2024年Web3领域十大安全事件盘点

2024年,Web3行业在创新发展的同时,也面临着日益严峻的安全挑战。据数据平台监测,截至目前,2024年Web3领域因黑客攻击、诈骗和项目方跑路等原因造成的总损失高达24.91亿美元。

这些事件不仅暴露了私钥管理、智能合约等技术层面的漏洞,也凸显了社交工程和内部管理方面的潜在风险。本文将回顾2024年Web3十大安全事件,以供业界借鉴,更好地应对未来的安全威胁。

1. DMM Bitcoin事件

损失金额: 3.04亿美元
攻击方式: 私钥泄露

2024年5月31日,日本知名加密货币交易所DMM Bitcoin遭遇重大攻击。黑客利用泄露的私钥直接转移了价值超过3亿美元的比特币,并迅速将被盗资金分散到10多个不同地址。此次事件暴露了该交易所在私钥管理和多层安全防护上的严重缺陷。

尽管交易所试图通过链上监控和冻结资金来追踪黑客,但被盗比特币已被分散转移并通过混币工具清洗,大大增加了追踪难度。12月24日,日本警方确认该事件由朝鲜黑客组织Lazarus Group实施。

2. PlayDapp攻击事件

损失金额: 2.90亿美元
攻击方式: 私钥泄露

2024年2月9日,PlayDapp遭受重创。黑客通过窃取私钥铸造了20亿枚PLA代币,初始价值3650万美元。由于项目方与黑客谈判失败,黑客随后又铸造了159亿枚PLA代币,价值2.539亿美元。部分代币流入交易平台后,PlayDapp被迫暂停PLA合约并迁移至PDA代币合约。此事件凸显了区块链项目在私钥保护和应急处置方面的不足。

3. WazirX多签钱包遭攻击

损失金额: 2.35亿美元
攻击方式: 网络攻击与钓鱼

2024年7月18日,印度最大加密货币交易所WazirX的Safe Wallet多签钱包遭到精准攻击。攻击者通过社会工程手段诱导多签签名者签署了一份合约升级交易,随后利用升级后的合约权限转移了钱包中的全部资产。这起案件揭示了多签钱包在权限配置和操作透明度上的潜在风险,也引发了业内对项目内部风控与安全机制的深入反思。

4. Gala Games代币增发事件

损失金额: 2.16亿美元
攻击方式: 访问控制漏洞

2024年5月20日,Gala Games的一个特权地址被黑客攻破。攻击者通过调用代币合约的mint函数,一次性铸造了50亿枚GALA代币。随后,黑客分批将这些代币兑换成ETH,直接造成2.16亿美元的损失。Gala Games团队在事发后紧急启用黑名单功能封锁部分黑客账户,并通过法律途径追回了损失。

5. Ripple联合创始人个人钱包被盗

损失金额: 1.12亿美元
攻击方式: 私钥泄露

2024年1月31日,Ripple联合创始人Chris Larsen的四个个人钱包遭黑客入侵,导致1.12亿美元的XRP被盗。这些钱包疑因缺乏硬件设备的双重保护而成为攻击目标。事件发生后,某交易平台成功冻结了价值420万美元的XRP,并协助Larsen追踪被盗资产,但大部分资金已通过去中心化交易所和混币服务被清洗。

6. Munchables内部渗透攻击

损失金额: 6250万美元
攻击方式: 社会工程学攻击

2024年3月26日,基于Blast的Web3游戏平台Munchables遭遇罕见的内部渗透攻击。攻击者是伪装成区块链开发人员的朝鲜黑客,通过长期潜伏获取了核心代码和敏感密钥。尽管造成巨额损失,但在社区和团队压力下,黑客最终归还了所有被盗资金。这一事件揭示了供应链安全的重要性,特别是对依赖第三方开发的区块链项目。

7. BtcTurk私钥泄露事件

损失金额: 5500万美元
攻击方式: 私钥泄露

2024年6月22日,土耳其最大加密货币交易所BtcTurk遭遇私钥泄露攻击,损失超过5500万美元的加密资产。在某交易平台的协助下,530万美元被盗资金成功被冻结,但其它资产仍未追回。这一事件加深了市场对中心化交易所私钥管理的担忧。

8. Radiant Capital多签钱包被攻破

损失金额: 5300万美元
攻击方式: 私钥泄露

2024年10月17日,Radiant Capital的多签钱包遭黑客入侵。由于采用了低门槛的3/11签名验证模式,黑客通过掌握3个签名者的私钥发起链下签名,将钱包合约所有权转移至恶意地址,最终导致5300万美元被盗。这次攻击引发了对多签钱包设计和治理机制的行业反思。

值得注意的是,Radiant Capital在此次攻击前,已因合约漏洞损失450万美元,超1900枚ETH被盗。这反映出Web3项目方对安全重视程度仍有待提高。

9. Hedgey Finance合约漏洞攻击

损失金额: 4470万美元
攻击方式: 合约漏洞

2024年4月19日,Hedgey Finance遭遇针对多个链上合约的攻击。黑客利用其ClaimCampaigns合约的批准漏洞,成功提取了以太坊和Arbitrum两条链上的代币,总损失达4470万美元。该事件凸显了代码审计的重要性,尤其是对代币批准逻辑的严格验证。

10. BingX交易所热钱包被入侵

损失金额: 4470万美元
攻击方式: 私钥泄露

2024年9月19日,BingX交易所的热钱包遭黑客入侵,涉及以太坊、BNB Chain、Tron等多条公链。尽管交易所迅速启动资产转移和提现冻结机制,黑客仍成功提取了价值4470万美元的资产。这次攻击反映了中心化交易所热钱包管理的高风险性,推动行业探索更安全的资产存储方案。

2024年安全攻击事件频发,再次提醒我们区块链行业发展离不开安全保障。从私钥泄露到合约漏洞,从内部管理疏漏到外部攻击手段升级,每起事件都带来深刻教训。为应对日益复杂的攻击威胁,行业各方需在技术研发、管理规范和风险防控上持续加强投入。未来,我们期待通过行业协作和技术创新,共同构建更安全的区块链生态,为用户和投资者提供更可靠的保障。