Revisão dos eventos de segurança Web3 de 2024: Dez casos que alertam para os riscos da indústria
Com a contínua inovação da tecnologia blockchain e a expansão do ecossistema, o setor Web3 enfrenta, em 2024, desafios de segurança sem precedentes. De acordo com plataformas de dados, até o final do ano, as perdas totais no setor Web3 devido a ataques de hackers, fraudes de phishing e o desaparecimento de equipes de projeto totalizam 2,491 bilhões de dólares. Esses eventos não apenas expuseram vulnerabilidades a nível técnico, como gestão inadequada de chaves privadas e falhas em contratos inteligentes, mas também destacaram a gravidade dos ataques de engenharia social e dos riscos de gestão interna.
Este artigo revisará os dez eventos de segurança mais impactantes no setor Web3 em 2024, com o objetivo de ajudar a indústria a aprender com as lições e a fornecer referências para futuras proteções de segurança.
1. Evento DMM Bitcoin
Montante da perda: 304 milhões de dólares
Método de ataque: vazamento da chave privada
No dia 31 de maio de 2024, a famosa exchange de criptomoedas japonesa DMM Bitcoin sofreu uma grave violação de segurança. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin e rapidamente dispersaram os fundos roubados em mais de dez endereços diferentes. Este incidente expôs sérias falhas na gestão de chaves privadas e nas múltiplas camadas de proteção de segurança da exchange. Embora a exchange tenha tomado medidas como monitoramento em cadeia e congelamento de fundos, o rastreamento enfrenta enormes desafios devido ao uso de ferramentas de mistura de moedas pelos hackers.
No final do ano, a polícia japonesa confirmou que o ataque foi realizado por um conhecido grupo de hackers.
2. PlayDapp enfrenta a superemissão de tokens
Montante da perda: 290 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 9 de fevereiro de 2024, o projeto PlayDapp sofreu um grande golpe. Hackers conseguiram cunhar 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares, ao roubar a chave privada. Após uma negociação falha com os hackers, estes cunharam rapidamente mais 15,9 bilhões de tokens PLA, no valor de 253,9 milhões de dólares. Parte dos tokens roubados vazaram para as exchanges, levando a PlayDapp a suspender o contrato PLA e migrar para um novo contrato de token PDA. Este evento destaca as deficiências dos projetos de blockchain na proteção de chaves privadas e nos mecanismos de resposta de emergência.
3. Carteira multi-assinatura da WazirX atacada
Montante da perda: 235 milhões de dólares
Métodos de ataque: ataques de rede e phishing
No dia 18 de julho de 2024, a Safe Wallet multi-assinatura da WazirX, a maior bolsa de criptomoedas da Índia, foi alvo de um ataque preciso. Os atacantes induziram os signatários da multi-assinatura a aprovar uma transação de atualização de contrato, utilizando engenharia social, e em seguida aproveitaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este caso expôs os riscos potenciais dos wallets multi-assinatura em relação à gestão de permissões e à transparência operacional, suscitando uma reflexão profunda na indústria sobre os mecanismos internos de controle de riscos dos projetos.
4. Vulnerabilidade na emissão adicional de tokens Gala Games
Montante da perda: 216 milhões de dólares
Método de ataque: vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint no contrato do token e cunharam 5 bilhões de tokens GALA de uma só vez. Em seguida, os hackers trocaram esses novos tokens em partes por ETH, resultando diretamente em uma perda de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de lista negra para bloquear algumas contas dos hackers e recuperou parte das perdas por meio de vias legais.
5. Carteira pessoal do cofundador da Ripple é roubada
Montante da perda: 112 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple foram hackeadas, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras foram alvo do ataque devido à falta de proteção em nível de hardware. Após o incidente, uma exchange conseguiu congelar 4,2 milhões de dólares em XRP e ajudou a rastrear os ativos roubados, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta infiltração interna
Valor da perda: 62,5 milhões de dólares
Método de ataque: ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes se disfarçaram de desenvolvedores de blockchain e, através de uma longa permanência, conseguiram obter o código-fonte e chaves sensíveis. Apesar de causar enormes perdas, sob a pressão da comunidade e da equipe, os hackers acabaram devolvendo todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. Evento de vazamento de chave privada da BtcTurk
Montante da perda: 55 milhões de dólares
Método de ataque: vazamento da chave privada
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia, BtcTurk, sofreu um ataque de vazamento de chave privada, resultando em uma perda de mais de 55 milhões de dólares em ativos criptográficos. Com a ajuda da equipe de uma exchange, 5,3 milhões de dólares em fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aprofundou as preocupações do mercado sobre a capacidade de gestão de chaves privadas das exchanges centralizadas.
8. A carteira multi-assinatura da Radiant Capital foi comprometida
Montante da perda: 53 milhões de dólares
Método de ataque: vazamento da chave privada
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido à adoção de um modelo de verificação de assinatura 3/11 com um limite mais baixo, os hackers, ao obterem as chaves privadas de 3 signatários, iniciaram uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque gerou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH sendo roubados. Isso enfatiza novamente a importância de as equipes de projetos Web3 aumentarem a conscientização sobre segurança.
9. A vulnerabilidade do contrato da Hedgey Finance foi explorada
Montante da perda: 44,7 milhões de dólares
Método de ataque: vulnerabilidade de contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque a vários contratos na blockchain. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas blockchains Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. A carteira quente do BingX foi invadida
Montante da perda: 44,7 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente de uma exchange foi invadida por hackers, envolvendo várias blockchains como Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente iniciado mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair com sucesso ativos no valor de 44,7 milhões de dólares. Este ataque expôs novamente o alto risco da gestão de carteiras quentes em exchanges centralizadas, impulsionando a indústria a explorar soluções de armazenamento de ativos mais seguras.
Os frequentes incidentes de segurança em 2024 lembram-nos mais uma vez que o desenvolvimento saudável da indústria de blockchain não pode prescindir de uma forte garantia de segurança. Desde o vazamento de chaves privadas até vulnerabilidades de contratos, desde falhas na gestão interna até a evolução das táticas de ataque externas, cada incidente soou o alarme para a indústria. Para enfrentar as ameaças de ataque cada vez mais complexas, o setor precisa continuar a aumentar os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro e confiável, proporcionando uma proteção mais sólida para usuários e investidores.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
18 gostos
Recompensa
18
9
Partilhar
Comentar
0/400
retroactive_airdrop
· 07-19 19:47
Ouvi dizer que os velhos idiotas estão todos a perder muito, é doloroso.
Ver originalResponder0
Ramen_Until_Rich
· 07-19 07:26
Eh, há falhas de segurança todos os anos, idiotas fazem as pessoas de parvas e continuam a fazer.
Ver originalResponder0
SmartContractPhobia
· 07-18 21:24
Isto é realmente assustador. Já nem me atrevo a tocar em contratos.
Ver originalResponder0
0xInsomnia
· 07-17 17:13
Tão trágico, é mais uma história de lágrimas de idiotas.
Ver originalResponder0
not_your_keys
· 07-16 21:06
A indústria tem um talento para a mediocridade.
Ver originalResponder0
SchroedingersFrontrun
· 07-16 21:01
Ai, ainda a fazer as pessoas de parvas. Seja uma pessoa.
Ver originalResponder0
AirdropworkerZhang
· 07-16 21:00
2,5 bilhões de dólares são suficientes para eu viver uma vida inteira.
Revisão de eventos de segurança Web3 em 2024: os dez principais casos com perdas próximas a 2,5 bilhões de dólares.
Revisão dos eventos de segurança Web3 de 2024: Dez casos que alertam para os riscos da indústria
Com a contínua inovação da tecnologia blockchain e a expansão do ecossistema, o setor Web3 enfrenta, em 2024, desafios de segurança sem precedentes. De acordo com plataformas de dados, até o final do ano, as perdas totais no setor Web3 devido a ataques de hackers, fraudes de phishing e o desaparecimento de equipes de projeto totalizam 2,491 bilhões de dólares. Esses eventos não apenas expuseram vulnerabilidades a nível técnico, como gestão inadequada de chaves privadas e falhas em contratos inteligentes, mas também destacaram a gravidade dos ataques de engenharia social e dos riscos de gestão interna.
Este artigo revisará os dez eventos de segurança mais impactantes no setor Web3 em 2024, com o objetivo de ajudar a indústria a aprender com as lições e a fornecer referências para futuras proteções de segurança.
1. Evento DMM Bitcoin
Montante da perda: 304 milhões de dólares Método de ataque: vazamento da chave privada
No dia 31 de maio de 2024, a famosa exchange de criptomoedas japonesa DMM Bitcoin sofreu uma grave violação de segurança. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin e rapidamente dispersaram os fundos roubados em mais de dez endereços diferentes. Este incidente expôs sérias falhas na gestão de chaves privadas e nas múltiplas camadas de proteção de segurança da exchange. Embora a exchange tenha tomado medidas como monitoramento em cadeia e congelamento de fundos, o rastreamento enfrenta enormes desafios devido ao uso de ferramentas de mistura de moedas pelos hackers.
No final do ano, a polícia japonesa confirmou que o ataque foi realizado por um conhecido grupo de hackers.
2. PlayDapp enfrenta a superemissão de tokens
Montante da perda: 290 milhões de dólares Método de ataque: vazamento de chave privada
No dia 9 de fevereiro de 2024, o projeto PlayDapp sofreu um grande golpe. Hackers conseguiram cunhar 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares, ao roubar a chave privada. Após uma negociação falha com os hackers, estes cunharam rapidamente mais 15,9 bilhões de tokens PLA, no valor de 253,9 milhões de dólares. Parte dos tokens roubados vazaram para as exchanges, levando a PlayDapp a suspender o contrato PLA e migrar para um novo contrato de token PDA. Este evento destaca as deficiências dos projetos de blockchain na proteção de chaves privadas e nos mecanismos de resposta de emergência.
3. Carteira multi-assinatura da WazirX atacada
Montante da perda: 235 milhões de dólares Métodos de ataque: ataques de rede e phishing
No dia 18 de julho de 2024, a Safe Wallet multi-assinatura da WazirX, a maior bolsa de criptomoedas da Índia, foi alvo de um ataque preciso. Os atacantes induziram os signatários da multi-assinatura a aprovar uma transação de atualização de contrato, utilizando engenharia social, e em seguida aproveitaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este caso expôs os riscos potenciais dos wallets multi-assinatura em relação à gestão de permissões e à transparência operacional, suscitando uma reflexão profunda na indústria sobre os mecanismos internos de controle de riscos dos projetos.
4. Vulnerabilidade na emissão adicional de tokens Gala Games
Montante da perda: 216 milhões de dólares Método de ataque: vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint no contrato do token e cunharam 5 bilhões de tokens GALA de uma só vez. Em seguida, os hackers trocaram esses novos tokens em partes por ETH, resultando diretamente em uma perda de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de lista negra para bloquear algumas contas dos hackers e recuperou parte das perdas por meio de vias legais.
5. Carteira pessoal do cofundador da Ripple é roubada
Montante da perda: 112 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple foram hackeadas, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras foram alvo do ataque devido à falta de proteção em nível de hardware. Após o incidente, uma exchange conseguiu congelar 4,2 milhões de dólares em XRP e ajudou a rastrear os ativos roubados, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta infiltração interna
Valor da perda: 62,5 milhões de dólares Método de ataque: ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes se disfarçaram de desenvolvedores de blockchain e, através de uma longa permanência, conseguiram obter o código-fonte e chaves sensíveis. Apesar de causar enormes perdas, sob a pressão da comunidade e da equipe, os hackers acabaram devolvendo todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. Evento de vazamento de chave privada da BtcTurk
Montante da perda: 55 milhões de dólares Método de ataque: vazamento da chave privada
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia, BtcTurk, sofreu um ataque de vazamento de chave privada, resultando em uma perda de mais de 55 milhões de dólares em ativos criptográficos. Com a ajuda da equipe de uma exchange, 5,3 milhões de dólares em fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aprofundou as preocupações do mercado sobre a capacidade de gestão de chaves privadas das exchanges centralizadas.
8. A carteira multi-assinatura da Radiant Capital foi comprometida
Montante da perda: 53 milhões de dólares Método de ataque: vazamento da chave privada
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido à adoção de um modelo de verificação de assinatura 3/11 com um limite mais baixo, os hackers, ao obterem as chaves privadas de 3 signatários, iniciaram uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque gerou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH sendo roubados. Isso enfatiza novamente a importância de as equipes de projetos Web3 aumentarem a conscientização sobre segurança.
9. A vulnerabilidade do contrato da Hedgey Finance foi explorada
Montante da perda: 44,7 milhões de dólares Método de ataque: vulnerabilidade de contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque a vários contratos na blockchain. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas blockchains Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. A carteira quente do BingX foi invadida
Montante da perda: 44,7 milhões de dólares Método de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente de uma exchange foi invadida por hackers, envolvendo várias blockchains como Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente iniciado mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair com sucesso ativos no valor de 44,7 milhões de dólares. Este ataque expôs novamente o alto risco da gestão de carteiras quentes em exchanges centralizadas, impulsionando a indústria a explorar soluções de armazenamento de ativos mais seguras.
Os frequentes incidentes de segurança em 2024 lembram-nos mais uma vez que o desenvolvimento saudável da indústria de blockchain não pode prescindir de uma forte garantia de segurança. Desde o vazamento de chaves privadas até vulnerabilidades de contratos, desde falhas na gestão interna até a evolução das táticas de ataque externas, cada incidente soou o alarme para a indústria. Para enfrentar as ameaças de ataque cada vez mais complexas, o setor precisa continuar a aumentar os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro e confiável, proporcionando uma proteção mais sólida para usuários e investidores.