Revisão dos 10 principais incidentes de segurança no domínio Web3 em 2024
Em 2024, a indústria de blockchain, enquanto inova em tecnologia e expande ecossistemas, também enfrenta desafios de segurança cada vez mais severos. De acordo com dados da plataforma de monitoramento de segurança, até o final do ano, as perdas totais no âmbito do Web3, devido a ataques de hackers, fraudes de phishing e abandonos por parte dos desenvolvedores, chegam a 24,91 bilhões de dólares.
Estes eventos não só expuseram as deficiências técnicas na gestão de chaves privadas e nas vulnerabilidades de contratos inteligentes, como também destacaram os riscos potenciais de engenharia social e de gestão interna. Este artigo irá listar os dez principais eventos de segurança do Web3 em 2024, para que a indústria possa aprender lições e lidar melhor com as ameaças de segurança futuras.
1. Evento DMM Bitcoin
Montante da perda: 304 milhões de dólares
Método de ataque: vazamento da chave privada
No dia 31 de maio de 2024, a conhecida exchange de criptomoedas japonesa DMM Bitcoin sofreu um ataque significativo. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, e rapidamente dispersaram os fundos roubados em mais de 10 endereços diferentes. Este incidente expôs falhas graves na gestão de chaves privadas e na segurança em múltiplas camadas da exchange. Embora a exchange estivesse rastreando os hackers por meio de monitoramento on-chain e congelamento de fundos, o rastreamento enfrentou enormes desafios devido à dispersão e uso de ferramentas de misturação para lavar os Bitcoins roubados.
No final do ano, a polícia japonesa confirmou que este roubo foi planejado por um grupo de hackers da Coreia do Norte.
2. PlayDapp enfrenta um revés severo
Montante da perda: 290 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe. Hackers forjaram 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares, ao roubar chaves privadas. Após a falha nas negociações entre a equipe do projeto e os hackers, estes últimos forjaram mais 15,9 bilhões de tokens PLA, no valor de 253,9 milhões de dólares. Parte dos tokens roubados foi para as exchanges, levando a PlayDapp a suspender o contrato PLA e a migrar para um novo contrato de token PDA. Este evento destaca as deficiências dos projetos de blockchain na proteção de chaves privadas e na resposta a emergências.
3. Ataque ao Wallet Multisig da WazirX
Perda total: 235 milhões de dólares
Métodos de ataque: Ataques de rede e phishing
No dia 18 de julho de 2024, a Safe Wallet, uma carteira multi-assinatura da maior exchange de criptomoedas da Índia, WazirX, foi alvo de um ataque preciso. Os atacantes induziram os signatários da multi-assinatura a assinar uma transação de atualização de contrato através de engenharia social, e em seguida, utilizaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este caso revelou os potenciais riscos da carteira multi-assinatura em termos de gestão de permissões e transparência operacional, além de provocar uma reflexão profunda na indústria sobre os mecanismos internos de controle de riscos dos projetos.
4. A vulnerabilidade do contrato da Gala Games foi explorada
Montante da perda: 216 milhões de dólares
Método de ataque: vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato do token, cunhando uma vez 5 bilhões de tokens GALA. Em seguida, os hackers trocaram os tokens emitidos em parcelas por ETH, resultando em uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers e recuperou parte da perda por meio de vias legais.
5. Co-fundador da Ripple sofre ataque de hackers
Montante da perda: 112 milhões de dólares
Método de ataque: vazamento de chave privada
Em 31 de janeiro de 2024, as quatro carteiras pessoais do cofundador da Ripple, Chris Larsen, foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras se tornaram alvo do ataque devido à falta de proteção em dupla camada de hardware. Após o incidente, uma plataforma de negociação conseguiu congelar 4,2 milhões de dólares em XRP e ajudou a rastrear os ativos roubados, mas a maior parte dos fundos já foi lavada através de trocas descentralizadas e serviços de mistura.
6. Munchables enfrenta infiltração interna
Montante da perda: 62,5 milhões de dólares
Método de ataque: ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes disfarçaram-se de desenvolvedores de blockchain e, após uma longa infiltração, obtiveram o código-fonte e chaves sensíveis. Apesar das grandes perdas causadas, sob a pressão da comunidade e da equipe, os hackers acabaram por devolver todos os fundos roubados. Este incidente revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvimento de terceiros.
7. Incidente de vazamento de chave privada da BtcTurk
Montante da perda: 55 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 22 de junho de 2024, a maior bolsa de criptomoedas da Turquia, BtcTurk, sofreu um ataque de vazamento de chaves privadas, resultando em perdas de mais de 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma plataforma de negociação, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este incidente aprofundou as preocupações do mercado sobre a gestão de chaves privadas em bolsas centralizadas.
8. A carteira multi-assinatura da Radiant Capital foi comprometida
Montante da perda: 53 milhões de dólares
Método de ataque: vazamento da chave privada
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido à adoção de um modelo de verificação de assinatura de 3/11 com baixa barreira de entrada, os hackers conseguiram obter as chaves privadas de 3 signatários e realizar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH sendo roubados. Isso destaca novamente que os projetos Web3 ainda têm espaço para melhorar a sua atenção à segurança.
9. A vulnerabilidade do contrato da Hedgey Finance foi explorada
Valor da perda: 44,7 milhões de dólares
Método de ataque: vulnerabilidade de contrato
Em 19 de abril de 2024, a Hedgey Finance sofreu um ataque a vários contratos on-chain. Os hackers aproveitaram a vulnerabilidade de aprovação do seu contrato ClaimCampaigns e conseguiram extrair tokens nas redes Ethereum e Arbitrum, com uma perda total de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. A carteira quente da exchange BingX foi invadida
Montante da perda: 44,7 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente da exchange BingX foi invadida por hackers, envolvendo várias blockchains públicas, incluindo Ethereum, BNB Chain e Tron. Apesar de a exchange ter rapidamente iniciado mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque destaca novamente o alto risco na gestão das carteiras quentes de exchanges centralizadas, impulsionando a indústria a explorar soluções de armazenamento de ativos mais seguras.
Os frequentes incidentes de segurança em 2024 nos alertam novamente que o desenvolvimento da indústria de blockchain não pode prescindir de garantias de segurança. Desde o vazamento de chaves privadas até vulnerabilidades em contratos, desde falhas na gestão interna até a evolução das técnicas de ataque externas, cada incidente traz lições profundas. Para lidar com as ameaças de ataque cada vez mais complexas, todos os setores da indústria precisam continuar a fortalecer os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro, proporcionando garantias mais confiáveis para usuários e investidores.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Revisão de segurança Web3 de 2024: Dez principais eventos que resultaram em perdas de quase 2,5 bilhões de dólares
Revisão dos 10 principais incidentes de segurança no domínio Web3 em 2024
Em 2024, a indústria de blockchain, enquanto inova em tecnologia e expande ecossistemas, também enfrenta desafios de segurança cada vez mais severos. De acordo com dados da plataforma de monitoramento de segurança, até o final do ano, as perdas totais no âmbito do Web3, devido a ataques de hackers, fraudes de phishing e abandonos por parte dos desenvolvedores, chegam a 24,91 bilhões de dólares.
Estes eventos não só expuseram as deficiências técnicas na gestão de chaves privadas e nas vulnerabilidades de contratos inteligentes, como também destacaram os riscos potenciais de engenharia social e de gestão interna. Este artigo irá listar os dez principais eventos de segurança do Web3 em 2024, para que a indústria possa aprender lições e lidar melhor com as ameaças de segurança futuras.
1. Evento DMM Bitcoin
Montante da perda: 304 milhões de dólares Método de ataque: vazamento da chave privada
No dia 31 de maio de 2024, a conhecida exchange de criptomoedas japonesa DMM Bitcoin sofreu um ataque significativo. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, e rapidamente dispersaram os fundos roubados em mais de 10 endereços diferentes. Este incidente expôs falhas graves na gestão de chaves privadas e na segurança em múltiplas camadas da exchange. Embora a exchange estivesse rastreando os hackers por meio de monitoramento on-chain e congelamento de fundos, o rastreamento enfrentou enormes desafios devido à dispersão e uso de ferramentas de misturação para lavar os Bitcoins roubados.
No final do ano, a polícia japonesa confirmou que este roubo foi planejado por um grupo de hackers da Coreia do Norte.
2. PlayDapp enfrenta um revés severo
Montante da perda: 290 milhões de dólares Método de ataque: vazamento de chave privada
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe. Hackers forjaram 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares, ao roubar chaves privadas. Após a falha nas negociações entre a equipe do projeto e os hackers, estes últimos forjaram mais 15,9 bilhões de tokens PLA, no valor de 253,9 milhões de dólares. Parte dos tokens roubados foi para as exchanges, levando a PlayDapp a suspender o contrato PLA e a migrar para um novo contrato de token PDA. Este evento destaca as deficiências dos projetos de blockchain na proteção de chaves privadas e na resposta a emergências.
3. Ataque ao Wallet Multisig da WazirX
Perda total: 235 milhões de dólares Métodos de ataque: Ataques de rede e phishing
No dia 18 de julho de 2024, a Safe Wallet, uma carteira multi-assinatura da maior exchange de criptomoedas da Índia, WazirX, foi alvo de um ataque preciso. Os atacantes induziram os signatários da multi-assinatura a assinar uma transação de atualização de contrato através de engenharia social, e em seguida, utilizaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este caso revelou os potenciais riscos da carteira multi-assinatura em termos de gestão de permissões e transparência operacional, além de provocar uma reflexão profunda na indústria sobre os mecanismos internos de controle de riscos dos projetos.
4. A vulnerabilidade do contrato da Gala Games foi explorada
Montante da perda: 216 milhões de dólares Método de ataque: vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato do token, cunhando uma vez 5 bilhões de tokens GALA. Em seguida, os hackers trocaram os tokens emitidos em parcelas por ETH, resultando em uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers e recuperou parte da perda por meio de vias legais.
5. Co-fundador da Ripple sofre ataque de hackers
Montante da perda: 112 milhões de dólares Método de ataque: vazamento de chave privada
Em 31 de janeiro de 2024, as quatro carteiras pessoais do cofundador da Ripple, Chris Larsen, foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras se tornaram alvo do ataque devido à falta de proteção em dupla camada de hardware. Após o incidente, uma plataforma de negociação conseguiu congelar 4,2 milhões de dólares em XRP e ajudou a rastrear os ativos roubados, mas a maior parte dos fundos já foi lavada através de trocas descentralizadas e serviços de mistura.
6. Munchables enfrenta infiltração interna
Montante da perda: 62,5 milhões de dólares Método de ataque: ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes disfarçaram-se de desenvolvedores de blockchain e, após uma longa infiltração, obtiveram o código-fonte e chaves sensíveis. Apesar das grandes perdas causadas, sob a pressão da comunidade e da equipe, os hackers acabaram por devolver todos os fundos roubados. Este incidente revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvimento de terceiros.
7. Incidente de vazamento de chave privada da BtcTurk
Montante da perda: 55 milhões de dólares Método de ataque: vazamento de chave privada
No dia 22 de junho de 2024, a maior bolsa de criptomoedas da Turquia, BtcTurk, sofreu um ataque de vazamento de chaves privadas, resultando em perdas de mais de 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma plataforma de negociação, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este incidente aprofundou as preocupações do mercado sobre a gestão de chaves privadas em bolsas centralizadas.
8. A carteira multi-assinatura da Radiant Capital foi comprometida
Montante da perda: 53 milhões de dólares Método de ataque: vazamento da chave privada
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido à adoção de um modelo de verificação de assinatura de 3/11 com baixa barreira de entrada, os hackers conseguiram obter as chaves privadas de 3 signatários e realizar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH sendo roubados. Isso destaca novamente que os projetos Web3 ainda têm espaço para melhorar a sua atenção à segurança.
9. A vulnerabilidade do contrato da Hedgey Finance foi explorada
Valor da perda: 44,7 milhões de dólares Método de ataque: vulnerabilidade de contrato
Em 19 de abril de 2024, a Hedgey Finance sofreu um ataque a vários contratos on-chain. Os hackers aproveitaram a vulnerabilidade de aprovação do seu contrato ClaimCampaigns e conseguiram extrair tokens nas redes Ethereum e Arbitrum, com uma perda total de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. A carteira quente da exchange BingX foi invadida
Montante da perda: 44,7 milhões de dólares Método de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente da exchange BingX foi invadida por hackers, envolvendo várias blockchains públicas, incluindo Ethereum, BNB Chain e Tron. Apesar de a exchange ter rapidamente iniciado mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque destaca novamente o alto risco na gestão das carteiras quentes de exchanges centralizadas, impulsionando a indústria a explorar soluções de armazenamento de ativos mais seguras.
Os frequentes incidentes de segurança em 2024 nos alertam novamente que o desenvolvimento da indústria de blockchain não pode prescindir de garantias de segurança. Desde o vazamento de chaves privadas até vulnerabilidades em contratos, desde falhas na gestão interna até a evolução das técnicas de ataque externas, cada incidente traz lições profundas. Para lidar com as ameaças de ataque cada vez mais complexas, todos os setores da indústria precisam continuar a fortalecer os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro, proporcionando garantias mais confiáveis para usuários e investidores.