2024年，Blockchain行業(yè)在技術(shù)創(chuàng)新和生態(tài)擴展的同時，也面臨著越來越嚴峻的安全挑戰(zhàn)。據(jù)安全審計公司Beosin旗下Alert平臺監(jiān)測，截止發(fā)稿時，2024年Web3領(lǐng)域因黑客攻擊、釣魚詐騙和項目方RugPull造成的總損失達到了24.91億美元。

這些事件不僅暴露出私鑰管理、智能合約漏洞等技術(shù)缺陷，也凸顯了社交工程和內(nèi)部管理的潛在風險。本篇文章將盤點2024年最Web3十大安全事件，幫助業(yè)界從中吸取教訓，更好地應對未來的安全威脅。

No.2PlayDapp損失金額：2.90億美元

攻擊方式：私鑰泄露

2024年2月9日，PlayDapp遭遇重創(chuàng)，黑客通過竊取私鑰鑄造了20億枚PLATokens，初始價值3650萬美元。由于項目方與黑客的談判未果，黑客在短時間內(nèi)進一步鑄造了159億枚PLATokens，價值2.539億美元。這些Tokens部分流入Gate交易所后，PlayDapp被迫暫停了PLA合約并遷移至PDATokens合約。此次事件凸顯了Blockchain項目在私鑰保護和事件應急處置方面的缺陷。No.3WazirX

損失金額：2.35億美元

攻擊方式：網(wǎng)絡攻擊與釣魚

2024年7月18日，印度最大的Crypto交易所WazirX的SafeWallet多簽錢包遭到黑客精準攻擊。攻擊者通過社會工程學誘導多簽簽名者簽署了一份合約升級交易，隨后利用升級后的合約權(quán)限將錢包中的資產(chǎn)轉(zhuǎn)移一空。這起案件凸顯了多簽錢包在管理權(quán)限配置和操作透明度上的潛在風險，也引發(fā)了業(yè)內(nèi)對項目內(nèi)部風控與安全機制的深入反思。

No.4GalaGames

損失金額：2.16億美元

攻擊方式：訪問控制漏洞

2024年5月20日，GalaGames某一特權(quán)地址被黑客攻破，攻擊者通過調(diào)用Tokens合約中的mint函數(shù)，一次性鑄造了50億枚GALATokens。隨后，黑客通過分批次將增發(fā)的Tokens兌換為ETH，直接造成了2.16億美元的損失。GalaGames團隊在事件發(fā)生后緊急啟用黑名單功能封鎖了部分黑客賬戶，并通過司法途徑追回了損失。

No.8RadiantCapital

損失金額：5300萬美元

攻擊方式：私鑰泄露

2024年10月17日，RadiantCapital的多簽錢包被黑客攻陷。由于其采用了低門檻的3/11簽名驗證模式，黑客通過掌握3個簽名者的私鑰發(fā)起鏈下簽名，將錢包合約的所有權(quán)轉(zhuǎn)移至惡意地址，最終導致5300萬美元被盜。這次攻擊引發(fā)了對多簽錢包設(shè)計和治理機制的行業(yè)反思。

RadiantCapital在此次攻擊之前，就因合約漏洞而損失450萬美元，超1900枚ETH被盜。Web3項目方對安全的重視程度仍需提高。No.9HedgeyFinance

損失金額：4470萬美元

攻擊方式：合約漏洞

2024年4月19日，HedgeyFinance遭遇針對多個鏈上合約的攻擊。黑客利用了其ClaimCampaigns合約的批準漏洞，成功提取了Ethereum和Arbitrum兩條鏈上的Tokens，總損失金額達4470萬美元。該事件顯示了代碼審計的重要性，尤其是對Tokens批準邏輯的嚴格驗證。

No.10BingX

損失金額：4470萬美元

攻擊方式：私鑰泄露

2024年9月19日，BingX交易所的熱錢包被黑客入侵，涉及的鏈包括Ethereum、BNBChain、Tron等多條公鏈。盡管交易所迅速啟動了資產(chǎn)轉(zhuǎn)移和提現(xiàn)凍結(jié)機制，但黑客已成功提取價值4470萬美元的資產(chǎn)。這次攻擊反映了CEX熱錢包管理的高風險性，并進一步推動行業(yè)探索更為安全的資產(chǎn)存儲方案。

2024年的安全攻擊事件頻發(fā)，再次提醒我們，Blockchain行業(yè)的發(fā)展離不開安全的護航。從私鑰泄露到合約漏洞，從內(nèi)部管理疏漏到外部攻擊手段的升級，每一起事件都帶來了深刻的教訓。為了應對日益復雜的攻擊威脅，行業(yè)各方需要在技術(shù)研發(fā)、管理規(guī)范和風險防控上持續(xù)加強投入。未來，我們期待通過行業(yè)協(xié)作和技術(shù)創(chuàng)新，共同建立更加安全的Blockchain生態(tài)，為用戶和投資者提供更可靠的保障。