盤點2024年度Web3最具影響力的十大攻擊事件

2024-12-25 00:12:26

原文來源: Beosin

2024 年,區塊鏈行業在技術創新和生態擴展的同時,也面臨着越來越嚴峻的安全挑战。據安全審計公司 Beosin 旗下 Alert 平臺監測,截止發稿時, 2024 年 Web3 領域因黑客攻擊、釣魚詐騙和項目方 Rug Pull 造成的總損失達到了 24.91 億美元。
這些事件不僅暴露出私鑰管理、智能合約漏洞等技術缺陷,也凸顯了社交工程和內部管理的潛在風險。本篇文章將盤點 2024 年Web3十大安全事件,幫助業界從中吸取教訓,更好地應對未來的安全威脅。

No.1 DMM Bitcoin

損失金額: 3.04 億美元

攻擊方式:私鑰泄露

2024 年 5 月 31 日,日本老牌加密貨幣交易所 DMM Bitcoin 遭遇歷史性攻擊。攻擊者利用泄露的私鑰直接轉移了價值超過 3 億美元的比特幣,並迅速將被盜資金分散到超過 10 個不同的地址。這次攻擊暴露了 DMM Bitcoin 在私鑰管理和多層安全防護上的嚴重不足。盡管交易所嘗試通過鏈上監控和凍結資金的方式追蹤黑客,但盜取的比特幣被分散轉移並利用混幣工具進行清洗,給追蹤工作帶來了極大挑战。

12 月 24 日, 日本警方認定 DMM Bitcoin 被盜事件系朝鮮黑客組織 Lazarus Group 所為。 有關 Lazarus Grou 過往的攻擊與資金清洗的詳細分析,可閱讀《 起底史上最大膽的加密貨幣盜竊團夥,黑客組織 Lazarus Group 洗錢分析 》。

No.2 PlayDapp

損失金額: 2.90 億美元

攻擊方式:私鑰泄露

2024 年 2 月 9 日,PlayDapp 遭遇重創, 黑客通過竊取私鑰鑄造了 20 億枚 PLA 代幣, 初始價值 3650 萬美元。由於項目方與黑客的談判未果,黑客在短時間內進一步鑄造了 159 億枚 PLA 代幣,價值 2.539 億美元。這些代幣部分流入 Gate 交易所後,PlayDapp 被迫暫停了 PLA 合約並遷移至 PDA 代幣合約。此次事件凸顯了區塊鏈項目在 私鑰保護 事件應急處置 方面的缺陷。

No.3 WazirX

損失金額: 2.35 億美元

攻擊方式:網絡攻擊與釣魚

2024 年 7 月 18 日, 印度最大的加密貨幣交易所 WazirX 的 Safe Wallet 多籤錢包遭到黑客精准攻擊。 攻擊者通過社會工程學誘導多籤籤名者籤署了一份合約升級交易,隨後利用升級後的合約權限將錢包中的資產轉移一空。這起案件凸顯了多籤錢包在管理權限配置和操作透明度上的潛在風險,也引發了業內對項目 內部風控與安全機制 的深入反思。

有關該事件的詳細分析與資金追蹤,可閱讀《 Beosin | 印度交易所 WazirX 被盜 2.35 億美元事件分析 》。

No.4 Gala Games

損失金額: 2.16 億美元

攻擊方式:訪問控制漏洞

2024 年 5 月 20 日, Gala Games 某一特權地址被黑客攻破, 攻擊者通過調用代幣合約中的 mint 函數,一次性鑄造了 50 億枚 GALA 代幣。隨後,黑客通過分批次將增發的代幣兌換為 ETH,直接造成了 2.16 億美元的損失。Gala Games 團隊在事件發生後緊急啓用黑名單功能封鎖了部分黑客账戶,並通過司法途徑追回了損失。

No.5 Chris Larsen (Ripple's co-founder)

損失金額: 1.12 億美元

攻擊方式:私鑰泄露

2024 年 1 月 31 日,Ripple 聯合創始人 Chris Larsen 的四個個人錢包被黑客攻破, 導致 1.12 億美元的 XRP 被盜。這些錢包疑因缺乏硬件設備的雙重保護而成為攻擊目標。事件發生後,幣安成功凍結了價值 420 萬美元的 XRP,並協助 Larsen 追蹤被盜資產,但絕大部分資金已經通過去中心化交易所和混幣服務被清洗。

No.6 Munchables

損失金額: 6250 萬美元

攻擊方式:社會工程學攻擊

2024 年 3 月 26 日,基於 Blast 的 Web3 遊戲平臺 Munchables 遭遇了一次罕見的內部滲透攻擊。 攻擊者是僞裝成區塊鏈开發人員的朝鮮黑客, 通過長期潛伏獲取了核心代碼和敏感密鑰。盡管攻擊造成了巨額損失,但由於社區和團隊的壓力,黑客最終歸還了所有被盜資金。這一事件揭示了供應鏈安全的重要性,特別是對於依賴第三方开發的區塊鏈項目。

No.7 BtcTurk

損失金額: 5500 萬美元

攻擊方式:私鑰泄露

2024 年 6 月 22 日, 土耳其最大加密貨幣交易所 BtcTurk 遭到私鑰泄露攻擊, 損失超過 5500 萬美元的加密資產。在幣安團隊的協助下, 530 萬美元被盜資金成功被凍結,但其它資產仍未追回。這一事件加深了市場對中心化交易所私鑰管理的擔憂。

BtcTurk 官方發布被攻擊公告

No.8 Radiant Capital

損失金額: 5300 萬美元

攻擊方式:私鑰泄露

2024 年 10 月 17 日,Radiant Capital 的多籤錢包被黑客攻陷。由於其採用了 低門檻的 3/11 籤名驗證模式, 黑客通過掌握 3 個籤名者的私鑰發起鏈下籤名,將錢包合約的所有權轉移至惡意地址,最終導致 5300 萬美元被盜。這次攻擊引發了對多籤錢包設計和治理機制的行業反思。

Radiant Capital 在此次攻擊之前, 就因合約漏洞而損失 450 萬美元 ,超 1900 枚 ETH 被盜。 Web3項目方對安全的重視程度仍需提高。

No.9 Hedgey Finance

損失金額: 4470 萬美元

攻擊方式:合約漏洞

2024 年 4 月 19 日,Hedgey Finance 遭遇針對多個鏈上合約的攻擊。 黑客利用了其 ClaimCampaigns 合約的批准漏洞, 成功提取了 Ethereum 和 Arbitrum 兩條鏈上的代幣,總損失金額達 4470 萬美元。該事件顯示了代碼審計的重要性,尤其是對代幣批准邏輯的嚴格驗證。

No.10 BingX

損失金額: 4470 萬美元

攻擊方式:私鑰泄露

2024 年 9 月 19 日, BingX 交易所的熱錢包被黑客入侵, 涉及的鏈包括 Ethereum、BNB Chain、Tron 等多條公鏈。盡管交易所迅速啓動了資產轉移和提現凍結機制,但黑客已成功提取價值 4470 萬美元的資產。 這次攻擊反映了中心化交易所熱錢包管理的高風險性, 並進一步推動行業探索更為安全的資產存儲方案。

2024 年的安全攻擊事件頻發,再次提醒我們,區塊鏈行業的發展離不开安全的護航。 從私鑰泄露到合約漏洞,從內部管理疏漏到外部攻擊手段的升級,每一起事件都帶來了深刻的教訓。為了應對日益復雜的攻擊威脅,行業各方需要在技術研發、管理規範和風險防控上持續加強投入。未來,我們期待通過行業協作和技術創新,共同建立更加安全的區塊鏈生態,為用戶和投資者提供更可靠的保障。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

MicroStrategy躋身納指100後,比特幣的买盤飛輪开啓

原文作者: Marco Manoppo 編譯|Odaily星球日報( @OdailyChina )...

星球日報
7 11小時前

盤點2024年度Web3最具影響力的十大攻擊事件

原文來源: Beosin 2024 年,區塊鏈行業在技術創新和生態擴展的同時,也面臨着越來越嚴峻的...

星球日報
7 11小時前

AI「生娃」?一文讀懂自主AI繁殖與進化的實驗平臺Spore.fun

原文標題:Love Death Robots 編者按: 本文主要介紹了 Spore.fun,一個實...

星球日報
7 11小時前

融資4300萬美元的Sahara AI,能否構建真正的“AI Chain”?

@OdailyChina @wenser 2010 屬於加密貨幣的曲折而又壯闊的 2024 年即將...

星球日報
6 11小時前

Matrixport市場觀察:BTC年末盤整,加密市場亟待催化劑

經過連續四周上攻,BTC 價格自 17 日觸達 $ 108, 353 的歷史高點後突現跳水行情,...

星球日報
5 11小時前

LBank Research:數據分析Cardano快速增長背後的驅動力

前言 自 2017 年啓動以來,Cardano(ADA)已成長為一個旨在推動區塊鏈技術極限的 Po...

星球日報
6 11小時前