As 10 principais incidentes de segurança no campo do Web3 em 2024
Em 2024, a indústria de blockchain enfrenta desafios de segurança cada vez mais severos, ao mesmo tempo em que inovações tecnológicas e expansão ecológica ocorrem. De acordo com a monitorização da plataforma de dados, até ao momento, as perdas totais no setor Web3 em 2024, devido a ataques de hackers, fraudes de phishing e fugas de projetos, atingem os 2,491 milhões de dólares.
Esses eventos não apenas expuseram falhas técnicas como a gestão de chaves privadas e vulnerabilidades de contratos inteligentes, mas também destacaram os riscos potenciais da engenharia social e da gestão interna. Este artigo revisará os dez principais eventos de segurança do Web3 em 2024, para que a indústria aprenda lições e esteja melhor preparada para enfrentar futuras ameaças à segurança.
1. DMM Bitcoin
Montante da perda: 304 milhões de dólaresMétodo de ataque: divulgação da chave privada
Em 31 de maio de 2024, a conhecida exchange de criptomoedas japonesa DMM Bitcoin sofreu um ataque significativo. Hackers utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin e rapidamente dispersaram os fundos roubados em mais de 10 endereços diferentes. Este incidente expôs as sérias deficiências da exchange na gestão de chaves privadas e na proteção de múltiplas camadas de segurança. Embora a exchange tenha tentado rastrear os hackers através de monitoramento on-chain e congelamento de fundos, a transferência dispersa do Bitcoin roubado e o uso de ferramentas de mistura tornaram o rastreamento muito mais difícil.
No dia 24 de dezembro, a polícia japonesa confirmou que o ataque foi realizado pelo grupo de hackers norte-coreano Lazarus Group.
2. PlayDapp
Montante da perda: 290 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe. Hackers roubaram chaves privadas e acuaram 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares. Devido à falha nas negociações entre a equipe do projeto e os hackers, os hackers então acuaram mais 15,9 bilhões de tokens PLA, totalizando um valor de 253,9 milhões de dólares. Após parte dos tokens serem enviados para as exchanges, a PlayDapp foi forçada a suspender o contrato PLA e migrar para o contrato do token PDA. Este incidente destacou as deficiências dos projetos de blockchain na proteção de chaves privadas e na gestão de emergências.
3. Uma bolsa de valores na Índia
Quantia de perda: 235 milhões de dólaresMétodos de ataque: ataques de rede e phishing
No dia 18 de julho de 2024, a carteira multi-assinatura Safe Wallet da maior exchange de criptomoedas da Índia foi alvo de um ataque preciso. Os atacantes induziram os signatários da multi-assinatura a assinar uma transação de atualização de contrato por meio de engenharia social, e em seguida utilizaram os direitos do contrato atualizado para transferir todos os ativos da carteira. Este caso expôs os riscos potenciais na configuração de gerenciamento de permissões e na transparência das operações das carteiras multi-assinatura, além de provocar uma reflexão profunda na indústria sobre os mecanismos internos de controle de riscos e segurança dos projetos.
4. Gala Games
Valor da perda: 216 milhões de dólaresMétodo de ataque: Vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato do token e cunharam 5 bilhões de tokens GALA de uma só vez. Em seguida, os hackers trocaram esses novos tokens cunhados por ETH em lotes, causando uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist após o incidente, bloqueando algumas contas dos hackers e recuperando parte das perdas por meio de ações legais.
5. Carteira pessoal do cofundador da Ripple
Montante da perda: 112 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras podem ter se tornado alvos do ataque devido à falta de proteção em dupla com dispositivos de hardware. Após o incidente, uma plataforma de negociação conseguiu congelar 4,2 milhões de dólares em XRP e ajudou a rastrear os ativos roubados, mas a maior parte dos fundos já foi limpa através de exchanges descentralizadas e serviços de mistura.
6. Munchables
Montante da perda: 62,5 milhões de dólaresMétodo de ataque: Ataque de Engenharia Social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. O atacante era um hacker disfarçado de desenvolvedor de blockchain, que, após uma longa infiltração, obteve o código-fonte e chaves sensíveis. Apesar de o ataque ter causado grandes perdas, sob pressão da comunidade e da equipe, o hacker acabou devolvendo todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. Uma bolsa de valores da Turquia
Montante da perda: 55 milhões de dólaresMétodo de ataque: vazamento da chave privada
No dia 22 de junho de 2024, a maior plataforma de criptomoedas da Turquia sofreu um ataque de vazamento de chaves privadas, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma plataforma de negociação, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento intensificou as preocupações do mercado sobre a gestão de chaves privadas em exchanges centralizadas.
8. Radiant Capital
Montante da perda: 53 milhões de dólaresMétodo de ataque: divulgação da chave privada
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido à utilização de um modelo de verificação de assinatura 3/11 com baixo nível de exigência, os hackers conseguiram acessar as chaves privadas de 3 signatários e realizar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque gerou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade em seu contrato antes deste ataque, com mais de 1900 ETH sendo roubados. Isso demonstra mais uma vez que a atenção das equipes de projetos Web3 à segurança ainda precisa ser aprimorada.
9. Hedgey Finance
Montante da perda: 44,7 milhões de dólaresMétodo de ataque: Vulnerabilidade de contrato
Em 19 de abril de 2024, a Hedgey Finance sofreu um ataque direcionado a vários contratos em cadeia. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens das duas cadeias Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a validação rigorosa da lógica de aprovação de tokens.
10. Uma exchange centralizada
Montante da perda: 44,7 milhões de dólaresMétodo de ataque: vazamento de chave privada
Em 19 de setembro de 2024, a carteira quente de uma determinada exchange foi invadida por hackers, envolvendo várias blockchains, incluindo Ethereum, BNB Chain, Tron e outras. Embora a exchange tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de retiradas, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete mais uma vez a alta risca da gestão de carteiras quentes de exchanges centralizadas e impulsiona ainda mais a exploração por parte da indústria de soluções de armazenamento de ativos mais seguras.
Os frequentes incidentes de ataques de segurança em 2024 nos lembram mais uma vez que o desenvolvimento da indústria de blockchain não pode prescindir da segurança. Desde o vazamento de chaves privadas até vulnerabilidades em contratos, desde falhas na gestão interna até a evolução das táticas de ataque externas, cada incidente trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a reforçar os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e prevenção de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro, proporcionando uma proteção mais confiável para usuários e investidores.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
12 gostos
Recompensa
12
8
Partilhar
Comentar
0/400
TideReceder
· 11h atrás
idiotas fazem as pessoas de parvas uma e outra vez...
Ver originalResponder0
MetaverseMigrant
· 16h atrás
Outra ronda de fazer as pessoas de parvas concluída
Ver originalResponder0
FOMOSapien
· 07-21 00:48
idiotas da grande comunidade, novatos e adoráveis.
Ver originalResponder0
NftPhilanthropist
· 07-20 09:25
acho que precisamos de mais auditorias de prova de impacto, para ser honesto...
Ver originalResponder0
SadMoneyMeow
· 07-20 09:19
Já não tenho dinheiro para comprar ramen...
Ver originalResponder0
LeverageAddict
· 07-20 09:16
Tantos hackers ganharam dinheiro.
Ver originalResponder0
GasSavingMaster
· 07-20 09:10
A velocidade de perder dinheiro está a acompanhar a velocidade de enviar dinheiro.
2024 Análise dos 10 principais incidentes de segurança do Web3 com perdas de quase 2,5 mil milhões de dólares
As 10 principais incidentes de segurança no campo do Web3 em 2024
Em 2024, a indústria de blockchain enfrenta desafios de segurança cada vez mais severos, ao mesmo tempo em que inovações tecnológicas e expansão ecológica ocorrem. De acordo com a monitorização da plataforma de dados, até ao momento, as perdas totais no setor Web3 em 2024, devido a ataques de hackers, fraudes de phishing e fugas de projetos, atingem os 2,491 milhões de dólares.
Esses eventos não apenas expuseram falhas técnicas como a gestão de chaves privadas e vulnerabilidades de contratos inteligentes, mas também destacaram os riscos potenciais da engenharia social e da gestão interna. Este artigo revisará os dez principais eventos de segurança do Web3 em 2024, para que a indústria aprenda lições e esteja melhor preparada para enfrentar futuras ameaças à segurança.
1. DMM Bitcoin
Montante da perda: 304 milhões de dólares Método de ataque: divulgação da chave privada
Em 31 de maio de 2024, a conhecida exchange de criptomoedas japonesa DMM Bitcoin sofreu um ataque significativo. Hackers utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin e rapidamente dispersaram os fundos roubados em mais de 10 endereços diferentes. Este incidente expôs as sérias deficiências da exchange na gestão de chaves privadas e na proteção de múltiplas camadas de segurança. Embora a exchange tenha tentado rastrear os hackers através de monitoramento on-chain e congelamento de fundos, a transferência dispersa do Bitcoin roubado e o uso de ferramentas de mistura tornaram o rastreamento muito mais difícil.
No dia 24 de dezembro, a polícia japonesa confirmou que o ataque foi realizado pelo grupo de hackers norte-coreano Lazarus Group.
2. PlayDapp
Montante da perda: 290 milhões de dólares Método de ataque: vazamento de chave privada
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe. Hackers roubaram chaves privadas e acuaram 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares. Devido à falha nas negociações entre a equipe do projeto e os hackers, os hackers então acuaram mais 15,9 bilhões de tokens PLA, totalizando um valor de 253,9 milhões de dólares. Após parte dos tokens serem enviados para as exchanges, a PlayDapp foi forçada a suspender o contrato PLA e migrar para o contrato do token PDA. Este incidente destacou as deficiências dos projetos de blockchain na proteção de chaves privadas e na gestão de emergências.
3. Uma bolsa de valores na Índia
Quantia de perda: 235 milhões de dólares Métodos de ataque: ataques de rede e phishing
No dia 18 de julho de 2024, a carteira multi-assinatura Safe Wallet da maior exchange de criptomoedas da Índia foi alvo de um ataque preciso. Os atacantes induziram os signatários da multi-assinatura a assinar uma transação de atualização de contrato por meio de engenharia social, e em seguida utilizaram os direitos do contrato atualizado para transferir todos os ativos da carteira. Este caso expôs os riscos potenciais na configuração de gerenciamento de permissões e na transparência das operações das carteiras multi-assinatura, além de provocar uma reflexão profunda na indústria sobre os mecanismos internos de controle de riscos e segurança dos projetos.
4. Gala Games
Valor da perda: 216 milhões de dólares Método de ataque: Vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato do token e cunharam 5 bilhões de tokens GALA de uma só vez. Em seguida, os hackers trocaram esses novos tokens cunhados por ETH em lotes, causando uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist após o incidente, bloqueando algumas contas dos hackers e recuperando parte das perdas por meio de ações legais.
5. Carteira pessoal do cofundador da Ripple
Montante da perda: 112 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras podem ter se tornado alvos do ataque devido à falta de proteção em dupla com dispositivos de hardware. Após o incidente, uma plataforma de negociação conseguiu congelar 4,2 milhões de dólares em XRP e ajudou a rastrear os ativos roubados, mas a maior parte dos fundos já foi limpa através de exchanges descentralizadas e serviços de mistura.
6. Munchables
Montante da perda: 62,5 milhões de dólares Método de ataque: Ataque de Engenharia Social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. O atacante era um hacker disfarçado de desenvolvedor de blockchain, que, após uma longa infiltração, obteve o código-fonte e chaves sensíveis. Apesar de o ataque ter causado grandes perdas, sob pressão da comunidade e da equipe, o hacker acabou devolvendo todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. Uma bolsa de valores da Turquia
Montante da perda: 55 milhões de dólares Método de ataque: vazamento da chave privada
No dia 22 de junho de 2024, a maior plataforma de criptomoedas da Turquia sofreu um ataque de vazamento de chaves privadas, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma plataforma de negociação, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento intensificou as preocupações do mercado sobre a gestão de chaves privadas em exchanges centralizadas.
8. Radiant Capital
Montante da perda: 53 milhões de dólares Método de ataque: divulgação da chave privada
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido à utilização de um modelo de verificação de assinatura 3/11 com baixo nível de exigência, os hackers conseguiram acessar as chaves privadas de 3 signatários e realizar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque gerou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade em seu contrato antes deste ataque, com mais de 1900 ETH sendo roubados. Isso demonstra mais uma vez que a atenção das equipes de projetos Web3 à segurança ainda precisa ser aprimorada.
9. Hedgey Finance
Montante da perda: 44,7 milhões de dólares Método de ataque: Vulnerabilidade de contrato
Em 19 de abril de 2024, a Hedgey Finance sofreu um ataque direcionado a vários contratos em cadeia. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens das duas cadeias Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a validação rigorosa da lógica de aprovação de tokens.
10. Uma exchange centralizada
Montante da perda: 44,7 milhões de dólares Método de ataque: vazamento de chave privada
Em 19 de setembro de 2024, a carteira quente de uma determinada exchange foi invadida por hackers, envolvendo várias blockchains, incluindo Ethereum, BNB Chain, Tron e outras. Embora a exchange tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de retiradas, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete mais uma vez a alta risca da gestão de carteiras quentes de exchanges centralizadas e impulsiona ainda mais a exploração por parte da indústria de soluções de armazenamento de ativos mais seguras.
Os frequentes incidentes de ataques de segurança em 2024 nos lembram mais uma vez que o desenvolvimento da indústria de blockchain não pode prescindir da segurança. Desde o vazamento de chaves privadas até vulnerabilidades em contratos, desde falhas na gestão interna até a evolução das táticas de ataque externas, cada incidente trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a reforçar os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e prevenção de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro, proporcionando uma proteção mais confiável para usuários e investidores.