Revisión de los diez principales incidentes de seguridad en el ámbito Web3 en 2024
En 2024, la industria de blockchain se enfrenta a desafíos de seguridad cada vez más severos, al mismo tiempo que avanza en innovación tecnológica y expansión ecológica. Según la monitorización de plataformas de datos, hasta ahora, las pérdidas totales en el ámbito de Web3 en 2024 debido a ataques de hackers, fraudes de phishing y huídas de proyectos ascienden a 2,491 millones de dólares.
Estos eventos no solo expusieron deficiencias técnicas como la gestión de claves privadas y vulnerabilidades en contratos inteligentes, sino que también resaltaron los riesgos potenciales de la ingeniería social y la gestión interna. Este artículo enumerará los diez principales eventos de seguridad en Web3 de 2024, con la esperanza de aprender de ellos y enfrentar mejor las amenazas de seguridad futuras.
1. DMM Bitcoin
Monto de la pérdida: 304 millones de dólaresMétodo de ataque: filtración de clave privada
El 31 de mayo de 2024, el conocido intercambio de criptomonedas japonés DMM Bitcoin sufrió un grave incidente de seguridad. Los atacantes utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados en más de 10 direcciones diferentes. Este ataque expuso las serias deficiencias del intercambio en la gestión de claves privadas y en la protección de múltiples capas de seguridad. A pesar de que el intercambio intentó rastrear a los hackers mediante monitoreo en la cadena y congelación de fondos, la dispersión de la transferencia de Bitcoin robado y el lavado de monedas presentaron un gran desafío para el trabajo de rastreo.
El 24 de diciembre, la policía japonesa confirmó que este incidente fue perpetrado por el grupo de hackers norcoreano Lazarus.
2. PlayDapp
Monto de la pérdida: 290 millones de dólaresMétodo de ataque: filtración de claves privadas
El 9 de febrero de 2024, PlayDapp sufrió un duro golpe. Los hackers, al robar la clave privada, acuñaron 2 mil millones de tokens PLA, con un valor inicial de 36.5 millones de dólares. Debido a la fallida negociación entre el equipo del proyecto y los hackers, estos acuñaron en poco tiempo otros 15.9 mil millones de tokens PLA, con un valor de 253.9 millones de dólares. Después de que parte de los tokens fluyeron a los intercambios, PlayDapp se vio obligado a suspender el contrato de PLA y migrar a un nuevo contrato de tokens PDA. Este incidente pone de manifiesto las deficiencias de los proyectos de blockchain en la protección de claves privadas y en la gestión de emergencias.
3. Un intercambio de criptomonedas en India
Cantidad de pérdida: 235 millones de dólaresMétodo de ataque: ataques en red y phishing
El 18 de julio de 2024, el monedero multifirma Safe Wallet del mayor intercambio de criptomonedas en India fue objeto de un ataque preciso. Los atacantes utilizaron técnicas de ingeniería social para inducir a los firmantes del multifirma a firmar una transacción de actualización de contrato, y luego aprovecharon los permisos del contrato actualizado para transferir todos los activos del monedero. Este incidente destaca los riesgos potenciales de los monederos multifirma en la gestión de la configuración de permisos y la transparencia operativa, y ha provocado una profunda reflexión en la industria sobre los mecanismos internos de control de riesgos y seguridad de los proyectos.
4. Gala Games
Monto de pérdida: 216 millones de dólaresMétodo de ataque: Vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. Los atacantes llamaron a la función de mint en el contrato de tokens y acuñaron 5 mil millones de tokens GALA de una sola vez. Luego, los hackers intercambiaron estos tokens por ETH en lotes, lo que resultó en una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó de inmediato la función de lista negra para bloquear algunas cuentas de los hackers y recuperó parte de las pérdidas a través de vías legales.
5. Co-fundador de un proyecto de criptomoneda
Monto de pérdida: 112 millones de dólaresMétodo de ataque: filtración de clave privada
El 31 de enero de 2024, cuatro billeteras personales de un cofundador de un conocido proyecto de criptomonedas fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en criptomonedas. Estas billeteras se convirtieron en un objetivo de ataque debido a la falta de protección de doble factor proporcionada por dispositivos de hardware. Después del incidente, una plataforma de intercambio logró congelar activos robados por un valor de 4.2 millones de dólares y ayudó a rastrear, pero la mayor parte de los fondos ya había sido lavada a través de intercambios descentralizados y servicios de mezcla.
6. Munchables
Monto de la pérdida: 62.5 millones de dólaresMétodo de ataque: ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 basada en Blast, Munchables, sufrió un raro ataque de infiltración interna. Los atacantes eran hackers que se hacían pasar por desarrolladores de blockchain y, a través de una larga infiltración, obtuvieron el código central y claves sensibles. A pesar de que el ataque causó enormes pérdidas, bajo la presión de la comunidad y el equipo, los hackers finalmente devolvieron todos los fondos robados. Este evento reveló la importancia de la seguridad de la cadena de suministro, especialmente para los proyectos de blockchain que dependen de desarrollos de terceros.
7. BtcTurk
Monto de la pérdida: 55 millones de dólaresMétodo de ataque: filtración de clave privada
El 22 de junio de 2024, el mayor intercambio de criptomonedas de Turquía, BtcTurk, sufrió un ataque de filtración de claves privadas, con pérdidas superiores a 55 millones de dólares en activos criptográficos. Con la ayuda del equipo de una plataforma de intercambio, 5.3 millones de dólares de los fondos robados fueron congelados con éxito, pero otros activos aún no han sido recuperados. Este incidente ha profundizado las preocupaciones del mercado sobre la gestión de claves privadas en los intercambios centralizados.
8. Radiant Capital
Monto de la pérdida: 53 millones de dólaresMétodo de ataque: filtración de clave privada
El 17 de octubre de 2024, la billetera multisig de Radiant Capital fue hackeada. Debido a que utilizaba un modo de verificación de firma 3/11 de bajo umbral, los hackers, al obtener las claves privadas de 3 firmantes, iniciaron firmas fuera de la cadena y transfirieron la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque provocó una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multisig.
Cabe destacar que Radiant Capital perdió 4.5 millones de dólares debido a una vulnerabilidad en el contrato antes de este ataque, y más de 1900 ETH fueron robados. Esto indica que los proyectos de Web3 aún deben mejorar su atención a la seguridad.
9. Hedgey Finance
Monto de la pérdida: 44.7 millones de dólaresMétodo de ataque: vulnerabilidad de contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a varios contratos en cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns, extrayendo con éxito tokens en las cadenas de Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este evento destaca la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.
10. BingX
Monto de la pérdida: 44,7 millones de dólaresMétodo de ataque: filtración de claves privadas
El 19 de septiembre de 2024, la billetera caliente del intercambio BingX fue hackeada, afectando a múltiples cadenas públicas como Ethereum, BNB Chain y Tron. A pesar de que el intercambio activó rápidamente los mecanismos de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por un valor de 44.7 millones de dólares. Este ataque refleja el alto riesgo en la gestión de billeteras calientes de los intercambios centralizados y promueve aún más la exploración de soluciones de almacenamiento de activos más seguras en la industria.
Resumen
Los incidentes de ataques de seguridad son cada vez más frecuentes en 2024, lo que nos recuerda una vez más que el desarrollo de la industria blockchain no puede prescindir de la protección de la seguridad. Desde la filtración de claves privadas hasta vulnerabilidades en contratos, desde descuidos en la gestión interna hasta la actualización de métodos de ataque externos, cada incidente ha traído lecciones profundas. Para hacer frente a las amenazas de ataque cada vez más complejas, todas las partes de la industria necesitan seguir invirtiendo en el desarrollo tecnológico, las normas de gestión y la prevención de riesgos. En el futuro, esperamos que a través de la colaboración en la industria y la innovación tecnológica, podamos construir conjuntamente un ecosistema blockchain más seguro, brindando a los usuarios e inversores una protección más confiable.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
12 me gusta
Recompensa
12
5
Compartir
Comentar
0/400
ShibaSunglasses
· 07-25 14:40
Billetera Llave privada丢了真的好惨...
Ver originalesResponder0
PessimisticOracle
· 07-24 06:27
Otra vez un año arruinado~
Ver originalesResponder0
LightningClicker
· 07-22 15:16
Otra vez grandes cantidades de dinero en la Billetera.
Pérdidas de 2,491 millones de dólares en el campo de Web3 en 2024: Resumen de los diez principales incidentes de seguridad.
Revisión de los diez principales incidentes de seguridad en el ámbito Web3 en 2024
En 2024, la industria de blockchain se enfrenta a desafíos de seguridad cada vez más severos, al mismo tiempo que avanza en innovación tecnológica y expansión ecológica. Según la monitorización de plataformas de datos, hasta ahora, las pérdidas totales en el ámbito de Web3 en 2024 debido a ataques de hackers, fraudes de phishing y huídas de proyectos ascienden a 2,491 millones de dólares.
Estos eventos no solo expusieron deficiencias técnicas como la gestión de claves privadas y vulnerabilidades en contratos inteligentes, sino que también resaltaron los riesgos potenciales de la ingeniería social y la gestión interna. Este artículo enumerará los diez principales eventos de seguridad en Web3 de 2024, con la esperanza de aprender de ellos y enfrentar mejor las amenazas de seguridad futuras.
1. DMM Bitcoin
Monto de la pérdida: 304 millones de dólares Método de ataque: filtración de clave privada
El 31 de mayo de 2024, el conocido intercambio de criptomonedas japonés DMM Bitcoin sufrió un grave incidente de seguridad. Los atacantes utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados en más de 10 direcciones diferentes. Este ataque expuso las serias deficiencias del intercambio en la gestión de claves privadas y en la protección de múltiples capas de seguridad. A pesar de que el intercambio intentó rastrear a los hackers mediante monitoreo en la cadena y congelación de fondos, la dispersión de la transferencia de Bitcoin robado y el lavado de monedas presentaron un gran desafío para el trabajo de rastreo.
El 24 de diciembre, la policía japonesa confirmó que este incidente fue perpetrado por el grupo de hackers norcoreano Lazarus.
2. PlayDapp
Monto de la pérdida: 290 millones de dólares Método de ataque: filtración de claves privadas
El 9 de febrero de 2024, PlayDapp sufrió un duro golpe. Los hackers, al robar la clave privada, acuñaron 2 mil millones de tokens PLA, con un valor inicial de 36.5 millones de dólares. Debido a la fallida negociación entre el equipo del proyecto y los hackers, estos acuñaron en poco tiempo otros 15.9 mil millones de tokens PLA, con un valor de 253.9 millones de dólares. Después de que parte de los tokens fluyeron a los intercambios, PlayDapp se vio obligado a suspender el contrato de PLA y migrar a un nuevo contrato de tokens PDA. Este incidente pone de manifiesto las deficiencias de los proyectos de blockchain en la protección de claves privadas y en la gestión de emergencias.
3. Un intercambio de criptomonedas en India
Cantidad de pérdida: 235 millones de dólares Método de ataque: ataques en red y phishing
El 18 de julio de 2024, el monedero multifirma Safe Wallet del mayor intercambio de criptomonedas en India fue objeto de un ataque preciso. Los atacantes utilizaron técnicas de ingeniería social para inducir a los firmantes del multifirma a firmar una transacción de actualización de contrato, y luego aprovecharon los permisos del contrato actualizado para transferir todos los activos del monedero. Este incidente destaca los riesgos potenciales de los monederos multifirma en la gestión de la configuración de permisos y la transparencia operativa, y ha provocado una profunda reflexión en la industria sobre los mecanismos internos de control de riesgos y seguridad de los proyectos.
4. Gala Games
Monto de pérdida: 216 millones de dólares Método de ataque: Vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. Los atacantes llamaron a la función de mint en el contrato de tokens y acuñaron 5 mil millones de tokens GALA de una sola vez. Luego, los hackers intercambiaron estos tokens por ETH en lotes, lo que resultó en una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó de inmediato la función de lista negra para bloquear algunas cuentas de los hackers y recuperó parte de las pérdidas a través de vías legales.
5. Co-fundador de un proyecto de criptomoneda
Monto de pérdida: 112 millones de dólares Método de ataque: filtración de clave privada
El 31 de enero de 2024, cuatro billeteras personales de un cofundador de un conocido proyecto de criptomonedas fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en criptomonedas. Estas billeteras se convirtieron en un objetivo de ataque debido a la falta de protección de doble factor proporcionada por dispositivos de hardware. Después del incidente, una plataforma de intercambio logró congelar activos robados por un valor de 4.2 millones de dólares y ayudó a rastrear, pero la mayor parte de los fondos ya había sido lavada a través de intercambios descentralizados y servicios de mezcla.
6. Munchables
Monto de la pérdida: 62.5 millones de dólares Método de ataque: ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 basada en Blast, Munchables, sufrió un raro ataque de infiltración interna. Los atacantes eran hackers que se hacían pasar por desarrolladores de blockchain y, a través de una larga infiltración, obtuvieron el código central y claves sensibles. A pesar de que el ataque causó enormes pérdidas, bajo la presión de la comunidad y el equipo, los hackers finalmente devolvieron todos los fondos robados. Este evento reveló la importancia de la seguridad de la cadena de suministro, especialmente para los proyectos de blockchain que dependen de desarrollos de terceros.
7. BtcTurk
Monto de la pérdida: 55 millones de dólares Método de ataque: filtración de clave privada
El 22 de junio de 2024, el mayor intercambio de criptomonedas de Turquía, BtcTurk, sufrió un ataque de filtración de claves privadas, con pérdidas superiores a 55 millones de dólares en activos criptográficos. Con la ayuda del equipo de una plataforma de intercambio, 5.3 millones de dólares de los fondos robados fueron congelados con éxito, pero otros activos aún no han sido recuperados. Este incidente ha profundizado las preocupaciones del mercado sobre la gestión de claves privadas en los intercambios centralizados.
8. Radiant Capital
Monto de la pérdida: 53 millones de dólares Método de ataque: filtración de clave privada
El 17 de octubre de 2024, la billetera multisig de Radiant Capital fue hackeada. Debido a que utilizaba un modo de verificación de firma 3/11 de bajo umbral, los hackers, al obtener las claves privadas de 3 firmantes, iniciaron firmas fuera de la cadena y transfirieron la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque provocó una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multisig.
Cabe destacar que Radiant Capital perdió 4.5 millones de dólares debido a una vulnerabilidad en el contrato antes de este ataque, y más de 1900 ETH fueron robados. Esto indica que los proyectos de Web3 aún deben mejorar su atención a la seguridad.
9. Hedgey Finance
Monto de la pérdida: 44.7 millones de dólares Método de ataque: vulnerabilidad de contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a varios contratos en cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns, extrayendo con éxito tokens en las cadenas de Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este evento destaca la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.
10. BingX
Monto de la pérdida: 44,7 millones de dólares Método de ataque: filtración de claves privadas
El 19 de septiembre de 2024, la billetera caliente del intercambio BingX fue hackeada, afectando a múltiples cadenas públicas como Ethereum, BNB Chain y Tron. A pesar de que el intercambio activó rápidamente los mecanismos de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por un valor de 44.7 millones de dólares. Este ataque refleja el alto riesgo en la gestión de billeteras calientes de los intercambios centralizados y promueve aún más la exploración de soluciones de almacenamiento de activos más seguras en la industria.
Resumen
Los incidentes de ataques de seguridad son cada vez más frecuentes en 2024, lo que nos recuerda una vez más que el desarrollo de la industria blockchain no puede prescindir de la protección de la seguridad. Desde la filtración de claves privadas hasta vulnerabilidades en contratos, desde descuidos en la gestión interna hasta la actualización de métodos de ataque externos, cada incidente ha traído lecciones profundas. Para hacer frente a las amenazas de ataque cada vez más complejas, todas las partes de la industria necesitan seguir invirtiendo en el desarrollo tecnológico, las normas de gestión y la prevención de riesgos. En el futuro, esperamos que a través de la colaboración en la industria y la innovación tecnológica, podamos construir conjuntamente un ecosistema blockchain más seguro, brindando a los usuarios e inversores una protección más confiable.