Revisión de los diez principales incidentes de seguridad en el campo de Web3 en 2024
Con el continuo desarrollo de la tecnología blockchain, la industria Web3 en 2024 enfrenta, al mismo tiempo que innova y se expande, desafíos de seguridad cada vez más severos. Según el monitoreo de plataformas de datos, al final del año, las pérdidas totales en el ámbito Web3 debido a ataques de hackers, fraudes y el abandono de proyectos alcanzaron los 2.491 millones de dólares.
Estos eventos no solo expusieron las deficiencias técnicas en la gestión de claves privadas y contratos inteligentes, sino que también destacaron los riesgos potenciales en la ingeniería social y la gestión interna. Este artículo repasará los diez principales eventos de seguridad de Web3 en 2024, para ayudar a la industria a aprender de ellos y enfrentar mejor las amenazas de seguridad futuras.
1. Un importante ataque a un intercambio de criptomonedas japonés
Monto de la pérdida: 304 millones de dólares
Método de ataque: filtración de clave privada
El 31 de mayo de 2024, un conocido intercambio de criptomonedas japonés sufrió un ataque histórico. Los hackers utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados en más de 10 direcciones diferentes. Este incidente expuso graves deficiencias en la gestión de claves privadas y la seguridad de múltiples capas del intercambio. A pesar de que el intercambio intentó rastrear a los hackers a través de la supervisión en la cadena y el congelamiento de fondos, el Bitcoin robado ya había sido dispersado y lavado mediante herramientas de mezcla, lo que presentó un gran desafío para el trabajo de rastreo.
A finales de año, la policía japonesa confirmó que el ataque fue llevado a cabo por un grupo de hackers norcoreano.
2. PlayDapp sufre un gran golpe
Monto de la pérdida: 290 millones de dólares
Método de ataque: fuga de clave privada
El 9 de febrero de 2024, PlayDapp sufrió un ataque grave. Los hackers mintieron 2 mil millones de tokens PLA al robar claves privadas, con un valor inicial de 36.5 millones de dólares. Debido a la falla en las negociaciones con los hackers, estos mintieron posteriormente 15.9 mil millones de tokens PLA, con un valor de 253.9 millones de dólares. Después de que parte de los tokens fluyeron a las casas de cambio, PlayDapp se vio obligado a suspender el contrato de PLA y migrar a un nuevo contrato de tokens. Este incidente destaca las deficiencias de los proyectos de blockchain en la protección de claves privadas y en la respuesta a emergencias.
3. Un intercambio de criptomonedas en India sufre un ataque dirigido
Monto de la pérdida: 235 millones de dólares
Métodos de ataque: ataques en red y phishing
El 18 de julio de 2024, el monedero multifactores Safe Wallet del mayor intercambio de criptomonedas de India fue objeto de un ataque preciso por parte de hackers. Los atacantes indujeron a los firmantes del multifactores a firmar una transacción de actualización de contrato mediante técnicas de ingeniería social, y luego utilizaron los permisos del contrato actualizado para transferir todos los activos del monedero. Este caso revela los riesgos potenciales en la configuración de permisos y la transparencia operativa de los monederos multifactores, y ha suscitado una profunda reflexión en la industria sobre el control interno de los proyectos y los mecanismos de seguridad.
4. Gala Games sufre un ataque de emisión de tokens
Monto de la pérdida: 216 millones de dólares
Método de ataque: vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. El atacante utilizó la función mint en el contrato del token para acuñar 5 mil millones de tokens GALA de una sola vez. Luego, el hacker intercambió estos tokens por ETH en varias transacciones, causando una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó de manera urgente la función de lista negra para bloquear algunas cuentas de los hackers y recuperó parte de las pérdidas a través de medios legales.
5. El fundador de un conocido proyecto de criptomonedas sufre un ataque a su billetera personal
Monto de pérdida: 112 millones de dólares
Método de ataque: filtración de claves privadas
El 31 de enero de 2024, cuatro billeteras personales de un cofundador conocido de un proyecto de criptomonedas fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en XRP. Estas billeteras se convirtieron en el objetivo del ataque debido a la falta de protección de doble factor con hardware. Tras el incidente, un importante intercambio logró congelar XRP por un valor de 4.2 millones de dólares y ayudó a rastrear los activos robados, pero la mayor parte de los fondos ya había sido lavada a través de intercambios descentralizados y servicios de mezcla.
6. Munchables sufre un ataque de infiltración interna
Monto de la pérdida: 62.5 millones de dólares
Método de ataque: ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 basada en Blast, Munchables, sufrió un raro ataque de infiltración interna. Los atacantes eran hackers disfrazados de desarrolladores de blockchain, que obtuvieron el código fuente y las claves sensibles tras una larga infiltración. A pesar de que el ataque causó enormes pérdidas, bajo la presión de la comunidad y del equipo, los hackers finalmente devolvieron todos los fondos robados. Este evento revela la importancia de la seguridad de la cadena de suministro, especialmente para los proyectos de blockchain que dependen del desarrollo de terceros.
7. Un intercambio de criptomonedas en Turquía sufre una filtración de claves privadas
Cantidad de pérdida: 55 millones de dólares
Método de ataque: filtración de clave privada
El 22 de junio de 2024, el mayor intercambio de criptomonedas de Turquía sufrió un ataque de filtración de claves privadas, con pérdidas superiores a 55 millones de dólares en activos criptográficos. Con la ayuda de un importante intercambio, se congelaron con éxito 5.3 millones de dólares de los fondos robados, pero otros activos aún no se han recuperado. Este evento ha intensificado las preocupaciones del mercado sobre la gestión de claves privadas en los intercambios centralizados.
8. La billetera multifirma de Radiant Capital fue atacada
Monto de la pérdida: 53 millones de dólares
Método de ataque: filtración de clave privada
El 17 de octubre de 2024, la billetera multifirma de Radiant Capital fue hackeada. Debido a la utilización de un modelo de verificación de firma de bajo umbral 3/11, el hacker logró iniciar una firma fuera de la cadena al obtener las claves privadas de 3 firmantes, transfiriendo así la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque provocó una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multifirma.
Es importante señalar que Radiant Capital había perdido 4.5 millones de dólares debido a una vulnerabilidad en el contrato antes de este ataque, con más de 1900 ETH robados. Esto recuerda nuevamente a los equipos de proyectos Web3 la necesidad de prestar más atención a los problemas de seguridad.
9. Hedgey Finance sufre un ataque de contratos multicadena
Monto de pérdida: 44.7 millones de dólares
Método de ataque: vulnerabilidad de contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a varios contratos en cadena. Los hackers aprovecharon una vulnerabilidad de autorización en su contrato ClaimCampaigns, extrayendo con éxito tokens de las cadenas de Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este evento destaca la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de autorización de tokens.
10. La billetera caliente de un intercambio de criptomonedas fue hackeada
Monto de la pérdida: 44.7 millones de dólares
Método de ataque: filtración de clave privada
El 19 de septiembre de 2024, la billetera caliente de un intercambio de criptomonedas fue hackeada, involucrando cadenas como Ethereum, BNB Chain, Tron y varias otras cadenas públicas. A pesar de que el intercambio activó rápidamente mecanismos de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por un valor de 44.7 millones de dólares. Este ataque refleja el alto riesgo de la gestión de billeteras calientes en intercambios centralizados y promueve aún más la exploración de soluciones de almacenamiento de activos más seguras en la industria.
Conclusión
Los frecuentes incidentes de ataques de seguridad en 2024 nos recuerdan una vez más que el desarrollo de la industria blockchain no puede prescindir de una protección segura. Desde la filtración de claves privadas hasta vulnerabilidades en contratos, desde fallos en la gestión interna hasta la mejora de las técnicas de ataque externas, cada incidente ha traído lecciones profundas. Para hacer frente a las amenazas de ataque cada vez más complejas, todas las partes de la industria deben seguir invirtiendo en investigación y desarrollo tecnológico, normas de gestión y prevención de riesgos. En el futuro, esperamos que a través de la colaboración en la industria y la innovación tecnológica, podamos establecer conjuntamente un ecosistema blockchain más seguro, proporcionando una garantía más confiable para los usuarios e inversores.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Los diez principales incidentes de seguridad en la industria Web3 en 2024, con pérdidas totales de 2.491 millones de dólares.
Revisión de los diez principales incidentes de seguridad en el campo de Web3 en 2024
Con el continuo desarrollo de la tecnología blockchain, la industria Web3 en 2024 enfrenta, al mismo tiempo que innova y se expande, desafíos de seguridad cada vez más severos. Según el monitoreo de plataformas de datos, al final del año, las pérdidas totales en el ámbito Web3 debido a ataques de hackers, fraudes y el abandono de proyectos alcanzaron los 2.491 millones de dólares.
Estos eventos no solo expusieron las deficiencias técnicas en la gestión de claves privadas y contratos inteligentes, sino que también destacaron los riesgos potenciales en la ingeniería social y la gestión interna. Este artículo repasará los diez principales eventos de seguridad de Web3 en 2024, para ayudar a la industria a aprender de ellos y enfrentar mejor las amenazas de seguridad futuras.
1. Un importante ataque a un intercambio de criptomonedas japonés
Monto de la pérdida: 304 millones de dólares Método de ataque: filtración de clave privada
El 31 de mayo de 2024, un conocido intercambio de criptomonedas japonés sufrió un ataque histórico. Los hackers utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados en más de 10 direcciones diferentes. Este incidente expuso graves deficiencias en la gestión de claves privadas y la seguridad de múltiples capas del intercambio. A pesar de que el intercambio intentó rastrear a los hackers a través de la supervisión en la cadena y el congelamiento de fondos, el Bitcoin robado ya había sido dispersado y lavado mediante herramientas de mezcla, lo que presentó un gran desafío para el trabajo de rastreo.
A finales de año, la policía japonesa confirmó que el ataque fue llevado a cabo por un grupo de hackers norcoreano.
2. PlayDapp sufre un gran golpe
Monto de la pérdida: 290 millones de dólares Método de ataque: fuga de clave privada
El 9 de febrero de 2024, PlayDapp sufrió un ataque grave. Los hackers mintieron 2 mil millones de tokens PLA al robar claves privadas, con un valor inicial de 36.5 millones de dólares. Debido a la falla en las negociaciones con los hackers, estos mintieron posteriormente 15.9 mil millones de tokens PLA, con un valor de 253.9 millones de dólares. Después de que parte de los tokens fluyeron a las casas de cambio, PlayDapp se vio obligado a suspender el contrato de PLA y migrar a un nuevo contrato de tokens. Este incidente destaca las deficiencias de los proyectos de blockchain en la protección de claves privadas y en la respuesta a emergencias.
3. Un intercambio de criptomonedas en India sufre un ataque dirigido
Monto de la pérdida: 235 millones de dólares Métodos de ataque: ataques en red y phishing
El 18 de julio de 2024, el monedero multifactores Safe Wallet del mayor intercambio de criptomonedas de India fue objeto de un ataque preciso por parte de hackers. Los atacantes indujeron a los firmantes del multifactores a firmar una transacción de actualización de contrato mediante técnicas de ingeniería social, y luego utilizaron los permisos del contrato actualizado para transferir todos los activos del monedero. Este caso revela los riesgos potenciales en la configuración de permisos y la transparencia operativa de los monederos multifactores, y ha suscitado una profunda reflexión en la industria sobre el control interno de los proyectos y los mecanismos de seguridad.
4. Gala Games sufre un ataque de emisión de tokens
Monto de la pérdida: 216 millones de dólares Método de ataque: vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. El atacante utilizó la función mint en el contrato del token para acuñar 5 mil millones de tokens GALA de una sola vez. Luego, el hacker intercambió estos tokens por ETH en varias transacciones, causando una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó de manera urgente la función de lista negra para bloquear algunas cuentas de los hackers y recuperó parte de las pérdidas a través de medios legales.
5. El fundador de un conocido proyecto de criptomonedas sufre un ataque a su billetera personal
Monto de pérdida: 112 millones de dólares Método de ataque: filtración de claves privadas
El 31 de enero de 2024, cuatro billeteras personales de un cofundador conocido de un proyecto de criptomonedas fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en XRP. Estas billeteras se convirtieron en el objetivo del ataque debido a la falta de protección de doble factor con hardware. Tras el incidente, un importante intercambio logró congelar XRP por un valor de 4.2 millones de dólares y ayudó a rastrear los activos robados, pero la mayor parte de los fondos ya había sido lavada a través de intercambios descentralizados y servicios de mezcla.
6. Munchables sufre un ataque de infiltración interna
Monto de la pérdida: 62.5 millones de dólares Método de ataque: ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 basada en Blast, Munchables, sufrió un raro ataque de infiltración interna. Los atacantes eran hackers disfrazados de desarrolladores de blockchain, que obtuvieron el código fuente y las claves sensibles tras una larga infiltración. A pesar de que el ataque causó enormes pérdidas, bajo la presión de la comunidad y del equipo, los hackers finalmente devolvieron todos los fondos robados. Este evento revela la importancia de la seguridad de la cadena de suministro, especialmente para los proyectos de blockchain que dependen del desarrollo de terceros.
7. Un intercambio de criptomonedas en Turquía sufre una filtración de claves privadas
Cantidad de pérdida: 55 millones de dólares Método de ataque: filtración de clave privada
El 22 de junio de 2024, el mayor intercambio de criptomonedas de Turquía sufrió un ataque de filtración de claves privadas, con pérdidas superiores a 55 millones de dólares en activos criptográficos. Con la ayuda de un importante intercambio, se congelaron con éxito 5.3 millones de dólares de los fondos robados, pero otros activos aún no se han recuperado. Este evento ha intensificado las preocupaciones del mercado sobre la gestión de claves privadas en los intercambios centralizados.
8. La billetera multifirma de Radiant Capital fue atacada
Monto de la pérdida: 53 millones de dólares Método de ataque: filtración de clave privada
El 17 de octubre de 2024, la billetera multifirma de Radiant Capital fue hackeada. Debido a la utilización de un modelo de verificación de firma de bajo umbral 3/11, el hacker logró iniciar una firma fuera de la cadena al obtener las claves privadas de 3 firmantes, transfiriendo así la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque provocó una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multifirma.
Es importante señalar que Radiant Capital había perdido 4.5 millones de dólares debido a una vulnerabilidad en el contrato antes de este ataque, con más de 1900 ETH robados. Esto recuerda nuevamente a los equipos de proyectos Web3 la necesidad de prestar más atención a los problemas de seguridad.
9. Hedgey Finance sufre un ataque de contratos multicadena
Monto de pérdida: 44.7 millones de dólares Método de ataque: vulnerabilidad de contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a varios contratos en cadena. Los hackers aprovecharon una vulnerabilidad de autorización en su contrato ClaimCampaigns, extrayendo con éxito tokens de las cadenas de Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este evento destaca la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de autorización de tokens.
10. La billetera caliente de un intercambio de criptomonedas fue hackeada
Monto de la pérdida: 44.7 millones de dólares Método de ataque: filtración de clave privada
El 19 de septiembre de 2024, la billetera caliente de un intercambio de criptomonedas fue hackeada, involucrando cadenas como Ethereum, BNB Chain, Tron y varias otras cadenas públicas. A pesar de que el intercambio activó rápidamente mecanismos de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por un valor de 44.7 millones de dólares. Este ataque refleja el alto riesgo de la gestión de billeteras calientes en intercambios centralizados y promueve aún más la exploración de soluciones de almacenamiento de activos más seguras en la industria.
Conclusión
Los frecuentes incidentes de ataques de seguridad en 2024 nos recuerdan una vez más que el desarrollo de la industria blockchain no puede prescindir de una protección segura. Desde la filtración de claves privadas hasta vulnerabilidades en contratos, desde fallos en la gestión interna hasta la mejora de las técnicas de ataque externas, cada incidente ha traído lecciones profundas. Para hacer frente a las amenazas de ataque cada vez más complejas, todas las partes de la industria deben seguir invirtiendo en investigación y desarrollo tecnológico, normas de gestión y prevención de riesgos. En el futuro, esperamos que a través de la colaboración en la industria y la innovación tecnológica, podamos establecer conjuntamente un ecosistema blockchain más seguro, proporcionando una garantía más confiable para los usuarios e inversores.