Revisão dos Dez Principais Incidentes de Segurança no Setor Web3 em 2024
Em 2024, a indústria de blockchain, enquanto inova em tecnologia e expande ecossistemas, também enfrenta desafios de segurança cada vez mais severos. De acordo com a monitorização de plataformas de dados, até o momento, as perdas totais no setor Web3 em 2024, devido a ataques de hackers, fraudes de phishing e o desaparecimento de projetos, atingem 2,491 milhões de dólares.
Esses eventos não apenas expuseram deficiências técnicas como a gestão de chaves privadas e falhas em contratos inteligentes, mas também destacaram os riscos potenciais da engenharia social e da gestão interna. Este artigo irá listar os dez principais eventos de segurança do Web3 em 2024, com a esperança de extrair lições e melhor enfrentar as ameaças de segurança futuras.
1. DMM Bitcoin
Montante da perda: 304 milhões de dólaresMétodo de ataque: vazamento de chave privada
Em 31 de maio de 2024, a conhecida exchange de criptomoedas japonesa DMM Bitcoin sofreu um grave incidente de segurança. Os atacantes utilizaram uma chave privada vazada para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos roubados em mais de 10 endereços diferentes. Este ataque expôs as sérias deficiências da exchange na gestão de chaves privadas e na proteção de segurança em múltiplas camadas. Apesar de a exchange ter tentado rastrear os hackers por meio de monitoramento on-chain e congelamento de fundos, a dispersão da transferência dos Bitcoins roubados e a lavagem de moedas apresentaram enormes desafios para o trabalho de rastreamento.
No dia 24 de dezembro, a polícia japonesa confirmou que este incidente foi causado pelo grupo de hackers norte-coreano Lazarus Group.
2. PlayDapp
Montante da perda: 290 milhões de dólaresMétodo de ataque: Vazamento de chave privada
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um golpe devastador. Hackers forjaram 2 bilhões de tokens PLA ao roubar a chave privada, com um valor inicial de 36,5 milhões de dólares. Devido ao fracasso das negociações entre a equipe do projeto e os hackers, os hackers forjaram rapidamente mais 15,9 bilhões de tokens PLA, avaliados em 253,9 milhões de dólares. Após parte dos tokens entrarem nas exchanges, a PlayDapp foi forçada a suspender o contrato PLA e migrar para um novo contrato de token PDA. Este evento destacou as deficiências dos projetos de blockchain na proteção de chaves privadas e na gestão de emergências.
3. Uma bolsa de criptomoedas indiana
Montante da perda: 235 milhões de dólaresMétodos de ataque: Ataques de rede e phishing
No dia 18 de julho de 2024, a Safe Wallet, uma carteira multi-assinatura da maior exchange de criptomoedas da Índia, foi alvo de um ataque preciso. Os atacantes induziram os signatários da multi-assinatura, por meio de engenharia social, a assinar uma transação de atualização de contrato, e em seguida utilizaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este incidente destaca os riscos potenciais das carteiras multi-assinatura em relação à configuração de permissões de gestão e à transparência das operações, além de provocar uma reflexão aprofundada na indústria sobre os mecanismos de controle de riscos internos e segurança dos projetos.
4. Gala Games
Montante da perda: 216 milhões de dólaresMétodo de ataque: Vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint no contrato do token, criando 5 bilhões de tokens GALA de uma só vez. Em seguida, os hackers trocaram esses tokens por ETH em lotes, causando uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist após o incidente para bloquear algumas contas dos hackers e recuperou parte das perdas através de vias legais.
5. Co-fundador de um projeto de criptomoeda
Montante da perda: 112 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, as quatro carteiras pessoais de um cofundador de um conhecido projeto de criptomoedas foram hackeadas, resultando no roubo de 112 milhões de dólares em criptomoedas. Essas carteiras aparentemente se tornaram alvos do ataque devido à falta de proteção em hardware de dupla autenticação. Após o incidente, uma plataforma de negociação conseguiu congelar ativos roubados no valor de 4,2 milhões de dólares e ajudou a rastrear, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables
Montante da perda: 62,5 milhões de dólaresMétodo de ataque: ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 Munchables, baseada em Blast, sofreu um raro ataque de infiltração interna. O atacante era um hacker disfarçado de desenvolvedor de blockchain, que, após um longo período de infiltração, obteve o código-fonte e as chaves sensíveis. Apesar de o ataque ter causado enormes perdas, sob pressão da comunidade e da equipe, o hacker acabou devolvendo todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvimentos de terceiros.
7. BtcTurk
Montante da perda: 55 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia, BtcTurk, sofreu um ataque de vazamento de chaves privadas, resultando em uma perda superior a 55 milhões de dólares em ativos criptográficos. Com a ajuda da equipe de uma plataforma de negociação, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este incidente aprofundou as preocupações do mercado sobre a gestão de chaves privadas em exchanges centralizadas.
8. Radiant Capital
Valor da perda: 53 milhões de dólaresMétodo de ataque: vazamento da chave privada
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido à utilização de um modelo de verificação de assinatura 3/11 com baixo nível de exigência, os hackers conseguiram obter as chaves privadas de 3 signatários e realizar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando na perda de 53 milhões de dólares. Este ataque suscitou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital perdeu 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH sendo roubados. Isso indica que os projetos Web3 ainda precisam melhorar a sua atenção à segurança.
9. Hedgey Finance
Montante da perda: 44,7 milhões de dólaresMétodo de ataque: Falha de contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque direcionado a múltiplos contratos em cadeia. Os hackers exploraram uma vulnerabilidade de autorização no seu contrato ClaimCampaigns, conseguindo extrair tokens nas redes Ethereum e Arbitrum, com uma perda total de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a validação rigorosa da lógica de autorização de tokens.
10. BingX
Montante da perda: 44,7 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente da exchange BingX foi hackeada, envolvendo várias blockchains, incluindo Ethereum, BNB Chain e Tron. Apesar de a exchange ter rapidamente ativado o mecanismo de transferência de ativos e congelamento de retiradas, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete o alto risco da gestão de carteiras quentes em exchanges centralizadas e impulsiona ainda mais a indústria a explorar soluções de armazenamento de ativos mais seguras.
Resumo
Os incidentes de ataques de segurança em 2024 estão a aumentar, lembrando-nos mais uma vez que o desenvolvimento da indústria de blockchain não pode prescindir de uma proteção segura. Desde o vazamento de chaves privadas até vulnerabilidades de contratos, desde falhas de gestão interna até a atualização de métodos de ataque externos, cada incidente trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a reforçar o investimento em pesquisa e desenvolvimento tecnológico, normas de gestão e prevenção de riscos. No futuro, esperamos que através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro, proporcionando aos usuários e investidores uma proteção mais confiável.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
12 gostos
Recompensa
12
5
Partilhar
Comentar
0/400
ShibaSunglasses
· 07-25 14:40
A chave privada da carteira perdida é realmente muito triste...
Ver originalResponder0
PessimisticOracle
· 07-24 06:27
Outra vez um ano Rekt~
Ver originalResponder0
LightningClicker
· 07-22 15:16
Outra vez a grande quantia a entrar na Carteira.
Ver originalResponder0
PensionDestroyer
· 07-22 15:14
Ainda perdi tanto, morri de rir.
Ver originalResponder0
rugdoc.eth
· 07-22 14:50
Puxar o tapete, até os especialistas ficam impressionados~
Perdas de 2,491 milhões de dólares no setor Web3 em 2024: Resumo dos 10 principais incidentes de segurança
Revisão dos Dez Principais Incidentes de Segurança no Setor Web3 em 2024
Em 2024, a indústria de blockchain, enquanto inova em tecnologia e expande ecossistemas, também enfrenta desafios de segurança cada vez mais severos. De acordo com a monitorização de plataformas de dados, até o momento, as perdas totais no setor Web3 em 2024, devido a ataques de hackers, fraudes de phishing e o desaparecimento de projetos, atingem 2,491 milhões de dólares.
Esses eventos não apenas expuseram deficiências técnicas como a gestão de chaves privadas e falhas em contratos inteligentes, mas também destacaram os riscos potenciais da engenharia social e da gestão interna. Este artigo irá listar os dez principais eventos de segurança do Web3 em 2024, com a esperança de extrair lições e melhor enfrentar as ameaças de segurança futuras.
1. DMM Bitcoin
Montante da perda: 304 milhões de dólares Método de ataque: vazamento de chave privada
Em 31 de maio de 2024, a conhecida exchange de criptomoedas japonesa DMM Bitcoin sofreu um grave incidente de segurança. Os atacantes utilizaram uma chave privada vazada para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos roubados em mais de 10 endereços diferentes. Este ataque expôs as sérias deficiências da exchange na gestão de chaves privadas e na proteção de segurança em múltiplas camadas. Apesar de a exchange ter tentado rastrear os hackers por meio de monitoramento on-chain e congelamento de fundos, a dispersão da transferência dos Bitcoins roubados e a lavagem de moedas apresentaram enormes desafios para o trabalho de rastreamento.
No dia 24 de dezembro, a polícia japonesa confirmou que este incidente foi causado pelo grupo de hackers norte-coreano Lazarus Group.
2. PlayDapp
Montante da perda: 290 milhões de dólares Método de ataque: Vazamento de chave privada
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um golpe devastador. Hackers forjaram 2 bilhões de tokens PLA ao roubar a chave privada, com um valor inicial de 36,5 milhões de dólares. Devido ao fracasso das negociações entre a equipe do projeto e os hackers, os hackers forjaram rapidamente mais 15,9 bilhões de tokens PLA, avaliados em 253,9 milhões de dólares. Após parte dos tokens entrarem nas exchanges, a PlayDapp foi forçada a suspender o contrato PLA e migrar para um novo contrato de token PDA. Este evento destacou as deficiências dos projetos de blockchain na proteção de chaves privadas e na gestão de emergências.
3. Uma bolsa de criptomoedas indiana
Montante da perda: 235 milhões de dólares Métodos de ataque: Ataques de rede e phishing
No dia 18 de julho de 2024, a Safe Wallet, uma carteira multi-assinatura da maior exchange de criptomoedas da Índia, foi alvo de um ataque preciso. Os atacantes induziram os signatários da multi-assinatura, por meio de engenharia social, a assinar uma transação de atualização de contrato, e em seguida utilizaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este incidente destaca os riscos potenciais das carteiras multi-assinatura em relação à configuração de permissões de gestão e à transparência das operações, além de provocar uma reflexão aprofundada na indústria sobre os mecanismos de controle de riscos internos e segurança dos projetos.
4. Gala Games
Montante da perda: 216 milhões de dólares Método de ataque: Vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint no contrato do token, criando 5 bilhões de tokens GALA de uma só vez. Em seguida, os hackers trocaram esses tokens por ETH em lotes, causando uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist após o incidente para bloquear algumas contas dos hackers e recuperou parte das perdas através de vias legais.
5. Co-fundador de um projeto de criptomoeda
Montante da perda: 112 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, as quatro carteiras pessoais de um cofundador de um conhecido projeto de criptomoedas foram hackeadas, resultando no roubo de 112 milhões de dólares em criptomoedas. Essas carteiras aparentemente se tornaram alvos do ataque devido à falta de proteção em hardware de dupla autenticação. Após o incidente, uma plataforma de negociação conseguiu congelar ativos roubados no valor de 4,2 milhões de dólares e ajudou a rastrear, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables
Montante da perda: 62,5 milhões de dólares Método de ataque: ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 Munchables, baseada em Blast, sofreu um raro ataque de infiltração interna. O atacante era um hacker disfarçado de desenvolvedor de blockchain, que, após um longo período de infiltração, obteve o código-fonte e as chaves sensíveis. Apesar de o ataque ter causado enormes perdas, sob pressão da comunidade e da equipe, o hacker acabou devolvendo todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvimentos de terceiros.
7. BtcTurk
Montante da perda: 55 milhões de dólares Método de ataque: vazamento de chave privada
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia, BtcTurk, sofreu um ataque de vazamento de chaves privadas, resultando em uma perda superior a 55 milhões de dólares em ativos criptográficos. Com a ajuda da equipe de uma plataforma de negociação, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este incidente aprofundou as preocupações do mercado sobre a gestão de chaves privadas em exchanges centralizadas.
8. Radiant Capital
Valor da perda: 53 milhões de dólares Método de ataque: vazamento da chave privada
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido à utilização de um modelo de verificação de assinatura 3/11 com baixo nível de exigência, os hackers conseguiram obter as chaves privadas de 3 signatários e realizar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando na perda de 53 milhões de dólares. Este ataque suscitou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital perdeu 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH sendo roubados. Isso indica que os projetos Web3 ainda precisam melhorar a sua atenção à segurança.
9. Hedgey Finance
Montante da perda: 44,7 milhões de dólares Método de ataque: Falha de contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque direcionado a múltiplos contratos em cadeia. Os hackers exploraram uma vulnerabilidade de autorização no seu contrato ClaimCampaigns, conseguindo extrair tokens nas redes Ethereum e Arbitrum, com uma perda total de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a validação rigorosa da lógica de autorização de tokens.
10. BingX
Montante da perda: 44,7 milhões de dólares Método de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente da exchange BingX foi hackeada, envolvendo várias blockchains, incluindo Ethereum, BNB Chain e Tron. Apesar de a exchange ter rapidamente ativado o mecanismo de transferência de ativos e congelamento de retiradas, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete o alto risco da gestão de carteiras quentes em exchanges centralizadas e impulsiona ainda mais a indústria a explorar soluções de armazenamento de ativos mais seguras.
Resumo
Os incidentes de ataques de segurança em 2024 estão a aumentar, lembrando-nos mais uma vez que o desenvolvimento da indústria de blockchain não pode prescindir de uma proteção segura. Desde o vazamento de chaves privadas até vulnerabilidades de contratos, desde falhas de gestão interna até a atualização de métodos de ataque externos, cada incidente trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a reforçar o investimento em pesquisa e desenvolvimento tecnológico, normas de gestão e prevenção de riscos. No futuro, esperamos que através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro, proporcionando aos usuários e investidores uma proteção mais confiável.