WazirX

История WazirX началась успешно, получив поддержку крупной венчурной фирмы на раннем этапе. Однако проект столкнулся с серьезными проблемами из-за уязвимости в мультисиг-кошельке, которой воспользовались злоумышленники для манипуляции данными транзакций.

Основным подозреваемым в атаке считается хакерская группа Lazarus Group, хотя возможность участия инсайдеров также не исключалась. В результате инцидента конкурирующая компания CoinSwitch подала в суд на WazirX из-за невозможности вернуть 9,7 миллионов долларов.

Radiant Capital

Проект планировал создать единую денежную платформу с возможностью работы с активами на различных блокчейнах. В октябре 2024 года произошла первая атака с использованием флэш-кредитов, принесшая убытки в размере 4,5 миллиона долларов. Вскоре последовала вторая атака с потерями в 53 миллиона долларов.

Хакеры использовали схему мультисиг 3-оф-11 и вредоносное ПО для подделки транзакций. Атака была реализована через размещение вредоносных контрактов на нескольких блокчейнах, успешно сработав на Binance Smart Chain и ARB.

Playdapp

Успешная южнокорейская игровая платформа Playdapp пострадала от двух последовательных атак в феврале 2024 года. Причиной стал эксплойт с использованием закрытого ключа. В результате первой атаки было незаконно выпущено более 200 миллионов токенов PLA, а во время второй - еще 1,6 миллиарда, что привело к общим потерям в 290 миллионов долларов.

Hedgey Finance и Munchables

Hedgey Finance, основанный в 2021 году как платформа для токенизации, подвергся атаке 19 апреля 2024 года. Злоумышленники похитили около 2 миллионов долларов в ETH и токенах BONUS, используя уязвимость в смарт-контракте.

Munchables, игровая платформа на Ethereum layer-two Blast, также стала жертвой хакеров после успешного привлечения инвестиций от 20 крупных инвесторов. Атака произошла через взлом обновляемого прокси-контракта, использовавшегося в процессе разработки игры.

Принадлежало разработчику.

Даже после обновления контракта у его владельца оставались возможности манипулировать контрактом. Это привело к потере 62,5 миллионов долларов в ETH.

Конечно, проПроекты могли быть хорошо профинансированы и многообещающи, но в ходе проверки наверняка были допущены серьезные ошибки.

Проблемы с мультисигом - одна из самых распространенных причин атак третьих лиц на биржи. Единственным эффективным способом их устранения является тщательный аудит безопасности.

Многие доверяют дешевым, но ненадежным компаниям, которые обещают быстрый результат, а в итоге теряют не только деньги, но и доверие.

Аудит должен проводиться на ранней стадии разработки проекта. Уязвимости никогда не остаются незамеченными надолго, и любая из них может привести к финансовым потерям.

Дмитрий Мишунин, генеральный директор HashEx Blockchain Security, специализируется на кибербезопасности, фокусируясь на Web 3.0 и блокчейне. Имея образование в области физики, прикладной математики и управления ИТ, он является опытным технологическим предпринимателем, обладающим навыками стратегического управления и командного коучинга. Под его руководством компания HashEx провела более 1300 проверок, обеспечив получение средств в размере 3,8 миллиарда долларов.