- Специальный корреспондент
Привет! Я Елизавета, работаю в команде безопасности блокчейна. Прошлый год продемонстрировал впечатляющее разнообразие атак на блокчейн-проекты. Хакеры находили способы извлечь выгоду как из уязвимостей смарт-контрактов, так и из ошибок пользователей. Ландшафт угроз оказался чрезвычайно разнообразным. Векторы атак варьировались от относительно простых методов, таких как фишинг и использование вредоносного программного обеспечения для компрометации устройств владельцев кошельков, до более сложных атак, требующих глубокого понимания работы блокчейн-протоколов, например эксплуатации ошибок reentrancy, и знания особенностей некоторых версий контрактов.
В рамках этого обзора хочу познакомить вас с ключевыми трендами из мира безопасности web3 за 2024 год и расскажу про наиболее популярные методы и векторы атак. А также оценим масштабы ущерба для индустрии.
По данным аналитических платформ, общий объем средств, находящихся в обращении в блокчейне, уже превышает , а общая заблокированная стоимость (TVL) DeFi-проектов продолжает расти и уже составляет более . Только за 2024 год глобальный блокчейн-рынок увеличился более чем в сравнении с 2023 годом и привлек еще больше внимания как частных инвесторов, так и крупных корпораций. С каждым годом блокчейн выходит за рамки криптовалют. Его активно используют в различных областях, таких как финансы, логистика и здравоохранение.
Однако вместе с ростом интереса и капитализации растут и риски. Атаки на блокчейн-экосистему остаются одной из главных угроз для пользователей и проектов. По данным за 2024 год, общая сумма ущерба от взломов составила примерно 1,5 миллиарда долларов, что на меньше по сравнению с 2023 годом. Количество атак при этом увеличилось, отражая эволюцию методов взлома и новые схемы мошенничества. Для понимания масштабов проблем в таблице ниже собраны данные об инцидентах с наибольшим ущербом.
Крупнейшие криптовзломы 2024 года
Из публичных источников было выделено более 150 инцидентов взломов DeFi-протоколов, метавселенных, смарт-контрактов и криптобирж. При этом в список не вошли случаи мошенничества, связанные с преступной деятельностью, такой как схемы , с целью продвижения мошеннических токенов и другие виды обмана, которые направлены на манипуляцию или введение пользователей в заблуждение. Ниже приведен список из 10 крупнейших атак по количеству убытков. Интересно отметить, что пять проектов из 10 являются криптобиржами.
Топ-10 взломов по количеству похищенных средств
DMM Bitcoin
Украдено: 308 млн $
Дата: 31 мая 2024
Атака: компрометация закрытого ключаСамым крупным стал взлом крупнейшей в Японии централизованной криптовалютной биржи DMM Bitcoin. Из ее аккаунтов было выведено около 308 млн $ в биткоинах (BTC). Компания не раскрыла подробности инцидента, но, вероятнее всего, взлом произошел из-за компрометации приватного ключа. FBI, DC3 и Национальное полицейское агентство Японии (NPA) с группой TraderTraitor. , расследовавшее инцидент, обнаружило серьезные проблемы в управлении рисками DMM Bitcoin, включая отсутствие ответственного за управление рисками, отсутствие независимых аудитов и плохие методы обеспечения безопасности в случае работы с внешними кошельками.
WazirX
Украдено: 235 млн $ Дата: 18 июля 2024 Атака: компрометация закрытого ключа, компрометация мультиподписиВ июле 2024 года индийская криптовалютная биржа WazirX подверглась масштабной хакерской атаке, в результате которой было похищено около 235 млн $ в криптовалютах, включая Shiba Inu (SHI
, Ethereum (ETH) и Polygon (MATIC). Хакеры использовали вредоносное ПО для манипуляции транзакциями. WazirX использовала мультиподпись Gnosis Safe, требующую четыре из шести подписей для проведения транзакций. Пять ключей находились под управлением WazirX, а шестой у Liminal — провайдера услуг хранения цифровых активов, над которой также был захвачен контроль. Используя несоответствия между пользовательским интерфейсом Liminal и фактическими данными транзакции, хакеры заставили четырех подписантов мультиподписи WazirX утвердить перевод управления кошельком на смарт-контракт, подконтрольный злоумышленнику. Это позволило обновить кошелек до вредоносного контракта и похитить средства.Munchables
Украдено: 62,5 млн $ Дата: 27 апреля 2024 Атака: социальная инженерияПроект Munchables, построенный на основе блокчейна Blast, был взломан собственным разработчиком в марте 2024 года. Разработчик создал прокси-смарт-контракт, адрес развертывания которого находился под его контролем. Злоумышленник увеличил баланс своего аккаунта на 1 миллион токенов, а затем обновил контракт до защищенной версии, сохранив при этом свои средства. Позже он вывел из контракта 62,5 млн $ в ETH.
Расследование, проведенное совместно с блокчейн-аналитиками из PeckShield и членами сообщества под руководством ZachXBT, выявило, что за взломом стоял один из разработчиков проекта.
После переговоров разработчик согласился вернуть украденные средства, предоставив приватные ключи, необходимые для возврата активов. В результате команда Munchables смогла восстановить похищенные средства и сосредоточилась на их перераспределении среди пострадавших пользователей.
BtcTurk
Украдено: 55 млн $ Дата: 22 июня 2024 Атака: компрометация закрытого ключаКрупнейшая турецкая биржа BtcTurk была взломана в июне 2024 года. Хакер получил доступ к горячим кошелькам биржи, вероятно, скомпрометировав приватные ключи, и похитил 55 млн $.
Представители BtcTurk заверили, что холодные кошельки, где хранится большая часть активов, не пострадали, и финансовая устойчивость компании позволяет покрыть убытки без ущерба для средств пользователей. В качестве меры предосторожности биржа временно приостановила депозиты и вывод криптовалют до завершения расследования инцидента.
Radiant Capital
Украдено: 53 млн $ Дата: 16 октября 2024 Атака: компрометация закрытого ключа, компрометация мультиподписиподвергся нескольким атакам в 2024 году, включая атаку на мгновенные кредиты на сумму 4,5 млн $ в январе и эксплойт мультиподписной схемы на 53 млн $ в октябре. Злоумышленники смогли скомпрометировать устройства по крайней мере трех основных участников DAO с помощью сложной инъекции вредоносного ПО. Эти скомпрометированные устройства затем использовались для подписи вредоносных транзакций. Устройства были скомпрометированы таким образом, что интерфейс отображал данные легитимных транзакций, в то время как вредоносные транзакции подписывались и выполнялись в фоновом режиме. Эти контракты использовали ранее существовавшие разрешения и транзакциями вывели из пользовательских кошельков средства на общую сумму 53 млн $.
В ходе расследования, проведенного совместно с экспертами по кибербезопасности из компаний Mandiant, zeroShadow, Hypernative и SEAL 911, было установлено, что хакеры использовали вредоносную программу под названием InletdriftL, которая через зараженные PDF-файлы устанавливала бэкдор на устройства под управлением macOS, позволяя выполнять вредоносные скрипты.
Как атаковали блокчейн-проекты
По нашим данным, наиболее распространенными способами атак на блокчейн-проекты являются нарушения контроля доступа, использование быстрых займов, компрометация закрытых ключей и эксплуатация логических уязвимостей.
Доля атак по типам блокчейн-проектов
Контроль доступа
Уязвимость, связанная с недостаточной или неправильной настройкой контроля доступа в смарт-контрактах или системах управления ключами. Может включать отсутствие ограничений на выполнение критически значимых функций. Общая сумма ущерба от этого вектора атаки составила почти 20% от общей суммы потерь. Для примера: в феврале 2024 года , приложение для блокчейн-игр, подверглось атаке, в результате которой хакеры похитили около 290 млн $. Злоумышленник получил возможность добавить адрес в список адресов, имеющих право выпускать токены, и провел две атаки. В первый раз он сгенерировал более 200 миллионов токенов, что составило 72% от общего начального предложения токенов. Во второй раз хакер создал еще 1,5 миллиарда токенов, что окончательно обвалило цену и не позволило злоумышленнику полностью воспользоваться полученными токенами.Компрометация приватных ключей
Атака, при которой злоумышленники получают доступ к приватному ключу, используемому для подписания транзакций или управления средствами. Это может произойти из-за утечки данных, фишинга или недостаточно защищенных систем хранения ключей. Ущерб от атак этого типа составил треть от общей суммы потерь. Для примера: компания в июле 2024 года потеряла 8 млн $ из-за компрометации ключей вследствие атаки на цепочку поставок. Используя PyPI, платформу для python-пакетов, киберпреступники распространили вредоносный код, похищающий приватные ключи пользователей при совершении действий, требующих доступа к ключам.Атака на мгновенные кредиты
Взлом, использующий мгновенные кредиты (flash loans) для манипуляций с ценами, ликвидностью или логикой смарт-контрактов. Атаки происходят в течение одной транзакции, что делает их трудными для обнаружения и предотвращения. Например, DeFi-платформа подверглась атаке в июне 2024 года и потеряла более 19 млн $. Уязвимость заключалась в логике расчета цены токена: она позволила хакерам взять мгновенный кредит, искусственно завысить цену токена и продать их по новой цене, получив солидную прибыль.Уязвимости кода
Ошибки в коде смарт-контрактов или децентрализованных приложений, которые позволяют злоумышленникам эксплуатировать систему, например переполнения, уязвимости в логике, неподготовленные механизмы обновления. В августе подверглась атаке: MEV-бот (maximum extractable value), автоматизированный инструмент, используемый для извлечения максимальной прибыли из транзакций в блокчейн-системах путем фронт-раннинга, сумел похитить 2 млн $ и 4 тысяч ETH. В коде была уязвимость: в контракте было несколько функций инициализации, одна из которых была неиспользуемой, но она задавала дефолтное значение для параметра, который определяет количество голосов, необходимое для одобрения транзакции, чем и воспользовался бот. Операторы вернули средства, за что получили вознаграждение от команды Ronin в размере 500 тысяч $.Какие проекты атаковали больше всего
Одна из самых заметных тенденций года — увеличение числа атак на DeFi-проекты, которые остаются главной целью злоумышленников.
Доля атак на De-Fi-проекты по типу цели
Больше всего потерь у бирж, протоколов и гейминговых проектов / мультивселенных.
- Централизованные биржи (CEX). Биржи остаются лакомой целью для атакующих, особенно из-за их централизованной природы. Проблемы с управлением приватными ключами, недостаточные меры аутентификации и сложные схемы социальной инженерии делают CEX уязвимыми для крупных взломов. Эти атаки часто связаны с утечками из горячих кошельков или компрометацией мультиподписных кошельков.
- Децентрализованные финансовые платформы (DeFi). Этот сегмент по-прежнему является самой «горячей» целью: на нее приходится более половины всех похищенных средств. Уязвимости, связанные с мгновенными кредитами, багами в механизмах ликвидности и манипуляциями с оракулами цен, остаются ключевыми точками входа.
- Игры (GameFi). На третьем месте по объемам украденных средств находятся игровые проекты, включая блокчейн-игры и метавселенные. Они привлекают не только игроков, но и хакеров, которые используют уязвимости в смарт-контрактах, атаки на внутриигровые токены и эксплойты в системах управления активами.
Размеры ущерба по типу цели
Как атаковали блокчейн-сети
Следующий график демонстрирует распределение атак по различным блокчейн-сетям, включая как EVM-совместимые, так и другие сети.
Распределение взломов по сетям
Большая часть взломов все еще приходится на Ethereum-сети, что логично, так как общая заблокированная стоимость в EVM-сетях самая крупная, и им принадлежит львиная доля рынка.
Взломы не-EVM-проектов
Стоит отметить, что не-EVM-сети в 2024 году оставались относительно безопасной зоной. В публичном пространстве были опубликовано всего 7 атак, суммарный ущерб от которых оказался небольшим — всего около 30 миллионов долларов. Шесть из семи атак были произведены в сети Solana, одна атака пришлась на Aptos.Thala
Украдено: 25,5 млн $ Дата: 18 ноября 2024 Атака: уязвимость в кодеОдин из таких случаев — в сети Aptos, который привел к ущербу в 25,5 млн $. Thala — это децентрализованная платформа, разработанная для управления ликвидностью и фарминга (процесс получения вознаграждений за предоставление ликвидности или участие в De-Fi-проектах). Хакер нашел уязвимость в функции Withdraw, связанную с отсутствием проверки на возможность вывода большего количества токенов, чем есть у пользователя в стейкинге (процесс замораживания криптовалюты для поддержки сети и получения вознаграждений). Thala Labs смогли быстро заморозить примерно половину украденных активов. Последующая сделка с хакером привела к возврату всех украденных активов в обмен на вознаграждение в размере 300 тыс. $.
MangoFarmSOL
Украдено: 1,26 млн $ Дата: 6 января 2024 Атака: мошенничествоMangoFarmSOL рекламировался как фермерский протокол на блокчейне Solana с высокими доходами и раздачей собственных токенов. 6 января 2024 года проект MangoFarmSOL оказался мошенническим и , что привело к потерям в размере около 1,32 млн $. Основная часть украденных средств — токены SOL. Пользователи вносили свои SOL, привлеченные обещаниями высоких доходов. Разработчики же запустили мошенническую схему и вывели полученные 13 512 SOL (1,26 млн $) c пользовательских вкладов, а затем использовали поддельный пользовательский интерфейс с кнопкой «экстренной миграции» средств, чтобы украсть еще 60 000 долларов. После этого аккаунты проекта в соцсетях и сайт были деактивированы.
Solareum
Украдено: 515 тыс. $ Дата: 29 марта 2024 Атака: ненадлежащий контроль доступаSolareum, торговый бот на базе блокчейна Solana, : было похищено 2 808 SOL (около 515 тыс. $). Инцидент произошел 29 марта, затронув 302 пользователя. Вероятнее всего, хакеры смогли украсть токен бота Telegram и получили доступ к прошлым сообщениям, содержащим закрытые ключи. Несмотря на попытки заморозить украденные средства на централизованных биржах, команда не смогла устранить последствия атаки и закрыла проект.
Pump Science
Украдено: неизвестно Дата: 25 ноября 2024 Атака: компрометация закрытого ключаПлатформа децентрализованной науки (DeSci) Pump Science сообщил , что их кошелек из-за случайного слива приватного ключа в кодовой базе репозитория на GitHub. Эта критическая оплошность позволила злоумышленникам получить контроль над официальным криптокошельком Pump.fun, взломать его профиль и выпускать мошеннические токены от имени платформы. Позже компания принесла свои извинения и пообещала провести аудит перед выпуском новых токенов.
Pump.fun
Украдено: 2 млн $ Дата: 16 мая 2024 Атака: компрометация закрытого ключа, атака на мгновенные кредиты16 мая 2024 года платформы Pump.fun, специализирующейся на запуске мем-токенов на базе блокчейна Solana. В результате атаки злоумышленники похитили минимум 12 300 SOL (около 2 млн $), используя мгновенные кредиты.
Атака стала возможной из-за компрометации приватного ключа. Злоумышленники взяли мгновенный кредит, а затем использовали доступ к привилегированному аккаунту, чтобы провести следующую цепочку атак: вывести ликвидность, предназначенную для переноса на децентрализованную биржу, вернуть кредит и перераспределить оставшиеся средства между держателями различных токенов Solana.
Атака на цепочку поставок
Украдено: 130 тысяч $ Дата: декабрь 2024 Атака: взлом инструмента разработкиВ декабре 2024 года группа исследователей в @solana/web3.js — это пакет npm, который можно использовать для взаимодействия с комплектом разработки программного обеспечения (SDK) Solana JavaScript для создания Node.js- и веб-приложений. По словам исследователя безопасности компании Datadog, бэкдор, встроенный в версию 1.95.7, добавляет функцию addToQueue, которая извлекает закрытый ключ через, казалось бы, легитимные заголовки CloudFlare, и что вызовы этой функции затем вставляются в различные места в коде, которые (легально) получают доступ к закрытому ключу. Позже выяснилось, что атака началась с фишингового письма, нацеленного на контрибьютора с доступом к публикации, что позволило злоумышленнику представиться другим членом команды, украсть его учетные данные и код двухфакторной аутентификации (2FA).
Заключение
Прошлый год стал знаковым для безопасности DeFi. Большинство атак были связаны с компрометацией приватных ключей и использованием методов социальной инженерии, что подчеркивает важность не только проведения аудитов кода, но и защиты инфраструктуры и приватных ключей.Кроме того, 2024 год стал годом устойчивого роста TVL в не-EVM-сетях, что указывает на возросший интерес к новым блокчейн-проектам и приток значительных капиталов в этот сегмент. Только что появившиеся сети продолжают набирать популярность среди пользователей и разработчиков, создавая экосистему, которая становится все более разнообразной и конкурентной. Однако с ростом популярности неизбежно появляется больше рисков взлома. Чем больше людей будут вовлечены в эту сферу, тем выше вероятность того, что внимание хакеров сосредоточится на не-EVM-сетях.
Для минимизации рисков и повышения безопасности ваших проектов в 2025 году рекомендуется придерживаться следующих базовых принципов:
- Защита приватных ключей. Используйте аппаратные кошельки, мультиподписи (multisig) или MPC для защиты критически важных функций и активов. Минимизируйте количество пользователей, имеющих доступ к ключам.
- Аудит смарт-контрактов. Проводите комплексные и независимые аудиты кода перед его развертыванием. Убедитесь, что тесты покрывают возможные сценарии эксплуатации.
- Багбаунти-программы. Создавайте стимулы для поиска и устранения уязвимостей с помощью публичных багбаунти-программ. Это поможет найти сложные уязвимости до того, как их используют злоумышленники.
- Контекстуальная проверка безопасности. Анализируйте зависимости, внешние API и web2-инфраструктуру, так как уязвимости могут находиться за пределами кода смарт-контракта.
- Минимизация привилегий. Ограничивайте права доступа теми, которые необходимы для выполнения задачи. Это снизит потенциальный ущерб при компрометации.
- Обновления и патчи. Следите за актуальностью библиотек, зависимостей и протоколов, которые использует ваш проект.
