Web3安全風險警示:2024年度最具影響力的十大攻擊事件
2024年,Blockchain行業在技術創新和生態擴展的同時,也面臨著越來越嚴峻的安全挑戰。據安全審計公司Beosin旗下Alert平臺監測,截止發稿時,2024年Web3領域因黑客攻擊、釣魚詐騙和項目方RugPull造成的總損失達到了24.91億美元。
這些事件不僅暴露出私鑰管理、智能合約漏洞等技術缺陷,也凸顯了社交工程和內部管理的潛在風險。本篇文章將盤點2024年最Web3十大安全事件,幫助業界從中吸取教訓,更好地應對未來的安全威脅。
攻擊方式:私鑰泄露
2024年2月9日,PlayDapp遭遇重創,黑客通過竊取私鑰鑄造了20億枚PLATokens,初始價值3650萬美元。由于項目方與黑客的談判未果,黑客在短時間內進一步鑄造了159億枚PLATokens,價值2.539億美元。這些Tokens部分流入Gate交易所后,PlayDapp被迫暫停了PLA合約并遷移至PDATokens合約。此次事件凸顯了Blockchain項目在私鑰保護和事件應急處置方面的缺陷。No.3WazirX
損失金額:2.35億美元
攻擊方式:網絡攻擊與釣魚
2024年7月18日,印度最大的Crypto交易所WazirX的SafeWallet多簽錢包遭到黑客精準攻擊。攻擊者通過社會工程學誘導多簽簽名者簽署了一份合約升級交易,隨后利用升級后的合約權限將錢包中的資產轉移一空。這起案件凸顯了多簽錢包在管理權限配置和操作透明度上的潛在風險,也引發了業內對項目內部風控與安全機制的深入反思。
No.4GalaGames
損失金額:2.16億美元
攻擊方式:訪問控制漏洞
2024年5月20日,GalaGames某一特權地址被黑客攻破,攻擊者通過調用Tokens合約中的mint函數,一次性鑄造了50億枚GALATokens。隨后,黑客通過分批次將增發的Tokens兌換為ETH,直接造成了2.16億美元的損失。GalaGames團隊在事件發生后緊急啟用黑名單功能封鎖了部分黑客賬戶,并通過司法途徑追回了損失。
No.8RadiantCapital
損失金額:5300萬美元
攻擊方式:私鑰泄露
2024年10月17日,RadiantCapital的多簽錢包被黑客攻陷。由于其采用了低門檻的3/11簽名驗證模式,黑客通過掌握3個簽名者的私鑰發起鏈下簽名,將錢包合約的所有權轉移至惡意地址,最終導致5300萬美元被盜。這次攻擊引發了對多簽錢包設計和治理機制的行業反思。
RadiantCapital在此次攻擊之前,就因合約漏洞而損失450萬美元,超1900枚ETH被盜。Web3項目方對安全的重視程度仍需提高。No.9HedgeyFinance
損失金額:4470萬美元
攻擊方式:合約漏洞
2024年4月19日,HedgeyFinance遭遇針對多個鏈上合約的攻擊。黑客利用了其ClaimCampaigns合約的批準漏洞,成功提取了Ethereum和Arbitrum兩條鏈上的Tokens,總損失金額達4470萬美元。該事件顯示了代碼審計的重要性,尤其是對Tokens批準邏輯的嚴格驗證。
No.10BingX
損失金額:4470萬美元
攻擊方式:私鑰泄露
2024年9月19日,BingX交易所的熱錢包被黑客入侵,涉及的鏈包括Ethereum、BNBChain、Tron等多條公鏈。盡管交易所迅速啟動了資產轉移和提現凍結機制,但黑客已成功提取價值4470萬美元的資產。這次攻擊反映了CEX熱錢包管理的高風險性,并進一步推動行業探索更為安全的資產存儲方案。
2024年的安全攻擊事件頻發,再次提醒我們,Blockchain行業的發展離不開安全的護航。從私鑰泄露到合約漏洞,從內部管理疏漏到外部攻擊手段的升級,每一起事件都帶來了深刻的教訓。為了應對日益復雜的攻擊威脅,行業各方需要在技術研發、管理規范和風險防控上持續加強投入。未來,我們期待通過行業協作和技術創新,共同建立更加安全的Blockchain生態,為用戶和投資者提供更可靠的保障。