Los incidentes de seguridad de Web3 en 2024 causaron pérdidas de casi 2,5 mil millones de dólares, siendo la filtración de la Llave privada la principal causa.
Recopilación de los diez principales incidentes de seguridad en el ámbito de Web3 en 2024
En 2024, la industria de Web3, mientras innova y se desarrolla, también enfrenta desafíos de seguridad cada vez más graves. Según el monitoreo de plataformas de datos, hasta la fecha, las pérdidas totales en el ámbito de Web3 en 2024 debido a ataques de hackers, fraudes y desapariciones de proyectos ascienden a 2.491 millones de dólares.
Estos eventos no solo expusieron las vulnerabilidades tecnológicas en la gestión de claves privadas y contratos inteligentes, sino que también destacaron los riesgos potenciales en ingeniería social y gestión interna. Este artículo revisará los diez principales eventos de seguridad de Web3 en 2024, para que la industria pueda aprender y enfrentar mejor las amenazas de seguridad futuras.
1. Evento DMM Bitcoin
Monto de pérdida: 304 millones de dólares
Método de ataque: filtración de clave privada
El 31 de mayo de 2024, el conocido intercambio de criptomonedas japonés DMM Bitcoin sufrió un ataque importante. Los hackers utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados a más de 10 direcciones diferentes. Este incidente expuso graves deficiencias en la gestión de claves privadas y en la seguridad de múltiples capas del intercambio.
A pesar de que el intercambio intentó rastrear a los hackers mediante la supervisión en cadena y el congelamiento de fondos, el Bitcoin robado ha sido transferido de manera dispersa y lavado a través de herramientas de mezcla, lo que ha aumentado significativamente la dificultad de rastreo. El 24 de diciembre, la policía japonesa confirmó que el incidente fue llevado a cabo por el grupo de hackers norcoreano Lazarus Group.
2. Incidente de ataque de PlayDapp
Monto de pérdida: 290 millones de dólares
Método de ataque: filtración de clave privada
El 9 de febrero de 2024, PlayDapp sufrió un gran golpe. Los hackers, al robar claves privadas, acuñaron 2 mil millones de tokens PLA, con un valor inicial de 36.5 millones de dólares. Debido a la falla en las negociaciones entre el equipo del proyecto y los hackers, estos últimos acuñaron posteriormente 15.9 mil millones de tokens PLA, con un valor de 253.9 millones de dólares. Después de que parte de los tokens ingresaron a las plataformas de intercambio, PlayDapp se vio obligado a suspender el contrato de PLA y migrar al contrato de token PDA. Este incidente destaca las deficiencias de los proyectos de blockchain en la protección de claves privadas y en la gestión de emergencias.
3. La billetera multifirma de WazirX fue atacada
Monto de pérdida: 235 millones de dólares
Método de ataque: Ataques en línea y phishing
El 18 de julio de 2024, la billetera multifirma Safe Wallet del mayor intercambio de criptomonedas de India, WazirX, fue objeto de un ataque preciso. Los atacantes indujeron a los firmantes de la multifirma a firmar una transacción de actualización de contrato mediante técnicas de ingeniería social, y luego utilizaron los permisos del contrato actualizado para transferir todos los activos de la billetera. Este caso revela los riesgos potenciales en la configuración de permisos y la transparencia operativa de las billeteras multifirma, y también ha suscitado una profunda reflexión en la industria sobre los mecanismos internos de control de riesgos y seguridad de los proyectos.
4. Evento de emisión adicional de tokens de Gala Games
Monto de la pérdida: 216 millones de dólares
Método de ataque: Vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. El atacante llamó a la función mint del contrato de tokens y acuñó 5 mil millones de tokens GALA de una sola vez. Luego, el hacker canjeó estos tokens en partes por ETH, causando una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó urgentemente la función de lista negra para bloquear algunas cuentas de los hackers y recuperó las pérdidas a través de medios legales.
5. La billetera personal del cofundador de Ripple fue robada
Cantidad de pérdida: 112 millones de dólares
Método de ataque: Filtración de clave privada
El 31 de enero de 2024, cuatro monederos personales del cofundador de Ripple, Chris Larsen, fueron hackeados, resultando en el robo de 112 millones de dólares en XRP. Estos monederos se convirtieron en un objetivo de ataque debido a la falta de protección de doble factor de hardware. Después del incidente, una plataforma de intercambio logró congelar XRP por un valor de 4.2 millones de dólares y ayudó a Larsen a rastrear los activos robados, pero la mayor parte de los fondos ya había sido blanqueada a través de intercambios descentralizados y servicios de mezcla.
6. Ataques de infiltración internos de Munchables
Monto de la pérdida: 62.5 millones de dólares
Método de ataque: Ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 basada en Blast, Munchables, sufrió un raro ataque de infiltración interna. Los atacantes eran hackers norcoreanos que se disfrazaron de desarrolladores de blockchain y, mediante una larga infiltración, obtuvieron el código fuente y claves sensibles. A pesar de las enormes pérdidas, bajo la presión de la comunidad y del equipo, los hackers finalmente devolvieron todos los fondos robados. Este incidente pone de relieve la importancia de la seguridad de la cadena de suministro, especialmente para los proyectos de blockchain que dependen de desarrolladores de terceros.
7. Incidente de filtración de claves privadas de BtcTurk
Monto de pérdida: 55 millones de dólares
Método de ataque: filtración de claves privadas
El 22 de junio de 2024, la mayor plataforma de intercambio de criptomonedas de Turquía, BtcTurk, sufrió un ataque de filtración de claves privadas, con pérdidas superiores a 55 millones de dólares en activos criptográficos. Con la ayuda de una plataforma de intercambio, se congelaron con éxito 5,3 millones de dólares de los fondos robados, pero otros activos aún no se han recuperado. Este evento ha profundizado la preocupación del mercado sobre la gestión de claves privadas en intercambios centralizados.
8. Se ha vulnerado el monedero multifirma de Radiant Capital
Monto de la pérdida: 53 millones de dólares
Método de ataque: filtración de clave privada
El 17 de octubre de 2024, la billetera multifirma de Radiant Capital fue hackeada. Debido a la utilización de un modelo de verificación de firma 3/11 de bajo umbral, los hackers lograron iniciar una firma fuera de la cadena al obtener las claves privadas de 3 firmantes, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque ha suscitado una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multifirma.
Es notable que Radiant Capital, antes de este ataque, ya había perdido 4.5 millones de dólares debido a una vulnerabilidad en el contrato, con más de 1900 ETH robados. Esto refleja que aún hay margen de mejora en la atención que los proyectos Web3 prestan a la seguridad.
9. Ataque de vulnerabilidad de contrato de Hedgey Finance
Monto de pérdida: 44.7 millones de dólares
Método de ataque: Vulnerabilidad del contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a varios contratos en cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns, logrando extraer tokens en las cadenas de Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este incidente destaca la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.
10. La billetera caliente del exchange BingX fue hackeada
Monto de la pérdida: 44.7 millones de dólares
Método de ataque: filtración de clave privada
El 19 de septiembre de 2024, el monedero caliente del intercambio BingX fue hackeado, afectando a múltiples cadenas de bloques, incluyendo Ethereum, BNB Chain y Tron. A pesar de que el intercambio activó rápidamente el mecanismo de transferencia de activos y congelación de retiros, el hacker logró extraer activos por un valor de 44,7 millones de dólares. Este ataque refleja la alta vulnerabilidad en la gestión de monederos calientes de los intercambios centralizados, impulsando a la industria a explorar soluciones de almacenamiento de activos más seguras.
En 2024, los incidentes de ataques de seguridad son frecuentes, lo que nos recuerda una vez más que el desarrollo de la industria de blockchain depende de la protección de la seguridad. Desde la filtración de claves privadas hasta vulnerabilidades en contratos, desde fallos de gestión interna hasta la actualización de métodos de ataque externos, cada incidente trae lecciones profundas. Para hacer frente a las amenazas de ataque cada vez más complejas, todas las partes de la industria deben seguir invirtiendo en investigación y desarrollo tecnológico, normas de gestión y prevención de riesgos. En el futuro, esperamos que a través de la colaboración en la industria y la innovación tecnológica, construyamos juntos un ecosistema de blockchain más seguro, proporcionando una protección más confiable para los usuarios e inversores.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Los incidentes de seguridad de Web3 en 2024 causaron pérdidas de casi 2,5 mil millones de dólares, siendo la filtración de la Llave privada la principal causa.
Recopilación de los diez principales incidentes de seguridad en el ámbito de Web3 en 2024
En 2024, la industria de Web3, mientras innova y se desarrolla, también enfrenta desafíos de seguridad cada vez más graves. Según el monitoreo de plataformas de datos, hasta la fecha, las pérdidas totales en el ámbito de Web3 en 2024 debido a ataques de hackers, fraudes y desapariciones de proyectos ascienden a 2.491 millones de dólares.
Estos eventos no solo expusieron las vulnerabilidades tecnológicas en la gestión de claves privadas y contratos inteligentes, sino que también destacaron los riesgos potenciales en ingeniería social y gestión interna. Este artículo revisará los diez principales eventos de seguridad de Web3 en 2024, para que la industria pueda aprender y enfrentar mejor las amenazas de seguridad futuras.
1. Evento DMM Bitcoin
Monto de pérdida: 304 millones de dólares Método de ataque: filtración de clave privada
El 31 de mayo de 2024, el conocido intercambio de criptomonedas japonés DMM Bitcoin sufrió un ataque importante. Los hackers utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados a más de 10 direcciones diferentes. Este incidente expuso graves deficiencias en la gestión de claves privadas y en la seguridad de múltiples capas del intercambio.
A pesar de que el intercambio intentó rastrear a los hackers mediante la supervisión en cadena y el congelamiento de fondos, el Bitcoin robado ha sido transferido de manera dispersa y lavado a través de herramientas de mezcla, lo que ha aumentado significativamente la dificultad de rastreo. El 24 de diciembre, la policía japonesa confirmó que el incidente fue llevado a cabo por el grupo de hackers norcoreano Lazarus Group.
2. Incidente de ataque de PlayDapp
Monto de pérdida: 290 millones de dólares Método de ataque: filtración de clave privada
El 9 de febrero de 2024, PlayDapp sufrió un gran golpe. Los hackers, al robar claves privadas, acuñaron 2 mil millones de tokens PLA, con un valor inicial de 36.5 millones de dólares. Debido a la falla en las negociaciones entre el equipo del proyecto y los hackers, estos últimos acuñaron posteriormente 15.9 mil millones de tokens PLA, con un valor de 253.9 millones de dólares. Después de que parte de los tokens ingresaron a las plataformas de intercambio, PlayDapp se vio obligado a suspender el contrato de PLA y migrar al contrato de token PDA. Este incidente destaca las deficiencias de los proyectos de blockchain en la protección de claves privadas y en la gestión de emergencias.
3. La billetera multifirma de WazirX fue atacada
Monto de pérdida: 235 millones de dólares Método de ataque: Ataques en línea y phishing
El 18 de julio de 2024, la billetera multifirma Safe Wallet del mayor intercambio de criptomonedas de India, WazirX, fue objeto de un ataque preciso. Los atacantes indujeron a los firmantes de la multifirma a firmar una transacción de actualización de contrato mediante técnicas de ingeniería social, y luego utilizaron los permisos del contrato actualizado para transferir todos los activos de la billetera. Este caso revela los riesgos potenciales en la configuración de permisos y la transparencia operativa de las billeteras multifirma, y también ha suscitado una profunda reflexión en la industria sobre los mecanismos internos de control de riesgos y seguridad de los proyectos.
4. Evento de emisión adicional de tokens de Gala Games
Monto de la pérdida: 216 millones de dólares Método de ataque: Vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. El atacante llamó a la función mint del contrato de tokens y acuñó 5 mil millones de tokens GALA de una sola vez. Luego, el hacker canjeó estos tokens en partes por ETH, causando una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó urgentemente la función de lista negra para bloquear algunas cuentas de los hackers y recuperó las pérdidas a través de medios legales.
5. La billetera personal del cofundador de Ripple fue robada
Cantidad de pérdida: 112 millones de dólares Método de ataque: Filtración de clave privada
El 31 de enero de 2024, cuatro monederos personales del cofundador de Ripple, Chris Larsen, fueron hackeados, resultando en el robo de 112 millones de dólares en XRP. Estos monederos se convirtieron en un objetivo de ataque debido a la falta de protección de doble factor de hardware. Después del incidente, una plataforma de intercambio logró congelar XRP por un valor de 4.2 millones de dólares y ayudó a Larsen a rastrear los activos robados, pero la mayor parte de los fondos ya había sido blanqueada a través de intercambios descentralizados y servicios de mezcla.
6. Ataques de infiltración internos de Munchables
Monto de la pérdida: 62.5 millones de dólares Método de ataque: Ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 basada en Blast, Munchables, sufrió un raro ataque de infiltración interna. Los atacantes eran hackers norcoreanos que se disfrazaron de desarrolladores de blockchain y, mediante una larga infiltración, obtuvieron el código fuente y claves sensibles. A pesar de las enormes pérdidas, bajo la presión de la comunidad y del equipo, los hackers finalmente devolvieron todos los fondos robados. Este incidente pone de relieve la importancia de la seguridad de la cadena de suministro, especialmente para los proyectos de blockchain que dependen de desarrolladores de terceros.
7. Incidente de filtración de claves privadas de BtcTurk
Monto de pérdida: 55 millones de dólares Método de ataque: filtración de claves privadas
El 22 de junio de 2024, la mayor plataforma de intercambio de criptomonedas de Turquía, BtcTurk, sufrió un ataque de filtración de claves privadas, con pérdidas superiores a 55 millones de dólares en activos criptográficos. Con la ayuda de una plataforma de intercambio, se congelaron con éxito 5,3 millones de dólares de los fondos robados, pero otros activos aún no se han recuperado. Este evento ha profundizado la preocupación del mercado sobre la gestión de claves privadas en intercambios centralizados.
8. Se ha vulnerado el monedero multifirma de Radiant Capital
Monto de la pérdida: 53 millones de dólares Método de ataque: filtración de clave privada
El 17 de octubre de 2024, la billetera multifirma de Radiant Capital fue hackeada. Debido a la utilización de un modelo de verificación de firma 3/11 de bajo umbral, los hackers lograron iniciar una firma fuera de la cadena al obtener las claves privadas de 3 firmantes, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque ha suscitado una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multifirma.
Es notable que Radiant Capital, antes de este ataque, ya había perdido 4.5 millones de dólares debido a una vulnerabilidad en el contrato, con más de 1900 ETH robados. Esto refleja que aún hay margen de mejora en la atención que los proyectos Web3 prestan a la seguridad.
9. Ataque de vulnerabilidad de contrato de Hedgey Finance
Monto de pérdida: 44.7 millones de dólares Método de ataque: Vulnerabilidad del contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a varios contratos en cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns, logrando extraer tokens en las cadenas de Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este incidente destaca la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.
10. La billetera caliente del exchange BingX fue hackeada
Monto de la pérdida: 44.7 millones de dólares Método de ataque: filtración de clave privada
El 19 de septiembre de 2024, el monedero caliente del intercambio BingX fue hackeado, afectando a múltiples cadenas de bloques, incluyendo Ethereum, BNB Chain y Tron. A pesar de que el intercambio activó rápidamente el mecanismo de transferencia de activos y congelación de retiros, el hacker logró extraer activos por un valor de 44,7 millones de dólares. Este ataque refleja la alta vulnerabilidad en la gestión de monederos calientes de los intercambios centralizados, impulsando a la industria a explorar soluciones de almacenamiento de activos más seguras.
En 2024, los incidentes de ataques de seguridad son frecuentes, lo que nos recuerda una vez más que el desarrollo de la industria de blockchain depende de la protección de la seguridad. Desde la filtración de claves privadas hasta vulnerabilidades en contratos, desde fallos de gestión interna hasta la actualización de métodos de ataque externos, cada incidente trae lecciones profundas. Para hacer frente a las amenazas de ataque cada vez más complejas, todas las partes de la industria deben seguir invirtiendo en investigación y desarrollo tecnológico, normas de gestión y prevención de riesgos. En el futuro, esperamos que a través de la colaboración en la industria y la innovación tecnológica, construyamos juntos un ecosistema de blockchain más seguro, proporcionando una protección más confiable para los usuarios e inversores.