Principais Dez Eventos de Segurança no Campo Web3 em 2024
Em 2024, a indústria de blockchain, enquanto inova e se desenvolve, também enfrenta desafios de segurança cada vez mais severos. De acordo com a monitorização de plataformas de dados, até o momento, as perdas totais no campo do Web3 em 2024, devido a ataques de hackers, fraudes e abandonos de projetos, atingem 2,491 bilhões de dólares.
Estes eventos não apenas expuseram falhas no nível técnico, como a gestão de chaves privadas e vulnerabilidades de contratos inteligentes, mas também destacaram os riscos potenciais em engenharia social e gestão interna. Este artigo irá rever os dez principais eventos de segurança do Web3 em 2024, para ajudar a indústria a aprender lições e lidar melhor com as ameaças de segurança futuras.
1. DMM Bitcoin
Montante da perda: 304 milhões de dólaresMétodo de ataque: Vazamento de chave privada
No dia 31 de maio de 2024, a famosa exchange de criptomoedas japonesa DMM Bitcoin sofreu um ataque significativo. Hackers utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos roubados em mais de 10 endereços diferentes. Este incidente expôs as sérias deficiências da exchange na gestão de chaves privadas e na proteção de segurança em múltiplas camadas. Embora a exchange tenha tentado rastrear os hackers por meio de monitoramento na blockchain e congelamento de fundos, o rastreamento enfrentou enormes desafios devido à dispersão dos fundos e ao uso de ferramentas de mistura para limpar os ativos.
No dia 24 de dezembro, a polícia japonesa confirmou que o ataque foi realizado por um determinado grupo de hackers.
2. PlayDapp
Montante da perda: 290 milhões de dólaresMétodo de ataque: vazamento de chave privada
Em 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe. Os atacantes forjaram 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares, ao roubar a chave privada. Após a falha nas negociações com os hackers, eles forjaram mais 15,9 bilhões de tokens PLA, num valor de 253,9 milhões de dólares. Parte dos tokens roubados, ao entrar nas exchanges, levou a PlayDapp a suspender o contrato PLA e migrar para um novo contrato de token PDA. Este evento destacou as deficiências dos projetos de blockchain na proteção de chaves privadas e na resposta a emergências.
3. WazirX
Montante da perda: 235 milhões de dólaresMétodos de ataque: ataques cibernéticos e phishing
No dia 18 de julho de 2024, a maior exchange de criptomoedas da Índia, WazirX, sofreu um ataque direcionado ao seu wallet multi-assinatura. Os atacantes induziram os signatários do wallet multi-assinatura a assinar uma transação de atualização de contrato por meio de engenharia social, aproveitando-se, em seguida, das permissões do contrato atualizado para transferir todos os ativos do wallet. Este caso revelou os riscos potenciais associados à configuração de permissões e à transparência das operações em wallets multi-assinatura, além de provocar uma reflexão profunda na indústria sobre os mecanismos de controle de risco e segurança internos dos projetos.
4. Gala Games
Montante da perda: 216 milhões de dólaresMétodo de ataque: Vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato de token, cunhando 5 bilhões de tokens GALA de uma só vez. Em seguida, esses tokens recém-emissão foram trocados em lotes por ETH, resultando em uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers e, por meio de medidas legais, recuperou parte das perdas.
5. Co-fundador da Ripple atacado
Montante da perda: 112 milhões de dólaresMétodo de ataque: Vazamento da chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple foram invadidas por hackers, resultando no roubo de 112 milhões de XRP. Essas carteiras podem ter se tornado alvos do ataque devido à falta de proteção dupla com dispositivos de hardware. Após o incidente, uma exchange conseguiu congelar XRP no valor de 4,2 milhões de dólares e ajudou a rastrear os ativos roubados, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables
Valor da perda: 62,5 milhões de dólaresMétodo de ataque: Ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes se disfarçaram de desenvolvedores de blockchain e, através de uma longa permanência, obtiveram o código-fonte e chaves sensíveis. Embora isso tenha causado enormes perdas, sob pressão da comunidade e da equipe, os hackers acabaram devolvendo todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. BtcTurk
Montante da perda: 55 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia, BtcTurk, sofreu um ataque de vazamento de chave privada, resultando em uma perda de mais de 55 milhões de dólares em ativos criptográficos. Com a assistência de uma equipe de outra exchange, 5,3 milhões de dólares em fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento intensificou as preocupações do mercado em relação à gestão de chaves privadas em exchanges centralizadas.
8. Radiant Capital
Montante da perda: 53 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multisig da Radiant Capital foi invadida por hackers. Devido à utilização de um modelo de verificação de assinatura de baixo limiar de 3/11, os hackers conseguiram, ao dominar as chaves privadas de 3 signatários, iniciar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando em um roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multisig.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma falha no contrato antes deste ataque, com mais de 1900 ETH roubados, mostrando que as equipes de projetos Web3 ainda precisam aumentar a sua atenção à segurança.
9. Hedgey Finance
Valor da perda: 44,7 milhões de dólaresMétodo de ataque: Vulnerabilidade de contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque direcionado a vários contratos on-chain. Os hackers exploraram uma vulnerabilidade de autorização no contrato ClaimCampaigns, conseguindo extrair tokens nas redes Ethereum e Arbitrum, com uma perda total de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. BingX
Montante da perda: 44,7 milhões de dólaresMétodo de ataque: Vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente de uma determinada exchange foi invadida por hackers, afetando várias blockchains, incluindo Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente ativado o mecanismo de transferência de ativos e congelamento de saques, os hackers conseguiram retirar ativos no valor de 44,7 milhões de dólares. Este ataque reflete a alta risco na gestão das carteiras quentes das exchanges centralizadas e impulsiona ainda mais a indústria a explorar soluções de armazenamento de ativos mais seguras.
Os frequentes ataques de segurança em 2024 nos lembram mais uma vez que o desenvolvimento da indústria de blockchain não pode prescindir de garantias de segurança. Desde o vazamento de chaves privadas até falhas em contratos, desde falhas na gestão interna até a atualização de métodos de ataque externos, cada incidente trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a investir em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro, proporcionando garantias mais confiáveis para usuários e investidores.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
11 Curtidas
Recompensa
11
4
Compartilhar
Comentário
0/400
RugpullTherapist
· 07-26 05:26
Mais uma vez números de perdas, as falhas dos contratos nunca serão corrigidas.
Ver originalResponder0
GateUser-a180694b
· 07-26 05:24
A perda é tão absurda assim?
Ver originalResponder0
MetadataExplorer
· 07-26 05:20
Há muitos bugs.
Ver originalResponder0
RugPullAlarm
· 07-26 05:07
Dados antigos da curva conhecidos, mais um ano de história de sangue e lágrimas dos idiotas.
Resumo dos 10 principais incidentes de segurança do Web3 em 2024 com perdas de 24,91 bilhões de dólares.
Principais Dez Eventos de Segurança no Campo Web3 em 2024
Em 2024, a indústria de blockchain, enquanto inova e se desenvolve, também enfrenta desafios de segurança cada vez mais severos. De acordo com a monitorização de plataformas de dados, até o momento, as perdas totais no campo do Web3 em 2024, devido a ataques de hackers, fraudes e abandonos de projetos, atingem 2,491 bilhões de dólares.
Estes eventos não apenas expuseram falhas no nível técnico, como a gestão de chaves privadas e vulnerabilidades de contratos inteligentes, mas também destacaram os riscos potenciais em engenharia social e gestão interna. Este artigo irá rever os dez principais eventos de segurança do Web3 em 2024, para ajudar a indústria a aprender lições e lidar melhor com as ameaças de segurança futuras.
1. DMM Bitcoin
Montante da perda: 304 milhões de dólares Método de ataque: Vazamento de chave privada
No dia 31 de maio de 2024, a famosa exchange de criptomoedas japonesa DMM Bitcoin sofreu um ataque significativo. Hackers utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos roubados em mais de 10 endereços diferentes. Este incidente expôs as sérias deficiências da exchange na gestão de chaves privadas e na proteção de segurança em múltiplas camadas. Embora a exchange tenha tentado rastrear os hackers por meio de monitoramento na blockchain e congelamento de fundos, o rastreamento enfrentou enormes desafios devido à dispersão dos fundos e ao uso de ferramentas de mistura para limpar os ativos.
No dia 24 de dezembro, a polícia japonesa confirmou que o ataque foi realizado por um determinado grupo de hackers.
2. PlayDapp
Montante da perda: 290 milhões de dólares Método de ataque: vazamento de chave privada
Em 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe. Os atacantes forjaram 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares, ao roubar a chave privada. Após a falha nas negociações com os hackers, eles forjaram mais 15,9 bilhões de tokens PLA, num valor de 253,9 milhões de dólares. Parte dos tokens roubados, ao entrar nas exchanges, levou a PlayDapp a suspender o contrato PLA e migrar para um novo contrato de token PDA. Este evento destacou as deficiências dos projetos de blockchain na proteção de chaves privadas e na resposta a emergências.
3. WazirX
Montante da perda: 235 milhões de dólares Métodos de ataque: ataques cibernéticos e phishing
No dia 18 de julho de 2024, a maior exchange de criptomoedas da Índia, WazirX, sofreu um ataque direcionado ao seu wallet multi-assinatura. Os atacantes induziram os signatários do wallet multi-assinatura a assinar uma transação de atualização de contrato por meio de engenharia social, aproveitando-se, em seguida, das permissões do contrato atualizado para transferir todos os ativos do wallet. Este caso revelou os riscos potenciais associados à configuração de permissões e à transparência das operações em wallets multi-assinatura, além de provocar uma reflexão profunda na indústria sobre os mecanismos de controle de risco e segurança internos dos projetos.
4. Gala Games
Montante da perda: 216 milhões de dólares Método de ataque: Vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato de token, cunhando 5 bilhões de tokens GALA de uma só vez. Em seguida, esses tokens recém-emissão foram trocados em lotes por ETH, resultando em uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers e, por meio de medidas legais, recuperou parte das perdas.
5. Co-fundador da Ripple atacado
Montante da perda: 112 milhões de dólares Método de ataque: Vazamento da chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple foram invadidas por hackers, resultando no roubo de 112 milhões de XRP. Essas carteiras podem ter se tornado alvos do ataque devido à falta de proteção dupla com dispositivos de hardware. Após o incidente, uma exchange conseguiu congelar XRP no valor de 4,2 milhões de dólares e ajudou a rastrear os ativos roubados, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables
Valor da perda: 62,5 milhões de dólares Método de ataque: Ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes se disfarçaram de desenvolvedores de blockchain e, através de uma longa permanência, obtiveram o código-fonte e chaves sensíveis. Embora isso tenha causado enormes perdas, sob pressão da comunidade e da equipe, os hackers acabaram devolvendo todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. BtcTurk
Montante da perda: 55 milhões de dólares Método de ataque: vazamento de chave privada
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia, BtcTurk, sofreu um ataque de vazamento de chave privada, resultando em uma perda de mais de 55 milhões de dólares em ativos criptográficos. Com a assistência de uma equipe de outra exchange, 5,3 milhões de dólares em fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento intensificou as preocupações do mercado em relação à gestão de chaves privadas em exchanges centralizadas.
8. Radiant Capital
Montante da perda: 53 milhões de dólares Método de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multisig da Radiant Capital foi invadida por hackers. Devido à utilização de um modelo de verificação de assinatura de baixo limiar de 3/11, os hackers conseguiram, ao dominar as chaves privadas de 3 signatários, iniciar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando em um roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multisig.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma falha no contrato antes deste ataque, com mais de 1900 ETH roubados, mostrando que as equipes de projetos Web3 ainda precisam aumentar a sua atenção à segurança.
9. Hedgey Finance
Valor da perda: 44,7 milhões de dólares Método de ataque: Vulnerabilidade de contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque direcionado a vários contratos on-chain. Os hackers exploraram uma vulnerabilidade de autorização no contrato ClaimCampaigns, conseguindo extrair tokens nas redes Ethereum e Arbitrum, com uma perda total de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. BingX
Montante da perda: 44,7 milhões de dólares Método de ataque: Vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente de uma determinada exchange foi invadida por hackers, afetando várias blockchains, incluindo Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente ativado o mecanismo de transferência de ativos e congelamento de saques, os hackers conseguiram retirar ativos no valor de 44,7 milhões de dólares. Este ataque reflete a alta risco na gestão das carteiras quentes das exchanges centralizadas e impulsiona ainda mais a indústria a explorar soluções de armazenamento de ativos mais seguras.
Os frequentes ataques de segurança em 2024 nos lembram mais uma vez que o desenvolvimento da indústria de blockchain não pode prescindir de garantias de segurança. Desde o vazamento de chaves privadas até falhas em contratos, desde falhas na gestão interna até a atualização de métodos de ataque externos, cada incidente trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a investir em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro, proporcionando garantias mais confiáveis para usuários e investidores.