініційований Blockchain Security Alliance і спільно створений його членами Beosin і Footprint Analytics. Він має на меті забезпечити всебічне дослідження глобального ландшафту безпеки блокчейну у 2024 році. Завдяки аналізу та оцінці поточного стану безпеки блокчейну в усьому світі, звіт розкриє виклики та загрози безпеці, з якими стикаються сьогодні, а також запропонує рішення та найкращі практики. Завдяки цьому звіту читачі отримають більш повне розуміння динамічної еволюції безпеки блокчейну Web3. Це допоможе читачам оцінити та вирішити проблеми безпеки, з якими стикаються в блокчейн-просторі. Крім того, звіт містить цінну інформацію про заходи безпеки та тенденції розвитку галузі, допомагаючи читачам приймати обґрунтовані рішення та дії в цій галузі, що розвивається. Безпека та регулювання блокчейну є ключовими питаннями розвитку ери Web3. Завдяки глибоким дослідженням та обговоренням ми можемо краще зрозуміти та вирішити ці проблеми, сприяючи безпеці та сталому розвитку технології блокчейн.

1. 2024 Огляд ландшафту безпеки Blockchain Web3

За даними моніторингу платформи Alert під компанією з аудиту безпеки Beosin, загальні втрати в просторі Web3 в 2024 році внаслідок хакерських атак, шахрайських обманів і різких вилучень командами проектів досягли 2,513 мільярди доларів. Зокрема, тут сталося 131 випадоків серйозних атак, що призвели до втрат приблизно 1,792 мільярда доларів; 68 випадків різких вилучень командами проектів, з загальними втратами приблизно 148 мільйонів доларів; і шахрайські обмани призвели до загальних втрат приблизно 574 мільйонів доларів.

У 2024 році як хакерські атаки, так і фішингові шахрайства значно зросли порівняно з 2023 роком: фішингові шахрайства зросли на 140,66%. Втрати від інцидентів з перетягуванням килима проектними командами помітно зменшилися, знизившись приблизно на 61,94%.

У 2024 році типи проєктів, які постраждали від атак, включали DeFi, CEX, DEX, публічні ланцюги, кросчейн-мости, гаманці, платіжні платформи, платформи для азартних ігор, криптоброкерів, інфраструктуру, менеджери паролів, інструменти розробки, MEV-боти, TG-боти та інші. DeFi був найбільш часто атакованим типом проєкту: 75 атак на DeFi завдали загальних збитків у розмірі близько 390 мільйонів доларів. Найвища загальна сума збитків була у CEX: 10 атак на CEX призвели до збитків у розмірі приблизно 724 мільйони доларів.

У 2024 році атаки сталися на більшій кількості типів громадських ланцюгів, і відбулося кілька випадків порушення безпеки з викраденням коштів на різних ланцюгах. Ethereum залишався громадським ланцюгом з найбільшими втратами, з 66 атак на Ethereum, що призвели до втрат приблизно 844 мільйонів доларів, що становить 33,57% від загальних втрат за рік.

З точки зору методів атаки, 35 випадків витоку приватних ключів призвели до втрат приблизно на $1,306 мільярда, що склало 51,96% від загальних втрат, що робить його найбільш шкідливим методом атаки.

Експлуатація вразливостей контракту була найбільш поширеним методом атаки, причому 76 з 131 нападів виникли внаслідок вразливостей контракту, що становить 58,02% від загальної кількості випадків.

Приблизно $531 мільйон вкрадених коштів було відновлено, що становить близько 21,13%. Близько $109 мільйонів украдених коштів було переведено в міксери, що становить близько 4,34% від загальної суми вкрадених коштів, зниження на приблизно 66,97% порівняно з 2023 роком.

2. Топ-10 випадків порушення безпеки Web3 в 2024 році

У 2024 році сталося 5 великих інцидентів атак зі збитками, що перевищують 100 мільйонів доларів: DMM Bitcoin (304 мільйони доларів), PlayDapp (290 мільйонів доларів), WazirX (235 мільйонів доларів), Gala Games (216 мільйонів доларів) і крадіжка Кріса Ларсена (112 мільйонів доларів). Загальні збитки від 10 найбільших інцидентів безпеки становлять приблизно 1,417 мільярда доларів, що становить приблизно 79,07% від загальних щорічних збитків від атак.

No.1 DMM Bitcoin

Втрата: $304 мільйони

Метод атаки: витік приватного ключа

31 травня 2024 року японська криптовалютна біржа DMM Bitcoin була атакована, і було викрадено понад 304 мільйони доларів у вартості Bitcoin. Хакери розподілили викрадені кошти по більш ніж 10 адресах у спробі відмити їх.

No2 PlayDapp

Втрата: $290 мільйонів

Спосіб атаки: витік приватного ключа

9 лютого 2024 року геймінгову платформу блокчейну PlayDapp атакували, хакери виготовили 2 мільярди токенів PLA на суму 36.5 мільйонів доларів. Після невдалих переговорів з PlayDapp, 12 лютого хакери виготовили ще 15.9 мільярдів токенів PLA на суму 253.9 мільйонів доларів і відправили частину коштів на біржу gate. Після цього PlayDapp призупинив контракт PLA та мігрував токени PLA у токени PDA.

No.3 WazirX

Сума збитку: $235 мільйонів

Метод атаки: мережева атака та рибальство

18 липня 2024 року з мультипідписного гаманця індійської криптовалютної біржі WazirX було викрадено, що призвело до збитків понад 235 мільйонів доларів. Мультипідписний гаманець був смарт-контрактом безпечного гаманця. Атакувальник обманув мультипідписних підписників на підписання транзакції оновлення, і через оновлений контракт переказав активи безпосередньо з гаманця.

No.4 Gala Games

Сума збитку: $216 мільйонів

Метод атаки: Вразливість доступу до контролю

20 травня 2024 року привілейована адреса Gala Games була скомпрометована. Атакувальник використовував цю адресу для виклику функції монети і безпосередньо ковтав 5 мільярдів токенів GALA на суму приблизно $216 мільйонів, перетворюючи сковтані токени на ETH партіями. Команда Gala Games потім використала функцію чорного списку, щоб заблокувати хакера та відновити збитки.

№5 Кріс Ларсен (співзасновник Ripple)

Сума збитку: $112 мільйонів

Метод атаки: витік особистого ключа

31 січня 2024 року співзасновник Ripple Кріс Ларсен повідомив, що чотири його гаманці були скомпрометовані, що призвело до загального збитку приблизно 112 мільйонів доларів. Команда Binance успішно заморозила вкрадені токени XRP на суму 4,2 мільйона доларів.

No.6 Munchables

Сума збитків: $62.5 мільйона

Метод атаки: атака соціальним інженерством

26 березня 2024 року було атаковано ігрову платформу Web3 Munchables на основі Blast, що призвело до втрати близько 62,5 мільйонів доларів. Проект був атакований через те, що використовував північнокорейських хакерів як розробників. Всі викрадені кошти врешті-решт були повернуті хакерами.

No.7 BTCTurk

Сума збитків: $55 мільйонів

Метод атаки: Витік приватного ключа

22 червня 2024 року турецька криптовалютна біржа BTCTurk була атакована, що призвело до втрати приблизно 55 мільйонів доларів. Binance допомогла заморозити понад 5,3 мільйона викрадених коштів.

No.8 Radiant Capital

Сума збитку: $53 мільйона

Метод атаки: Витік приватного ключа

17 жовтня 2024 року протокол мульти-ланцюжкового кредитування Radiant Capital був атакований. Зловмисник незаконно отримав дозволи 3 власників мультипідписного гаманця Radiant Capital. Мультипідписний гаманець використовував модель перевірки підпису 3/11, і зловмисник використовував 3 приватних ключі для офлайн-підпису. Після цього зловмисник ініціював он-чейн транзакцію для передачі власності контракту Radiant Capital до зловісного контракту під контролем зловмисника, що призвело до втрати понад 53 мільйонів доларів.

No9 Хеджі Фінанси

Сума збитків: $44.7 мільйона

Метод атаки: Вразливість контракту

19 квітня 2024 року Hedgey Finance було атаковано кілька разів зловмисником. Зловмисник використовував вразливість схвалення токена, щоб вкрасти велику кількість токенів з контракту ClaimCampaigns, включаючи токени на суму понад 2,1 мільйона доларів, вкрадені з ланцюжка Ethereum, та токени на суму близько 42,6 мільйона доларів, вкрадені з ланцюжка Arbitrum.

No.10 BingX

Сума збитку: $44.7 мільйона

Метод атаки: витік приватного ключа

У вересні 2024 року була атакована гаряча гаманці біржі BingX. Хоча BingX активувала надзвичайні заходи, включаючи переказ активів та призупинення виведення, статистика Beosin показує, що загальна втрата від аномальноговиливу активів з гарячого гаманця становила 44,7 мільйона доларів США. Викрадені активи включали декілька блокчейнів, включаючи Ethereum, BNB Chain, Tron, Polygon, Avalanche та Base.

3. Типи атакованих проектів

У 2024 році до атакованих проєктів увійшли не тільки загальні типи, такі як DeFi, CEX, DEX, публічні ланцюжки та містки між ланцюжками, а й розширилися на платформи платежів, азартні платформи, криптовалютні брокери, інфраструктуру, менеджери паролів, інструменти розробки, боти MEV, TG боти та різноманітні інші типи проєктів.

У 2024 році атаки на проекти DeFi сталися 75 разів, що робить його найчастіше атакованим типом проекту (приблизно 50,70%). Загальний збиток від атак DeFi становив приблизно 390 мільйонів доларів, що становить близько 15,50% від загальних збитків, роблячи його четвертим за обсягом збитків типом проекту.

Тип проекту з найвищими втратами був CEX (централізовані біржі). Десять атак на CEX призвели до втрат приблизно на $ 724 мільйони, що робить його типом проекту з найвищою сумою втрат. Загалом обмінники були найчастіше атакованим типом проекту в 2024 році, і безпека обміну залишається найбільшим викликом в екосистемі Web3.

Найбільші збитки відбулися через особисті гаманці, загальна втрата становила близько 445 мільйонів доларів. Дванадцять атак на криптовалютних валютних баланси, а також безліч фішингових та соціально-інженерних атак на звичайних користувачів, призвели до зростання загальних збитків від особистих гаманців на 464,72% порівняно з 2023 роком, роблячи безпеку особистих гаманців другим найбільшим викликом після безпеки обміну.

4. Сума втрати за ланцюгом

Порівняно з 2023 роком, типи публічних ланцюжків, які були атаковані в 2024 році, були більш різноманітними. П'ятірка ланцюжків за сумою втрат складала Ethereum, Bitcoin, Arbitrum, Ripple та Blast.

Шість найпопулярніших ланцюгів за кількістю подій атаки були:

Ethereum, BNB Chain, Arbitrum, Інші, База та Solana.

У 2023 році Ethereum залишався ланцюгом з найбільшим обсягом втрат. Шістдесят шість атак на Ethereum спричинили приблизно 844 мільйони доларів втрат, що становить 33,59% від загальної щорічної втрати.

Примітка: Загальні дані про збитки не включають втрати від шахрайства на ланцюжку та деякі втрати у гарячому гаманці CEX. Втрати мережі Bitcoin посіли друге місце, одне злочинне подія спричинило втрати у розмірі 238 мільйонів доларів США. Arbitrum посів третє місце, загальні втрати становили близько 114 мільйонів доларів США.

5. Аналіз методів атаки

Методи атак у 2024 році були дуже різноманітні. Крім звичайних атак на вразливості контрактів, було використано кілька інших методів, включаючи атаки на ланцюжок постачання, атаки на постачальників послуг третіх сторін, атаки людини посередині, атаки DNS та атаки на фронт-енд.

У 2024 році 35 випадків витоку особистого ключа призвели до загальної втрати в розмірі 1,306 мільярда доларів, що становить 51.96% від загальної втрати, що робить його найбільш руйнівним методом атаки. Серед помітних випадків витоку особистого ключа були: DMM Bitcoin (304 мільйони доларів), PlayDapp (290 мільйонів доларів), співзасновник Ripple Кріс Ларсен (112 мільйонів доларів), BTCTurk (55 мільйонів доларів), Radiant Capital (53 мільйони доларів), BingX (44.7 мільйонів доларів) і DEXX (21 мільйон доларів).

Використання вразливостей контракту було найпоширенішим методом атаки. З 131 випадків атак, 76 були через вразливості контракту, що складає 58,02% від загальної кількості. Загальний збиток від вразливостей контракту становив приблизно 321 мільйон доларів, що робить його третім за розміром збитку.

Щодо конкретних вразливостей, найчастіші та найбільш втратні інциденти сталися через вразливості логіки бізнесу. Приблизно 53,95% втрат від вразливостей контракту були спричинені дефектами логіки бізнесу, що призвело до втрати приблизно 158 мільйонів доларів.

6. Аналіз типових подій з перебуванням грошей

6.1 Полтер Фінанс Безпековий Інцидент

Огляд події

17 листопада 2024 року Beosin Alert виявив атаку на Polter Finance, протокол позики на ланцюгу FTM. Атакувальник маніпулював ціною токенів у проектному контракті для отримання прибутку за допомогою швидкого кредиту.

Аналіз вразливостей та фондів

Контракт LendingPool (0xd47ae558623638f676c1e38dad71b53054f54273), який був атакований, використовував 0x6808b5ce79d44e89883c5393b487c4296abb69fe як оракул. Цей оракул використовував недавно розгорнутий контракт price-feed (0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe), який обчислює ціни на основі резервів токенів у контракті uniswapV2_pair (0xEc71), контракт, який вразливий до атак на миттєві кредити.

Атакувальник використовував флеш-кредит, щоб штучно збільшити ціну токена $BOO та позичив інші криптовалюти. Вкрадені кошти потім були конвертовані в токени FTM та перехресно-зв'язані з ланцюжком ETH, де всі кошти були збережені. Нижче наведено діаграму потоку, що ілюструє рух коштів на ланцюжках ARB та ETH:

20 листопада нападник продовжив переказувати понад 2,625 ETH на Tornado Cash, як показано на діаграмі нижче:

6.2 Подія з безпекою BitForex

Огляд події

23 лютого 2024 року відомий дослідник блокчейну ЗаксХБТ повідомив за допомогою свого аналітичного інструменту, що гарячий гаманець BitForex зазнав витоку на суму 56,5 мільйона доларів, і платформа призупинила послуги з виведення коштів протягом цього процесу.

Аналіз фонду

Команда безпеки Beosin провела поглиблене відстеження та аналіз інциденту BitForex за допомогою Trace:

Ethereum

24 лютого 2024 року о 6:11 ранку (UTC+8) BitForex розпочав переказ 40 771 USDT, 258 700 USDC, 148.01 ETH та 471 405 TRB на адресу виходу з Ethereum (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f).

9 серпня вихідна адреса перекинула всі токени, крім TRB, назад на рахунок BitForex (0xcce7300829f49b8f2e4aee6123b12da64662a8b8).

З 9 по 10 листопада вихідна адреса через сім транзакцій переказала 355 000 TRB на чотири різні адреси користувачів OKX:

0x274c481bf400c2abfd2b5e648a0056ef34970b0a

0x45798ca76a589647acc21040c50562dcc33cf6bf

0x712d2fd67fe65510c5fad49d5a9181514d94183d

0xe8ec263ad9ee6947bf773837a2c86dff3a737bba

Пізніше адреса виходу перевела залишок 116 414,93 TRB на проміжну адресу (0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e), яка потім була розділена на дві транзакції та відправлена на дві різні адреси користувачів Binance:

0x431c916ef45e660dae7cd7184e3226a72fa50c0c

0xe7b1fb77baaa3bba9326af2af3cd5857256519df

BNB Chain

24 лютого BitForex вивела 166 ETH, 46 905 USDT і 57 810 USDC на адресу BNB Chain (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f), де вони залишаються.

Полігон

24 лютого BitForex вивів 99 000 MATIC, 20 300 USDT та 1 700 USDC на адресу ланцюжка Polygon (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f).

З 99 000 MATIC 8 000 були переказані на адресу 0xcce7300829f49b8f2e4aee6123b12da64662a8b8 9 серпня, де вони залишаються, а решта токенів USDT та USDC також залишаються.

TRON

24 лютого BitForex вивів 44 000 TRX та 657 698 USDT на адресу ланцюга TRON (TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o).

9 серпня всі ці токени були повернуті на адреси користувачів BitForex (TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo).

Bitcoin

Починаючи з 24 лютого, 16 адрес BitForex почали передавати загалом 5,7 BTC на адресу ланцюжка BTC (3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2).

9 серпня 5,7 BTC повністю переказані на адресу BitForex (11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz).

Підсумовуючи, 24 лютого BitForex передав 40 771 USDT, 258 700 USDC, 148,01 ETH і 471 405 TRB на ланцюжок Ethereum; 44 000 TRX та 657 698 USDT - на ланцюг TRON; 5,7 BTC - на ланцюг BTC; 166 ETH, 46 905 USDT та 57 810 USDC - на ланцюжок BNB; а також 99 000 MATIC, 20 300 USDT та 1 700 USDC - на ланцюг Polygon.

9 серпня всі токени на ланцюгу BTC, TRON та Ethereum (крім TRB) були передані назад до BitForex. 9 та 10 листопада повних 471,405 TRB було переведено на чотири облікові записи OKX та два облікові записи Binance.

Таким чином, всі токени на ланцюжках ETH, TRON і BTC були переведені, а на BSC залишається 166 ETH, 46 905 USDT і 57 810 USDC, а на POL залишається 99 000 MATIC, 20 300 USDT і 1 700 USDC.

Прикріплена адреса для внесення TRB на біржу:

7. Аналіз потоку вкрадених коштів

У 2024 році в адресах хакерів (включаючи кошти, переведені через ланцюжки та розподілені на кілька адрес) залишилося приблизно 1,312 мільярда доларів США викрадених коштів, що становить 52,20% від загальної суми викрадених коштів. Порівняно з минулим роком, хакери цього року більш схильні відмивати кошти через кілька міжланцюжкових транзакцій та розподіляти вкрадені активи по багатьом адресам, а не безпосередньо використовувати змішувачі. Збільшення кількості адрес та складності шляхів відмивання безумовно ускладнює завдання команд проектів та регуляторних органів у розслідуванні цих діяльностей.

Було відновлено приблизно 531 мільйонів доларів викрадених коштів, що становить близько 21,13%. У 2023 році сума відновлених коштів становила близько 295 мільйонів доларів.

Протягом року в міксери було переведено близько $109 млн вкрадених коштів, що становить приблизно 4,34% від загального обсягу викрадених коштів. Після того, як у серпні 2022 року Міністерство закордонних справ США наклало санкції на Tornado Cash, сума вкрадених коштів, переведених у Tornado Cash, значно зменшилася.

8. Аналіз ситуації аудиту проекту

Зі 131 інциденту нападу, 42 інциденти стосувалися проектів, які не пройшли аудит, 78 інцидентів стосувалися проектів, які були проаудитовані, а 11 інцидентів мали невизначений статус аудиту.

Серед 42 проектів, які не були перевірені, 30 випадків (приблизно 71,43%) були пов'язані з вразливістю контракту. Це свідчить про те, що проекти без аудиту мають більше ймовірності мати потенційні проблеми з безпекою. У порівнянні, серед 78 перевірених проектів 49 випадків (приблизно 62,82%) були пов'язані з вразливістю контракту. Це свідчить про те, що аудити можуть покращити безпеку проекту в певній мірі.

Однак, через відсутність комплексних стандартів на ринку Web3, якість аудитів є нерівномірною, і результати часто не відповідають очікуванням. Для ефективного захисту безпеки активів рекомендується, щоб проекти зверталися до професійних компаній з безпеки для проведення аудиту перед виходом на ринок.

9. Аналіз ризику відмови від підтримки

У 2024 році платформа моніторингу Beosin Alert виявила загалом 68 випадків великих інцидентів Rug Pull в екосистемі Web3, загальною вартістю приблизно $148 мільйонів. Це значний спад порівняно з $388 мільйонами у 2023 році.

За вартістю серед 68 випадків Rug Pull 9 проектів зазнали збитків, що перевищують 1 мільйон доларів. Це були: Essence Finance (20 мільйонів доларів), Shido Global (2,4 мільйона доларів), ETHTrustFund (2,2 мільйона доларів), Nexera (1,8 мільйона доларів), Grand Base (1,7 мільйона доларів), SAGA Token (1,6 мільйона доларів), OrdiZK (1,4 мільйона доларів), MangoFarmSOL (1,29 мільйона доларів) і RiskOnBlast (1,25 мільйона доларів). Загальний збиток від цих 9 випадків склав 33,64 мільйона доларів, що становить 22,73% від загального збитку від усіх випадків Rug Pull.

Проекти Rug Pull на Ethereum та BNB Chain склали 82,35% від загальної кількості, з 24 випадками на Ethereum та 32 на BNB Chain. Крім того, один випадок, що перевищував 20 мільйонів доларів, стався на Scroll. Інші публічні блокчейни, включаючи Polygon, BASE та Solana, також зазнали невеликої кількості подій Rug Pull.

10. 2024 Зведення щодо ситуації з безпекою Blockchain Web3

У 2024 році кібератаки та випадки від’ємних дій в екосистемі Web3 на блокчейні значно зменшилися порівняно з 2023 роком. Однак обсяг збитків продовжив зростати, а фішингові атаки стали більш поширеними. Найбільше збитків приводили втрати особистого ключа. Основні причини цієї зміни включають:

Після бурхливої діяльності хакерів минулого року, весь екосистема Web3 у 2024 році більше зосередились на безпеці. Зусилля з боку команд проектів та компаній з безпеки були зроблені в різних аспектах, таких як моніторинг в реальному часі на ланцюжку, збільшена увага до аудитів безпеки та активне вивчення минулих вразливостей контрактів. Це ускладнило злодіям вкрасти кошти через вразливості контрактів порівняно з минулим роком. Проте, командам проектів все ще необхідно посилити свідомість щодо управління приватними ключами та операційної безпеки.

З інтеграцією криптовалютного ринку та традиційних ринків хакери вже не обмежені нападами на DeFi, міжланцюжкові мости, біржі тощо, а перейшли до націлювання платіжних платформ, азартних платформ, криптоброкерів, інфраструктури, менеджерів паролів, інструментів розробки, ботів MEV, TG ботів та інших різноманітних цілей.

У 2024-2025 роках, коли криптовалютний ринок входить у биковий ринок і активність коштів на ланцюгу стає більш активною, це приверне більше хакерських атак. Крім того, регіональні регулювання криптовалютних активів поступово покращуються з метою боротьби з злочинами, пов'язаними з криптовалютними активами. За цим трендом очікується, що хакерські діяльності залишаться на високому рівні в 2025 році, і глобальні правоохоронні органи та регуляторні органи все ще стикатимуться зі складними викликами.

Відмова від відповідальності:

  1. Ця стаття відтворена з [ Аналіз блокчейну Footprint]. Авторське право належить початковому автору [Beosin, Footprint Analytics]. Якщо у вас є скарги на перепост, будь ласка, зв'яжіться з нами Команда Gate Learn, і команда обробить його якнайшвидше згідно з відповідними процедурами.
  2. Відповідальність за відмову: Погляди та думки, висловлені в цій статті, належать виключно автору і не є інвестиційними порадами.
  3. Команда Learn від gate переклала статтю на інші мови. Копіювання, поширення або плагіат статей в перекладі заборонені, якщо не зазначено інше.
Розпочати зараз
Зареєструйтеся та отримайте ваучер на
$100
!