原文來源: Beosin
2024 年,區塊鏈產業在技術創新和生態擴展的同時,也面臨越來越嚴峻的安全挑戰。根據安全審計公司Beosin 旗下Alert 平台監測,截止發稿時, 2024 年Web3 領域因駭客攻擊、釣魚詐騙和專案方Rug Pull 造成的總損失達到了24.91 億美元。
這些事件不僅暴露出私鑰管理、智慧合約漏洞等技術缺陷,也凸顯了社交工程和內部管理的潛在風險。本篇文章將盤點 2024 年Web3十大安全事件,幫助業界從中吸取教訓,並更好地應對未來的安全威脅。
No.1 DMM Bitcoin
損失金額: 3.04 億美元
攻擊方式:私鑰洩露
2024 年 5 月 31 日,日本老牌加密貨幣交易所DMM Bitcoin 遭遇歷史性攻擊。攻擊者利用洩漏的私鑰直接轉移了價值超過 3 億美元的比特幣,並迅速將被盜資金分散到超過 10 個不同的地址。這次攻擊暴露了 DMM Bitcoin 在私鑰管理和多層安全防護上的嚴重不足。儘管交易所嘗試透過鏈上監控和凍結資金的方式追蹤駭客,但盜取的比特幣被分散轉移並利用混幣工具進行清洗,這給追蹤工作帶來了極大挑戰。
12 月 24 日,日本警方認定 DMM Bitcoin 被盜事件系北韓駭客組織 Lazarus Group 所為。有關 Lazarus Grou 過往的攻擊與資金清洗的詳細分析,可閱讀《 起底史上最大膽的加密貨幣盜竊團夥,黑客組織 Lazarus Group 洗錢分析》。
No.2 PlayDapp
損失金額: 2.90 億美元
攻擊方式:私鑰洩露
2024 年 2 月 9 日,PlayDapp 遭遇重創,駭客透過竊取私鑰鑄造了 20 億枚PLA 代幣,初始價值 3,650 萬美元。由於專案方與駭客的談判未果,駭客在短時間內進一步鑄造了 159 億枚PLA 代幣,價值 2.539 億美元。這些代幣部分流入Gate 交易所後,PlayDapp 被迫暫停了PLA 合約並移轉到PDA 代幣合約。這次事件凸顯了區塊鏈專案在私鑰保護和事件緊急處置方面的缺陷。
No.3 WazirX
損失金額: 2.35 億美元
攻擊方式:網路攻擊與釣魚
2024 年 7 月 18 日,印度最大的加密貨幣交易所WazirX 的Safe Wallet 多簽錢包遭到駭客精準攻擊。攻擊者透過社會工程誘導多簽簽署者簽署了一份合約升級交易,隨後利用升級後的合約權限將錢包中的資產轉移一空。這起案件凸顯了多簽錢包在管理權限配置和操作透明度上的潛在風險,也引發了業界對專案內部風控與安全機制的深入反思。
有關該事件的詳細分析與資金追踪,可閱讀《 Beosin | 印度交易所 WazirX 被盜 2.35 億美元事件分析》。
No.4 Gala Games
損失金額: 2.16 億美元
攻擊方式:存取控制漏洞
2024 年 5 月 20 日, Gala Games 某一特權地址被駭客攻破,攻擊者透過呼叫代幣合約中的mint 函數,一次性鑄造了 50 億枚GALA 代幣。隨後,駭客透過分批將增發的代幣兌換為ETH,直接造成了 2.16 億美元的損失。 Gala Games 團隊在事件發生後緊急啟用黑名單功能封鎖了部分駭客帳戶,並透過司法途徑追回了損失。
No.5 Chris Larsen (Ripples co-founder)
損失金額: 1.12 億美元
攻擊方式:私鑰洩露
2024 年 1 月 31 日,Ripple 聯合創始人Chris Larsen 的四個個人錢包被駭客攻破,造成 1.12 億美元的XRP 被盜。這些錢包疑因缺乏硬體設備的雙重保護而成為攻擊目標。事件發生後,幣安成功凍結了價值 420 萬美元的XRP,並協助Larsen 追蹤被盜資產,但絕大部分資金已經透過去中心化交易所和混幣服務被清洗。
No.6 Munchables
損失金額: 6,250 萬美元
攻擊方式:社會工程學攻擊
2024 年 3 月 26 日,基於Blast 的Web3 遊戲平台Munchables 遭遇了罕見的內部滲透攻擊。攻擊者是偽裝成區塊鏈開發人員的北韓駭客,透過長期潛伏獲取了核心程式碼和敏感金鑰。儘管攻擊造成了巨額損失,但由於社區和團隊的壓力,駭客最終歸還了所有被盜資金。這一事件揭示了供應鏈安全的重要性,特別是對於依賴第三方開發的區塊鏈專案。
No.7 BtcTurk
損失金額: 5,500 萬美元
攻擊方式:私鑰洩露
2024 年 6 月 22 日,土耳其最大加密貨幣交易所BtcTurk 遭到私鑰外洩攻擊,損失超過 5,500 萬美元的加密資產。在幣安團隊的協助下, 530 萬美元被盜資金成功被凍結,但其它資產仍未追回。這起事件加深了市場對中心化交易所私鑰管理的擔憂。
BtcTurk 官方發布被攻擊公告
No.8 Radiant Capital
損失金額: 5,300 萬美元
攻擊方式:私鑰洩露
2024 年 10 月 17 日,Radiant Capital 的多簽錢包被駭客攻陷。由於其採用了低門檻的3/11 簽名驗證模式,駭客透過掌握3 個簽署者的私鑰發起鏈下簽名,將錢包合約的所有權轉移至惡意地址,最終導致 5,300 萬美元被盜。這次攻擊引發了對多簽錢包設計和治理機制的產業反思。
Radiant Capital 在此次攻擊之前, 因合約漏洞損失 450 萬美元,超 1,900 枚 ETH 被竊。 Web3專案方對安全的重視程度仍需提升。
No.9 Hedgey Finance
損失金額: 4,470 萬美元
攻擊方式:合約漏洞
2024 年 4 月 19 日,Hedgey Finance 遭遇針對多個鏈上合約的攻擊。駭客利用了其ClaimCampaigns 合約的批准漏洞,成功提取了Ethereum 和Arbitrum 兩條鏈上的代幣,總損失金額達 4,470 萬美元。該事件顯示了程式碼審計的重要性,尤其是對代幣批准邏輯的嚴格驗證。
No.10 BingX
損失金額: 4,470 萬美元
攻擊方式:私鑰洩露
2024 年 9 月 19 日, BingX 交易所的熱錢包被駭客入侵,涉及的鏈包括Ethereum、BNB Chain、Tron 等多條公鏈。儘管交易所迅速啟動了資產轉移和提現凍結機制,但駭客已成功提取價值 4,470 萬美元的資產。這次攻擊反映了中心化交易所熱錢包管理的高風險性,並進一步推動產業探索更安全的資產儲存方案。
2024 年的安全攻擊事件頻傳,再次提醒我們,區塊鏈產業的發展離不開安全的護航。從私鑰洩漏到合約漏洞,從內部管理疏漏到外部攻擊手段的升級,每起事件都帶來了深刻的教訓。為了因應日益複雜的攻擊威脅,產業各方需要在技術研發、管理規範和風險防控上持續加強投入。未來,我們期待透過產業協作和技術創新,共同建立更安全的區塊鏈生態,為用戶和投資者提供更可靠的保障。