Resumen de los diez principales incidentes de seguridad en el ámbito Web3 de 2024
En 2024, la industria blockchain, mientras innova y se desarrolla, también enfrenta desafíos de seguridad cada vez más severos. Según el monitoreo de plataformas de datos, hasta la fecha, las pérdidas totales en el ámbito de Web3 en 2024, debido a ataques de hackers, fraudes y la fuga de proyectos, alcanzan los 2,491 millones de dólares.
Estos eventos no solo expusieron defectos a nivel técnico, como la gestión de claves privadas y vulnerabilidades en contratos inteligentes, sino que también destacaron los riesgos potenciales en ingeniería social y gestión interna. Este artículo revisará los diez principales eventos de seguridad de Web3 en 2024, para ayudar a la industria a aprender lecciones y enfrentar mejor las amenazas de seguridad futuras.
1. DMM Bitcoin
Monto de la pérdida: 304 millones de dólaresMétodo de ataque: filtración de clave privada
El 31 de mayo de 2024, el conocido intercambio de criptomonedas japonés DMM Bitcoin sufrió un ataque importante. Los hackers utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados en más de 10 direcciones diferentes. Este incidente expuso las serias deficiencias del intercambio en la gestión de claves privadas y en la seguridad de múltiples capas. A pesar de que el intercambio intentó rastrear a los hackers mediante la monitorización en cadena y el congelamiento de fondos, el trabajo de rastreo enfrenta enormes desafíos debido a la dispersión de los fondos y al uso de herramientas de mezcla para blanquear el dinero.
El 24 de diciembre, la policía japonesa confirmó que el ataque fue llevado a cabo por un grupo de hackers.
2. PlayDapp
Monto de la pérdida: 290 millones de dólaresMétodo de ataque: filtración de clave privada
El 9 de febrero de 2024, PlayDapp sufrió un golpe devastador. Los atacantes acuñaron 2 mil millones de tokens PLA al robar una clave privada, con un valor inicial de 36.5 millones de dólares. Debido a la falla en las negociaciones con los hackers, estos acuñaron posteriormente 15.9 mil millones de tokens PLA, con un valor de 253.9 millones de dólares. Parte de los tokens robados fluyó hacia los intercambios, lo que obligó a PlayDapp a suspender el contrato PLA y migrar a un nuevo contrato de token PDA. Este evento subraya la insuficiencia de los proyectos de blockchain en la protección de claves privadas y la gestión de emergencias.
3. WazirX
Monto de la pérdida: 235 millones de dólaresMétodo de ataque: ataques cibernéticos y phishing
El 18 de julio de 2024, la billetera multifirma del mayor intercambio de criptomonedas de India, WazirX, fue objeto de un ataque preciso. Los atacantes indujeron a los firmantes de la multifirma a firmar una transacción de actualización de contrato mediante técnicas de ingeniería social, y luego utilizaron los permisos del contrato actualizado para transferir todos los activos de la billetera. Este caso revela los riesgos potenciales de la billetera multifirma en la gestión de la configuración de permisos y la transparencia de las operaciones, y ha provocado una profunda reflexión en la industria sobre los mecanismos internos de control de riesgos y seguridad de los proyectos.
4. Gala Games
Monto de la pérdida: 216 millones de dólaresMétodo de ataque: Vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. El atacante llamó a la función mint del contrato de tokens y acuñó de una vez 5 mil millones de tokens GALA. Luego, estos tokens recién emitidos fueron canjeados por partes en ETH, lo que provocó una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó urgentemente la función de lista negra para bloquear algunas cuentas de los hackers después del incidente y recuperó parte de las pérdidas a través de medios legales.
5. El cofundador de Ripple es atacado
Monto de la pérdida: 112 millones de dólaresMétodo de ataque: filtración de clave privada
El 31 de enero de 2024, cuatro billeteras personales del cofundador de Ripple fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en XRP. Estas billeteras pudieron haber sido objetivo del ataque debido a la falta de protección de doble factor con dispositivos de hardware. Después del incidente, un intercambio logró congelar XRP por un valor de 4.2 millones de dólares y ayudó a rastrear los activos robados, pero la mayor parte de los fondos ya había sido lavada a través de intercambios descentralizados y servicios de mezcla.
6. Munchables
Cantidad de pérdida: 62.5 millones de dólaresMétodo de ataque: ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 basada en Blast, Munchables, sufrió un raro ataque de infiltración interna. Los atacantes se hicieron pasar por desarrolladores de blockchain y, a través de una larga infiltración, obtuvieron el código fuente y las claves sensibles. Aunque causó enormes pérdidas, bajo la presión de la comunidad y del equipo, los hackers finalmente devolvieron todos los fondos robados. Este evento revela la importancia de la seguridad de la cadena de suministro, especialmente para los proyectos de blockchain que dependen del desarrollo de terceros.
7. BtcTurk
Monto de la pérdida: 55 millones de dólaresMétodo de ataque: filtración de clave privada
El 22 de junio de 2024, la mayor bolsa de criptomonedas de Turquía, BtcTurk, sufrió un ataque de filtración de claves privadas, con pérdidas de más de 55 millones de dólares en activos criptográficos. Con la ayuda del equipo de un intercambio, se congelaron con éxito 5.3 millones de dólares de fondos robados, pero otros activos aún no han sido recuperados. Este incidente ha profundizado la preocupación del mercado sobre la gestión de claves privadas en los intercambios centralizados.
8. Radiant Capital
Cantidad de pérdida: 53 millones de dólaresMétodo de ataque: filtración de clave privada
El 17 de octubre de 2024, la billetera multifirma de Radiant Capital fue hackeada. Debido a que se utilizó un modo de verificación de firma de bajo umbral 3/11, el hacker logró iniciar una firma fuera de la cadena al obtener las claves privadas de 3 firmantes, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque ha provocado una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multifirma.
Es notable que Radiant Capital había perdido 4.5 millones de dólares debido a una vulnerabilidad en el contrato antes de este ataque, con más de 1900 ETH robados, lo que muestra que los proyectos de Web3 aún necesitan mejorar su enfoque en la seguridad.
9. Hedgey Finance
Monto de la pérdida: 44.7 millones de dólaresMétodo de ataque: vulnerabilidad de contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a múltiples contratos en cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns, extrayendo con éxito tokens en las cadenas de Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este evento destaca la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.
10. BingX
Monto de la pérdida: 44.7 millones de dólaresMétodo de ataque: filtración de clave privada
El 19 de septiembre de 2024, el monedero caliente de un intercambio fue hackeado, afectando a múltiples cadenas públicas como Ethereum, BNB Chain y Tron. A pesar de que el intercambio activó rápidamente los mecanismos de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por valor de 44.7 millones de dólares. Este ataque refleja la alta riesgo de la gestión de monederos calientes en intercambios centralizados y promueve aún más la exploración de soluciones de almacenamiento de activos más seguras en la industria.
Los frecuentes incidentes de ataques de seguridad en 2024 nos recuerdan nuevamente que el desarrollo de la industria blockchain depende de la garantía de seguridad. Desde la filtración de claves privadas hasta las vulnerabilidades en contratos, desde fallos en la gestión interna hasta la actualización de métodos de ataque externos, cada incidente ha traído lecciones profundas. Para hacer frente a las amenazas de ataque cada vez más complejas, todas las partes de la industria necesitan seguir aumentando su inversión en investigación y desarrollo tecnológico, normas de gestión y control de riesgos. En el futuro, esperamos que a través de la colaboración en la industria y la innovación tecnológica, construyamos conjuntamente un ecosistema blockchain más seguro, proporcionando una garantía más confiable para los usuarios e inversores.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
12 me gusta
Recompensa
12
5
Compartir
Comentar
0/400
OnchainUndercover
· Hace9m
Otra vez es la culpa de la llave privada de alguien más~
Ver originalesResponder0
RugpullTherapist
· 07-26 05:26
Nuevamente veo números de pérdidas, los errores en los contratos nunca se pueden corregir por completo.
Ver originalesResponder0
GateUser-a180694b
· 07-26 05:24
¿Las pérdidas son realmente tan absurdas?
Ver originalesResponder0
MetadataExplorer
· 07-26 05:20
Hay un montón de vulnerabilidades.
Ver originalesResponder0
RugPullAlarm
· 07-26 05:07
Los viejos gráficos de datos son familiares, otra vez un año de la historia de lágrimas y sangre de los tontos.
Resumen de los 10 principales incidentes de seguridad en Web3 de 2024. Pérdidas de 24.91 millones de dólares.
Resumen de los diez principales incidentes de seguridad en el ámbito Web3 de 2024
En 2024, la industria blockchain, mientras innova y se desarrolla, también enfrenta desafíos de seguridad cada vez más severos. Según el monitoreo de plataformas de datos, hasta la fecha, las pérdidas totales en el ámbito de Web3 en 2024, debido a ataques de hackers, fraudes y la fuga de proyectos, alcanzan los 2,491 millones de dólares.
Estos eventos no solo expusieron defectos a nivel técnico, como la gestión de claves privadas y vulnerabilidades en contratos inteligentes, sino que también destacaron los riesgos potenciales en ingeniería social y gestión interna. Este artículo revisará los diez principales eventos de seguridad de Web3 en 2024, para ayudar a la industria a aprender lecciones y enfrentar mejor las amenazas de seguridad futuras.
1. DMM Bitcoin
Monto de la pérdida: 304 millones de dólares Método de ataque: filtración de clave privada
El 31 de mayo de 2024, el conocido intercambio de criptomonedas japonés DMM Bitcoin sufrió un ataque importante. Los hackers utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados en más de 10 direcciones diferentes. Este incidente expuso las serias deficiencias del intercambio en la gestión de claves privadas y en la seguridad de múltiples capas. A pesar de que el intercambio intentó rastrear a los hackers mediante la monitorización en cadena y el congelamiento de fondos, el trabajo de rastreo enfrenta enormes desafíos debido a la dispersión de los fondos y al uso de herramientas de mezcla para blanquear el dinero.
El 24 de diciembre, la policía japonesa confirmó que el ataque fue llevado a cabo por un grupo de hackers.
2. PlayDapp
Monto de la pérdida: 290 millones de dólares Método de ataque: filtración de clave privada
El 9 de febrero de 2024, PlayDapp sufrió un golpe devastador. Los atacantes acuñaron 2 mil millones de tokens PLA al robar una clave privada, con un valor inicial de 36.5 millones de dólares. Debido a la falla en las negociaciones con los hackers, estos acuñaron posteriormente 15.9 mil millones de tokens PLA, con un valor de 253.9 millones de dólares. Parte de los tokens robados fluyó hacia los intercambios, lo que obligó a PlayDapp a suspender el contrato PLA y migrar a un nuevo contrato de token PDA. Este evento subraya la insuficiencia de los proyectos de blockchain en la protección de claves privadas y la gestión de emergencias.
3. WazirX
Monto de la pérdida: 235 millones de dólares Método de ataque: ataques cibernéticos y phishing
El 18 de julio de 2024, la billetera multifirma del mayor intercambio de criptomonedas de India, WazirX, fue objeto de un ataque preciso. Los atacantes indujeron a los firmantes de la multifirma a firmar una transacción de actualización de contrato mediante técnicas de ingeniería social, y luego utilizaron los permisos del contrato actualizado para transferir todos los activos de la billetera. Este caso revela los riesgos potenciales de la billetera multifirma en la gestión de la configuración de permisos y la transparencia de las operaciones, y ha provocado una profunda reflexión en la industria sobre los mecanismos internos de control de riesgos y seguridad de los proyectos.
4. Gala Games
Monto de la pérdida: 216 millones de dólares Método de ataque: Vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. El atacante llamó a la función mint del contrato de tokens y acuñó de una vez 5 mil millones de tokens GALA. Luego, estos tokens recién emitidos fueron canjeados por partes en ETH, lo que provocó una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó urgentemente la función de lista negra para bloquear algunas cuentas de los hackers después del incidente y recuperó parte de las pérdidas a través de medios legales.
5. El cofundador de Ripple es atacado
Monto de la pérdida: 112 millones de dólares Método de ataque: filtración de clave privada
El 31 de enero de 2024, cuatro billeteras personales del cofundador de Ripple fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en XRP. Estas billeteras pudieron haber sido objetivo del ataque debido a la falta de protección de doble factor con dispositivos de hardware. Después del incidente, un intercambio logró congelar XRP por un valor de 4.2 millones de dólares y ayudó a rastrear los activos robados, pero la mayor parte de los fondos ya había sido lavada a través de intercambios descentralizados y servicios de mezcla.
6. Munchables
Cantidad de pérdida: 62.5 millones de dólares Método de ataque: ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 basada en Blast, Munchables, sufrió un raro ataque de infiltración interna. Los atacantes se hicieron pasar por desarrolladores de blockchain y, a través de una larga infiltración, obtuvieron el código fuente y las claves sensibles. Aunque causó enormes pérdidas, bajo la presión de la comunidad y del equipo, los hackers finalmente devolvieron todos los fondos robados. Este evento revela la importancia de la seguridad de la cadena de suministro, especialmente para los proyectos de blockchain que dependen del desarrollo de terceros.
7. BtcTurk
Monto de la pérdida: 55 millones de dólares Método de ataque: filtración de clave privada
El 22 de junio de 2024, la mayor bolsa de criptomonedas de Turquía, BtcTurk, sufrió un ataque de filtración de claves privadas, con pérdidas de más de 55 millones de dólares en activos criptográficos. Con la ayuda del equipo de un intercambio, se congelaron con éxito 5.3 millones de dólares de fondos robados, pero otros activos aún no han sido recuperados. Este incidente ha profundizado la preocupación del mercado sobre la gestión de claves privadas en los intercambios centralizados.
8. Radiant Capital
Cantidad de pérdida: 53 millones de dólares Método de ataque: filtración de clave privada
El 17 de octubre de 2024, la billetera multifirma de Radiant Capital fue hackeada. Debido a que se utilizó un modo de verificación de firma de bajo umbral 3/11, el hacker logró iniciar una firma fuera de la cadena al obtener las claves privadas de 3 firmantes, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque ha provocado una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multifirma.
Es notable que Radiant Capital había perdido 4.5 millones de dólares debido a una vulnerabilidad en el contrato antes de este ataque, con más de 1900 ETH robados, lo que muestra que los proyectos de Web3 aún necesitan mejorar su enfoque en la seguridad.
9. Hedgey Finance
Monto de la pérdida: 44.7 millones de dólares Método de ataque: vulnerabilidad de contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a múltiples contratos en cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns, extrayendo con éxito tokens en las cadenas de Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este evento destaca la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.
10. BingX
Monto de la pérdida: 44.7 millones de dólares Método de ataque: filtración de clave privada
El 19 de septiembre de 2024, el monedero caliente de un intercambio fue hackeado, afectando a múltiples cadenas públicas como Ethereum, BNB Chain y Tron. A pesar de que el intercambio activó rápidamente los mecanismos de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por valor de 44.7 millones de dólares. Este ataque refleja la alta riesgo de la gestión de monederos calientes en intercambios centralizados y promueve aún más la exploración de soluciones de almacenamiento de activos más seguras en la industria.
Los frecuentes incidentes de ataques de seguridad en 2024 nos recuerdan nuevamente que el desarrollo de la industria blockchain depende de la garantía de seguridad. Desde la filtración de claves privadas hasta las vulnerabilidades en contratos, desde fallos en la gestión interna hasta la actualización de métodos de ataque externos, cada incidente ha traído lecciones profundas. Para hacer frente a las amenazas de ataque cada vez más complejas, todas las partes de la industria necesitan seguir aumentando su inversión en investigación y desarrollo tecnológico, normas de gestión y control de riesgos. En el futuro, esperamos que a través de la colaboración en la industria y la innovación tecnológica, construyamos conjuntamente un ecosistema blockchain más seguro, proporcionando una garantía más confiable para los usuarios e inversores.