У листопаді 2024 року сталося 21 випадок відкриття, що призвело до збитків приблизно 76,86 мільйонів доларів США, повернулося 25,5 мільйонів доларів США, причини включають уразливості контракту, взломані облікові записи та маніпулювання цінами. Крім того, у цьому місяці постраждали 9,208 жертви фішингу збитків у розмірі 9,38 мільйонів доларів США.
Написав: Команда безпеки SlowMist
Огляд
У листопаді 2024 року загальна втрата від подій безпеки Web3 становила приблизно 86,24 млн доларів США. Згідно зі статистикою бази даних під назвою 'Блокчейн-був-відібраний' (Blockchain Blacklist), сталося 21 випадок вторгнення, що спричинило збиток у розмірі приблизно 76,86 млн доларів США, з яких 25,5 млн доларів США було повернуто. Причини подій включають уразливості контрактів, взломи облікових записів та маніпуляції цінами. Крім того, за даними платформи Scam Sniffer, яка спеціалізується на боротьбі з фішингом у Web3, цього місяця постраждали 9 208 жертв фішингу, загальний збиток становив 9,38 млн доларів США.
()
Велика подія з безпеки
MetaWin
4 листопада 2024 року, за даними детектива у блокчейні ZachXBT, платформа для азартних ігор MetaWin, ймовірно, була атакована, із Ethereum та Solana у блокчейні було викрадено понад 4 мільйони доларів. За словами генерального директора MetaWin Skel, зловмисникам вдалося вторгнутися в гарячий Гаманець MetaWin через систему безперешкодного зняття коштів платформи.
DeltaPrime
2024 року 11 листопада Децентралізовані фінанси протокол DeltaPrime був атакований на Avalanche та Arbitrum, а у втрати DeltaPrime наразі оцінюються у 475 мільйонів доларів. Основна причина цього нападу полягає в відсутності перевірки введення функції отримання винагороди.
()
Тала
15 листопада 2024 року Децентралізовані фінанси проєкту Thala, заснованого на Aptos, став жертвою атаки, в результаті якої було викрадено 25,5 мільйона доларів США. Зловмисник використав уразливість у смартконтракті. Проєкт призупинив використання відповідного смартконтракту і заморозив частину токенів, що призвело до успішного заморозження активів на суму приблизно 11,5 мільйона доларів США. Після співпраці з правоохоронними органами та кількома командами з блокчейн-безпеки, проєкт зміг успішно відновити активи, дозволивши зловмиснику залишити 300 тисяч доларів США як винагороду.
()
DEXX
16 листопада 2024 року кільком користувачам торговельного терміналу DEXX у блокчейні були викрадені кошти. Згідно з даними команди з безпеки SlowMist, розмір збитків від цього інциденту склав 21 мільйон доларів США. Наразі команда з безпеки SlowMist продовжує допомагати офіційним особам DEXX та їх партнерам у проведенні аналізу. 28 листопада команда з безпеки SlowMist опублікувала отримані Адреса від атакувальників DEXX на Solana у блокчейні - 8 612, і адреси атакувальників на EVM у блокчейні будуть опубліковані після завершення очищення та аналізу.
()
Полтер Фінанс
17 листопада 2024 року проект Децентралізовані фінанси Polter Finance, базований на Fantom, став жертвою атаки, внаслідок чого зазнав збитків у приблизній сумі $12 мільйонів. Атакувальник вичерпав резерв Токенів BOO за допомогою Термінових позик, штучно підвищивши розрахункову ціну BOO. Це дало йому змогу позичати Токени на значно більшу суму, ніж їх фактична вартість, і заробляти величезні прибутки. Засновник платформи заявив, що вони подали звіт в органи влади Сінгапуру і намагаються зв'язатися з атакувальником через повідомлення у блокчейні, щоб домовитися про повернення коштів, але поки не отримали відповіді.
()
Аналіз особливостей та рекомендації щодо безпеки
Кількість подій з безпеки та розмір збитків цього місяця в порівнянні з попереднім місяцем помітно зменшилися, що в певній мірі відображає постійне поліпшення заходів з безпеки в галузі. Варто звернути увагу, що як з точки зору розподілу причин атак, так і розміру завданих збитків, дефекти контрактів становлять найбільший відсоток. У цьому місяці сталося 7 випадків використання дефектів контрактів, що призвели до збитків приблизно 30 мільйонів доларів США, що становить 39% від загальних збитків. Команда з безпеки від Mistream рекомендує вечірку проєкту постійно залишатися пильними, регулярно проводити повний аудит безпеки, відстежувати та вирішувати нові загрози безпеки та дефекти, щоб захистити проєкти та активи.
Крім того, команда з безпеки SlowMist зауважила, що в цьому місяці сталася реальна атака на галузь криптовалют, спрямована на зараження штучним інтелектом (AI). Це свідчить про те, що обсяг цілей атаки Мережі постачання постійно зростає. Деякі розробники, прагнучи досягти більшої продуктивності, можуть занадто покладатися на згенерований штучним інтелектом код, ігноруючи перевірку його безпеки. Тому команда з безпеки SlowMist нагадує розробникам та вечірка проєкту, що використовуючи згенерований штучним інтелектом код, не слід сліпо довіряти результатам. Усі коди перед фактичним використанням повинні пройти строгу перевірку на безпеку та тестування, щоб уникнути загроз безпеці та забезпечити безпеку активів проєкту та користувачів. У той же час, вечірка проєкту також повинна посилити загальне управління безпекою Мережі постачання, всебічно оцінюючи сторонні інструменти та сервіси, а також продовжувати підписуватися на пов'язані з безпекою події, щоб своєчасно реагувати на нові загрози.
Нарешті, події, зібрані в цій статті, є основними подіями цього місяця з питань безпеки. Більше подій з безпеки блокчейну можна знайти в архіві взлому блокчейну від SlowMist (/), натисніть тут, щоб перейти до оригіналу.
Переглянути оригінал
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Огляд подій з безпеки Web3 в листопаді: загальний збиток становить близько 8 624 мільйони доларів
Написав: Команда безпеки SlowMist
Огляд
У листопаді 2024 року загальна втрата від подій безпеки Web3 становила приблизно 86,24 млн доларів США. Згідно зі статистикою бази даних під назвою 'Блокчейн-був-відібраний' (Blockchain Blacklist), сталося 21 випадок вторгнення, що спричинило збиток у розмірі приблизно 76,86 млн доларів США, з яких 25,5 млн доларів США було повернуто. Причини подій включають уразливості контрактів, взломи облікових записів та маніпуляції цінами. Крім того, за даними платформи Scam Sniffer, яка спеціалізується на боротьбі з фішингом у Web3, цього місяця постраждали 9 208 жертв фішингу, загальний збиток становив 9,38 млн доларів США.
()
Велика подія з безпеки
MetaWin
4 листопада 2024 року, за даними детектива у блокчейні ZachXBT, платформа для азартних ігор MetaWin, ймовірно, була атакована, із Ethereum та Solana у блокчейні було викрадено понад 4 мільйони доларів. За словами генерального директора MetaWin Skel, зловмисникам вдалося вторгнутися в гарячий Гаманець MetaWin через систему безперешкодного зняття коштів платформи.
DeltaPrime
2024 року 11 листопада Децентралізовані фінанси протокол DeltaPrime був атакований на Avalanche та Arbitrum, а у втрати DeltaPrime наразі оцінюються у 475 мільйонів доларів. Основна причина цього нападу полягає в відсутності перевірки введення функції отримання винагороди.
()
Тала
15 листопада 2024 року Децентралізовані фінанси проєкту Thala, заснованого на Aptos, став жертвою атаки, в результаті якої було викрадено 25,5 мільйона доларів США. Зловмисник використав уразливість у смартконтракті. Проєкт призупинив використання відповідного смартконтракту і заморозив частину токенів, що призвело до успішного заморозження активів на суму приблизно 11,5 мільйона доларів США. Після співпраці з правоохоронними органами та кількома командами з блокчейн-безпеки, проєкт зміг успішно відновити активи, дозволивши зловмиснику залишити 300 тисяч доларів США як винагороду.
()
DEXX
16 листопада 2024 року кільком користувачам торговельного терміналу DEXX у блокчейні були викрадені кошти. Згідно з даними команди з безпеки SlowMist, розмір збитків від цього інциденту склав 21 мільйон доларів США. Наразі команда з безпеки SlowMist продовжує допомагати офіційним особам DEXX та їх партнерам у проведенні аналізу. 28 листопада команда з безпеки SlowMist опублікувала отримані Адреса від атакувальників DEXX на Solana у блокчейні - 8 612, і адреси атакувальників на EVM у блокчейні будуть опубліковані після завершення очищення та аналізу.
()
Полтер Фінанс
17 листопада 2024 року проект Децентралізовані фінанси Polter Finance, базований на Fantom, став жертвою атаки, внаслідок чого зазнав збитків у приблизній сумі $12 мільйонів. Атакувальник вичерпав резерв Токенів BOO за допомогою Термінових позик, штучно підвищивши розрахункову ціну BOO. Це дало йому змогу позичати Токени на значно більшу суму, ніж їх фактична вартість, і заробляти величезні прибутки. Засновник платформи заявив, що вони подали звіт в органи влади Сінгапуру і намагаються зв'язатися з атакувальником через повідомлення у блокчейні, щоб домовитися про повернення коштів, але поки не отримали відповіді.
()
Аналіз особливостей та рекомендації щодо безпеки
Кількість подій з безпеки та розмір збитків цього місяця в порівнянні з попереднім місяцем помітно зменшилися, що в певній мірі відображає постійне поліпшення заходів з безпеки в галузі. Варто звернути увагу, що як з точки зору розподілу причин атак, так і розміру завданих збитків, дефекти контрактів становлять найбільший відсоток. У цьому місяці сталося 7 випадків використання дефектів контрактів, що призвели до збитків приблизно 30 мільйонів доларів США, що становить 39% від загальних збитків. Команда з безпеки від Mistream рекомендує вечірку проєкту постійно залишатися пильними, регулярно проводити повний аудит безпеки, відстежувати та вирішувати нові загрози безпеки та дефекти, щоб захистити проєкти та активи.
Крім того, команда з безпеки SlowMist зауважила, що в цьому місяці сталася реальна атака на галузь криптовалют, спрямована на зараження штучним інтелектом (AI). Це свідчить про те, що обсяг цілей атаки Мережі постачання постійно зростає. Деякі розробники, прагнучи досягти більшої продуктивності, можуть занадто покладатися на згенерований штучним інтелектом код, ігноруючи перевірку його безпеки. Тому команда з безпеки SlowMist нагадує розробникам та вечірка проєкту, що використовуючи згенерований штучним інтелектом код, не слід сліпо довіряти результатам. Усі коди перед фактичним використанням повинні пройти строгу перевірку на безпеку та тестування, щоб уникнути загроз безпеці та забезпечити безпеку активів проєкту та користувачів. У той же час, вечірка проєкту також повинна посилити загальне управління безпекою Мережі постачання, всебічно оцінюючи сторонні інструменти та сервіси, а також продовжувати підписуватися на пов'язані з безпекою події, щоб своєчасно реагувати на нові загрози.
Нарешті, події, зібрані в цій статті, є основними подіями цього місяця з питань безпеки. Більше подій з безпеки блокчейну можна знайти в архіві взлому блокчейну від SlowMist (/), натисніть тут, щоб перейти до оригіналу.