Взлом DAO: потеряно $60 миллионов из-за уязвимости рекурсивного вызова
В 2016 году мир криптовалют пережил один из самых значительных нарушений безопасности, когда DAO, децентрализованная автономная организация, подверглась разрушительному хакерскому нападению, в результате которого было украдено около 60 миллионов долларов в эфире. Атака использовала критическую уязвимость в коде смарт-контракта — в частности, уязвимость рекурсивного вызова, которая позволила хакеру многократно выводить средства до того, как система могла правильно обновить балансы счетов.
Эксплуатация выявила фундаментальные недостатки в языке программирования Solidity, используемом для смарт-контрактов Ethereum. По словам экспертов по безопасности, метод хакера заключался в создании транзакции, которая автоматически повторялась несколько раз до того, как система проводила проверки баланса, фактически откачивая средства с каждой итерацией.
Влияние этого нарушения безопасности распространилось далеко за пределы немедленных финансовых потерь:
| Область воздействия | Последствие |
|-------------|-------------|
| Значение Ethereum | Значительное падение цены после взлома |
| Доверие сообщества | Выразили серьезные опасения по поводу безопасности смарт contract |
| Технический ответ | Привел к хардфорку Ethereum для восстановления средств |
| Наследие индустрии | Стало поворотным моментом для безопасности блокчейна |
Этот инцидент в корне изменил подход разработчиков к безопасности смарт-контрактов, подчеркивая важность тщательных аудитов кода и тестирования на уязвимости. Взлом DAO остается мощным примером, демонстрирующим, что хотя системы на основе кода и стремятся устранить человеческие ошибки, они по-прежнему остаются уязвимыми к проектным недостаткам и упущениям.
Заморозка кошелька Parity: $300 миллионов навсегда заблокированы новичком-разработчиком
В одном из самых дорогих ошибок в криптовалюте пользователь GitHub, известный как "devops199", случайно активировал уязвимость в многофакторных кошельках Parity, навсегда заморозив приблизительно $300 миллионов в Ethereum. Это катастрофическое событие произошло в ноябре 2017 года, когда разработчик непреднамеренно удалил критически важный код в библиотеке Parity wallet, сделав более 500 многофакторных кошельков полностью недоступными.
Техническая катастрофа выявила значительные уязвимости в архитектуре смарт-контрактов и протоколах безопасности. Parity Technologies ранее были предупреждены о потенциальных проблемах в их системе после хакерской атаки в июле 2017 года, в результате которой было похищено 32 миллиона долларов.
| Инциденты с кошельком Parity | Дата | Финансовое влияние |
|------------------------|------|-----------------|
| Начальный взлом | Июль 2017 | $32 миллиона украдено |
| Инцидент с удалением кода | Ноябрь 2017 | $300 миллионов заморожено |
Инцидент подчеркнул чрезвычайные риски, присущие разработке блокчейна, где простые ошибки в кодировании могут иметь необратимые финансовые последствия. Создатель Ethereum, Виталик Бутерин, похоже, отказался от реализации решения с жестким форком для восстановления средств, закрепив их постоянную недоступность. Этот случай демонстрирует критическую важность тщательного аудита безопасности и тестирования в разработке смарт-контрактов перед развертыванием на публичных блокчейнах.
Хаки централизованных бирж: более 2 миллиардов долларов украдено с депозитных платформ с 2018 года
Криптовалютный ландшафт страдает от нарушений безопасности с 2018 года, при этом централизованные биржи оказались особенно уязвимыми для сложных атак. Согласно последним данным, более 2 миллиардов долларов было украдено с кастодиальных платформ, где пользователи доверяют свои цифровые активы стороннему управлению. Тревожная тенденция продолжилась в 2024 году, общие потери составили 2,2 миллиарда долларов, что представляет собой увеличение на 21% по сравнению с предыдущим годом.
| Год | Всего украденных крипто | Примечательная информация |
|------|-------------------|---------------------|
| 2024 | 2,2 миллиарда долларов | Самое крупное единовременное воровство: 305 миллионов (DMM Bitcoin) |
| 2023 | 1,7 миллиарда долларов | Существенное снижение по сравнению с 2022 годом |
| 2022 | 3,8 миллиарда долларов | Пиковый год для краж криптовалюты |
| 2025 (H1) | 2.17 миллиарда долларов | Северокорейские хакеры несут ответственность за большинство |
Атака на Bybit в феврале 2025 года иллюстрирует серьезность этих нарушений безопасности, так как хакеры, по сообщениям, украли около 2,4 миллиарда долларов в том, что может быть крупнейшим кражей криптовалюты в истории. Исследователи безопасности связали многочисленные крупные атаки с северокорейскими хакерскими группами, такими как Lazarus, которые используют сложные техники для отмывки украденных средств через несколько кошельков и децентрализованные биржи. Эта постоянная угроза подчеркивает критическую важность надежных мер безопасности для централизованных бирж, которые выступают в качестве хранителей пользовательских средств.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Каковы самые катастрофические уязвимости смарт-контрактов в истории крипто?
Взлом DAO: потеряно $60 миллионов из-за уязвимости рекурсивного вызова
В 2016 году мир криптовалют пережил один из самых значительных нарушений безопасности, когда DAO, децентрализованная автономная организация, подверглась разрушительному хакерскому нападению, в результате которого было украдено около 60 миллионов долларов в эфире. Атака использовала критическую уязвимость в коде смарт-контракта — в частности, уязвимость рекурсивного вызова, которая позволила хакеру многократно выводить средства до того, как система могла правильно обновить балансы счетов.
Эксплуатация выявила фундаментальные недостатки в языке программирования Solidity, используемом для смарт-контрактов Ethereum. По словам экспертов по безопасности, метод хакера заключался в создании транзакции, которая автоматически повторялась несколько раз до того, как система проводила проверки баланса, фактически откачивая средства с каждой итерацией.
Влияние этого нарушения безопасности распространилось далеко за пределы немедленных финансовых потерь:
| Область воздействия | Последствие | |-------------|-------------| | Значение Ethereum | Значительное падение цены после взлома | | Доверие сообщества | Выразили серьезные опасения по поводу безопасности смарт contract | | Технический ответ | Привел к хардфорку Ethereum для восстановления средств | | Наследие индустрии | Стало поворотным моментом для безопасности блокчейна |
Этот инцидент в корне изменил подход разработчиков к безопасности смарт-контрактов, подчеркивая важность тщательных аудитов кода и тестирования на уязвимости. Взлом DAO остается мощным примером, демонстрирующим, что хотя системы на основе кода и стремятся устранить человеческие ошибки, они по-прежнему остаются уязвимыми к проектным недостаткам и упущениям.
Заморозка кошелька Parity: $300 миллионов навсегда заблокированы новичком-разработчиком
В одном из самых дорогих ошибок в криптовалюте пользователь GitHub, известный как "devops199", случайно активировал уязвимость в многофакторных кошельках Parity, навсегда заморозив приблизительно $300 миллионов в Ethereum. Это катастрофическое событие произошло в ноябре 2017 года, когда разработчик непреднамеренно удалил критически важный код в библиотеке Parity wallet, сделав более 500 многофакторных кошельков полностью недоступными.
Техническая катастрофа выявила значительные уязвимости в архитектуре смарт-контрактов и протоколах безопасности. Parity Technologies ранее были предупреждены о потенциальных проблемах в их системе после хакерской атаки в июле 2017 года, в результате которой было похищено 32 миллиона долларов.
| Инциденты с кошельком Parity | Дата | Финансовое влияние | |------------------------|------|-----------------| | Начальный взлом | Июль 2017 | $32 миллиона украдено | | Инцидент с удалением кода | Ноябрь 2017 | $300 миллионов заморожено |
Инцидент подчеркнул чрезвычайные риски, присущие разработке блокчейна, где простые ошибки в кодировании могут иметь необратимые финансовые последствия. Создатель Ethereum, Виталик Бутерин, похоже, отказался от реализации решения с жестким форком для восстановления средств, закрепив их постоянную недоступность. Этот случай демонстрирует критическую важность тщательного аудита безопасности и тестирования в разработке смарт-контрактов перед развертыванием на публичных блокчейнах.
Хаки централизованных бирж: более 2 миллиардов долларов украдено с депозитных платформ с 2018 года
Криптовалютный ландшафт страдает от нарушений безопасности с 2018 года, при этом централизованные биржи оказались особенно уязвимыми для сложных атак. Согласно последним данным, более 2 миллиардов долларов было украдено с кастодиальных платформ, где пользователи доверяют свои цифровые активы стороннему управлению. Тревожная тенденция продолжилась в 2024 году, общие потери составили 2,2 миллиарда долларов, что представляет собой увеличение на 21% по сравнению с предыдущим годом.
| Год | Всего украденных крипто | Примечательная информация | |------|-------------------|---------------------| | 2024 | 2,2 миллиарда долларов | Самое крупное единовременное воровство: 305 миллионов (DMM Bitcoin) | | 2023 | 1,7 миллиарда долларов | Существенное снижение по сравнению с 2022 годом | | 2022 | 3,8 миллиарда долларов | Пиковый год для краж криптовалюты | | 2025 (H1) | 2.17 миллиарда долларов | Северокорейские хакеры несут ответственность за большинство |
Атака на Bybit в феврале 2025 года иллюстрирует серьезность этих нарушений безопасности, так как хакеры, по сообщениям, украли около 2,4 миллиарда долларов в том, что может быть крупнейшим кражей криптовалюты в истории. Исследователи безопасности связали многочисленные крупные атаки с северокорейскими хакерскими группами, такими как Lazarus, которые используют сложные техники для отмывки украденных средств через несколько кошельков и децентрализованные биржи. Эта постоянная угроза подчеркивает критическую важность надежных мер безопасности для централизованных бирж, которые выступают в качестве хранителей пользовательских средств.