As 10 principais incidentes de segurança no setor Web3 em 2024
Em 2024, a indústria Web3, enquanto inova e se desenvolve, também enfrenta desafios de segurança cada vez mais severos. De acordo com a monitorização da plataforma de dados, até o momento, as perdas totais no campo Web3 em 2024, devido a ataques de hackers, fraudes e o desaparecimento de projetos, alcançam 24,91 bilhões de dólares.
Esses eventos não apenas expuseram vulnerabilidades em aspectos técnicos, como a gestão de chaves privadas e contratos inteligentes, mas também destacaram os riscos potenciais relacionados à engenharia social e à gestão interna. Este artigo revisará os dez principais eventos de segurança do Web3 em 2024, para referência da indústria, a fim de lidar melhor com as ameaças de segurança futuras.
1. Evento DMM Bitcoin
Montante da perda: 304 milhões de dólares
Método de Ataque: Vazamento de Chave Privada
No dia 31 de maio de 2024, a conhecida exchange de criptomoedas japonesa DMM Bitcoin sofreu um ataque significativo. Os hackers utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos roubados em mais de 10 endereços diferentes. Este incidente expôs falhas graves na gestão de chaves privadas e na segurança em múltiplas camadas da exchange.
Apesar de as bolsas tentarem rastrear os hackers através da monitorização em cadeia e do congelamento de fundos, o Bitcoin roubado foi disperso e transferido utilizando ferramentas de mistura, aumentando significativamente a dificuldade de rastreamento. No dia 24 de dezembro, a polícia japonesa confirmou que o incidente foi realizado pelo grupo de hackers norte-coreano Lazarus Group.
2. Incidente de ataque PlayDapp
Montante da perda: 290 milhões de dólares
Método de ataque: Vazamento de chave privada
Em 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe. Hackers, ao roubar chaves privadas, cunharam 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares. Como a equipe do projeto falhou nas negociações com os hackers, estes cunharam posteriormente 15,9 bilhões de tokens PLA, avaliados em 253,9 milhões de dólares. Parte dos tokens, após entrar nas plataformas de negociação, levou a PlayDapp a suspender o contrato PLA e migrar para o contrato de token PDA. Este incidente destaca as deficiências dos projetos de blockchain na proteção de chaves privadas e na gestão de emergências.
3. Carteira multi-assinatura WazirX atacada
Montante da perda: 235 milhões de dólares
Método de ataque: Ataques de rede e phishing
No dia 18 de julho de 2024, a Safe Wallet de múltiplas assinaturas da WazirX, a maior exchange de criptomoedas da Índia, foi alvo de um ataque preciso. Os atacantes usaram engenharia social para induzir os signatários da múltipla assinatura a assinar uma transação de atualização de contrato, e em seguida utilizaram os direitos do contrato atualizado para transferir todos os ativos da carteira. Este caso revela os riscos potenciais da configuração de permissões e da transparência das operações em carteiras de múltiplas assinaturas, e também provoca uma reflexão aprofundada na indústria sobre os mecanismos internos de controle de riscos e segurança dos projetos.
4. Evento de emissão adicional de tokens da Gala Games
Montante da perda: 216 milhões de dólares
Método de ataque: Vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato do token e cunharam 5 bilhões de tokens GALA de uma só vez. Em seguida, os hackers trocaram esses tokens em lotes por ETH, causando uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers e recuperou as perdas por meio de meios legais.
5. Carteira pessoal do cofundador da Ripple roubada
Valor da perda: 112 milhões de dólares
Método de ataque: Vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple, Chris Larsen, foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras foram alvo do ataque devido à falta de proteção em dupla que um dispositivo de hardware poderia fornecer. Após o incidente, uma plataforma de negociação conseguiu congelar 4,2 milhões de dólares em XRP e ajudou Larsen a rastrear os ativos roubados, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Ataque de penetração interna Munchables
Montante da perda: 6250 dólares americanos
Método de ataque: Ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 Munchables, baseada em Blast, sofreu um raro ataque de infiltração interna. Os atacantes eram hackers norte-coreanos disfarçados de desenvolvedores de blockchain, que conseguiram, após uma longa infiltração, obter o código-fonte e chaves sensíveis. Apesar das enormes perdas, sob pressão da comunidade e da equipe, os hackers acabaram devolvendo todos os fundos roubados. Este incidente revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvimento por terceiros.
7. Incidente de vazamento de chave privada da BtcTurk
Montante da perda: 55 milhões de dólares
Método de ataque: Vazamento de chave privada
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia, BtcTurk, sofreu um ataque de vazamento de chave privada, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma plataforma de negociação, 5,3 milhões de dólares do fundo roubado foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aprofundou as preocupações do mercado sobre a gestão de chaves privadas em exchanges centralizadas.
8. O wallet multi-assinatura da Radiant Capital foi invadido
Montante da perda: 53 milhões de dólares
Método de ataque: Vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multi-assinada da Radiant Capital foi invadida por hackers. Devido ao uso de um modelo de verificação de assinatura de 3/11 de baixo limiar, os hackers conseguiram iniciar uma assinatura off-chain ao controlar as chaves privadas de 3 signatários, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão da indústria sobre o design e os mecanismos de governança das carteiras multi-assinadas.
É importante notar que, antes deste ataque, a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato, com mais de 1900 ETH roubados. Isso reflete que o nível de atenção à segurança por parte dos projetos Web3 ainda precisa ser melhorado.
9. Ataque de vulnerabilidade de contrato da Hedgey Finance
Montante da perda: 44,7 milhões de dólares
Método de ataque: Vulnerabilidade do contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque direcionado a vários contratos em cadeia. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas duas cadeias Ethereum e Arbitrum, resultando em uma perda total de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a validação rigorosa da lógica de aprovação de tokens.
10. A carteira quente da exchange BingX foi invadida
Montante da perda: 44,7 milhões de dólares
Método de ataque: Vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente da exchange BingX foi invadida por hackers, envolvendo várias blockchains públicas como Ethereum, BNB Chain, Tron, entre outras. Apesar de a exchange ter rapidamente ativado os mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete o alto risco na gestão de carteiras quentes de exchanges centralizadas, impulsionando a indústria a explorar soluções de armazenamento de ativos mais seguras.
Em 2024, os eventos de ataques de segurança estão se tornando frequentes, lembrando-nos mais uma vez que o desenvolvimento da indústria de blockchain não pode existir sem garantias de segurança. Desde o vazamento de chaves privadas até falhas em contratos, desde a negligência na gestão interna até a atualização das táticas de ataque externas, cada evento traz lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes na indústria precisam continuar a investir em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e inovação tecnológica, possamos construir conjuntamente um ecossistema de blockchain mais seguro, proporcionando garantias mais confiáveis para usuários e investidores.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Em 2024, as perdas de eventos de segurança do Web3 chegaram a quase 2,5 bilhões de dólares, com a divulgação da chave privada como a principal causa.
As 10 principais incidentes de segurança no setor Web3 em 2024
Em 2024, a indústria Web3, enquanto inova e se desenvolve, também enfrenta desafios de segurança cada vez mais severos. De acordo com a monitorização da plataforma de dados, até o momento, as perdas totais no campo Web3 em 2024, devido a ataques de hackers, fraudes e o desaparecimento de projetos, alcançam 24,91 bilhões de dólares.
Esses eventos não apenas expuseram vulnerabilidades em aspectos técnicos, como a gestão de chaves privadas e contratos inteligentes, mas também destacaram os riscos potenciais relacionados à engenharia social e à gestão interna. Este artigo revisará os dez principais eventos de segurança do Web3 em 2024, para referência da indústria, a fim de lidar melhor com as ameaças de segurança futuras.
1. Evento DMM Bitcoin
Montante da perda: 304 milhões de dólares Método de Ataque: Vazamento de Chave Privada
No dia 31 de maio de 2024, a conhecida exchange de criptomoedas japonesa DMM Bitcoin sofreu um ataque significativo. Os hackers utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos roubados em mais de 10 endereços diferentes. Este incidente expôs falhas graves na gestão de chaves privadas e na segurança em múltiplas camadas da exchange.
Apesar de as bolsas tentarem rastrear os hackers através da monitorização em cadeia e do congelamento de fundos, o Bitcoin roubado foi disperso e transferido utilizando ferramentas de mistura, aumentando significativamente a dificuldade de rastreamento. No dia 24 de dezembro, a polícia japonesa confirmou que o incidente foi realizado pelo grupo de hackers norte-coreano Lazarus Group.
2. Incidente de ataque PlayDapp
Montante da perda: 290 milhões de dólares Método de ataque: Vazamento de chave privada
Em 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe. Hackers, ao roubar chaves privadas, cunharam 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares. Como a equipe do projeto falhou nas negociações com os hackers, estes cunharam posteriormente 15,9 bilhões de tokens PLA, avaliados em 253,9 milhões de dólares. Parte dos tokens, após entrar nas plataformas de negociação, levou a PlayDapp a suspender o contrato PLA e migrar para o contrato de token PDA. Este incidente destaca as deficiências dos projetos de blockchain na proteção de chaves privadas e na gestão de emergências.
3. Carteira multi-assinatura WazirX atacada
Montante da perda: 235 milhões de dólares Método de ataque: Ataques de rede e phishing
No dia 18 de julho de 2024, a Safe Wallet de múltiplas assinaturas da WazirX, a maior exchange de criptomoedas da Índia, foi alvo de um ataque preciso. Os atacantes usaram engenharia social para induzir os signatários da múltipla assinatura a assinar uma transação de atualização de contrato, e em seguida utilizaram os direitos do contrato atualizado para transferir todos os ativos da carteira. Este caso revela os riscos potenciais da configuração de permissões e da transparência das operações em carteiras de múltiplas assinaturas, e também provoca uma reflexão aprofundada na indústria sobre os mecanismos internos de controle de riscos e segurança dos projetos.
4. Evento de emissão adicional de tokens da Gala Games
Montante da perda: 216 milhões de dólares Método de ataque: Vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato do token e cunharam 5 bilhões de tokens GALA de uma só vez. Em seguida, os hackers trocaram esses tokens em lotes por ETH, causando uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers e recuperou as perdas por meio de meios legais.
5. Carteira pessoal do cofundador da Ripple roubada
Valor da perda: 112 milhões de dólares Método de ataque: Vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple, Chris Larsen, foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras foram alvo do ataque devido à falta de proteção em dupla que um dispositivo de hardware poderia fornecer. Após o incidente, uma plataforma de negociação conseguiu congelar 4,2 milhões de dólares em XRP e ajudou Larsen a rastrear os ativos roubados, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Ataque de penetração interna Munchables
Montante da perda: 6250 dólares americanos Método de ataque: Ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 Munchables, baseada em Blast, sofreu um raro ataque de infiltração interna. Os atacantes eram hackers norte-coreanos disfarçados de desenvolvedores de blockchain, que conseguiram, após uma longa infiltração, obter o código-fonte e chaves sensíveis. Apesar das enormes perdas, sob pressão da comunidade e da equipe, os hackers acabaram devolvendo todos os fundos roubados. Este incidente revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvimento por terceiros.
7. Incidente de vazamento de chave privada da BtcTurk
Montante da perda: 55 milhões de dólares Método de ataque: Vazamento de chave privada
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia, BtcTurk, sofreu um ataque de vazamento de chave privada, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma plataforma de negociação, 5,3 milhões de dólares do fundo roubado foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aprofundou as preocupações do mercado sobre a gestão de chaves privadas em exchanges centralizadas.
8. O wallet multi-assinatura da Radiant Capital foi invadido
Montante da perda: 53 milhões de dólares Método de ataque: Vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multi-assinada da Radiant Capital foi invadida por hackers. Devido ao uso de um modelo de verificação de assinatura de 3/11 de baixo limiar, os hackers conseguiram iniciar uma assinatura off-chain ao controlar as chaves privadas de 3 signatários, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão da indústria sobre o design e os mecanismos de governança das carteiras multi-assinadas.
É importante notar que, antes deste ataque, a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato, com mais de 1900 ETH roubados. Isso reflete que o nível de atenção à segurança por parte dos projetos Web3 ainda precisa ser melhorado.
9. Ataque de vulnerabilidade de contrato da Hedgey Finance
Montante da perda: 44,7 milhões de dólares Método de ataque: Vulnerabilidade do contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque direcionado a vários contratos em cadeia. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas duas cadeias Ethereum e Arbitrum, resultando em uma perda total de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a validação rigorosa da lógica de aprovação de tokens.
10. A carteira quente da exchange BingX foi invadida
Montante da perda: 44,7 milhões de dólares Método de ataque: Vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente da exchange BingX foi invadida por hackers, envolvendo várias blockchains públicas como Ethereum, BNB Chain, Tron, entre outras. Apesar de a exchange ter rapidamente ativado os mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete o alto risco na gestão de carteiras quentes de exchanges centralizadas, impulsionando a indústria a explorar soluções de armazenamento de ativos mais seguras.
Em 2024, os eventos de ataques de segurança estão se tornando frequentes, lembrando-nos mais uma vez que o desenvolvimento da indústria de blockchain não pode existir sem garantias de segurança. Desde o vazamento de chaves privadas até falhas em contratos, desde a negligência na gestão interna até a atualização das táticas de ataque externas, cada evento traz lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes na indústria precisam continuar a investir em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e inovação tecnológica, possamos construir conjuntamente um ecossistema de blockchain mais seguro, proporcionando garantias mais confiáveis para usuários e investidores.