Os 10 principais incidentes de segurança do Web3 em 2024 causaram perdas de quase 2,5 bilhões de dólares, com o DMM Bitcoin a ser alvo de um ataque de 300 milhões de dólares, ocupando o primeiro lugar.
As 10 Principais Incidentes de Segurança Web3 de 2024
Em 2024, a indústria de blockchain enfrenta desafios de segurança cada vez mais severos no processo de inovação tecnológica e expansão ecológica. De acordo com os dados da plataforma de monitoramento de segurança, até o momento, as perdas totais no setor Web3 em 2024, devido a ataques de hackers, fraudes de phishing e desaparecimento de projetos, atingem 2,491 bilhões de dólares.
Estes eventos não apenas expuseram falhas técnicas na gestão de chaves privadas, contratos inteligentes, etc., mas também destacaram os riscos potenciais associados a ataques de engenharia social e à gestão interna. Este artigo revisará os dez eventos de segurança mais impactantes no campo do Web3 em 2024, com a expectativa de que a indústria possa aprender com eles e lidar melhor com as ameaças de segurança futuras.
1. DMM Bitcoin
Valor da perda: 304 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 31 de maio de 2024, a conhecida exchange de criptomoedas japonesa DMM Bitcoin sofreu um grave incidente de segurança. Os atacantes aproveitaram uma chave privada vazada para transferir diretamente mais de 300 milhões de dólares em Bitcoin e rapidamente dispersaram os fundos roubados em mais de 10 endereços diferentes. Este incidente expôs sérias falhas na gestão de chaves privadas e na segurança em múltiplas camadas da exchange. Embora a exchange tenha tentado rastrear os hackers por meio de monitoramento on-chain e congelamento de fundos, a recuperação enfrenta grandes desafios, uma vez que o Bitcoin roubado foi rapidamente dispersado e lavado através de ferramentas de mistura.
No dia 24 de dezembro, a polícia japonesa confirmou que o ataque foi realizado pelo grupo de hackers norte-coreano Lazarus Group.
2. PlayDapp
Montante da perda: 2,90 mil milhões de dólares
Método de ataque: vazamento de chave privada
Em 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe. Hackers forjaram 2 bilhões de tokens PLA ao roubar chaves privadas, com um valor inicial de 36,5 milhões de dólares. Devido a uma falha nas negociações com os hackers, os atacantes forjaram mais 15,9 bilhões de tokens PLA em um curto espaço de tempo, totalizando 253,9 milhões de dólares. Após parte dos tokens roubados ter sido transferida para as exchanges, a PlayDapp foi forçada a suspender o contrato PLA e migrar para um novo contrato de token PDA. Este evento destacou as deficiências dos projetos de blockchain na proteção de chaves privadas e na gestão de emergências.
3. Uma exchange de criptomoedas na Índia
Montante da perda: 235 milhões de dólares
Método de ataque: ataque cibernético e phishing
No dia 18 de julho de 2024, a Safe Wallet, uma carteira multi-assinatura da maior exchange de criptomoedas da Índia, foi alvo de um ataque preciso. Os atacantes induziram os signatários da multi-assinatura a assinar uma transação de atualização de contrato através de engenharia social, e em seguida, usaram os direitos do contrato atualizado para transferir todos os ativos da carteira. Este caso destaca os potenciais riscos das carteiras multi-assinatura na configuração de gestão de permissões e na transparência das operações, e também suscitou uma reflexão profunda na indústria sobre os mecanismos de controle de risco interno e segurança dos projetos.
4. Gala Games
Montante da perda: 216 milhões de dólares
Método de ataque: vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi hackeado. Os atacantes chamaram a função mint no contrato do token, criando de uma só vez 5 bilhões de tokens GALA. Em seguida, os hackers trocaram os tokens emitidos em lotes por ETH, causando uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de lista negra após o incidente para bloquear algumas contas dos hackers e recuperou parte das perdas por meio de vias legais.
5. Carteira pessoal do co-fundador da Ripple foi roubada
Montante da perda: 112 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple, Chris Larsen, foram alvo de um ataque hacker, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras foram alvo do ataque devido à falta de proteção em duas etapas com dispositivos de hardware. Após o incidente, uma exchange conseguiu congelar 4,2 milhões de dólares em XRP e ajudou Larsen a rastrear os ativos roubados, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de misturadores.
6. Munchables
Valor da perda: 62,5 milhões de dólares
Método de ataque: ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. O atacante era um hacker disfarçado de desenvolvedor de blockchain, que, através de uma longa permanência, obteve o código principal e chaves sensíveis. Apesar de o ataque ter causado enormes perdas, sob pressão da comunidade e da equipe, o hacker acabou devolvendo todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. Uma bolsa de criptomoedas turca
Montante da perda: 55 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia foi alvo de um ataque de vazamento de chaves privadas, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda da equipe de uma exchange, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aprofundou as preocupações do mercado sobre a gestão de chaves privadas em exchanges centralizadas.
8. Radiant Capital
Montante da perda: 53 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido ao uso de um modelo de verificação de assinatura 3/11 de baixo limite, os hackers conseguiram obter as chaves privadas de 3 dos signatários e realizaram uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque gerou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH sendo roubados. Isso enfatiza novamente que o nível de atenção à segurança por parte dos projetos Web3 precisa ser elevado.
9. Hedgey Finance
Montante da perda: 44,7 milhões de dólares
Método de ataque: falha no contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque a vários contratos on-chain. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo retirar tokens nas redes Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este incidente destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. Carteira quente de uma exchange de criptomoedas foi roubada
Montante da perda: 44,7 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente de uma exchange de criptomoedas foi invadida por hackers, envolvendo várias blockchains, incluindo Ethereum, BNB Chain, Tron, entre outras. Apesar de a exchange ter rapidamente ativado mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete o alto risco da gestão de carteiras quentes em exchanges centralizadas e impulsiona ainda mais a indústria a explorar soluções de armazenamento de ativos mais seguras.
Os frequentes ataques de segurança em 2024 nos lembram mais uma vez que o desenvolvimento da indústria de blockchain não pode prescindir de uma proteção segura. Desde o vazamento de chaves privadas até vulnerabilidades em contratos, desde falhas na gestão interna até a evolução das técnicas de ataque externas, cada incidente trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a aumentar os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e prevenção de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos juntos estabelecer um ecossistema de blockchain mais seguro, proporcionando uma proteção mais confiável para usuários e investidores.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
10 Curtidas
Recompensa
10
5
Compartilhar
Comentário
0/400
GasBandit
· 9h atrás
Hacker verdadeiramente consegue fazer coisas
Ver originalResponder0
Ser_APY_2000
· 9h atrás
Mais um ano de perdas em níveis recorde
Ver originalResponder0
LadderToolGuy
· 9h atrás
Outra onda de pré-lançamento de um grande bull run
Os 10 principais incidentes de segurança do Web3 em 2024 causaram perdas de quase 2,5 bilhões de dólares, com o DMM Bitcoin a ser alvo de um ataque de 300 milhões de dólares, ocupando o primeiro lugar.
As 10 Principais Incidentes de Segurança Web3 de 2024
Em 2024, a indústria de blockchain enfrenta desafios de segurança cada vez mais severos no processo de inovação tecnológica e expansão ecológica. De acordo com os dados da plataforma de monitoramento de segurança, até o momento, as perdas totais no setor Web3 em 2024, devido a ataques de hackers, fraudes de phishing e desaparecimento de projetos, atingem 2,491 bilhões de dólares.
Estes eventos não apenas expuseram falhas técnicas na gestão de chaves privadas, contratos inteligentes, etc., mas também destacaram os riscos potenciais associados a ataques de engenharia social e à gestão interna. Este artigo revisará os dez eventos de segurança mais impactantes no campo do Web3 em 2024, com a expectativa de que a indústria possa aprender com eles e lidar melhor com as ameaças de segurança futuras.
1. DMM Bitcoin
Valor da perda: 304 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de maio de 2024, a conhecida exchange de criptomoedas japonesa DMM Bitcoin sofreu um grave incidente de segurança. Os atacantes aproveitaram uma chave privada vazada para transferir diretamente mais de 300 milhões de dólares em Bitcoin e rapidamente dispersaram os fundos roubados em mais de 10 endereços diferentes. Este incidente expôs sérias falhas na gestão de chaves privadas e na segurança em múltiplas camadas da exchange. Embora a exchange tenha tentado rastrear os hackers por meio de monitoramento on-chain e congelamento de fundos, a recuperação enfrenta grandes desafios, uma vez que o Bitcoin roubado foi rapidamente dispersado e lavado através de ferramentas de mistura.
No dia 24 de dezembro, a polícia japonesa confirmou que o ataque foi realizado pelo grupo de hackers norte-coreano Lazarus Group.
2. PlayDapp
Montante da perda: 2,90 mil milhões de dólares Método de ataque: vazamento de chave privada
Em 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe. Hackers forjaram 2 bilhões de tokens PLA ao roubar chaves privadas, com um valor inicial de 36,5 milhões de dólares. Devido a uma falha nas negociações com os hackers, os atacantes forjaram mais 15,9 bilhões de tokens PLA em um curto espaço de tempo, totalizando 253,9 milhões de dólares. Após parte dos tokens roubados ter sido transferida para as exchanges, a PlayDapp foi forçada a suspender o contrato PLA e migrar para um novo contrato de token PDA. Este evento destacou as deficiências dos projetos de blockchain na proteção de chaves privadas e na gestão de emergências.
3. Uma exchange de criptomoedas na Índia
Montante da perda: 235 milhões de dólares Método de ataque: ataque cibernético e phishing
No dia 18 de julho de 2024, a Safe Wallet, uma carteira multi-assinatura da maior exchange de criptomoedas da Índia, foi alvo de um ataque preciso. Os atacantes induziram os signatários da multi-assinatura a assinar uma transação de atualização de contrato através de engenharia social, e em seguida, usaram os direitos do contrato atualizado para transferir todos os ativos da carteira. Este caso destaca os potenciais riscos das carteiras multi-assinatura na configuração de gestão de permissões e na transparência das operações, e também suscitou uma reflexão profunda na indústria sobre os mecanismos de controle de risco interno e segurança dos projetos.
4. Gala Games
Montante da perda: 216 milhões de dólares Método de ataque: vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi hackeado. Os atacantes chamaram a função mint no contrato do token, criando de uma só vez 5 bilhões de tokens GALA. Em seguida, os hackers trocaram os tokens emitidos em lotes por ETH, causando uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de lista negra após o incidente para bloquear algumas contas dos hackers e recuperou parte das perdas por meio de vias legais.
5. Carteira pessoal do co-fundador da Ripple foi roubada
Montante da perda: 112 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple, Chris Larsen, foram alvo de um ataque hacker, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras foram alvo do ataque devido à falta de proteção em duas etapas com dispositivos de hardware. Após o incidente, uma exchange conseguiu congelar 4,2 milhões de dólares em XRP e ajudou Larsen a rastrear os ativos roubados, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de misturadores.
6. Munchables
Valor da perda: 62,5 milhões de dólares Método de ataque: ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. O atacante era um hacker disfarçado de desenvolvedor de blockchain, que, através de uma longa permanência, obteve o código principal e chaves sensíveis. Apesar de o ataque ter causado enormes perdas, sob pressão da comunidade e da equipe, o hacker acabou devolvendo todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. Uma bolsa de criptomoedas turca
Montante da perda: 55 milhões de dólares Método de ataque: vazamento de chave privada
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia foi alvo de um ataque de vazamento de chaves privadas, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda da equipe de uma exchange, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aprofundou as preocupações do mercado sobre a gestão de chaves privadas em exchanges centralizadas.
8. Radiant Capital
Montante da perda: 53 milhões de dólares Método de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido ao uso de um modelo de verificação de assinatura 3/11 de baixo limite, os hackers conseguiram obter as chaves privadas de 3 dos signatários e realizaram uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque gerou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH sendo roubados. Isso enfatiza novamente que o nível de atenção à segurança por parte dos projetos Web3 precisa ser elevado.
9. Hedgey Finance
Montante da perda: 44,7 milhões de dólares Método de ataque: falha no contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque a vários contratos on-chain. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo retirar tokens nas redes Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este incidente destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. Carteira quente de uma exchange de criptomoedas foi roubada
Montante da perda: 44,7 milhões de dólares Método de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente de uma exchange de criptomoedas foi invadida por hackers, envolvendo várias blockchains, incluindo Ethereum, BNB Chain, Tron, entre outras. Apesar de a exchange ter rapidamente ativado mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete o alto risco da gestão de carteiras quentes em exchanges centralizadas e impulsiona ainda mais a indústria a explorar soluções de armazenamento de ativos mais seguras.
Os frequentes ataques de segurança em 2024 nos lembram mais uma vez que o desenvolvimento da indústria de blockchain não pode prescindir de uma proteção segura. Desde o vazamento de chaves privadas até vulnerabilidades em contratos, desde falhas na gestão interna até a evolução das técnicas de ataque externas, cada incidente trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a aumentar os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e prevenção de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos juntos estabelecer um ecossistema de blockchain mais seguro, proporcionando uma proteção mais confiável para usuários e investidores.