Останній звіт з безпеки промисловості Web3 від Gate Research показує, що в лютому сталося 15 випадків безпеки з загальним збитком у розмірі $1,676 мільярда. Типи інцидентів були різноманітні, взломи облікових записів та вразливості контрактів стали основними загрозами, які становлять 58,3% від загальних збитків. Звіт надає докладний аналіз ключових випадків безпеки, включаючи крадіжку гаманців на біржі Bybit, відсутність строгих контролів дозволів у Infini та зустріч вразливостей контрактів у zkLend. Взлом облікових записів та вразливості контрактів були визначені як основні безпекові ризики цього місяця, підкреслюючи необхідність для галузі постійно посилювати заходи безпеки.

Абстрактний

• У лютому 2025 році галузь Web3 зазнала 15 випадків порушення безпеки, що призвело до загальних втрат у сумі $1,676 мільярдів, що значно перевищує попередній місяць.
• У цьому місяці переважно стосуються вразливостей контрактів та взломів облікових записів, які становлять 53,3% загальних збитків у криптовалютній галузі.
• При дослідженні розподілу випадків порушення безпеки на різних ланцюжках, три проекти зазнали втрат на блокчейн BSC.
• Основні події цього місяця включають втрату гаманця у біржі Bybit (втрата $1.5 мільярда), відсутність строгих контролів дозволів у Infini (втрата $50 мільйонів) та атаку соціального інженеру у ionic (втрата $12.3 мільйона).

Огляд інциденту з безпеки

Згідно з даними SlowMist, у лютому 2025 року зафіксовано 15 випадків порушень безпеки з збитками у розмірі $1.676 мільярда. Атаки в основному пов'язані з уразливостями у контрактах, взломом облікових записів та іншими методами. Порівняно з січнем 2025 року, загальна сума збитків збільшилася в 18 разів щомісяця. Уразливості контрактів та взлом облікових записів були головними причинами атак, із 8 пов'язаних випадків взлому, що становить 53,3% від загальної кількості. Офіційні облікові записи X залишалися основними цілями для хакерів.

Розподіл інцидентів безпеки цього місяця на загальнодоступних блокчейнах показує, що три проекти - BankX, Cashverse та Four.Meme - були всі в екосистемі BSC, з загальними втратами, що перевищують 330 000 доларів. Цей ряд інцидентів свідчить про те, що безпека проектів екосистеми громадського ланцюжка терміново потребує посилення. Зіткнувшись з частими атаками та вразливостями, BSC повинна надати більший акцент на аудит смарт-контрактів, механізми контролю ризиків та заходи моніторингу on-chain для підвищення загальних стандартів безпеки.

Декілька проектів блокчейн стали жертвами серйозних інцидентів з безпекою цього місяця, що призвело до значних фінансових втрат. Серед помітних випадків варто відзначити крадіжку гаманця від біржі Bybit (втрата $1,5 мільярда), відсутність строгого контролю дозволів у Infini (втрата $50 мільйонів) та вразливості контрактів у zkLend (втрата $9,6 мільйонів).

Важливі випадки безпеки у лютому

Згідно з офіційними розкриттями, зазначені проекти зазнали втрат, що перевищують 1,56 мільярда доларів у лютому. Відсутність строгих контрольних дозволів та крадіжка гаманця були двома основними загрозами.

• Bybit зазнала виведення коштів у розмірі 1,5 мільярда доларів США, яке, ймовірно, здійснила згруповання північнокорейських хакерів Lazarus Group, які втрутилися у фронтенд-код Safe{Wallet} та підробили інтерфейси підписів, обійшовши багатофакторний механізм Bybit, щоб контролювати його холодний гаманець Ethereum.
• Infini зазнав збитку у розмірі 50 мільйонів доларів через відсутність строгих контролів дозволів. Зловмисники успішно отримали гаманець з правами адміністратора та використовували ці дозволи для здійснення несанкціонованих операцій.
• Ionic втратив $12,3 мільйона, коли зловмисники розгорнули контракти на фальшиві токени Lombard BTC (LBTC) та використали їх як заставу для запозичення різних активів на платформі Ionic.

Bybit

Огляд проекту:
Bybit, заснований у березні 2018 року, є провідною криптовалютною біржею. Знаний своєю інноваційною технологією та відмінним досвідом торгівлі, Bybit прагне стати найбільш надійною біржею на ринку емітентів цифрових активів.

Огляд інциденту:
21 лютого Bybit втратив 499 000 ETH (приблизно 1,5 мільярда доларів) через крадіжку гаманця, що стало найбільшою одиночною крадіжкою в історії криптовалютної галузі. Розслідування вказують на те, що напад ймовірно був скоєний північнокорейською хакерською групою Лазарус. Їхнім основним методом було втручання у фронтенд-код Safe{Wallet} та підробка інтерфейсів підписів, обігнувши багатофакторний механізм Bybit, щоб остаточно контролювати їхній холодний гаманець Ethereum та трансферувати значні кошти на анонімні адреси.

Згідно з аналізом команди з безпеки SlowMist, хакери спочатку розгорнули зловмисні контракти, потім проникли в сервер Safe{Wallet}, підробили код фронтенду та замінили файли JavaScript. Це призвело до того, що користувачі ненавмисно підписували транзакції, які містили вбудовану зловмисну логіку під час побудови транзакції. За допомогою цієї складної техніки атакувальники успішно ухилилися від механізму багатофакторної перевірки Bybit та завершили крадіжку. [2][3]

Рекомендації після інциденту:

• Покращення архітектури безпеки багатоадресного гаманця: оновіть угоди Safe до версії 1.3.0 або вище, увімкніть механізми захисту, щоб строго обмежити дозволи на транзакції; впровадити багатоадресний + MPC + HSM холодний гаманець для зберігання понад 90% активів, динамічно налаштовувати ліміти гарячого гаманця та поєднувати шарування з географічно розподіленим сховищем ключів, щоб запобігти виникненню загальних втрат через відмову одного пункту.
• Підвищте безпеку облікового запису, щоб запобігти несанкціонованому доступу: Увімкніть двофакторну аутентифікацію (2FA), реалізуйте білістинг адрес та інтегруйте моніторинг поведінки транзакцій за допомогою штучного інтелекту, щоб запобігти несанкціонованому доступу до облікового запису хакерами.
• Продвиження галузевих союзів з безпеки: Створення бази даних з інтелектуальних атак хакерів та просування союзів з безпеки між біржами, компаніями аналізу on-chain та платформами DeFi для створення механізмів швидкого реагування та зменшення шляхів втечі хакерів.

Infini

Огляд проекту:
Infini - це новий тип стейблкоїн-банку, спрямований на криптовалюти. Компанія використовує смарт-контракти та технологію блокчейну для надання користувачам децентралізованих фінансових послуг, підтримуючи функції, такі як депозити, кредити та платежі.

Огляд події:
24 лютого через відсутність строгих контрольних дозволів атакувальники успішно отримали гаманець з привілеями адміністратора та використали ці дозволи для виконання несанкціонованих операцій, викравши майже 50 мільйонів доларів. Ключові уразливості були пов'язані з відсутністю строгого керування дозволами у розумному контракті, що дозволило атакувальникам безпосередньо контролювати критичні операції, та невдалим впровадженням мінливих підписів або заходів ізоляції дозволів для адміністраторського облікового запису. Це означало, що якщо один гаманець був скомпрометований, всю систему можна було контролювати.

Рекомендації після інциденту:

• Посилити управління дозволами: Впровадіть вимоги щодо багато підписань, щоб забезпечити, що ключові транзакції потребують схвалення кількома приватними ключами, а не контролюються одиночним обліковим записом адміністратора.
• Покращення механізмів безпеки: Оновлення безпеки смарт-контрактів та використання механізмів децентралізованого управління для зменшення залежності від облікових записів одного адміністратора.
• Перевірка коду та системи моніторингу в реальному часі: Залучайте професійні компанії з безпеки блокчейну (такі як CertiK, SlowMist), щоб проводити комплексні аудити смарт-контрактів та відстежувати аномальні рухи коштів, з автоматичним заморожуванням коштів у разі підозрілих дій.

іонічний

Огляд проекту:
Ionic - це протокол кредитування, заснований на екосистемі Mode, яка надає ринки ліквідності без дозволу, що дозволяють користувачам позичати, використовуючи різні активи як заставу. Завдяки низьким комісіям та масштабованим можливостям Mode, він залучив багатьох користувачів DeFi.

Огляд інциденту:
5 лютого Ionic постраждав від атаки соціальної інженерії, що призвела до збитків приблизно 8,8 мільйона доларів. Зловмисники використали підроблені контракти токенів Lombard BTC (LBTC) і використовували їх як заставу для позики різних активів на платформі Ionic, включаючи MBTC, uniBTC, wrsETH, WETH та STONE. Починаючи з початкових коштів всього 0,01 ETH, зловмисники незаконно набули значні активи за допомогою цього методу і відмивали їх через Tornado Cash. [5]

Рекомендації після інциденту:

• Підвищення перевірки забезпечення активами: Здійснення сертифікації активів on-chain для всіх не-основних забезпечень, фільтрація потенційно шахрайських токенів через оракул та механізми оцінювання репутації.
• Додайте механізми білого списку до смарт-контрактів: Обмежте заставу лише офіційно затвердженими активами та використовуйте динамічну систему оцінювання ризику для запобігання зловмисним контрактам у подальшому видавати заставні активи.
• Системи моніторингу в реальному часі та системи попередження: Встановіть механізми моніторингу в реальному часі для швидкого виявлення та реагування на ненормальні активності.

Огляд

У лютому 2025 року кілька платформ DeFi та CeFi стали жертвами атак на вразливість безпеки, що призвело до втрат сотень мільйонів доларів. До цих інцидентів відносяться взлом біржі Bybit, відсутність строгих контрольних дозволів у Infini та атака на іонічну, яка стала жертвою атаки з соціальної інженерії. Ці події показали критичні ризики в криптовалютних платформах щодо безпеки, аудиту коду розумних контрактів та управління ризиками. Галузі терміново потрібно посилити аудит розумних контрактів, впровадити моніторинг в реальному часі та впровадити багаторівневі механізми захисту для підвищення безпеки платформи та довіри користувачів. Gate.io нагадує користувачам залишатися бджолою та приймати необхідні заходи для захисту своїх коштів.


Посилання:

1. Slowmist,https://hacked.slowmist.io/zh/statistics
2. X,https://x.com/benbybit/status/1894768736084885929
3. SlowMist,https://slowmist.medium.com/slowmist-hacker-techniques-and-questions-behind-bybits-nearly-1-5-billion-theft-09f0b59da2e2
4. X,https://x.com/0xinfini/status/1893973307596435871
5. X,https://x.com/wublockchain12/status/1886953752973992438

Дослідження Gate.io
Gate Research - це комплексна платформа з досліджень блокчейну та криптовалют, яка надає глибокий контент. Це включає технічний аналіз, гарячі тематичні висновки, огляди ринку, дослідження галузі, прогнози тенденцій та аналіз макроекономічної політики.

Клацнітьтутвідвідати зараз

Відмова від відповідальності
Інвестування на криптовалютному ринку передбачає високий ризик, тому рекомендується користувачам проводити незалежні дослідження та повністю розуміти характер активів та продуктів, які вони придбають, перед тим як робити будь-які інвестиційні рішення. Gate.io не несе відповідальності за будь-які збитки або шкоду, завдані такими інвестиційними рішеннями.