Principais 10 eventos de segurança no campo Web3 em 2024
Em 2024, a indústria de blockchain enfrenta desafios de segurança cada vez mais severos, enquanto se desenvolve rapidamente. Segundo estatísticas, até o momento, as perdas totais no campo do Web3 devido a diversos eventos de segurança já atingiram 2,491 bilhões de dólares. Esses eventos não apenas expuseram vulnerabilidades a nível técnico, mas também destacaram os riscos potenciais em gestão e engenharia social. Este artigo revisará os dez eventos de segurança mais impactantes no campo do Web3 em 2024, com a esperança de extrair lições para fornecer referências para a proteção de segurança futura.
1. DMM Bitcoin sofreu um grande golpe
Montante da perda: 304 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 31 de maio de 2024, a conhecida exchange de criptomoedas japonesa DMM Bitcoin sofreu um ataque sem precedentes. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos em vários endereços. Este incidente expôs sérias falhas na gestão de chaves privadas e na proteção de segurança em camadas da exchange. Embora a exchange tenha tomado medidas como monitoramento on-chain e congelamento de fundos, a recuperação enfrenta grandes desafios devido ao uso de ferramentas de mistura pelos hackers.
É importante notar que a polícia japonesa confirmou a 24 de dezembro que este ataque foi realizado pelo grupo de hackers norte-coreano Lazarus Group.
2. PlayDapp enfrenta vazamento de chave privada
Montante da perda: 290 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 9 de fevereiro de 2024, o projeto PlayDapp sofreu um grande golpe. Hackers forjaram uma grande quantidade de tokens PLA ao roubar chaves privadas, resultando em uma perda inicial de 36,5 milhões de dólares. Devido ao fracasso nas negociações, os hackers posteriormente forjaram mais 15,9 bilhões de tokens PLA, fazendo com que o total das perdas disparasse para 253,9 milhões de dólares. Este incidente levou a PlayDapp a ser forçada a suspender o contrato PLA e migrar para um novo contrato de token PDA, destacando as deficiências dos projetos de blockchain na proteção de chaves privadas e na gestão de emergências.
3. A bolsa indiana WazirX sofre um ataque preciso
Montante da perda: 235 milhões de dólaresMétodo de ataque: ataque de rede e phishing
No dia 18 de julho de 2024, a carteira multi-assinatura Safe Wallet da WazirX, a maior exchange de criptomoedas da Índia, sofreu um ataque meticulosamente planejado por hackers. Os atacantes induziram os signatários da multi-assinatura a aprovar uma transação de atualização de contrato através de engenharia social, e em seguida utilizaram os poderes do contrato atualizado para transferir todos os ativos da carteira. Este evento revelou os riscos potenciais dos wallets multi-assinatura em relação à gestão de permissões e à transparência operacional, e provocou uma reflexão aprofundada na indústria sobre os mecanismos de controle de risco interno dos projetos.
4. Gala Games enfrenta perdas significativas
Montante da perda: 216 milhões de dólaresMétodo de ataque: Vulnerabilidade de controlo de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato de tokens e cunharam 5 bilhões de tokens GALA de uma só vez. Em seguida, esses tokens foram trocados em lotes por ETH, resultando diretamente em uma perda de 216 milhões de dólares. A equipe da Gala Games rapidamente ativou a função de lista negra para bloquear algumas contas dos hackers e, por meio de vias legais, recuperou parte das perdas.
5. Co-fundador da Ripple sofre roubo da sua carteira pessoal
Valor da perda: 112 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple, Chris Larsen, foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras podem ter se tornado alvos do ataque devido à falta de proteção em dupla camada com dispositivos de hardware. Uma plataforma de negociação conseguiu congelar 4,2 milhões de dólares em XRP e ajudou na rastreação, mas a maior parte dos fundos já foi lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta infiltração interna
Montante da perda: 62,5 milhões de dólaresMétodo de ataque: Ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes se disfarçaram de desenvolvedores de blockchain e, através de uma longa infiltração, obtiveram o código-fonte e chaves sensíveis. Apesar das enormes perdas, sob pressão da comunidade e da equipe, os hackers acabaram devolvendo todos os fundos roubados. Este incidente destaca a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. A bolsa turca BtcTurk foi atacada
Montante da perda: 55 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia, BtcTurk, sofreu um ataque de vazamento de chave privada, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma plataforma de negociação, 5,3 milhões de dólares do fundo roubado foram congelados com sucesso, mas a maior parte dos ativos ainda não foi recuperada. Este evento aumentou as preocupações do mercado sobre a gestão de chaves privadas por exchanges centralizadas.
8. Carteira multi-assinatura da Radiant Capital foi invadida
Montante da perda: 53 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi alvo de um ataque hacker. Devido à adoção de um modelo de verificação de assinatura de baixo limite 3/11, os hackers conseguiram, através do controle das chaves privadas de 3 signatários, iniciar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando em um roubo de 53 milhões de dólares. Este ataque gerou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH roubados, refletindo que a atenção dos projetos Web3 à segurança ainda precisa ser aprimorada.
9. Hedgey Finance sofre ataque de vulnerabilidade em contratos
Montante da perda: 44,7 milhões de dólaresMétodo de ataque: Vulnerabilidade de contrato
No dia 19 de abril de 2024, vários contratos em cadeia da Hedgey Finance foram atacados. Os hackers exploraram uma vulnerabilidade na aprovação do contrato ClaimCampaigns, conseguindo extrair tokens nas cadeias Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. A carteira quente de uma exchange foi invadida
Montante da perda: 44,7 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente de uma determinada exchange foi invadida por hackers, envolvendo várias blockchains públicas, incluindo Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente iniciado o mecanismo de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete novamente a alta risco da gestão de carteiras quentes em exchanges centralizadas, impulsionando o setor a explorar soluções de armazenamento de ativos mais seguras.
Os frequentes incidentes de segurança em 2024 lembram-nos mais uma vez que o desenvolvimento saudável da indústria de blockchain depende de garantias de segurança. Desde a gestão de chaves privadas até falhas em contratos, desde a governança interna até a atualização de métodos de ataque externos, cada incidente soa o alarme para a indústria. Para enfrentar as ameaças de segurança cada vez mais complexas, o setor precisa aumentar continuamente o investimento em pesquisa tecnológica, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro e confiável, oferecendo melhor proteção aos usuários e investidores.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
10 gostos
Recompensa
10
5
Republicar
Partilhar
Comentar
0/400
FlyingLeek
· 19m atrás
Um corte por ano, idiotas verdes todos os anos.
Ver originalResponder0
LiquidityHunter
· 18h atrás
À noite, calculei que a falta de liquidez causada por acidentes de segurança chega a 24,91 bilhões de dólares, e a eficiência do mercado está claramente prejudicada.
Ver originalResponder0
LiquidityOracle
· 18h atrás
cair para zero contagem regressiva tres dois um! O fulano ao lado não perdeu todas as 24 transações.
Ver originalResponder0
MeaninglessApe
· 18h atrás
Outra vez a chave privada deu problema, que chato.
Ver originalResponder0
StakeOrRegret
· 18h atrás
Mais uma vez, a história de um ano de desastres foi registrada pela câmera.
As dez principais perdas de segurança no campo do Web3 em 2024 totalizaram 2,491 milhões de dólares, com a DMM Bitcoin a sofrer a maior perda.
Principais 10 eventos de segurança no campo Web3 em 2024
Em 2024, a indústria de blockchain enfrenta desafios de segurança cada vez mais severos, enquanto se desenvolve rapidamente. Segundo estatísticas, até o momento, as perdas totais no campo do Web3 devido a diversos eventos de segurança já atingiram 2,491 bilhões de dólares. Esses eventos não apenas expuseram vulnerabilidades a nível técnico, mas também destacaram os riscos potenciais em gestão e engenharia social. Este artigo revisará os dez eventos de segurança mais impactantes no campo do Web3 em 2024, com a esperança de extrair lições para fornecer referências para a proteção de segurança futura.
1. DMM Bitcoin sofreu um grande golpe
Montante da perda: 304 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de maio de 2024, a conhecida exchange de criptomoedas japonesa DMM Bitcoin sofreu um ataque sem precedentes. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos em vários endereços. Este incidente expôs sérias falhas na gestão de chaves privadas e na proteção de segurança em camadas da exchange. Embora a exchange tenha tomado medidas como monitoramento on-chain e congelamento de fundos, a recuperação enfrenta grandes desafios devido ao uso de ferramentas de mistura pelos hackers.
É importante notar que a polícia japonesa confirmou a 24 de dezembro que este ataque foi realizado pelo grupo de hackers norte-coreano Lazarus Group.
2. PlayDapp enfrenta vazamento de chave privada
Montante da perda: 290 milhões de dólares Método de ataque: vazamento de chave privada
No dia 9 de fevereiro de 2024, o projeto PlayDapp sofreu um grande golpe. Hackers forjaram uma grande quantidade de tokens PLA ao roubar chaves privadas, resultando em uma perda inicial de 36,5 milhões de dólares. Devido ao fracasso nas negociações, os hackers posteriormente forjaram mais 15,9 bilhões de tokens PLA, fazendo com que o total das perdas disparasse para 253,9 milhões de dólares. Este incidente levou a PlayDapp a ser forçada a suspender o contrato PLA e migrar para um novo contrato de token PDA, destacando as deficiências dos projetos de blockchain na proteção de chaves privadas e na gestão de emergências.
3. A bolsa indiana WazirX sofre um ataque preciso
Montante da perda: 235 milhões de dólares Método de ataque: ataque de rede e phishing
No dia 18 de julho de 2024, a carteira multi-assinatura Safe Wallet da WazirX, a maior exchange de criptomoedas da Índia, sofreu um ataque meticulosamente planejado por hackers. Os atacantes induziram os signatários da multi-assinatura a aprovar uma transação de atualização de contrato através de engenharia social, e em seguida utilizaram os poderes do contrato atualizado para transferir todos os ativos da carteira. Este evento revelou os riscos potenciais dos wallets multi-assinatura em relação à gestão de permissões e à transparência operacional, e provocou uma reflexão aprofundada na indústria sobre os mecanismos de controle de risco interno dos projetos.
4. Gala Games enfrenta perdas significativas
Montante da perda: 216 milhões de dólares Método de ataque: Vulnerabilidade de controlo de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato de tokens e cunharam 5 bilhões de tokens GALA de uma só vez. Em seguida, esses tokens foram trocados em lotes por ETH, resultando diretamente em uma perda de 216 milhões de dólares. A equipe da Gala Games rapidamente ativou a função de lista negra para bloquear algumas contas dos hackers e, por meio de vias legais, recuperou parte das perdas.
5. Co-fundador da Ripple sofre roubo da sua carteira pessoal
Valor da perda: 112 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple, Chris Larsen, foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras podem ter se tornado alvos do ataque devido à falta de proteção em dupla camada com dispositivos de hardware. Uma plataforma de negociação conseguiu congelar 4,2 milhões de dólares em XRP e ajudou na rastreação, mas a maior parte dos fundos já foi lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta infiltração interna
Montante da perda: 62,5 milhões de dólares Método de ataque: Ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes se disfarçaram de desenvolvedores de blockchain e, através de uma longa infiltração, obtiveram o código-fonte e chaves sensíveis. Apesar das enormes perdas, sob pressão da comunidade e da equipe, os hackers acabaram devolvendo todos os fundos roubados. Este incidente destaca a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. A bolsa turca BtcTurk foi atacada
Montante da perda: 55 milhões de dólares Método de ataque: vazamento de chave privada
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia, BtcTurk, sofreu um ataque de vazamento de chave privada, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma plataforma de negociação, 5,3 milhões de dólares do fundo roubado foram congelados com sucesso, mas a maior parte dos ativos ainda não foi recuperada. Este evento aumentou as preocupações do mercado sobre a gestão de chaves privadas por exchanges centralizadas.
8. Carteira multi-assinatura da Radiant Capital foi invadida
Montante da perda: 53 milhões de dólares Método de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi alvo de um ataque hacker. Devido à adoção de um modelo de verificação de assinatura de baixo limite 3/11, os hackers conseguiram, através do controle das chaves privadas de 3 signatários, iniciar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando em um roubo de 53 milhões de dólares. Este ataque gerou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH roubados, refletindo que a atenção dos projetos Web3 à segurança ainda precisa ser aprimorada.
9. Hedgey Finance sofre ataque de vulnerabilidade em contratos
Montante da perda: 44,7 milhões de dólares Método de ataque: Vulnerabilidade de contrato
No dia 19 de abril de 2024, vários contratos em cadeia da Hedgey Finance foram atacados. Os hackers exploraram uma vulnerabilidade na aprovação do contrato ClaimCampaigns, conseguindo extrair tokens nas cadeias Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. A carteira quente de uma exchange foi invadida
Montante da perda: 44,7 milhões de dólares Método de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente de uma determinada exchange foi invadida por hackers, envolvendo várias blockchains públicas, incluindo Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente iniciado o mecanismo de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete novamente a alta risco da gestão de carteiras quentes em exchanges centralizadas, impulsionando o setor a explorar soluções de armazenamento de ativos mais seguras.
Os frequentes incidentes de segurança em 2024 lembram-nos mais uma vez que o desenvolvimento saudável da indústria de blockchain depende de garantias de segurança. Desde a gestão de chaves privadas até falhas em contratos, desde a governança interna até a atualização de métodos de ataque externos, cada incidente soa o alarme para a indústria. Para enfrentar as ameaças de segurança cada vez mais complexas, o setor precisa aumentar continuamente o investimento em pesquisa tecnológica, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro e confiável, oferecendo melhor proteção aos usuários e investidores.