Revisão dos 10 principais incidentes de segurança no campo do Web3 em 2024
Com o contínuo desenvolvimento da tecnologia blockchain, em 2024, a indústria Web3 enfrenta desafios de segurança cada vez mais severos, ao mesmo tempo em que inova e se expande. De acordo com a monitorização de plataformas de dados, até ao final do ano, as perdas totais no setor Web3 devido a ataques de hackers, fraudes e fugas de projetos atingiram 2,491 milhões de dólares.
Esses eventos não só expuseram falhas técnicas na gestão de chaves privadas, contratos inteligentes e outros aspectos, mas também destacaram os riscos potenciais associados à engenharia social e à gestão interna. Este artigo irá rever os dez principais eventos de segurança do Web3 em 2024, para ajudar a indústria a aprender com eles e a lidar melhor com as ameaças de segurança futuras.
1. Uma importante troca de criptomoedas japonesa sofreu um grande ataque
Montante da perda: 304 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 31 de maio de 2024, uma conhecida bolsa de criptomoedas japonesa sofreu um ataque histórico. Hackers utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos roubados para mais de 10 endereços diferentes. Este incidente expôs as sérias deficiências da bolsa na gestão de chaves privadas e na segurança em múltiplas camadas. Embora a bolsa tenha tentado rastrear os hackers por meio de monitoramento on-chain e congelamento de fundos, os Bitcoins roubados já haviam sido dispersos e lavados usando ferramentas de mistura, apresentando um grande desafio para as investigações.
No final do ano, a polícia japonesa confirmou que o ataque foi realizado por um grupo de hackers da Coreia do Norte.
2. PlayDapp sofre um grande golpe
Montante da perda: 290 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um ataque grave. Os hackers conseguiram criar 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares, ao roubar uma chave privada. Após a falha das negociações com os hackers, eles geraram mais 15,9 bilhões de tokens PLA, avaliados em 253,9 milhões de dólares. Após parte dos tokens ter entrado nas exchanges, a PlayDapp foi forçada a pausar o contrato PLA e migrar para um novo contrato de token. Este incidente destaca as deficiências dos projetos de blockchain em proteger chaves privadas e em responder a emergências.
3. Uma exchange de criptomoedas na Índia sofre um ataque direcionado
Valor da perda: 235 milhões de dólares
Métodos de ataque: ataque de rede e phishing
Em 18 de julho de 2024, a Safe Wallet, uma carteira multi-assinatura da maior exchange de criptomoedas da Índia, foi alvo de um ataque cibernético preciso. Os atacantes induziram os signatários da multi-assinatura a assinar uma transação de atualização de contrato por meio de engenharia social, e então utilizaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este caso revela os riscos potenciais das carteiras multi-assinatura em relação à configuração de permissões e à transparência das operações, além de suscitar uma reflexão profunda na indústria sobre os mecanismos de controle de riscos internos e de segurança dos projetos.
4. Gala Games sofre um ataque de emissão de tokens
Montante da perda: 216 milhões de dólares
Método de ataque: Vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint no contrato do token e cunharam de uma só vez 5 bilhões de tokens GALA. Os hackers então trocaram esses tokens por ETH em várias parcelas, causando uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de lista negra para bloquear algumas contas dos hackers e recuperou parte das perdas por meio de ações legais.
5. Fundador de um conhecido projeto de criptomoeda sofre ataque a carteira pessoal
Montante da perda: 112 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais de um co-fundador conhecido de um projeto de criptomoeda foram hackeadas, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras se tornaram alvos do ataque devido à falta de proteção de dupla autenticação com dispositivos de hardware. Após o incidente, uma grande exchange conseguiu congelar 4,2 milhões de dólares em XRP e ajudou a rastrear os ativos roubados, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta um ataque de infiltração interna
Montante da perda: 62,5 milhões de dólares
Método de ataque: ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. O atacante era um hacker disfarçado de desenvolvedor de blockchain, que obteve o código-fonte e chaves sensíveis após um longo período de infiltração. Apesar das enormes perdas causadas pelo ataque, sob pressão da comunidade e da equipe, o hacker acabou devolvendo todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. Uma exchange de criptomoedas turca sofre vazamento de chave privada
Montante da perda: 55 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia sofreu um ataque de vazamento de chave privada, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma grande exchange, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aprofundou as preocupações do mercado sobre a gestão de chaves privadas em exchanges centralizadas.
8. A carteira multi-assinatura da Radiant Capital foi atacada
Montante da perda: 53 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multi-assinada da Radiant Capital foi invadida por hackers. Devido ao uso de um modelo de verificação de assinatura de 3/11 de baixo limite, os hackers conseguiram obter as chaves privadas de 3 signatários e realizar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinadas.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH roubados. Isso novamente lembra que os projetos Web3 precisam dar mais atenção às questões de segurança.
9. Hedgey Finance sofre ataque a contratos multi-chain
Montante da perda: 44,7 milhões de dólares
Método de ataque: vulnerabilidade de contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque direcionado a vários contratos on-chain. Os hackers aproveitaram a vulnerabilidade de aprovação do seu contrato ClaimCampaigns, conseguindo extrair tokens nas redes Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. A carteira quente de uma bolsa de criptomoedas foi invadida
Montante da perda: 44,7 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente de uma bolsa de criptomoedas foi invadida por hackers, envolvendo cadeias como Ethereum, BNB Chain, Tron e várias outras blockchains públicas. Embora a bolsa tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete a alta risco na gestão de carteiras quentes de bolsas centralizadas e impulsiona ainda mais a indústria a explorar soluções de armazenamento de ativos mais seguras.
Conclusão
Os frequentes ataques de segurança em 2024 lembram-nos mais uma vez que o desenvolvimento da indústria de blockchain não pode prescindir de uma proteção segura. Desde o vazamento de chaves privadas até falhas em contratos, desde descuidos na gestão interna até a evolução de métodos de ataque externos, cada incidente trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a intensificar os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro, proporcionando aos usuários e investidores uma proteção mais confiável.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Os 10 principais incidentes de segurança da indústria Web3 em 2024 com perdas totais de 2,491 milhões de dólares.
Revisão dos 10 principais incidentes de segurança no campo do Web3 em 2024
Com o contínuo desenvolvimento da tecnologia blockchain, em 2024, a indústria Web3 enfrenta desafios de segurança cada vez mais severos, ao mesmo tempo em que inova e se expande. De acordo com a monitorização de plataformas de dados, até ao final do ano, as perdas totais no setor Web3 devido a ataques de hackers, fraudes e fugas de projetos atingiram 2,491 milhões de dólares.
Esses eventos não só expuseram falhas técnicas na gestão de chaves privadas, contratos inteligentes e outros aspectos, mas também destacaram os riscos potenciais associados à engenharia social e à gestão interna. Este artigo irá rever os dez principais eventos de segurança do Web3 em 2024, para ajudar a indústria a aprender com eles e a lidar melhor com as ameaças de segurança futuras.
1. Uma importante troca de criptomoedas japonesa sofreu um grande ataque
Montante da perda: 304 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de maio de 2024, uma conhecida bolsa de criptomoedas japonesa sofreu um ataque histórico. Hackers utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos roubados para mais de 10 endereços diferentes. Este incidente expôs as sérias deficiências da bolsa na gestão de chaves privadas e na segurança em múltiplas camadas. Embora a bolsa tenha tentado rastrear os hackers por meio de monitoramento on-chain e congelamento de fundos, os Bitcoins roubados já haviam sido dispersos e lavados usando ferramentas de mistura, apresentando um grande desafio para as investigações.
No final do ano, a polícia japonesa confirmou que o ataque foi realizado por um grupo de hackers da Coreia do Norte.
2. PlayDapp sofre um grande golpe
Montante da perda: 290 milhões de dólares Método de ataque: vazamento de chave privada
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um ataque grave. Os hackers conseguiram criar 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares, ao roubar uma chave privada. Após a falha das negociações com os hackers, eles geraram mais 15,9 bilhões de tokens PLA, avaliados em 253,9 milhões de dólares. Após parte dos tokens ter entrado nas exchanges, a PlayDapp foi forçada a pausar o contrato PLA e migrar para um novo contrato de token. Este incidente destaca as deficiências dos projetos de blockchain em proteger chaves privadas e em responder a emergências.
3. Uma exchange de criptomoedas na Índia sofre um ataque direcionado
Valor da perda: 235 milhões de dólares Métodos de ataque: ataque de rede e phishing
Em 18 de julho de 2024, a Safe Wallet, uma carteira multi-assinatura da maior exchange de criptomoedas da Índia, foi alvo de um ataque cibernético preciso. Os atacantes induziram os signatários da multi-assinatura a assinar uma transação de atualização de contrato por meio de engenharia social, e então utilizaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este caso revela os riscos potenciais das carteiras multi-assinatura em relação à configuração de permissões e à transparência das operações, além de suscitar uma reflexão profunda na indústria sobre os mecanismos de controle de riscos internos e de segurança dos projetos.
4. Gala Games sofre um ataque de emissão de tokens
Montante da perda: 216 milhões de dólares Método de ataque: Vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint no contrato do token e cunharam de uma só vez 5 bilhões de tokens GALA. Os hackers então trocaram esses tokens por ETH em várias parcelas, causando uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de lista negra para bloquear algumas contas dos hackers e recuperou parte das perdas por meio de ações legais.
5. Fundador de um conhecido projeto de criptomoeda sofre ataque a carteira pessoal
Montante da perda: 112 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais de um co-fundador conhecido de um projeto de criptomoeda foram hackeadas, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras se tornaram alvos do ataque devido à falta de proteção de dupla autenticação com dispositivos de hardware. Após o incidente, uma grande exchange conseguiu congelar 4,2 milhões de dólares em XRP e ajudou a rastrear os ativos roubados, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta um ataque de infiltração interna
Montante da perda: 62,5 milhões de dólares Método de ataque: ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. O atacante era um hacker disfarçado de desenvolvedor de blockchain, que obteve o código-fonte e chaves sensíveis após um longo período de infiltração. Apesar das enormes perdas causadas pelo ataque, sob pressão da comunidade e da equipe, o hacker acabou devolvendo todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. Uma exchange de criptomoedas turca sofre vazamento de chave privada
Montante da perda: 55 milhões de dólares Método de ataque: vazamento de chave privada
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia sofreu um ataque de vazamento de chave privada, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma grande exchange, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aprofundou as preocupações do mercado sobre a gestão de chaves privadas em exchanges centralizadas.
8. A carteira multi-assinatura da Radiant Capital foi atacada
Montante da perda: 53 milhões de dólares Método de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multi-assinada da Radiant Capital foi invadida por hackers. Devido ao uso de um modelo de verificação de assinatura de 3/11 de baixo limite, os hackers conseguiram obter as chaves privadas de 3 signatários e realizar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinadas.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH roubados. Isso novamente lembra que os projetos Web3 precisam dar mais atenção às questões de segurança.
9. Hedgey Finance sofre ataque a contratos multi-chain
Montante da perda: 44,7 milhões de dólares Método de ataque: vulnerabilidade de contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque direcionado a vários contratos on-chain. Os hackers aproveitaram a vulnerabilidade de aprovação do seu contrato ClaimCampaigns, conseguindo extrair tokens nas redes Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. A carteira quente de uma bolsa de criptomoedas foi invadida
Montante da perda: 44,7 milhões de dólares Método de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente de uma bolsa de criptomoedas foi invadida por hackers, envolvendo cadeias como Ethereum, BNB Chain, Tron e várias outras blockchains públicas. Embora a bolsa tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete a alta risco na gestão de carteiras quentes de bolsas centralizadas e impulsiona ainda mais a indústria a explorar soluções de armazenamento de ativos mais seguras.
Conclusão
Os frequentes ataques de segurança em 2024 lembram-nos mais uma vez que o desenvolvimento da indústria de blockchain não pode prescindir de uma proteção segura. Desde o vazamento de chaves privadas até falhas em contratos, desde descuidos na gestão interna até a evolução de métodos de ataque externos, cada incidente trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a intensificar os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro, proporcionando aos usuários e investidores uma proteção mais confiável.