Retrospectiva dos eventos de segurança Web3 em 2024: Análise dos dez principais casos de ataque
Em 2024, com a contínua inovação da tecnologia blockchain e a expansão do ecossistema, o setor Web3 enfrenta desafios de segurança cada vez mais severos. De acordo com estatísticas de plataformas de dados, até o final do ano, as perdas totais na indústria Web3 devido a ataques de hackers, fraudes de phishing e saídas maliciosas de projetos alcançaram 2,491 bilhões de dólares.
Estes eventos não apenas expuseram as vulnerabilidades a nível técnico, como a gestão de chaves privadas e contratos inteligentes, mas também destacaram os riscos potenciais associados a ataques de engenharia social e à gestão interna. Este artigo revisará os dez eventos de segurança mais impactantes no campo do Web3 em 2024, com a esperança de que a indústria possa aprender lições valiosas e se preparar melhor para as ameaças de segurança futuras.
1. DMM Bitcoin: vazamento de chave privada resulta em perdas de 304 milhões de dólares
No dia 31 de maio de 2024, a conhecida bolsa de criptomoedas japonesa DMM Bitcoin sofreu um grave incidente de segurança. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos roubados em mais de 10 endereços diferentes. Este evento expôs as sérias falhas da bolsa na gestão de chaves privadas e nas múltiplas proteções de segurança.
Apesar de as bolsas tentarem rastrear os hackers através de monitoramento on-chain e congelamento de fundos, a recuperação dos ativos enfrenta grandes desafios devido à rápida dispersão e lavagem dos bitcoins roubados através de ferramentas de mistura. No final do ano, a polícia japonesa investigou e concluiu que este ataque foi supostamente realizado pelo grupo de hackers norte-coreano Lazarus Group.
2. PlayDapp: Perda de 2,90 bilhões de dólares devido ao vazamento de chaves privadas
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um grave incidente de segurança. Hackers conseguiram cunhar 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares, ao roubar a chave privada. Devido à falha nas negociações entre a equipe do projeto e os hackers, os atacantes cunharam rapidamente mais 15,9 bilhões de tokens PLA, totalizando um valor de 253,9 milhões de dólares.
Após a entrada de alguns tokens roubados na plataforma de negociação, a PlayDapp foi forçada a suspender a execução do contrato PLA e a migrar os tokens para um novo contrato PDA. Este evento destaca as deficiências dos projetos de blockchain na proteção de chaves privadas e nos mecanismos de resposta a emergências.
3. WazirX: Ataques cibernéticos e phishing causam perdas de 235 milhões de dólares
No dia 18 de julho de 2024, a Safe Wallet, a carteira multi-assinatura da maior exchange de criptomoedas da Índia, WazirX, sofreu um ataque direcionado. Os atacantes induziram os signatários da multi-assinatura a aprovar uma transação de atualização de contrato por meio de engenharia social, e em seguida, utilizaram os direitos do contrato atualizado para transferir todos os ativos da carteira.
Este caso expôs os riscos potenciais na gestão de permissões e na transparência das operações dos wallets multi-assinatura, ao mesmo tempo que suscitou uma reflexão profunda na indústria sobre os mecanismos internos de controle de riscos e segurança dos projetos.
4. Gala Games: Vulnerabilidade de controle de acesso resulta em perdas de 216 milhões de dólares
Em 20 de maio de 2024, um endereço privilegiado da Gala Games foi comprometido por hackers. Os atacantes invocaram a função mint do contrato do token, cunhando 5 bilhões de GALA de uma só vez. Em seguida, os hackers trocaram esses novos tokens por ETH em várias transações, resultando em uma perda direta de 216 milhões de dólares.
A equipe da Gala Games rapidamente ativou a função de blacklist após o incidente, bloqueando algumas contas de hackers e recuperando parte das perdas por meio de ações legais. Este evento destaca a importância da gestão de permissões de contratos.
5. Chris Larsen: A divulgação da chave privada resultou no roubo de 112 milhões de dólares em XRP
No dia 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple, Chris Larsen, foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras foram alvo do ataque provavelmente devido à falta de proteção de autenticação em duas etapas com dispositivos de hardware.
Após o incidente, uma plataforma de negociação conseguiu congelar XRP no valor de 4,2 milhões de dólares e ajudou Larsen a rastrear os ativos roubados. No entanto, a maior parte dos fundos já foi lavada através de exchanges descentralizadas e serviços de mistura, tornando a recuperação extremamente difícil.
6. Munchables: Ataques de engenharia social resultam em perdas de 62,5 milhões de dólares
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes disfarçaram-se de desenvolvedores de blockchain e, através de uma longa infiltração, obtiveram o código-fonte e chaves sensíveis.
Apesar dos enormes prejuízos causados pelo ataque, sob a pressão da comunidade e da equipe, os hackers acabaram por devolver todos os fundos roubados. Este evento destaca a importância da segurança na cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvimentos de terceiros.
7. BtcTurk: Perda de 55 milhões de dólares devido ao vazamento de chaves privadas
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia, BtcTurk, sofreu um ataque de vazamento de chave privada, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma plataforma de negociação, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aprofundou ainda mais as preocupações do mercado sobre a capacidade de gestão de chaves privadas das exchanges centralizadas.
8. Radiant Capital: Vulnerabilidade da carteira multi-assinatura leva a uma perda de 53 milhões de dólares
No dia 17 de outubro de 2024, a wallet multi-assinatura da Radiant Capital foi alvo de um ataque hacker. Devido à utilização de um modelo de verificação de assinatura 3/11 com um limite mais baixo, os hackers conseguiram, ao obter as chaves privadas de 3 signatários, iniciar uma assinatura off-chain e transferir com sucesso a propriedade do contrato da wallet para um endereço malicioso, resultando no roubo final de 53 milhões de dólares.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH roubados. Esta série de eventos destaca a necessidade urgente de os projetos Web3 aumentarem a conscientização sobre segurança e a capacidade de proteção.
9. Hedgey Finance: Falhas de contrato causam perdas de 44,7 milhões de dólares
Em 19 de abril de 2024, a Hedgey Finance sofreu um ataque a vários contratos em blockchain. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas blockchains Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares.
Este evento sublinha novamente a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. BingX: O ataque ao wallet quente causou uma perda de 44,7 milhões de dólares.
No dia 19 de setembro de 2024, a carteira quente de uma plataforma de negociação foi invadida por hackers, envolvendo cadeias como Ethereum, BNB Chain, Tron e várias outras blockchains públicas. Embora a exchange tenha rapidamente ativado o mecanismo de transferência de ativos e congelamento de saques, os hackers ainda conseguiram extrair ativos no valor de 44,7 milhões de dólares.
Este ataque reflete novamente a alta risco na gestão de carteiras quentes de exchanges centralizadas, impulsionando a indústria a explorar soluções de armazenamento de ativos mais seguras.
Conclusão
Os frequentes incidentes de segurança em 2024 lembram-nos novamente que o desenvolvimento saudável da indústria de blockchain não pode prescindir de uma forte garantia de segurança. Desde o vazamento de chaves privadas até falhas em contratos, desde falhas de gestão interna até a atualização de métodos de ataque externos, cada incidente soou o alarme para a indústria.
Para enfrentar as ameaças de ataque cada vez mais complexas, as partes interessadas da indústria precisam aumentar continuamente os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e prevenção de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro e fiável, oferecendo melhor proteção aos usuários e investidores.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
18 Curtidas
Recompensa
18
6
Compartilhar
Comentário
0/400
DataOnlooker
· 15h atrás
Este dinheiro é muito fácil de ganhar 8
Ver originalResponder0
ImaginaryWhale
· 07-21 08:58
Ai, os hackers ficaram ricos.
Ver originalResponder0
BridgeJumper
· 07-21 08:56
A grama novamente explodiu uma quantia.
Ver originalResponder0
GweiObserver
· 07-21 08:54
é o som dos idiotas a serem feitos de parvas~
Ver originalResponder0
CryptoSourGrape
· 07-21 08:46
Outra vez a fazer as pessoas de parvas. Os outros fazem parvos, eu faço parvo a mim mesmo.
Análise dos 10 principais incidentes de segurança do Web3 em 2024: perdas de quase 2,5 bilhões de dólares
Retrospectiva dos eventos de segurança Web3 em 2024: Análise dos dez principais casos de ataque
Em 2024, com a contínua inovação da tecnologia blockchain e a expansão do ecossistema, o setor Web3 enfrenta desafios de segurança cada vez mais severos. De acordo com estatísticas de plataformas de dados, até o final do ano, as perdas totais na indústria Web3 devido a ataques de hackers, fraudes de phishing e saídas maliciosas de projetos alcançaram 2,491 bilhões de dólares.
Estes eventos não apenas expuseram as vulnerabilidades a nível técnico, como a gestão de chaves privadas e contratos inteligentes, mas também destacaram os riscos potenciais associados a ataques de engenharia social e à gestão interna. Este artigo revisará os dez eventos de segurança mais impactantes no campo do Web3 em 2024, com a esperança de que a indústria possa aprender lições valiosas e se preparar melhor para as ameaças de segurança futuras.
1. DMM Bitcoin: vazamento de chave privada resulta em perdas de 304 milhões de dólares
No dia 31 de maio de 2024, a conhecida bolsa de criptomoedas japonesa DMM Bitcoin sofreu um grave incidente de segurança. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos roubados em mais de 10 endereços diferentes. Este evento expôs as sérias falhas da bolsa na gestão de chaves privadas e nas múltiplas proteções de segurança.
Apesar de as bolsas tentarem rastrear os hackers através de monitoramento on-chain e congelamento de fundos, a recuperação dos ativos enfrenta grandes desafios devido à rápida dispersão e lavagem dos bitcoins roubados através de ferramentas de mistura. No final do ano, a polícia japonesa investigou e concluiu que este ataque foi supostamente realizado pelo grupo de hackers norte-coreano Lazarus Group.
2. PlayDapp: Perda de 2,90 bilhões de dólares devido ao vazamento de chaves privadas
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um grave incidente de segurança. Hackers conseguiram cunhar 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares, ao roubar a chave privada. Devido à falha nas negociações entre a equipe do projeto e os hackers, os atacantes cunharam rapidamente mais 15,9 bilhões de tokens PLA, totalizando um valor de 253,9 milhões de dólares.
Após a entrada de alguns tokens roubados na plataforma de negociação, a PlayDapp foi forçada a suspender a execução do contrato PLA e a migrar os tokens para um novo contrato PDA. Este evento destaca as deficiências dos projetos de blockchain na proteção de chaves privadas e nos mecanismos de resposta a emergências.
3. WazirX: Ataques cibernéticos e phishing causam perdas de 235 milhões de dólares
No dia 18 de julho de 2024, a Safe Wallet, a carteira multi-assinatura da maior exchange de criptomoedas da Índia, WazirX, sofreu um ataque direcionado. Os atacantes induziram os signatários da multi-assinatura a aprovar uma transação de atualização de contrato por meio de engenharia social, e em seguida, utilizaram os direitos do contrato atualizado para transferir todos os ativos da carteira.
Este caso expôs os riscos potenciais na gestão de permissões e na transparência das operações dos wallets multi-assinatura, ao mesmo tempo que suscitou uma reflexão profunda na indústria sobre os mecanismos internos de controle de riscos e segurança dos projetos.
4. Gala Games: Vulnerabilidade de controle de acesso resulta em perdas de 216 milhões de dólares
Em 20 de maio de 2024, um endereço privilegiado da Gala Games foi comprometido por hackers. Os atacantes invocaram a função mint do contrato do token, cunhando 5 bilhões de GALA de uma só vez. Em seguida, os hackers trocaram esses novos tokens por ETH em várias transações, resultando em uma perda direta de 216 milhões de dólares.
A equipe da Gala Games rapidamente ativou a função de blacklist após o incidente, bloqueando algumas contas de hackers e recuperando parte das perdas por meio de ações legais. Este evento destaca a importância da gestão de permissões de contratos.
5. Chris Larsen: A divulgação da chave privada resultou no roubo de 112 milhões de dólares em XRP
No dia 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple, Chris Larsen, foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras foram alvo do ataque provavelmente devido à falta de proteção de autenticação em duas etapas com dispositivos de hardware.
Após o incidente, uma plataforma de negociação conseguiu congelar XRP no valor de 4,2 milhões de dólares e ajudou Larsen a rastrear os ativos roubados. No entanto, a maior parte dos fundos já foi lavada através de exchanges descentralizadas e serviços de mistura, tornando a recuperação extremamente difícil.
6. Munchables: Ataques de engenharia social resultam em perdas de 62,5 milhões de dólares
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes disfarçaram-se de desenvolvedores de blockchain e, através de uma longa infiltração, obtiveram o código-fonte e chaves sensíveis.
Apesar dos enormes prejuízos causados pelo ataque, sob a pressão da comunidade e da equipe, os hackers acabaram por devolver todos os fundos roubados. Este evento destaca a importância da segurança na cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvimentos de terceiros.
7. BtcTurk: Perda de 55 milhões de dólares devido ao vazamento de chaves privadas
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia, BtcTurk, sofreu um ataque de vazamento de chave privada, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma plataforma de negociação, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aprofundou ainda mais as preocupações do mercado sobre a capacidade de gestão de chaves privadas das exchanges centralizadas.
8. Radiant Capital: Vulnerabilidade da carteira multi-assinatura leva a uma perda de 53 milhões de dólares
No dia 17 de outubro de 2024, a wallet multi-assinatura da Radiant Capital foi alvo de um ataque hacker. Devido à utilização de um modelo de verificação de assinatura 3/11 com um limite mais baixo, os hackers conseguiram, ao obter as chaves privadas de 3 signatários, iniciar uma assinatura off-chain e transferir com sucesso a propriedade do contrato da wallet para um endereço malicioso, resultando no roubo final de 53 milhões de dólares.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH roubados. Esta série de eventos destaca a necessidade urgente de os projetos Web3 aumentarem a conscientização sobre segurança e a capacidade de proteção.
9. Hedgey Finance: Falhas de contrato causam perdas de 44,7 milhões de dólares
Em 19 de abril de 2024, a Hedgey Finance sofreu um ataque a vários contratos em blockchain. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas blockchains Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares.
Este evento sublinha novamente a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. BingX: O ataque ao wallet quente causou uma perda de 44,7 milhões de dólares.
No dia 19 de setembro de 2024, a carteira quente de uma plataforma de negociação foi invadida por hackers, envolvendo cadeias como Ethereum, BNB Chain, Tron e várias outras blockchains públicas. Embora a exchange tenha rapidamente ativado o mecanismo de transferência de ativos e congelamento de saques, os hackers ainda conseguiram extrair ativos no valor de 44,7 milhões de dólares.
Este ataque reflete novamente a alta risco na gestão de carteiras quentes de exchanges centralizadas, impulsionando a indústria a explorar soluções de armazenamento de ativos mais seguras.
Conclusão
Os frequentes incidentes de segurança em 2024 lembram-nos novamente que o desenvolvimento saudável da indústria de blockchain não pode prescindir de uma forte garantia de segurança. Desde o vazamento de chaves privadas até falhas em contratos, desde falhas de gestão interna até a atualização de métodos de ataque externos, cada incidente soou o alarme para a indústria.
Para enfrentar as ameaças de ataque cada vez mais complexas, as partes interessadas da indústria precisam aumentar continuamente os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e prevenção de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro e fiável, oferecendo melhor proteção aos usuários e investidores.