Согласно последнему отчету о безопасности отрасли Web3 от Gate Research, в декабре произошло 27 инцидентов безопасности, что привело к убыткам примерно в размере 4,11 миллиона долларов. Виды инцидентов были разнообразными, причем уязвимости контрактов оставались основной угрозой, отвечая за 72% общих потерь. В отчете также предоставляется подробный анализ ключевых событий в области безопасности, включая уязвимость FEG, уязвимость контракта Clober, уязвимость контракта Clipper DEX и атаку на флеш-кредит HarryPotterObamaSonic10Inu. Уязвимости контрактов и взломы учетных записей были определены как основные риски безопасности за месяц, подчеркивая необходимость отрасли усилить свои меры безопасности.

Основные выводы

• В декабре 2024 года в индустрии Web3 произошло 27 инцидентов безопасности, что привело к убыткам примерно в 4.11 миллиона долларов, что значительно меньше, чем в предыдущем месяце.
• В этом месяце основные случаи нарушений безопасности связаны с уязвимостями контрактов и взломами аккаунтов.
• Уязвимости контрактов по-прежнему остаются серьезной угрозой, составляя 72% общих потерь в области безопасности индустрии криптовалют.
• Большинство убытков произошло на основных блокчейнах, включая BSC, Ethereum, Cardano и Base.
• Ключевыми событиями в этом месяце стали уязвимость безопасности FEG (потеря $1 миллион), уязвимость контракта Clober (потеря $500,000), уязвимость контракта Vestra DAO (потеря $500,000), взлом аккаунта Moonhacker (потеря $320,000) и атака на флеш-кредит HarryPotterObamaSonic10Inu (потеря $243,000).

Обзор инцидентов безопасности

По данным Slowmist, в декабре 2024 года произошло 27 случаев взлома, что привело к потере 4,11 миллиона долларов. Атаки в основном связаны с уязвимостями контрактов, взломами учетных записей и другими методами. По сравнению с ноябрем число инцидентов и общие потери существенно снизились, что свидетельствует об улучшении мер безопасности и осведомленности в отрасли. Уязвимости контрактов остаются главной причиной атак, девять случаев привели к потере свыше 2,98 миллиона долларов, что составляет 72% от общей суммы. Официальные аккаунты X и веб-сайты криптовалютных проектов продолжают оставаться основной целью хакеров [1].

Распределение инцидентов безопасности на публичных блокчейнах в этом месяце показывает, что большинство потерь сконцентрировано на нескольких зрелых и популярных блокчейнах, особенно на Ethereum и Base, с потерями в размере 2,01 миллиона долларов и 950 000 долларов соответственно. Это подчеркивает, что, несмотря на сильную базовую безопасность публичных блокчейнов, уязвимости в прикладном уровне и смарт-контрактах по-прежнему представляют существенные риски для средств пользователей.

В этом месяце несколько проектов блокчейна столкнулись с серьезными инцидентами безопасности, что привело к значительным финансовым потерям. Среди заметных инцидентов следует отметить уязвимость безопасности FEG, которая привела к потере в размере 1 миллиона долларов; уязвимость контракта Clober, которая привела к потере в размере 500 000 долларов; уязвимость контракта Vestra DAO, что привело к потере в размере 500 000 долларов; и уязвимость контракта Clipper DEX, которая привела к потере в размере 457 000 долларов.

Крупные инциденты в области безопасности в декабре

Согласно официальным раскрытиям, в декабре страдали следующие проекты, потери которых превысили 3,22 миллиона долларов. Эти случаи свидетельствуют о том, что уязвимости договоров продолжают представлять серьезную угрозу.

• Злоумышленники использовали уязвимость в смарт-контракте, используемом Clipper, манипулируя функцией депозита/вывода одного актива. Эта операция повлияла на пулы ликвидности на сетях Optimism и Base, вызвав дисбаланс в активах пула и позволив злоумышленникам вывести больше, чем их депонированная сумма. Атака привела к потере примерно $457,878.
• Vestra DAO сообщил, что хакер использовал уязвимость в контракте для блокировки стейкинга, манипулируя механизмом вознаграждения, чтобы получить чрезмерные вознаграждения сверх необходимых. В результате инцидента было похищено 73 720 000 токенов VSTR. Украденные токены постепенно продавались на Uniswap, что привело к потере ликвидности в размере около 500 000 долларов США в ETH. Для защиты токеномики VSTR и стабильности проекта оставшиеся 755 631 188 токенов VSTR были навсегда изъяты из обращения.
• Хранилище ликвидности на Clober DEX, построенное на базовой сети, подверглось атаке, в результате чего была потеряна 133,7 ETH (примерно 501 000 долларов США). Команда также предложила 20% украденных средств в качестве вознаграждения за выявление уязвимости, надеясь вернуть оставшиеся активы. Однако переговоры не привели к консенсусу.
• Проект HarryPotterObamaSonic10Inu был атакован в ходе флеш-займа на Ethereum, включавшего серию эксплуатационных сделок, нацеленных на пул ликвидности токена HarryPotterObamaSonic10Inu 2.0. Атакующий получил прибыль около 243 000 долларов и внес средства в Tornado Cash.
• Проект FEG столкнулся с атакой уязвимости безопасности, что привело к потере около 1 миллиона долларов. Анализ указывает на то, что причиной является проблема совместимости при интеграции с основным мостом Wormhole для сообщений и передачи токенов между цепями. Команда приостановила все транзакции FEG на централизованных биржах, и протокол SmartDeFi также был приостановлен.

Clipper DEX

Обзор проекта: Clipper - это децентрализованная биржа (DEX), разработанная для предоставления лучших курсов для малых трейдеров криптовалюты (менее 10 000 долларов). Она достигает этого, ограничивая ликвидность и сокращая временные потери.

Обзор инцидента: Согласно аналитическому отчету, опубликованному Clipper, 1 декабря 2024 года злоумышленники использовали уязвимость в смарт-контракте, используемом Clipper, и манипулировали функцией депозита/вывода одного актива. Эта операция повлияла на ликвидность пулов на сетях Optimism и Base, вызвав дисбаланс в активах пулов и позволив злоумышленникам вывести больше активов, чем они внесли. Атака привела к потере примерно 457 878 долларов.

В течение нескольких часов AdmiralDAO запустил план экстренной реагирования, быстро приняв меры по защите оставшихся средств в протоколе и остановке атаки. После реакции дополнительные средства не были затронуты[2].

Рекомендации после инцидента:

• Расширение инвариантных проверок: Реализация проверки на цепи для обеспечения согласованности инвариантов пула во время одноактивных выводов, аналогично проверкам, применяемым Clipper в последней версии их контракта для биржи.
• Расширение проверки цен Oracle: Интеграция цепочечных ценовых оракулов в проверку стоимости активов при внесении и выводе депозитов, как это сделано в последней версии их контракта для биржи.
• Рассмотрите краткосрочную блокировку депозитов: Если новые депозиты подлежат блокировке на период, превышающий срок действия подписи депозита (например, несколько минут), такая атака была бы невозможна.

Vestra DAO

Обзор проекта: VSTR - токен, разработанный сообществом NFT "CMLE" (Crypto Monster Limited Edition), который предлагает полудецентрализованные гибридные услуги Web2+Web3. Он работает как проект децентрализованной автономной организации (DAO), предоставляя решения DeFi.

Обзор инцидента: 4 декабря 2024 года Vestra DAO опубликовала в твиттере, что хакер использовал уязвимость в контракте на заблокированное стейкинге, манипулируя механизмом вознаграждения, чтобы получить избыточные вознаграждения, превышающие должное. Инцидент привел к краже 73 720 000 токенов VSTR. Украденные токены постепенно продавались на Uniswap, что привело к потере около 500 000 долларов ликвидности ETH.

Команда быстро выявила проблему и немедленно приняла меры, черный список закрытого контракта стейкинга, тем самым отключив дальнейшие взаимодействия с этими контрактами. В результате из стейкингового пула было удалено из обращения 755 631 188 токенов VSTR, а средства в этих контрактах больше не могли быть выведены. 6 декабря команда объявила, что для защиты токеномики VSTR и стабильности проекта оставшиеся 755 631 188 токенов VSTR будут навсегда удалены из обращения[3].

Рекомендации после инцидента:

• Проводить всеобъемлющие аудиты безопасности и оптимизацию контрактов
  Наймите известную фирму, проводящую аудит безопасности от третьей стороны, чтобы тщательно просмотреть все смарт-контракты, особенно контракты стейкинга и блокировки. Основное внимание следует уделить управлению разрешениями, обработке граничных условий и безопасности кода. После аудита код контракта должен быть оптимизирован на основе рекомендаций, а отчет об аудите должен быть опубликован для повышения прозрачности и доверия пользователей.

• Внедрение многоуровневых механизмов защиты и мониторинга в реальном времени

• Внедите функцию временной блокировки: введите временные задержки для ключевых операций, чтобы обеспечить достаточное время для приостановки операций или вмешательства в случае возникновения аномалии.
• Внедрение систем мониторинга и оповещения в реальном времени: используйте анализ данных on-chain для обнаружения аномального торгового поведения или взаимодействия с контрактом в реальном времени и внедрите системы оповещения для уведомления о подозрительной деятельности, минимизируя потенциальные потери, вызванные уязвимостями.

Clober Dex

Обзор проекта: Clober - это полностью on-chain биржа с ордерным стаканом, которая позволяет on-chain сопоставление ордеров и расчет на децентрализованных платформах смарт-контрактов. С помощью Clober участники рынка могут размещать лимитные и рыночные ордера полностью децентрализованно и надежно по управляемым затратам.

Обзор инцидента:
10 декабря 2024 года на базовой сети Clober DEX был совершен взлом хранилища ликвидности, что привело к потере 133,7 ETH (приблизительно 501 000 долларов). Корневой причиной атаки была уязвимость повторного входа в функции _burn() в контракте Rebalancer.

Команда предложила 20% украденных средств в качестве вознаграждения за выявление уязвимости безопасности при условии, что оставшиеся активы могут быть возвращены. Кроме того, команда заверила, что не будет предпринимать никаких юридических действий, если злоумышленник сотрудничает. 31 декабря 2024 года команда заявила, что переговоры не достигли консенсуса, а злоумышленник переместил украденные активы в Tornado Cash. Команда сотрудничает с правоохранительными органами, чтобы отследить происхождение злоумышленника[4].

Рекомендации после инцидента:

• Улучшенная безопасность смарт-контрактов: Команда проекта должна усилить проверку безопасности смарт-контрактов. Весь код должен пройти тщательные проверки перед развертыванием, с регулярным сканированием уязвимостей для снижения рисков атак.
• Стратегии эффективного управления фондом: Реализуйте мультиподписные кошельки и системы многоуровневого хранения фондов, чтобы избежать избыточной концентрации активов в одном контракте, тем самым снизив потенциальные потери в случае атаки.
• Сотрудничество с организациями безопасности: Быстрое сотрудничество с командами безопасности блокчейна и правоохранительными органами может эффективно контролировать ущерб и ускорить восстановление активов после инцидента.

HarryPotterObamaSonic10Inu

Обзор проекта: HarryPotterObamaSonic10Inu - это конечная форма криптоактивов. Вдохновленный BITCOIN, проект поощряет создание нового и забавного мем контента. С отказом от владения и блокировкой ликвидности, растущее сообщество взяло на себя лидерство. Извлекая вдохновение из легендарного мема Bitcoin, проект разрабатывает уникальный веб-сайт, эксклюзивные товары и электронную коммерцию. Цель - создать экосистему, где активные члены сообщества могут взаимодействовать и сотрудничать.

Обзор инцидента:
18 декабря 2024 года был совершен ряд эксплуатационных транзакций, направленных на ликвидный пул токена HarryPotterObamaSonic10Inu 2.0 на сети Ethereum. Атакующий получил приблизительно 243 000 долларов и перевел средства в Tornado Cash.

В ближайшие четыре дня цена токена снизилась на значительные -33,42%, и его капитализация упала с $245 миллионов до $168 миллионов[5].

Рекомендации после инцидента:

• Улучшение проверки безопасности и оптимизации смарт-контрактов
  Привлечь стороннюю профессиональную организацию для проведения всесторонней проверки безопасности существующих умных контрактов, с фокусированием на логике пула ликвидности и контроле доступа. Уязвимости должны быть исправлены, и код контракта должен быть оптимизирован. Механизмы, такие как временные блокировки и ограничение скорости, должны быть добавлены, чтобы предотвратить злонамеренные операции в короткие сроки.

• Интегрировать цепочечные ценовые оракулы
  Интегрируйте надежные цепочные оракулы для проверки цен на активы во время операций с депозитами и выводами, обеспечивая соответствие операций фактическим рыночным значениям и предотвращая манипуляции средствами путем манипулирования ценами.

• Повышение прозрачности и доверия сообщества
  Публикуйте результаты расследования инцидента и план мероприятий по устранению проблемы, обеспечивая прозрачность информации и создавая доверие в пользовательском сообществе.

FEG

Токен FEG является дефляционным токеном управления в экосистеме FEG, которая включает децентрализованную биржу и механизмы стимулирования пассивного дохода. Его целью является переформатирование операционной модели децентрализованных торговых сетей. Токен доступен как на сетях Ethereum, так и на Binance Smart Chain.

Обзор инцидента:
29 декабря 2024 года проект FEG был атакован уязвимостью безопасности, что привело к потере примерно 1 миллиона долларов. Причина инцидента, по-видимому, кроется в проблеме компоновки, связанной с интеграцией основного моста Wormhole черезцепной мост, обеспечивающий межцепное взаимодействие и передачу токенов. Позже Фонд Wormhole уточнил, что в протоколе Wormhole проблем не обнаружено, и атака не связана с Wormhole.

После происшествия команда приостановила все транзакции FEG на централизованных биржах и начала всестороннее расследование. В то же время, код контракта SmartDeFi не был напрямую затронут, протокол SmartDeFi также был приостановлен на всякий случай. Однако все проекты на протоколе остаются безопасными до сих пор[6].

Рекомендации после инцидента:

• Проведите всесторонний аудит безопасности: Привлеките профессиональную организацию-стороннего эксперта для проведения тщательного аудита безопасности смарт-контрактов и кода платформы, с акцентом на контроль доступа, логические ошибки и уязвимости кода. Основываясь на результатах аудита, незамедлительно устраните и исправьте все выявленные проблемы и сделайте отчет об аудите общедоступным для повышения доверия пользователей.
• Установите программу раскрытия уязвимости и вознаграждения: Запустите постоянную программу вознаграждения за ошибки, чтобы поощрить исследователей безопасности и этичных хакеров находить и сообщать о потенциальных уязвимостях. Это поможет быстро решать уязвимости и снижать будущие риски безопасности.
• Улучшение механизмов защиты активов и компенсации пользователей: Разработка многоуровневых систем защиты активов, таких как мониторинг аномальных операций в режиме реального времени, внедрение функций временной блокировки и использование кошельков с мультиподписью. Для пострадавших пользователей установить справедливый и прозрачный план компенсации, чтобы восстановить доверие пользователей и минимизировать финансовые потери.

Заключение

В декабре 2024 года несколько DeFi-проектов подверглись уязвимостям безопасности, что привело к потере активов на миллионы долларов. Эти инциденты включали атаку на хранилище ликвидности Clober DEX, кроссчейн-эксплойт, вызванный интеграцией FEG с Wormhole, уязвимость стейкинга в Vestra DAO, манипуляции с функцией вывода одного актива Clipper DEX и атаку на флэш-кредит на HarryPotterObamaSonic10Inu. Эти события выявили критические риски в безопасности смарт-контрактов, компонуемости межсетевых протоколов и управлении пулом ликвидности. Отрасли срочно необходимо усилить аудит смарт-контрактов, внедрить мониторинг в режиме реального времени и внедрить многоуровневые механизмы защиты для повышения безопасности платформы и доверия пользователей. Gate.io напоминает пользователям о необходимости быть в курсе событий в области безопасности, выбирать надежные платформы и усиливать защиту личных активов.


Ссылка:

1. Slowmist,https://hacked.slowmist.io/ru/statistics
2. Clipper,https://blog.clipper.exchange/clipper-dec-24-exploit-post-mortem/
3. X,https://x.com/Vestra_DAO/status/1864677381459390781
4. X,https://x.com/CloberDEX/status/1874039225001377816
5. Gate.io,https://www.gate.io/zh-tw/post/status/8242569
6. X,https://x.com/FEGtoken/status/1873265905867866294

Gate Research
Исследование Gate - это комплексная платформа исследований блокчейн и криптовалют, предоставляющая читателям глубокий контент, включая технический анализ, горячие инсайты, обзоры рынка, отраслевые исследования, прогнозы трендов и анализ макроэкономической политики.

Нажмите Ссылкаузнать больше

Отказ от ответственности
Инвестирование на рынке криптовалюты связано с высоким риском, и рекомендуется, чтобы пользователи проводили независимое исследование и полностью понимали характер активов и продуктов, в которые они инвестируют.покупкапрежде чем принимать какие-либо инвестиционные решения.Gate.io не несет ответственности за любые потери или ущерб, вызванные такими инвестиционными решениями.