Revisão dos principais eventos de segurança no campo do Web3 em 2024
Em 2024, a indústria de blockchain, enquanto inova em tecnologia e expande ecossistemas, também enfrenta desafios de segurança cada vez mais severos. De acordo com dados de uma plataforma de monitoramento de segurança, até o final do ano, as perdas totais no campo do Web3 devido a ataques de hackers, fraudes de phishing e desaparecimento de projetos atingiram 24,91 bilhões de dólares.
Estes eventos não apenas expuseram deficiências técnicas na gestão de chaves privadas, contratos inteligentes, entre outros, mas também destacaram os riscos potenciais da engenharia social e da gestão interna. Este artigo revisará os dez principais eventos de segurança do Web3 em 2024, para que a indústria possa aprender com os erros e lidar melhor com as ameaças de segurança futuras.
1. Uma importante troca japonesa sofreu um grande ataque
Valor da perda: 304 milhões de dólares
Método de ataque: vazamento da chave privada
No dia 31 de maio de 2024, uma conhecida exchange de criptomoedas japonesa sofreu um ataque histórico. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos roubados em vários endereços diferentes. Este incidente expôs as sérias deficiências da exchange na gestão de chaves privadas e na proteção de segurança em múltiplas camadas. Embora a exchange tenha tentado rastrear os hackers por meio de monitoramento on-chain e congelamento de fundos, o Bitcoin roubado foi disperso e transferido, utilizando ferramentas de mistura, o que trouxe enormes desafios para o trabalho de rastreamento.
No final do ano, a polícia local concluiu que o incidente foi causado por um determinado grupo de hackers internacionais.
2. PlayDapp sofreu perdas significativas
Montante da perda: 290 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe, com hackers roubando chaves privadas para cunhar 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares. Como as negociações entre a equipe do projeto e os hackers falharam, os hackers cunharam rapidamente mais 15,9 bilhões de tokens PLA, no valor de 253,9 milhões de dólares. Após parte desses tokens entrar nas exchanges, a PlayDapp foi forçada a suspender o contrato PLA e migrar para o contrato de token PDA. Este incidente destacou as deficiências dos projetos de blockchain na proteção de chaves privadas e na gestão de emergências.
3. A maior exchange de criptomoedas da Índia foi atacada
Valor da perda: 235 milhões de dólares
Métodos de ataque: ataques de rede e phishing
No dia 18 de julho de 2024, a carteira multi-assinatura da maior exchange de criptomoedas da Índia foi alvo de um ataque preciso de hackers. Os atacantes induziram os signatários da multi-assinatura a assinar uma transação de atualização de contrato através de engenharia social, e em seguida, utilizaram os poderes do contrato atualizado para transferir todos os ativos da carteira. Este caso destaca os riscos potenciais das carteiras multi-assinatura em relação à gestão da configuração de permissões e à transparência das operações, além de provocar uma reflexão profunda na indústria sobre os mecanismos de controle de risco e segurança internos dos projetos.
4. Gala Games遭遇代币增发攻击
Montante da perda: 216 milhões de dólares
Método de ataque: Vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi hackeado, e o atacante chamou a função mint do contrato de token, cunhando 5 bilhões de tokens GALA de uma só vez. Em seguida, o hacker trocou os tokens emitidos em lotes por ETH, causando diretamente uma perda de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de lista negra para bloquear algumas contas do hacker e recuperou parte das perdas através de vias judiciais.
5. O wallet pessoal do cofundador da Ripple foi atacado
Montante da perda: 112 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple, Chris Larsen, foram hackeadas, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras foram alvo do ataque devido à falta de proteção de dupla autenticação com dispositivos de hardware. Após o incidente, uma exchange conseguiu congelar 4,2 milhões de dólares em XRP e ajudou a rastrear os ativos roubados, mas a maior parte dos fundos já foi lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta infiltração interna
Valor da perda: 62,5 milhões de dólares
Método de ataque: ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 Munchables, baseada em Blast, sofreu um raro ataque de infiltração interna. O atacante era um hacker disfarçado de desenvolvedor de blockchain, que obteve o código fonte e chaves sensíveis através de uma longa infiltração. Apesar de o ataque ter causado enormes perdas, devido à pressão da comunidade e da equipe, o hacker acabou devolvendo todos os fundos roubados. Este evento revela a importância da segurança na cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. Grande exchange da Turquia sofre vazamento de chave privada
Quantia de perda: 55 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia sofreu um ataque de vazamento de chave privada, resultando em perdas de mais de 55 milhões de dólares em ativos criptográficos. Com a ajuda da equipe de uma determinada exchange, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aumentou as preocupações do mercado sobre a gestão de chaves privadas em exchanges centralizadas.
8. O wallet multi-assinatura da Radiant Capital foi invadido
Montante da perda: 53 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multiassinada da Radiant Capital foi invadida por hackers. Devido ao seu uso de um modelo de verificação de assinatura 3/11 de baixo limite, os hackers conseguiram obter as chaves privadas de 3 signatários para iniciar uma assinatura fora da cadeia, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multiassinadas.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH sendo roubados. Isso mais uma vez demonstra que as equipes de projetos Web3 ainda precisam aumentar seu foco na segurança.
9. Hedgey Finance contratos multichain atacados
Montante da perda: 44,7 milhões de dólares
Método de ataque: vulnerabilidades de contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque a vários contratos em cadeia. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas redes Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este incidente destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. A carteira quente de uma exchange foi invadida
Montante da perda: 44,7 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, uma exchange teve sua carteira quente invadida por hackers, envolvendo várias blockchains, incluindo Ethereum, BNB Chain, Tron, entre outras. Apesar de a exchange ter ativado rapidamente os mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete o alto risco da gestão de carteiras quentes em exchanges centralizadas e impulsiona ainda mais a indústria a explorar soluções de armazenamento de ativos mais seguras.
Conclusão
Os incidentes de segurança em 2024 estão a aumentar, lembrando-nos mais uma vez que o desenvolvimento da indústria de blockchain não pode prescindir de uma proteção segura. Desde o vazamento de chaves privadas até falhas em contratos, desde falhas na gestão interna até a atualização de métodos de ataque externos, cada incidente trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a investir em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro, proporcionando garantias mais confiáveis para usuários e investidores.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
11 Curtidas
Recompensa
11
6
Repostar
Compartilhar
Comentário
0/400
NoodlesOrTokens
· 42m atrás
Mais uma vez, é uma corrida contra a morte.
Ver originalResponder0
Ramen_Until_Rich
· 5h atrás
25 bilhões de dólares? fazer as pessoas de parvas é uma palavra.
Ver originalResponder0
EntryPositionAnalyst
· 17h atrás
Como é que se guarda esta carteira? É um pouco absurdo.
Ver originalResponder0
BoredWatcher
· 17h atrás
Será que vem aí mais um ano de trabalho em vão?
Ver originalResponder0
ShadowStaker
· 17h atrás
hmm... a mesma velha história - mais um ano de exchanges centralizadas provando que são apenas potes de mel com uma interface bonita. a resiliência da rede não significa nada quando suas chaves privadas são manipuladas por um estagiário privado de sono, para ser honesto
Ver originalResponder0
CryptoNomics
· 17h atrás
*suspiro* estatisticamente previsível... a correlação entre a gestão fraca de chaves e a perda catastrófica é precisamente a razão pela qual tenho defendido a computação multipartidária desde 2019
Revisão dos eventos de segurança Web3 de 2024: 10 grandes casos com perdas de quase 2,5 bilhões de dólares
Revisão dos principais eventos de segurança no campo do Web3 em 2024
Em 2024, a indústria de blockchain, enquanto inova em tecnologia e expande ecossistemas, também enfrenta desafios de segurança cada vez mais severos. De acordo com dados de uma plataforma de monitoramento de segurança, até o final do ano, as perdas totais no campo do Web3 devido a ataques de hackers, fraudes de phishing e desaparecimento de projetos atingiram 24,91 bilhões de dólares.
Estes eventos não apenas expuseram deficiências técnicas na gestão de chaves privadas, contratos inteligentes, entre outros, mas também destacaram os riscos potenciais da engenharia social e da gestão interna. Este artigo revisará os dez principais eventos de segurança do Web3 em 2024, para que a indústria possa aprender com os erros e lidar melhor com as ameaças de segurança futuras.
1. Uma importante troca japonesa sofreu um grande ataque
Valor da perda: 304 milhões de dólares Método de ataque: vazamento da chave privada
No dia 31 de maio de 2024, uma conhecida exchange de criptomoedas japonesa sofreu um ataque histórico. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos roubados em vários endereços diferentes. Este incidente expôs as sérias deficiências da exchange na gestão de chaves privadas e na proteção de segurança em múltiplas camadas. Embora a exchange tenha tentado rastrear os hackers por meio de monitoramento on-chain e congelamento de fundos, o Bitcoin roubado foi disperso e transferido, utilizando ferramentas de mistura, o que trouxe enormes desafios para o trabalho de rastreamento.
No final do ano, a polícia local concluiu que o incidente foi causado por um determinado grupo de hackers internacionais.
2. PlayDapp sofreu perdas significativas
Montante da perda: 290 milhões de dólares Método de ataque: vazamento de chave privada
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe, com hackers roubando chaves privadas para cunhar 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares. Como as negociações entre a equipe do projeto e os hackers falharam, os hackers cunharam rapidamente mais 15,9 bilhões de tokens PLA, no valor de 253,9 milhões de dólares. Após parte desses tokens entrar nas exchanges, a PlayDapp foi forçada a suspender o contrato PLA e migrar para o contrato de token PDA. Este incidente destacou as deficiências dos projetos de blockchain na proteção de chaves privadas e na gestão de emergências.
3. A maior exchange de criptomoedas da Índia foi atacada
Valor da perda: 235 milhões de dólares Métodos de ataque: ataques de rede e phishing
No dia 18 de julho de 2024, a carteira multi-assinatura da maior exchange de criptomoedas da Índia foi alvo de um ataque preciso de hackers. Os atacantes induziram os signatários da multi-assinatura a assinar uma transação de atualização de contrato através de engenharia social, e em seguida, utilizaram os poderes do contrato atualizado para transferir todos os ativos da carteira. Este caso destaca os riscos potenciais das carteiras multi-assinatura em relação à gestão da configuração de permissões e à transparência das operações, além de provocar uma reflexão profunda na indústria sobre os mecanismos de controle de risco e segurança internos dos projetos.
4. Gala Games遭遇代币增发攻击
Montante da perda: 216 milhões de dólares Método de ataque: Vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi hackeado, e o atacante chamou a função mint do contrato de token, cunhando 5 bilhões de tokens GALA de uma só vez. Em seguida, o hacker trocou os tokens emitidos em lotes por ETH, causando diretamente uma perda de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de lista negra para bloquear algumas contas do hacker e recuperou parte das perdas através de vias judiciais.
5. O wallet pessoal do cofundador da Ripple foi atacado
Montante da perda: 112 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple, Chris Larsen, foram hackeadas, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras foram alvo do ataque devido à falta de proteção de dupla autenticação com dispositivos de hardware. Após o incidente, uma exchange conseguiu congelar 4,2 milhões de dólares em XRP e ajudou a rastrear os ativos roubados, mas a maior parte dos fundos já foi lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta infiltração interna
Valor da perda: 62,5 milhões de dólares Método de ataque: ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 Munchables, baseada em Blast, sofreu um raro ataque de infiltração interna. O atacante era um hacker disfarçado de desenvolvedor de blockchain, que obteve o código fonte e chaves sensíveis através de uma longa infiltração. Apesar de o ataque ter causado enormes perdas, devido à pressão da comunidade e da equipe, o hacker acabou devolvendo todos os fundos roubados. Este evento revela a importância da segurança na cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. Grande exchange da Turquia sofre vazamento de chave privada
Quantia de perda: 55 milhões de dólares Método de ataque: vazamento de chave privada
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia sofreu um ataque de vazamento de chave privada, resultando em perdas de mais de 55 milhões de dólares em ativos criptográficos. Com a ajuda da equipe de uma determinada exchange, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aumentou as preocupações do mercado sobre a gestão de chaves privadas em exchanges centralizadas.
8. O wallet multi-assinatura da Radiant Capital foi invadido
Montante da perda: 53 milhões de dólares Método de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multiassinada da Radiant Capital foi invadida por hackers. Devido ao seu uso de um modelo de verificação de assinatura 3/11 de baixo limite, os hackers conseguiram obter as chaves privadas de 3 signatários para iniciar uma assinatura fora da cadeia, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multiassinadas.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH sendo roubados. Isso mais uma vez demonstra que as equipes de projetos Web3 ainda precisam aumentar seu foco na segurança.
9. Hedgey Finance contratos multichain atacados
Montante da perda: 44,7 milhões de dólares Método de ataque: vulnerabilidades de contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque a vários contratos em cadeia. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas redes Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este incidente destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. A carteira quente de uma exchange foi invadida
Montante da perda: 44,7 milhões de dólares Método de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, uma exchange teve sua carteira quente invadida por hackers, envolvendo várias blockchains, incluindo Ethereum, BNB Chain, Tron, entre outras. Apesar de a exchange ter ativado rapidamente os mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete o alto risco da gestão de carteiras quentes em exchanges centralizadas e impulsiona ainda mais a indústria a explorar soluções de armazenamento de ativos mais seguras.
Conclusão
Os incidentes de segurança em 2024 estão a aumentar, lembrando-nos mais uma vez que o desenvolvimento da indústria de blockchain não pode prescindir de uma proteção segura. Desde o vazamento de chaves privadas até falhas em contratos, desde falhas na gestão interna até a atualização de métodos de ataque externos, cada incidente trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a investir em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro, proporcionando garantias mais confiáveis para usuários e investidores.