Em 2024, a indústria Web3 enfrenta desafios de segurança severos enquanto inova e se desenvolve. Segundo estatísticas, as perdas totais devido a ataques de hackers, fraudes e projetos que falharam chegam a 2,491 bilhões de dólares este ano. Esses eventos expuseram defeitos técnicos em áreas como gestão de chaves privadas e contratos inteligentes, além de destacar os riscos potenciais de engenharia social e gestão interna. Este artigo revisará os dez eventos de segurança mais impactantes no campo do Web3 em 2024, com a esperança de aprender lições para lidar melhor com as ameaças de segurança futuras.
1. Evento DMM Bitcoin
Montante da perda: 304 milhões de dólaresMétodo de ataque: vazamento da chave privada
No dia 31 de maio de 2024, a famosa exchange de criptomoedas japonesa DMM Bitcoin sofreu um ataque significativo. Hackers utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos roubados em vários endereços. Este incidente expôs sérias falhas na gestão de chaves privadas e na segurança multilayer da exchange. Embora a exchange tenha tentado rastrear os hackers por meio de monitoramento em cadeia e congelamento de fundos, o rastreamento enfrentou enormes desafios devido à dispersão e lavagem dos fundos através de ferramentas de mistura.
No final do ano, a polícia japonesa confirmou que o ataque foi realizado pelo grupo de hackers norte-coreanos Lazarus Group.
2. PlayDapp sofreu um ataque
Valor da perda: 290 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe. Hackers, ao roubarem chaves privadas, cunharam 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares. Após negociações fracassadas com os hackers, eles cunharam mais 15,9 bilhões de tokens PLA, com um valor de 253,9 milhões de dólares. Após parte dos tokens serem enviados para as exchanges, a PlayDapp foi forçada a suspender o contrato PLA e a migrar para um novo contrato de token PDA. Este evento destaca as deficiências dos projetos de blockchain na proteção de chaves privadas e na resposta a emergências.
3. Uma carteira multi-assinatura de uma exchange indiana foi comprometida
Montante da perda: 235 milhões de dólaresMétodos de ataque: Ataques de rede e phishing
No dia 18 de julho de 2024, uma grande exchange de criptomoedas na Índia sofreu um ataque direcionado ao seu Safe Wallet multi-assinatura. Os atacantes induziram os signatários da multi-assinatura a assinar uma transação de atualização de contrato por meio de engenharia social e, em seguida, utilizaram as permissões do contrato atualizado para transferir todos os ativos da carteira. Este caso revelou os riscos potenciais associados à configuração de permissões e à transparência operacional das carteiras multi-assinatura, levando a uma reflexão profunda na indústria sobre os mecanismos de gestão de riscos e segurança interna dos projetos.
4. Gala Games sofre ataque de emissão excessiva de tokens
Montante da perda: 216 milhões de dólaresMétodo de ataque: Vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato de token, cunhando 5 bilhões de tokens GALA de uma só vez. Em seguida, esses tokens emitidos foram trocados em lotes por ETH, resultando em uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers e, por meio de vias legais, recuperou parte das perdas.
5. A carteira pessoal de um conhecido fundador de criptomoedas foi roubada
Montante da perda: 112 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais de um cofundador de um conhecido projeto de criptomoeda foram hackeadas, resultando no roubo de 112 milhões de dólares em criptomoedas. Essas carteiras tornaram-se alvo do ataque devido à falta de proteção em dupla camada com dispositivos de hardware. Após o incidente, uma grande exchange conseguiu congelar ativos roubados no valor de 4,2 milhões de dólares e ajudou a rastrear, mas a maior parte dos fundos já foi lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta infiltração interna
Montante da perda: 62,5 milhões de dólaresMétodo de Ataque: Ataque de Engenharia Social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes disfarçaram-se como desenvolvedores de blockchain e, após um longo período de infiltração, obtiveram o código-fonte e chaves sensíveis. Apesar das enormes perdas, sob pressão da comunidade e da equipe, os hackers acabaram devolvendo todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. Uma exchange turca sofre uma violação de chave privada
Montante da perda: 55 milhões de dólaresMétodo de ataque: vazamento da chave privada
No dia 22 de junho de 2024, uma grande exchange de criptomoedas na Turquia foi alvo de um ataque de vazamento de chaves privadas, resultando em perdas de mais de 55 milhões de dólares em ativos criptográficos. Com a ajuda de outras exchanges, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aumentou as preocupações do mercado sobre a gestão de chaves privadas em exchanges centralizadas.
8. Carteira Multisig da Radiant Capital foi invadida
Montante da perda: 53 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido à utilização de um modelo de verificação de assinatura de baixo limite de 3/11, os hackers conseguiram iniciar uma assinatura fora da cadeia ao obter as chaves privadas de 3 assinantes, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque gerou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade de contrato antes deste ataque, com mais de 1900 ETH roubados. Isso enfatiza novamente a importância de os projetos Web3 aumentarem a consciência sobre segurança.
9. Hedgey Finance enfrenta um ataque de vulnerabilidade de contrato
Montante da perda: 44,7 milhões de dólaresMétodo de ataque: Vulnerabilidade de contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque que visava vários contratos on-chain. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas redes Ethereum e Arbitrum, com uma perda total de 44,7 milhões de dólares. Este evento ressalta a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. A carteira quente de uma exchange foi invadida
Montante da perda: 44,7 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente de uma exchange de criptomoedas foi invadida por hackers, envolvendo várias blockchains, incluindo Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente ativado mecanismos de transferência de ativos e de congelamento de saques, os hackers conseguiram retirar ativos no valor de 44,7 milhões de dólares. Este ataque reflete a alta risco da gestão de carteiras quentes em exchanges centralizadas e impulsiona ainda mais a indústria a explorar soluções de armazenamento de ativos mais seguras.
Os frequentes incidentes de segurança em 2024 nos lembram novamente que o desenvolvimento da indústria de blockchain não pode prescindir de segurança. Desde o vazamento de chaves privadas até vulnerabilidades em contratos, desde falhas de gestão interna até a atualização de métodos de ataque externos, cada incidente trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a aumentar seus investimentos em pesquisa e desenvolvimento de tecnologia, normas de gestão e prevenção de riscos. No futuro, esperamos que, através da colaboração na indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro, proporcionando garantias mais confiáveis para usuários e investidores.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
7 Curtidas
Recompensa
7
4
Compartilhar
Comentário
0/400
SybilSlayer
· 17h atrás
fazer as pessoas de parvas idiotas verdadeiramente rápido
Ver originalResponder0
CryptoMom
· 17h atrás
Só correu um mês e já desapareceram quase 30 bilhões.
Web3 segurança: os 10 principais eventos de 2024 que resultaram em perdas de quase 2,5 mil milhões de dólares
Top 10 eventos de segurança Web3 de 2024
Em 2024, a indústria Web3 enfrenta desafios de segurança severos enquanto inova e se desenvolve. Segundo estatísticas, as perdas totais devido a ataques de hackers, fraudes e projetos que falharam chegam a 2,491 bilhões de dólares este ano. Esses eventos expuseram defeitos técnicos em áreas como gestão de chaves privadas e contratos inteligentes, além de destacar os riscos potenciais de engenharia social e gestão interna. Este artigo revisará os dez eventos de segurança mais impactantes no campo do Web3 em 2024, com a esperança de aprender lições para lidar melhor com as ameaças de segurança futuras.
1. Evento DMM Bitcoin
Montante da perda: 304 milhões de dólares Método de ataque: vazamento da chave privada
No dia 31 de maio de 2024, a famosa exchange de criptomoedas japonesa DMM Bitcoin sofreu um ataque significativo. Hackers utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos roubados em vários endereços. Este incidente expôs sérias falhas na gestão de chaves privadas e na segurança multilayer da exchange. Embora a exchange tenha tentado rastrear os hackers por meio de monitoramento em cadeia e congelamento de fundos, o rastreamento enfrentou enormes desafios devido à dispersão e lavagem dos fundos através de ferramentas de mistura.
No final do ano, a polícia japonesa confirmou que o ataque foi realizado pelo grupo de hackers norte-coreanos Lazarus Group.
2. PlayDapp sofreu um ataque
Valor da perda: 290 milhões de dólares Método de ataque: vazamento de chave privada
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe. Hackers, ao roubarem chaves privadas, cunharam 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares. Após negociações fracassadas com os hackers, eles cunharam mais 15,9 bilhões de tokens PLA, com um valor de 253,9 milhões de dólares. Após parte dos tokens serem enviados para as exchanges, a PlayDapp foi forçada a suspender o contrato PLA e a migrar para um novo contrato de token PDA. Este evento destaca as deficiências dos projetos de blockchain na proteção de chaves privadas e na resposta a emergências.
3. Uma carteira multi-assinatura de uma exchange indiana foi comprometida
Montante da perda: 235 milhões de dólares Métodos de ataque: Ataques de rede e phishing
No dia 18 de julho de 2024, uma grande exchange de criptomoedas na Índia sofreu um ataque direcionado ao seu Safe Wallet multi-assinatura. Os atacantes induziram os signatários da multi-assinatura a assinar uma transação de atualização de contrato por meio de engenharia social e, em seguida, utilizaram as permissões do contrato atualizado para transferir todos os ativos da carteira. Este caso revelou os riscos potenciais associados à configuração de permissões e à transparência operacional das carteiras multi-assinatura, levando a uma reflexão profunda na indústria sobre os mecanismos de gestão de riscos e segurança interna dos projetos.
4. Gala Games sofre ataque de emissão excessiva de tokens
Montante da perda: 216 milhões de dólares Método de ataque: Vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato de token, cunhando 5 bilhões de tokens GALA de uma só vez. Em seguida, esses tokens emitidos foram trocados em lotes por ETH, resultando em uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers e, por meio de vias legais, recuperou parte das perdas.
5. A carteira pessoal de um conhecido fundador de criptomoedas foi roubada
Montante da perda: 112 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais de um cofundador de um conhecido projeto de criptomoeda foram hackeadas, resultando no roubo de 112 milhões de dólares em criptomoedas. Essas carteiras tornaram-se alvo do ataque devido à falta de proteção em dupla camada com dispositivos de hardware. Após o incidente, uma grande exchange conseguiu congelar ativos roubados no valor de 4,2 milhões de dólares e ajudou a rastrear, mas a maior parte dos fundos já foi lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta infiltração interna
Montante da perda: 62,5 milhões de dólares Método de Ataque: Ataque de Engenharia Social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes disfarçaram-se como desenvolvedores de blockchain e, após um longo período de infiltração, obtiveram o código-fonte e chaves sensíveis. Apesar das enormes perdas, sob pressão da comunidade e da equipe, os hackers acabaram devolvendo todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. Uma exchange turca sofre uma violação de chave privada
Montante da perda: 55 milhões de dólares Método de ataque: vazamento da chave privada
No dia 22 de junho de 2024, uma grande exchange de criptomoedas na Turquia foi alvo de um ataque de vazamento de chaves privadas, resultando em perdas de mais de 55 milhões de dólares em ativos criptográficos. Com a ajuda de outras exchanges, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aumentou as preocupações do mercado sobre a gestão de chaves privadas em exchanges centralizadas.
8. Carteira Multisig da Radiant Capital foi invadida
Montante da perda: 53 milhões de dólares Método de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido à utilização de um modelo de verificação de assinatura de baixo limite de 3/11, os hackers conseguiram iniciar uma assinatura fora da cadeia ao obter as chaves privadas de 3 assinantes, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque gerou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade de contrato antes deste ataque, com mais de 1900 ETH roubados. Isso enfatiza novamente a importância de os projetos Web3 aumentarem a consciência sobre segurança.
9. Hedgey Finance enfrenta um ataque de vulnerabilidade de contrato
Montante da perda: 44,7 milhões de dólares Método de ataque: Vulnerabilidade de contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque que visava vários contratos on-chain. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas redes Ethereum e Arbitrum, com uma perda total de 44,7 milhões de dólares. Este evento ressalta a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. A carteira quente de uma exchange foi invadida
Montante da perda: 44,7 milhões de dólares Método de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente de uma exchange de criptomoedas foi invadida por hackers, envolvendo várias blockchains, incluindo Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente ativado mecanismos de transferência de ativos e de congelamento de saques, os hackers conseguiram retirar ativos no valor de 44,7 milhões de dólares. Este ataque reflete a alta risco da gestão de carteiras quentes em exchanges centralizadas e impulsiona ainda mais a indústria a explorar soluções de armazenamento de ativos mais seguras.
Os frequentes incidentes de segurança em 2024 nos lembram novamente que o desenvolvimento da indústria de blockchain não pode prescindir de segurança. Desde o vazamento de chaves privadas até vulnerabilidades em contratos, desde falhas de gestão interna até a atualização de métodos de ataque externos, cada incidente trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a aumentar seus investimentos em pesquisa e desenvolvimento de tecnologia, normas de gestão e prevenção de riscos. No futuro, esperamos que, através da colaboração na indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro, proporcionando garantias mais confiáveis para usuários e investidores.