Revisión de eventos de seguridad Web3 de 2024: diez casos que advierten sobre los riesgos de la industria
Con la continua innovación de la tecnología blockchain y la expansión del ecosistema, el campo de Web3 enfrenta desafíos de seguridad sin precedentes en 2024. Según la monitorización de plataformas de datos, para finales de año, las pérdidas totales en el campo de Web3 debido a ataques de hackers, fraudes de phishing y la fuga de proyectos alcanzarán los 2,491 millones de dólares. Estos eventos no solo han expuesto vulnerabilidades a nivel técnico, como la mala gestión de claves privadas y defectos en los contratos inteligentes, sino que también han destacado la gravedad de los ataques de ingeniería social y los riesgos de gestión interna.
Este artículo revisará los diez eventos de seguridad más influyentes en el ámbito de Web3 en 2024, con el objetivo de ayudar a la industria a aprender lecciones y proporcionar referencias para la protección de seguridad futura.
1. Evento DMM Bitcoin
Monto de la pérdida: 304 millones de dólares
Método de ataque: filtración de claves privadas
El 31 de mayo de 2024, el conocido intercambio de criptomonedas japonés DMM Bitcoin sufrió una grave violación de seguridad. Los atacantes utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, dispersando rápidamente los fondos robados en más de diez direcciones diferentes. Este incidente expuso graves deficiencias en la gestión de claves privadas y en la protección de seguridad en múltiples capas del intercambio. A pesar de que el intercambio tomó posteriormente medidas como la monitorización en cadena y la congelación de fondos, el trabajo de seguimiento enfrenta grandes desafíos debido a que los hackers utilizaron herramientas de mezcla de monedas para lavar los fondos.
A finales de año, la policía japonesa confirmó que el ataque fue llevado a cabo por un conocido grupo de hackers.
2. PlayDapp enfrenta la emisión excesiva de tokens
Cantidad de pérdida: 290 millones de dólares
Método de ataque: filtración de clave privada
El 9 de febrero de 2024, el proyecto PlayDapp sufrió un duro golpe. Los hackers, al robar la clave privada, lograron acuñar 2 mil millones de tokens PLA, con un valor inicial de 36.5 millones de dólares. Debido a la falla en las negociaciones entre el equipo del proyecto y los hackers, estos últimos acuñaron en un corto período de tiempo otros 15.9 mil millones de tokens PLA, con un valor de 253.9 millones de dólares. Parte de los tokens robados fluyeron hacia los intercambios, lo que llevó a PlayDapp a suspender el contrato PLA y migrar a un nuevo contrato de tokens PDA. Este evento pone de manifiesto las deficiencias en la protección de claves privadas y los mecanismos de respuesta de emergencia en los proyectos de blockchain.
3. La billetera de múltiples firmas de WazirX fue atacada
Cantidad de pérdida: 235 millones de dólares
Método de ataque: ataques en la red y phishing
El 18 de julio de 2024, el monedero multi-firma Safe Wallet del mayor intercambio de criptomonedas de India, WazirX, fue objeto de un ataque preciso. Los atacantes indujeron a los firmantes del multi-firma a aprobar una transacción de actualización de contrato mediante técnicas de ingeniería social, y luego utilizaron los permisos del contrato actualizado para vaciar los activos del monedero. Este caso expone los riesgos potenciales en la gestión de permisos y la transparencia operativa de los monederos multi-firma, lo que ha llevado a una profunda reflexión en la industria sobre los mecanismos de control de riesgos internos del proyecto.
4. Vulnerabilidad en la emisión adicional de tokens de Gala Games
Monto de la pérdida: 216 millones de dólares
Método de ataque: vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. El atacante llamó a la función mint en el contrato del token y acuñó 5 mil millones de tokens GALA de una vez. Posteriormente, el hacker intercambió estos nuevos tokens por ETH en lotes, causando una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó de inmediato la función de lista negra para bloquear algunas cuentas de los hackers y recuperó parte de las pérdidas a través de vías legales.
5. La billetera personal de un cofundador de Ripple fue robada
Monto de la pérdida: 112 millones de dólares
Método de ataque: filtración de clave privada
El 31 de enero de 2024, cuatro billeteras personales del cofundador de Ripple fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en XRP. Estas billeteras fueron atacadas aparentemente debido a la falta de protección de doble capa a nivel de hardware. Después del incidente, un intercambio logró congelar XRP por un valor de 4.2 millones de dólares y ayudó a rastrear los activos robados, pero la mayor parte de los fondos ya habían sido lavados a través de intercambios descentralizados y servicios de mezcla.
6. Munchables enfrenta infiltración interna
Cantidad de pérdida: 62.5 millones de dólares
Método de ataque: ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 Munchables, basada en Blast, sufrió un raro ataque de infiltración interna. Los atacantes se hicieron pasar por desarrolladores de blockchain y, tras una larga infiltración, obtuvieron el código fuente y las claves sensibles. A pesar de las enormes pérdidas, bajo la presión de la comunidad y del equipo, los hackers finalmente devolvieron todos los fondos robados. Este evento revela la importancia de la seguridad en la cadena de suministro, especialmente para los proyectos de blockchain que dependen de desarrolladores de terceros.
7. Incidente de filtración de claves privadas de BtcTurk
Monto de la pérdida: 55 millones de dólares
Método de ataque: filtración de claves privadas
El 22 de junio de 2024, el mayor intercambio de criptomonedas de Turquía, BtcTurk, sufrió un ataque de filtración de claves privadas, resultando en la pérdida de más de 55 millones de dólares en activos criptográficos. Con la ayuda de un equipo de intercambio, se congelaron con éxito 5,3 millones de dólares de fondos robados, pero otros activos aún no han sido recuperados. Este evento ha intensificado las preocupaciones del mercado sobre la capacidad de gestión de claves privadas por parte de los intercambios centralizados.
8. La billetera multi-firma de Radiant Capital fue hackeada
Monto de la pérdida: 53 millones de dólares
Método de ataque: filtración de claves privadas
El 17 de octubre de 2024, la billetera multisig de Radiant Capital fue hackeada. Debido a la adopción de un modo de verificación de firma 3/11 con un umbral más bajo, los hackers lograron obtener las claves privadas de 3 firmantes y realizaron firmas fuera de la cadena, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque provocó una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multisig.
Es importante señalar que Radiant Capital ya había perdido 4.5 millones de dólares debido a una vulnerabilidad en el contrato antes de este ataque, con más de 1900 ETH robados. Esto enfatiza nuevamente la importancia de que los proyectos de Web3 aumenten la conciencia sobre la seguridad.
9. La vulnerabilidad del contrato de Hedgey Finance fue explotada
Monto de la pérdida: 44.7 millones de dólares
Método de ataque: vulnerabilidad en el contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a múltiples contratos en cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns y extrajeron con éxito tokens en las cadenas de Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este incidente destaca la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.
10. La billetera caliente de BingX fue hackeada
Monto de la pérdida: 44.7 millones de dólares
Método de ataque: filtración de clave privada
El 19 de septiembre de 2024, el monedero caliente de un intercambio fue hackeado, afectando a múltiples cadenas de bloques como Ethereum, BNB Chain y Tron. Aunque el intercambio activó rápidamente mecanismos de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por un valor de 44.7 millones de dólares. Este ataque expone nuevamente la alta riesgo de la gestión de monederos calientes en intercambios centralizados, impulsando a la industria a explorar soluciones de almacenamiento de activos más seguras.
Los frecuentes incidentes de seguridad en 2024 nos recuerdan una vez más que el desarrollo saludable de la industria blockchain depende de una sólida garantía de seguridad. Desde la filtración de claves privadas hasta las vulnerabilidades de contratos, desde las omisiones en la gestión interna hasta la actualización de las técnicas de ataque externas, cada incidente ha hecho sonar la alarma en la industria. Para hacer frente a las amenazas de ataque cada vez más complejas, la industria necesita seguir aumentando las inversiones en investigación y desarrollo tecnológico, regulaciones de gestión y prevención de riesgos. En el futuro, esperamos que a través de la colaboración en la industria y la innovación tecnológica, podamos construir conjuntamente un ecosistema blockchain más seguro y confiable, proporcionando una protección más sólida a los usuarios e inversores.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
18 me gusta
Recompensa
18
9
Compartir
Comentar
0/400
retroactive_airdrop
· 07-19 19:47
He oído que los tontos están perdiendo mucho, es difícil de soportar.
Ver originalesResponder0
Ramen_Until_Rich
· 07-19 07:26
¡Eh! Las vulnerabilidades de seguridad existen cada año, los tontos son tomados por tontos una y otra vez.
Ver originalesResponder0
SmartContractPhobia
· 07-18 21:24
Esto es realmente aterrador, ya ni siquiera me atrevo a tocar los contratos.
Ver originalesResponder0
0xInsomnia
· 07-17 17:13
Qué triste, otra vez es la historia de lágrimas de tontos.
Ver originalesResponder0
not_your_keys
· 07-16 21:06
La industria se está hundiendo.
Ver originalesResponder0
SchroedingersFrontrun
· 07-16 21:01
Ay, todavía están tomando a la gente por tonta. Hazte una persona.
Ver originalesResponder0
AirdropworkerZhang
· 07-16 21:00
25 mil millones de dólares son suficientes para que yo viva toda mi vida.
Ver originalesResponder0
AirdropDreamBreaker
· 07-16 20:58
Primer fila observando como toman a la gente por tonta
Revisión de eventos de seguridad de Web3 en 2024: los diez principales casos con pérdidas cercanas a 2.5 mil millones de dólares
Revisión de eventos de seguridad Web3 de 2024: diez casos que advierten sobre los riesgos de la industria
Con la continua innovación de la tecnología blockchain y la expansión del ecosistema, el campo de Web3 enfrenta desafíos de seguridad sin precedentes en 2024. Según la monitorización de plataformas de datos, para finales de año, las pérdidas totales en el campo de Web3 debido a ataques de hackers, fraudes de phishing y la fuga de proyectos alcanzarán los 2,491 millones de dólares. Estos eventos no solo han expuesto vulnerabilidades a nivel técnico, como la mala gestión de claves privadas y defectos en los contratos inteligentes, sino que también han destacado la gravedad de los ataques de ingeniería social y los riesgos de gestión interna.
Este artículo revisará los diez eventos de seguridad más influyentes en el ámbito de Web3 en 2024, con el objetivo de ayudar a la industria a aprender lecciones y proporcionar referencias para la protección de seguridad futura.
1. Evento DMM Bitcoin
Monto de la pérdida: 304 millones de dólares Método de ataque: filtración de claves privadas
El 31 de mayo de 2024, el conocido intercambio de criptomonedas japonés DMM Bitcoin sufrió una grave violación de seguridad. Los atacantes utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, dispersando rápidamente los fondos robados en más de diez direcciones diferentes. Este incidente expuso graves deficiencias en la gestión de claves privadas y en la protección de seguridad en múltiples capas del intercambio. A pesar de que el intercambio tomó posteriormente medidas como la monitorización en cadena y la congelación de fondos, el trabajo de seguimiento enfrenta grandes desafíos debido a que los hackers utilizaron herramientas de mezcla de monedas para lavar los fondos.
A finales de año, la policía japonesa confirmó que el ataque fue llevado a cabo por un conocido grupo de hackers.
2. PlayDapp enfrenta la emisión excesiva de tokens
Cantidad de pérdida: 290 millones de dólares Método de ataque: filtración de clave privada
El 9 de febrero de 2024, el proyecto PlayDapp sufrió un duro golpe. Los hackers, al robar la clave privada, lograron acuñar 2 mil millones de tokens PLA, con un valor inicial de 36.5 millones de dólares. Debido a la falla en las negociaciones entre el equipo del proyecto y los hackers, estos últimos acuñaron en un corto período de tiempo otros 15.9 mil millones de tokens PLA, con un valor de 253.9 millones de dólares. Parte de los tokens robados fluyeron hacia los intercambios, lo que llevó a PlayDapp a suspender el contrato PLA y migrar a un nuevo contrato de tokens PDA. Este evento pone de manifiesto las deficiencias en la protección de claves privadas y los mecanismos de respuesta de emergencia en los proyectos de blockchain.
3. La billetera de múltiples firmas de WazirX fue atacada
Cantidad de pérdida: 235 millones de dólares Método de ataque: ataques en la red y phishing
El 18 de julio de 2024, el monedero multi-firma Safe Wallet del mayor intercambio de criptomonedas de India, WazirX, fue objeto de un ataque preciso. Los atacantes indujeron a los firmantes del multi-firma a aprobar una transacción de actualización de contrato mediante técnicas de ingeniería social, y luego utilizaron los permisos del contrato actualizado para vaciar los activos del monedero. Este caso expone los riesgos potenciales en la gestión de permisos y la transparencia operativa de los monederos multi-firma, lo que ha llevado a una profunda reflexión en la industria sobre los mecanismos de control de riesgos internos del proyecto.
4. Vulnerabilidad en la emisión adicional de tokens de Gala Games
Monto de la pérdida: 216 millones de dólares Método de ataque: vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. El atacante llamó a la función mint en el contrato del token y acuñó 5 mil millones de tokens GALA de una vez. Posteriormente, el hacker intercambió estos nuevos tokens por ETH en lotes, causando una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó de inmediato la función de lista negra para bloquear algunas cuentas de los hackers y recuperó parte de las pérdidas a través de vías legales.
5. La billetera personal de un cofundador de Ripple fue robada
Monto de la pérdida: 112 millones de dólares Método de ataque: filtración de clave privada
El 31 de enero de 2024, cuatro billeteras personales del cofundador de Ripple fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en XRP. Estas billeteras fueron atacadas aparentemente debido a la falta de protección de doble capa a nivel de hardware. Después del incidente, un intercambio logró congelar XRP por un valor de 4.2 millones de dólares y ayudó a rastrear los activos robados, pero la mayor parte de los fondos ya habían sido lavados a través de intercambios descentralizados y servicios de mezcla.
6. Munchables enfrenta infiltración interna
Cantidad de pérdida: 62.5 millones de dólares Método de ataque: ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 Munchables, basada en Blast, sufrió un raro ataque de infiltración interna. Los atacantes se hicieron pasar por desarrolladores de blockchain y, tras una larga infiltración, obtuvieron el código fuente y las claves sensibles. A pesar de las enormes pérdidas, bajo la presión de la comunidad y del equipo, los hackers finalmente devolvieron todos los fondos robados. Este evento revela la importancia de la seguridad en la cadena de suministro, especialmente para los proyectos de blockchain que dependen de desarrolladores de terceros.
7. Incidente de filtración de claves privadas de BtcTurk
Monto de la pérdida: 55 millones de dólares Método de ataque: filtración de claves privadas
El 22 de junio de 2024, el mayor intercambio de criptomonedas de Turquía, BtcTurk, sufrió un ataque de filtración de claves privadas, resultando en la pérdida de más de 55 millones de dólares en activos criptográficos. Con la ayuda de un equipo de intercambio, se congelaron con éxito 5,3 millones de dólares de fondos robados, pero otros activos aún no han sido recuperados. Este evento ha intensificado las preocupaciones del mercado sobre la capacidad de gestión de claves privadas por parte de los intercambios centralizados.
8. La billetera multi-firma de Radiant Capital fue hackeada
Monto de la pérdida: 53 millones de dólares Método de ataque: filtración de claves privadas
El 17 de octubre de 2024, la billetera multisig de Radiant Capital fue hackeada. Debido a la adopción de un modo de verificación de firma 3/11 con un umbral más bajo, los hackers lograron obtener las claves privadas de 3 firmantes y realizaron firmas fuera de la cadena, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque provocó una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multisig.
Es importante señalar que Radiant Capital ya había perdido 4.5 millones de dólares debido a una vulnerabilidad en el contrato antes de este ataque, con más de 1900 ETH robados. Esto enfatiza nuevamente la importancia de que los proyectos de Web3 aumenten la conciencia sobre la seguridad.
9. La vulnerabilidad del contrato de Hedgey Finance fue explotada
Monto de la pérdida: 44.7 millones de dólares Método de ataque: vulnerabilidad en el contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a múltiples contratos en cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns y extrajeron con éxito tokens en las cadenas de Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este incidente destaca la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.
10. La billetera caliente de BingX fue hackeada
Monto de la pérdida: 44.7 millones de dólares Método de ataque: filtración de clave privada
El 19 de septiembre de 2024, el monedero caliente de un intercambio fue hackeado, afectando a múltiples cadenas de bloques como Ethereum, BNB Chain y Tron. Aunque el intercambio activó rápidamente mecanismos de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por un valor de 44.7 millones de dólares. Este ataque expone nuevamente la alta riesgo de la gestión de monederos calientes en intercambios centralizados, impulsando a la industria a explorar soluciones de almacenamiento de activos más seguras.
Los frecuentes incidentes de seguridad en 2024 nos recuerdan una vez más que el desarrollo saludable de la industria blockchain depende de una sólida garantía de seguridad. Desde la filtración de claves privadas hasta las vulnerabilidades de contratos, desde las omisiones en la gestión interna hasta la actualización de las técnicas de ataque externas, cada incidente ha hecho sonar la alarma en la industria. Para hacer frente a las amenazas de ataque cada vez más complejas, la industria necesita seguir aumentando las inversiones en investigación y desarrollo tecnológico, regulaciones de gestión y prevención de riesgos. En el futuro, esperamos que a través de la colaboración en la industria y la innovación tecnológica, podamos construir conjuntamente un ecosistema blockchain más seguro y confiable, proporcionando una protección más sólida a los usuarios e inversores.