Revisão dos eventos de segurança Web3 de 2024: Análise dos dez principais casos de ataque
Em 2024, a indústria de blockchain enfrenta, ao mesmo tempo que inovações tecnológicas e expansão ecológica, desafios de segurança cada vez mais severos. De acordo com dados de uma plataforma de monitoramento de segurança, até o final do ano, as perdas totais no espaço Web3 devido a ataques de hackers, fraudes de phishing e desaparecimento de projetos atingiram impressionantes 2.491 milhões de dólares.
Estes eventos não apenas expuseram falhas técnicas como a gestão de chaves privadas e vulnerabilidades de contratos inteligentes, mas também destacaram os riscos potenciais de engenharia social e gestão interna. Este artigo irá enumerar os dez principais eventos de segurança do Web3 em 2024, com a esperança de aprender com eles e fornecer referências para a proteção de segurança futura da indústria.
1. Evento DMM Bitcoin
Valor da perda: 304 milhões de dólares
Método de ataque: vazamento da chave privada
No dia 31 de maio de 2024, a conhecida bolsa de criptomoedas japonesa DMM Bitcoin sofreu um grave incidente de segurança. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin e rapidamente dispersaram os fundos roubados para mais de 10 endereços diferentes. Este ataque expôs as sérias vulnerabilidades da bolsa na gestão de chaves privadas e na proteção de segurança em múltiplas camadas.
Apesar de a bolsa ter tentado rastrear os hackers através da monitorização em cadeia e do congelamento de fundos, a recuperação dos fundos enfrenta enormes desafios devido à rápida dispersão e à utilização de ferramentas de mistura para limpar os bitcoins roubados. No final do ano, as autoridades locais determinaram que o ataque foi realizado por uma organização internacional de hackers.
2. PlayDapp enfrenta a emissão excessiva de tokens
Montante da perda: 290 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 9 de fevereiro de 2024, o projeto PlayDapp sofreu um duro golpe. Hackers ilegalmente cunharam 2 bilhões de tokens PLA ao obter as chaves privadas, com um valor inicial de 36,5 milhões de dólares. Devido à falha nas negociações entre a equipe do projeto e os hackers, os atacantes cunharam mais 15,9 bilhões de tokens PLA em um curto espaço de tempo, totalizando um valor de 253,9 milhões de dólares. Após parte dos tokens entrarem nas exchanges, o PlayDapp foi forçado a suspender o contrato de PLA e migrar para um novo contrato de token. Este incidente destaca as deficiências dos projetos de blockchain na proteção das chaves privadas e na gestão de emergências.
3. Uma bolsa de valores da Índia foi alvo de um ataque preciso
Montante da perda: 235 milhões de dólares
Métodos de ataque: Ataques de rede e phishing
No dia 18 de julho de 2024, uma grande exchange de criptomoedas na Índia sofreu um ataque preciso ao seu wallet multi-assinatura. Os atacantes induziram os signatários da multi-assinatura a aprovar uma transação de atualização de contrato através de técnicas de engenharia social, e em seguida, utilizaram os privilégios do contrato atualizado para transferir todos os ativos do wallet. Este caso revela os riscos potenciais da configuração de permissões e da transparência operacional em wallets multi-assinatura, além de provocar uma reflexão profunda na indústria sobre os mecanismos internos de controle de riscos dos projetos.
4. Vulnerabilidade do contrato do token Gala Games
Valor da perda: 216 milhões de dólares
Método de ataque: Vulnerabilidade de controlo de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato de token, criando de uma só vez 5 bilhões de tokens GALA. Em seguida, esses tokens gerados ilegalmente foram trocados em lotes por ETH, resultando em uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers e buscou recuperar parte das perdas por meio de vias legais.
5. A carteira pessoal de um famoso fundador de criptomoedas foi roubada
Montante da perda: 112 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais de um cofundador de um conhecido projeto de criptomoeda foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em criptomoedas. Essas carteiras se tornaram alvo do ataque devido à falta de proteção de dupla autenticação com dispositivos de hardware. Após o incidente, uma grande exchange conseguiu congelar ativos roubados no valor de 4,2 milhões de dólares e ajudou a rastrear os fundos restantes, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta infiltração interna
Montante da perda: 62,5 milhões de dólares
Método de ataque: ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes se disfarçaram como desenvolvedores de blockchain e, após um longo período de infiltração, obtiveram o código-fonte e chaves sensíveis. Apesar das enormes perdas, sob pressão da comunidade e da equipe, os hackers acabaram devolvendo todos os fundos roubados. Este incidente destaca a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores terceirizados.
7. Vazamento de chave privada de uma exchange da Turquia
Montante da perda: 55 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 22 de junho de 2024, uma grande exchange de criptomoedas na Turquia sofreu um ataque de vazamento de chaves privadas, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma exchange internacional, cerca de 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas o restante dos ativos ainda não foi recuperado. Este incidente aprofundou as preocupações do mercado sobre a capacidade de gerenciamento de chaves privadas por exchanges centralizadas.
8. O wallet multifirma da Radiant Capital foi comprometido
Montante da perda: 53 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido à adoção de um modelo de verificação de assinatura 3/11 com um baixo limite, os hackers conseguiram obter as chaves privadas de 3 signatários e iniciaram uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando na roubo de 53 milhões de dólares. Este ataque gerou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital anteriormente perdeu 4,5 milhões de dólares devido a uma vulnerabilidade em um contrato, com mais de 1900 ETH sendo roubados. Isso destaca novamente que o nível de atenção à segurança por parte dos projetos Web3 ainda precisa ser aprimorado.
9. A vulnerabilidade do contrato da Hedgey Finance foi explorada
Montante da perda: 44,7 milhões de dólares
Método de ataque: vulnerabilidade de contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque a vários contratos na blockchain. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas blockchains Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. Invasão de carteira quente de uma bolsa internacional
Montante da perda: 44,7 milhões de dólares
Método de ataque: vazamento de chave privada
Em 19 de setembro de 2024, uma famosa exchange internacional teve sua carteira quente invadida por hackers, envolvendo múltiplas blockchains como Ethereum, BNB Chain e Tron. Apesar de a exchange ter rapidamente ativado os mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque destaca novamente a alta periculosidade da gestão das carteiras quentes das exchanges centralizadas, impulsionando o setor a explorar soluções de armazenamento de ativos mais seguras.
Conclusão
Os frequentes incidentes de segurança em 2024 nos lembram novamente que o desenvolvimento saudável da indústria de blockchain depende de garantias de segurança. Desde a gestão de chaves privadas até vulnerabilidades de contratos, passando pela governança interna e pela evolução das técnicas de ataque externas, cada incidente soa um alarme para a indústria. Diante das ameaças de segurança cada vez mais complexas, o setor precisa continuar a aumentar os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro e confiável, proporcionando uma proteção mais robusta para usuários e investidores.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
15 Curtidas
Recompensa
15
6
Repostar
Compartilhar
Comentário
0/400
ETHReserveBank
· 10h atrás
25 bilhões de dólares foram assim perdidos?
Ver originalResponder0
ChainComedian
· 10h atrás
Difícil, muito difícil! Dois bilhões e quinhentos milhões assim voaram.
Ver originalResponder0
SatoshiChallenger
· 10h atrás
Hacker ano após ano, idiotas não sabem envelhecer, fritando até perder tudo.
Web3: Os 10 principais eventos de segurança em 2024 que resultaram em perdas de 24,91 bilhões de dólares devido a ataques de Hacker.
Revisão dos eventos de segurança Web3 de 2024: Análise dos dez principais casos de ataque
Em 2024, a indústria de blockchain enfrenta, ao mesmo tempo que inovações tecnológicas e expansão ecológica, desafios de segurança cada vez mais severos. De acordo com dados de uma plataforma de monitoramento de segurança, até o final do ano, as perdas totais no espaço Web3 devido a ataques de hackers, fraudes de phishing e desaparecimento de projetos atingiram impressionantes 2.491 milhões de dólares.
Estes eventos não apenas expuseram falhas técnicas como a gestão de chaves privadas e vulnerabilidades de contratos inteligentes, mas também destacaram os riscos potenciais de engenharia social e gestão interna. Este artigo irá enumerar os dez principais eventos de segurança do Web3 em 2024, com a esperança de aprender com eles e fornecer referências para a proteção de segurança futura da indústria.
1. Evento DMM Bitcoin
Valor da perda: 304 milhões de dólares Método de ataque: vazamento da chave privada
No dia 31 de maio de 2024, a conhecida bolsa de criptomoedas japonesa DMM Bitcoin sofreu um grave incidente de segurança. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin e rapidamente dispersaram os fundos roubados para mais de 10 endereços diferentes. Este ataque expôs as sérias vulnerabilidades da bolsa na gestão de chaves privadas e na proteção de segurança em múltiplas camadas.
Apesar de a bolsa ter tentado rastrear os hackers através da monitorização em cadeia e do congelamento de fundos, a recuperação dos fundos enfrenta enormes desafios devido à rápida dispersão e à utilização de ferramentas de mistura para limpar os bitcoins roubados. No final do ano, as autoridades locais determinaram que o ataque foi realizado por uma organização internacional de hackers.
2. PlayDapp enfrenta a emissão excessiva de tokens
Montante da perda: 290 milhões de dólares Método de ataque: vazamento de chave privada
No dia 9 de fevereiro de 2024, o projeto PlayDapp sofreu um duro golpe. Hackers ilegalmente cunharam 2 bilhões de tokens PLA ao obter as chaves privadas, com um valor inicial de 36,5 milhões de dólares. Devido à falha nas negociações entre a equipe do projeto e os hackers, os atacantes cunharam mais 15,9 bilhões de tokens PLA em um curto espaço de tempo, totalizando um valor de 253,9 milhões de dólares. Após parte dos tokens entrarem nas exchanges, o PlayDapp foi forçado a suspender o contrato de PLA e migrar para um novo contrato de token. Este incidente destaca as deficiências dos projetos de blockchain na proteção das chaves privadas e na gestão de emergências.
3. Uma bolsa de valores da Índia foi alvo de um ataque preciso
Montante da perda: 235 milhões de dólares Métodos de ataque: Ataques de rede e phishing
No dia 18 de julho de 2024, uma grande exchange de criptomoedas na Índia sofreu um ataque preciso ao seu wallet multi-assinatura. Os atacantes induziram os signatários da multi-assinatura a aprovar uma transação de atualização de contrato através de técnicas de engenharia social, e em seguida, utilizaram os privilégios do contrato atualizado para transferir todos os ativos do wallet. Este caso revela os riscos potenciais da configuração de permissões e da transparência operacional em wallets multi-assinatura, além de provocar uma reflexão profunda na indústria sobre os mecanismos internos de controle de riscos dos projetos.
4. Vulnerabilidade do contrato do token Gala Games
Valor da perda: 216 milhões de dólares Método de ataque: Vulnerabilidade de controlo de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato de token, criando de uma só vez 5 bilhões de tokens GALA. Em seguida, esses tokens gerados ilegalmente foram trocados em lotes por ETH, resultando em uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers e buscou recuperar parte das perdas por meio de vias legais.
5. A carteira pessoal de um famoso fundador de criptomoedas foi roubada
Montante da perda: 112 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais de um cofundador de um conhecido projeto de criptomoeda foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em criptomoedas. Essas carteiras se tornaram alvo do ataque devido à falta de proteção de dupla autenticação com dispositivos de hardware. Após o incidente, uma grande exchange conseguiu congelar ativos roubados no valor de 4,2 milhões de dólares e ajudou a rastrear os fundos restantes, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta infiltração interna
Montante da perda: 62,5 milhões de dólares Método de ataque: ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes se disfarçaram como desenvolvedores de blockchain e, após um longo período de infiltração, obtiveram o código-fonte e chaves sensíveis. Apesar das enormes perdas, sob pressão da comunidade e da equipe, os hackers acabaram devolvendo todos os fundos roubados. Este incidente destaca a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores terceirizados.
7. Vazamento de chave privada de uma exchange da Turquia
Montante da perda: 55 milhões de dólares Método de ataque: vazamento de chave privada
No dia 22 de junho de 2024, uma grande exchange de criptomoedas na Turquia sofreu um ataque de vazamento de chaves privadas, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma exchange internacional, cerca de 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas o restante dos ativos ainda não foi recuperado. Este incidente aprofundou as preocupações do mercado sobre a capacidade de gerenciamento de chaves privadas por exchanges centralizadas.
8. O wallet multifirma da Radiant Capital foi comprometido
Montante da perda: 53 milhões de dólares Método de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido à adoção de um modelo de verificação de assinatura 3/11 com um baixo limite, os hackers conseguiram obter as chaves privadas de 3 signatários e iniciaram uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando na roubo de 53 milhões de dólares. Este ataque gerou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital anteriormente perdeu 4,5 milhões de dólares devido a uma vulnerabilidade em um contrato, com mais de 1900 ETH sendo roubados. Isso destaca novamente que o nível de atenção à segurança por parte dos projetos Web3 ainda precisa ser aprimorado.
9. A vulnerabilidade do contrato da Hedgey Finance foi explorada
Montante da perda: 44,7 milhões de dólares Método de ataque: vulnerabilidade de contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque a vários contratos na blockchain. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas blockchains Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. Invasão de carteira quente de uma bolsa internacional
Montante da perda: 44,7 milhões de dólares Método de ataque: vazamento de chave privada
Em 19 de setembro de 2024, uma famosa exchange internacional teve sua carteira quente invadida por hackers, envolvendo múltiplas blockchains como Ethereum, BNB Chain e Tron. Apesar de a exchange ter rapidamente ativado os mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque destaca novamente a alta periculosidade da gestão das carteiras quentes das exchanges centralizadas, impulsionando o setor a explorar soluções de armazenamento de ativos mais seguras.
Conclusão
Os frequentes incidentes de segurança em 2024 nos lembram novamente que o desenvolvimento saudável da indústria de blockchain depende de garantias de segurança. Desde a gestão de chaves privadas até vulnerabilidades de contratos, passando pela governança interna e pela evolução das técnicas de ataque externas, cada incidente soa um alarme para a indústria. Diante das ameaças de segurança cada vez mais complexas, o setor precisa continuar a aumentar os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro e confiável, proporcionando uma proteção mais robusta para usuários e investidores.