Análise de eventos de segurança Web3 de 2024: Dez ataques que causaram perdas de quase 2,5 bilhões de dólares
Em 2024, o setor Web3 enfrenta desafios de segurança severos. De acordo com a monitorização da plataforma de dados, até o momento, as perdas totais decorrentes de ataques de hackers, fraudes de phishing e desaparecimentos de projetos atingem 2,491 bilhões de dólares. Esses eventos não apenas expuseram falhas técnicas, mas também destacaram os riscos potenciais da engenharia social e da gestão interna. Este artigo revisará os dez principais eventos de segurança do Web3 em 2024, a fim de aprender lições e lidar melhor com as ameaças de segurança futuras.
1. DMM Bitcoin
Montante da perda: 304 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 31 de maio de 2024, a conhecida exchange de criptomoedas japonesa DMM Bitcoin sofreu um grande ataque. Os atacantes utilizaram uma chave privada vazada para transferir diretamente mais de 300 milhões de dólares em Bitcoin, e rapidamente dispersaram os fundos roubados em vários endereços. Este incidente expôs falhas graves na gestão de chaves privadas e na segurança em múltiplas camadas da exchange. Embora a exchange tenha tentado rastrear os hackers através de monitoramento em cadeia e congelamento de fundos, a transferência dispersa e a lavagem de bitcoins roubados apresentaram enormes desafios para o trabalho de rastreamento.
No dia 24 de dezembro, a polícia japonesa confirmou que o ataque foi realizado pelo grupo de hackers norte-coreano Lazarus Group.
2. PlayDapp
Montante da perda: 290 milhões de dólaresMétodo de ataque: divulgação da chave privada
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe. Hackers, ao roubarem a chave privada, cunharam 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares. Após a falha nas negociações com os hackers, estes cunharam mais 15,9 bilhões de tokens PLA, no valor de 253,9 milhões de dólares. Após parte dos tokens entrarem nas plataformas de negociação, a PlayDapp foi forçada a suspender o contrato PLA e migrar para o contrato do token PDA. Este evento destaca as deficiências dos projetos de blockchain na proteção das chaves privadas e na gestão de emergências.
3. WazirX
Montante da perda: 235 milhões de dólaresMétodo de ataque: ataque na rede e phishing
No dia 18 de julho de 2024, a Safe Wallet, uma carteira multi-assinatura da maior exchange de criptomoedas da Índia, WazirX, foi alvo de um ataque preciso. Os atacantes induziram os signatários da multi-assinatura, através de engenharia social, a aprovar uma transação de atualização de contrato, e em seguida utilizaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este incidente ressalta os riscos potenciais das carteiras multi-assinatura na gestão de configuração de privilégios e na transparência das operações, além de provocar uma reflexão profunda na indústria sobre os mecanismos internos de controle de riscos e segurança dos projetos.
4. Gala Games
Montante da perda: 216 milhões de dólaresMétodo de ataque: vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato de token e cunharam 5 bilhões de tokens GALA de uma só vez. Em seguida, os hackers trocaram os tokens recém-criados em partes por ETH, resultando em uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers e recuperou as perdas por meio de ações legais.
5. O incidente Chris Larsen
Valor da perda: 112 milhões de dólaresMétodo de ataque: Vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple, Chris Larsen, foram hackeadas, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras parecem ter se tornado alvo do ataque devido à falta de proteção dual com dispositivos de hardware. Após o incidente, uma plataforma de negociação conseguiu congelar 4,2 milhões de dólares em XRP e ajudou a rastrear os ativos roubados, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables
Montante da perda: 62,5 milhões de dólaresMétodo de ataque: Ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes eram hackers norte-coreanos disfarçados de desenvolvedores de blockchain, que, através de uma longa infiltração, conseguiram obter o código-fonte e chaves sensíveis. Apesar de causar enormes perdas, sob pressão da comunidade e da equipe, os hackers acabaram devolvendo todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvimento de terceiros.
7. BtcTurk
Montante da perda: 55 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia, BtcTurk, sofreu um ataque de vazamento de chaves privadas, resultando em uma perda de mais de 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma plataforma de negociação, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aumentou as preocupações do mercado sobre a gestão das chaves privadas em exchanges centralizadas.
8. Radiant Capital
Montante da perda: 53 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido à utilização de um modelo de verificação de assinatura 3/11 de baixo limite, os hackers conseguiram controlar as chaves privadas de 3 signatários e realizar uma assinatura fora da cadeia, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque suscitou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É digno de nota que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma falha no contrato antes deste ataque, com mais de 1900 ETH roubados. Isso destaca novamente que os projetos Web3 ainda precisam aumentar a sua atenção à segurança.
9. Hedgey Finance
Montante da perda: 44,7 milhões de dólaresMétodo de Ataque: Vulnerabilidade de Contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque direcionado a vários contratos em cadeia. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas redes Ethereum e Arbitrum, com uma perda total de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. BingX
Montante da perda: 44,7 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente da exchange BingX foi invadida por hackers, envolvendo várias blockchains como Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete a alta risco na gestão de carteiras quentes de exchanges centralizadas e impulsiona ainda mais a indústria a explorar soluções de armazenamento de ativos mais seguras.
Os frequentes incidentes de ataques de segurança em 2024 lembram-nos novamente que o desenvolvimento da indústria de blockchain não pode prescindir da segurança. Desde o vazamento de chaves privadas até as vulnerabilidades de contratos, desde as falhas de gestão interna até a atualização de métodos de ataque externos, cada incidente trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a aumentar o investimento em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro, proporcionando garantias mais confiáveis para usuários e investidores.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
21 Curtidas
Recompensa
21
3
Repostar
Compartilhar
Comentário
0/400
TokenCreatorOP
· 08-17 03:06
Ainda estou a perder dinheiro todos os dias.
Ver originalResponder0
GasFeeCrying
· 08-14 03:44
Perdi novamente.
Ver originalResponder0
FastLeaver
· 08-14 03:24
Haha, mais uma vez a chave privada foi vazada. Não é a primeira vez que acontece este tipo de situação este ano.
Os dez principais incidentes de segurança do Web3 em 2024 causaram perdas de quase 2,5 mil milhões de dólares.
Análise de eventos de segurança Web3 de 2024: Dez ataques que causaram perdas de quase 2,5 bilhões de dólares
Em 2024, o setor Web3 enfrenta desafios de segurança severos. De acordo com a monitorização da plataforma de dados, até o momento, as perdas totais decorrentes de ataques de hackers, fraudes de phishing e desaparecimentos de projetos atingem 2,491 bilhões de dólares. Esses eventos não apenas expuseram falhas técnicas, mas também destacaram os riscos potenciais da engenharia social e da gestão interna. Este artigo revisará os dez principais eventos de segurança do Web3 em 2024, a fim de aprender lições e lidar melhor com as ameaças de segurança futuras.
1. DMM Bitcoin
Montante da perda: 304 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de maio de 2024, a conhecida exchange de criptomoedas japonesa DMM Bitcoin sofreu um grande ataque. Os atacantes utilizaram uma chave privada vazada para transferir diretamente mais de 300 milhões de dólares em Bitcoin, e rapidamente dispersaram os fundos roubados em vários endereços. Este incidente expôs falhas graves na gestão de chaves privadas e na segurança em múltiplas camadas da exchange. Embora a exchange tenha tentado rastrear os hackers através de monitoramento em cadeia e congelamento de fundos, a transferência dispersa e a lavagem de bitcoins roubados apresentaram enormes desafios para o trabalho de rastreamento.
No dia 24 de dezembro, a polícia japonesa confirmou que o ataque foi realizado pelo grupo de hackers norte-coreano Lazarus Group.
2. PlayDapp
Montante da perda: 290 milhões de dólares Método de ataque: divulgação da chave privada
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe. Hackers, ao roubarem a chave privada, cunharam 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares. Após a falha nas negociações com os hackers, estes cunharam mais 15,9 bilhões de tokens PLA, no valor de 253,9 milhões de dólares. Após parte dos tokens entrarem nas plataformas de negociação, a PlayDapp foi forçada a suspender o contrato PLA e migrar para o contrato do token PDA. Este evento destaca as deficiências dos projetos de blockchain na proteção das chaves privadas e na gestão de emergências.
3. WazirX
Montante da perda: 235 milhões de dólares Método de ataque: ataque na rede e phishing
No dia 18 de julho de 2024, a Safe Wallet, uma carteira multi-assinatura da maior exchange de criptomoedas da Índia, WazirX, foi alvo de um ataque preciso. Os atacantes induziram os signatários da multi-assinatura, através de engenharia social, a aprovar uma transação de atualização de contrato, e em seguida utilizaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este incidente ressalta os riscos potenciais das carteiras multi-assinatura na gestão de configuração de privilégios e na transparência das operações, além de provocar uma reflexão profunda na indústria sobre os mecanismos internos de controle de riscos e segurança dos projetos.
4. Gala Games
Montante da perda: 216 milhões de dólares Método de ataque: vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato de token e cunharam 5 bilhões de tokens GALA de uma só vez. Em seguida, os hackers trocaram os tokens recém-criados em partes por ETH, resultando em uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers e recuperou as perdas por meio de ações legais.
5. O incidente Chris Larsen
Valor da perda: 112 milhões de dólares Método de ataque: Vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple, Chris Larsen, foram hackeadas, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras parecem ter se tornado alvo do ataque devido à falta de proteção dual com dispositivos de hardware. Após o incidente, uma plataforma de negociação conseguiu congelar 4,2 milhões de dólares em XRP e ajudou a rastrear os ativos roubados, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables
Montante da perda: 62,5 milhões de dólares Método de ataque: Ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes eram hackers norte-coreanos disfarçados de desenvolvedores de blockchain, que, através de uma longa infiltração, conseguiram obter o código-fonte e chaves sensíveis. Apesar de causar enormes perdas, sob pressão da comunidade e da equipe, os hackers acabaram devolvendo todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvimento de terceiros.
7. BtcTurk
Montante da perda: 55 milhões de dólares Método de ataque: vazamento de chave privada
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia, BtcTurk, sofreu um ataque de vazamento de chaves privadas, resultando em uma perda de mais de 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma plataforma de negociação, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aumentou as preocupações do mercado sobre a gestão das chaves privadas em exchanges centralizadas.
8. Radiant Capital
Montante da perda: 53 milhões de dólares Método de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido à utilização de um modelo de verificação de assinatura 3/11 de baixo limite, os hackers conseguiram controlar as chaves privadas de 3 signatários e realizar uma assinatura fora da cadeia, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque suscitou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É digno de nota que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma falha no contrato antes deste ataque, com mais de 1900 ETH roubados. Isso destaca novamente que os projetos Web3 ainda precisam aumentar a sua atenção à segurança.
9. Hedgey Finance
Montante da perda: 44,7 milhões de dólares Método de Ataque: Vulnerabilidade de Contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque direcionado a vários contratos em cadeia. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas redes Ethereum e Arbitrum, com uma perda total de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. BingX
Montante da perda: 44,7 milhões de dólares Método de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente da exchange BingX foi invadida por hackers, envolvendo várias blockchains como Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete a alta risco na gestão de carteiras quentes de exchanges centralizadas e impulsiona ainda mais a indústria a explorar soluções de armazenamento de ativos mais seguras.
Os frequentes incidentes de ataques de segurança em 2024 lembram-nos novamente que o desenvolvimento da indústria de blockchain não pode prescindir da segurança. Desde o vazamento de chaves privadas até as vulnerabilidades de contratos, desde as falhas de gestão interna até a atualização de métodos de ataque externos, cada incidente trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a aumentar o investimento em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro, proporcionando garantias mais confiáveis para usuários e investidores.