Genel Bakış

Kasım 2024'te Web3 güvenlik olaylarından kaynaklanan toplam kayıp yaklaşık 86,24 milyon ABD dolarıydı. Bunların arasında, Slowmist Blockchain Hacked Archives'ın (https://hacked.slowmist.io) istatistiklerine göre, toplam 21 hackleme olayı meydana geldi ve bu olay yaklaşık 76,86 milyon ABD Doları kayıpla sonuçlandı ve bunun 25,5 milyon ABD Doları iade edildi. nedenler arasında Sözleşme boşlukları, hesap hacklenmesi, fiyat manipülasyonu vb. yer alıyordu. Ayrıca, Web3 dolandırıcılıkla mücadele platformu Scam Sniffer'ın istatistiklerine göre, bu ay kimlik avı olaylarında 9.208 kurban yaşandı ve kayıplar 9,38 milyon ABD dolarına ulaştı.

https://dune.com/scam-sniffer/november-scam-sniffer-2024-phishing-report

büyük güvenlik olayı

Zincir üzeri dedektif ZachXBT'nin gözlemlerine göre, 4 Kasım 2024'te şifreli kumar platformu MetaWin'in saldırıya uğradığından şüphelenildi ve Ethereum ve Solana zincirlerinde 4 milyon ABD dolarından fazla para çalındı. MetaWin CEO'su Skel'e göre saldırgan, platformun sürtünmesiz para çekme sistemi aracılığıyla MetaWin'in sıcak cüzdanını ele geçirdi.

11 Kasım 2024'te DeFi protokolü DeltaPrime, Avalanche ve Arbitrum'da saldırıya uğradı ve DeltaPrime'ın ilk kaybının 4,75 milyon dolar olduğu tahmin edildi. Bu saldırının temel nedeni, ödül talep etme işlevinde giriş doğrulamasının olmamasıydı.

https://x.com/DeltaPrimeDefi/status/1855899502944903195

15 Kasım 2024'te Aptos tabanlı bir DeFi projesi olan Thala'ya saldırı düzenlendi ve bunun sonucunda 25,5 milyon dolar çalındı. Saldırgan, akıllı sözleşmesindeki bir güvenlik açığından yararlandı. Proje ekibi ilgili akıllı sözleşmeleri askıya aldı ve bazı tokenleri dondurdu ve sonunda yaklaşık 11,5 milyon ABD doları tutarındaki varlığı başarıyla dondurdu. Kolluk kuvvetleri ve birden fazla blockchain güvenlik ekibiyle çalıştıktan sonra proje, varlıkların kurtarılması konusunda başarılı bir şekilde pazarlık yaptı ve saldırganın ödül olarak 300.000 doları elinde tutmasına izin verdi.

https://x.com/thalalabs/status/1857703541089120541?s=46&t=bcMyidYO0QkS5ajIW9CBdg

DEXX

16 Kasım 2024'te, zincir üstü ticaret terminali DEXX'in birden fazla kullanıcısının fonları çalındı. SlowMist güvenlik ekibinin istatistiklerine göre bu olayın yol açtığı hasar 21 milyon ABD dolarına ulaştı. Şu anda SlowMist güvenlik ekibi DEXX yetkililerine ve ortaklarına sürekli analiz konusunda yardımcı oluyor. 28 Kasım'da SlowMist güvenlik ekibi, Solana zincirinde 8.612 DEXX saldırgan adresi topladığını duyurdu. EVM zincirindeki saldırgan adresleri de temizleme istatistikleri tamamlandıktan sonra kamuya açıklanacak.

https://x.com/MistTrack_io/status/1862134946090881368

Polter Finans

Polter Finans

17 Kasım 2024'te Fantom tabanlı DeFi projesi Polter Finance saldırıya uğradı ve bunun sonucunda yaklaşık 12 milyon ABD doları zarar oluştu. Saldırgan, flaş krediler yoluyla BOO'nun token rezervlerini tüketti ve BOO'nun bilgi işlem fiyatını yapay olarak artırdı. Bu, teminatın gerçek değerinin çok üzerinde tokenlar ödünç vermesine olanak tanıdı ve bu da büyük karlar elde edilmesini sağladı. Platformun kurucuları, Singapurlu yetkililere bir rapor sunduklarını ve fonların iadesini müzakere etmek için saldırganlarla zincir içi mesajlar aracılığıyla iletişime geçmeye çalıştıklarını ancak henüz bir yanıt alamadıklarını söyledi.

https://x.com/polterfinance/status/1857971122043551898

Karakteristik analiz ve güvenlik önerileri

Bu ay güvenlik olaylarının sayısı ve kayıpların ölçeği önceki aya kıyasla önemli ölçüde azaldı. Bu değişiklik, bir dereceye kadar sektörün güvenlik koruma önlemlerinde sürekli iyileştirme yaptığını yansıtıyor. Saldırı nedenlerinin dağılımına veya neden olunan kayıpların ölçeğine bakılmaksızın sözleşme güvenlik açıklarının en yüksek orana sahip olduğunu belirtmekte fayda var. Bu ay meydana gelen 7 sözleşme güvenlik açığından yararlanma olayı, yaklaşık 30 milyon ABD doları tutarında kayıplara neden oldu ve bu da toplam kayıpların %39'unu oluşturdu. SlowMist güvenlik ekibi, proje taraflarının her zaman tetikte olmalarını ve yeni güvenliği izlemek ve çözmek için düzenli olarak kapsamlı güvenlik denetimleri yapmalarını tavsiye ediyor. Projeleri ve varlıkları korumaya yönelik tehditler ve güvenlik açıkları.

Buna ek olarak SlowMist güvenlik ekibi, bu ay Kripto endüstrisini hedef alan gerçek bir yapay zeka zehirlenmesi saldırısı vakasının meydana geldiğini fark etti. Bu olgu, tedarik zinciri saldırılarının hedef kapsamının daha da genişlediğini gösteriyor. Bazı geliştiriciler verimliliğin peşinde koşarken yapay zeka tarafından oluşturulan koda çok fazla güvenebilir ve kod güvenliğini incelemeyi ihmal edebilir. Bu nedenle SlowMist güvenlik ekibi, geliştiricilere ve proje taraflarına, kod oluşturmak için yapay zekayı kullanırken çıktı sonuçlarına körü körüne güvenmemeleri gerektiğini hatırlatır. Güvenlik risklerini önlemek ve projelerin ve kullanıcıların varlık güvenliğini korumak için tüm kodlar, fiili kullanıma sunulmadan önce sıkı güvenlik denetimlerinden ve testlerinden geçmelidir. Aynı zamanda proje tarafları, tedarik zincirinin genel güvenlik yönetimini güçlendirmeli, üçüncü taraf araç ve hizmetlerinin kapsamlı bir değerlendirmesini yapmalı ve yeni tehditlere zamanında yanıt verebilmek için ilgili alanlardaki güvenlik eğilimlerine dikkat etmeye devam etmelidir. biçim.

Son olarak, bu makalede yer alan olaylar bu ayın ana güvenlik olaylarıdır. Daha fazla blockchain güvenlik olayı Slowmist Blockchain Hacked Archives'da (https://hacked.slowmist.io/) görüntülenebilir.