Resumen de los diez principales eventos de seguridad de Web3 en 2024
En 2024, la industria de blockchain, mientras avanza en innovación tecnológica y expansión ecológica, también enfrenta desafíos de seguridad cada vez más severos. Según datos relevantes, hasta la fecha, las pérdidas totales en el ámbito de Web3 en 2024, debido a ataques de hackers, fraudes de phishing y el abandono de proyectos, ascienden a 2,491 millones de dólares.
Estos eventos no solo expusieron defectos técnicos en la gestión de claves privadas, vulnerabilidades de contratos inteligentes, sino que también resaltaron los riesgos potenciales en la ingeniería social y la gestión interna. Revisemos juntos los diez eventos de seguridad más influyentes en el ámbito del Web3 en 2024, con la esperanza de extraer lecciones aprendidas y estar mejor preparados para enfrentar amenazas de seguridad en el futuro.
1. Un importante ataque a un intercambio de criptomonedas japonés
Monto de la pérdida: 304 millones de dólaresMétodo de ataque: filtración de clave privada
El 31 de mayo de 2024, un conocido intercambio de criptomonedas japonés sufrió un ataque histórico. Los atacantes utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados en más de 10 direcciones diferentes. Este ataque expuso las graves deficiencias del intercambio en la gestión de claves privadas y en la seguridad de múltiples capas. A pesar de que el intercambio intentó rastrear a los hackers mediante la monitorización en la cadena y el congelamiento de fondos, los Bitcoin robados fueron dispersados y lavados utilizando herramientas de mezcla, lo que representó un gran desafío para el rastreo.
El 24 de diciembre, la policía japonesa determinó que el incidente de robo en el intercambio fue obra de un grupo de hackers internacional.
2. PlayDapp sufre un duro golpe
Monto de pérdida: 290 millones de dólaresMétodo de ataque: filtración de claves privadas
El 9 de febrero de 2024, PlayDapp sufrió un duro golpe, los hackers acuñaron 2 mil millones de tokens PLA al robar claves privadas, con un valor inicial de 36.5 millones de dólares. Debido a que las negociaciones entre el equipo del proyecto y los hackers no llegaron a buen término, los hackers acuñaron en un corto período de tiempo otros 15.9 mil millones de tokens PLA, valorados en 253.9 millones de dólares. Después de que parte de estos tokens fluyeron a un intercambio, PlayDapp se vio obligado a suspender el contrato de PLA y migrar al contrato de tokens PDA. Este incidente resalta las deficiencias de los proyectos de blockchain en la protección de claves privadas y la gestión de emergencias.
3. El mayor intercambio de criptomonedas de la India sufre un ataque dirigido
Cantidad de pérdida: 235 millones de dólaresMétodos de ataque: ataques en línea y phishing
El 18 de julio de 2024, la billetera multifirma Safe Wallet del mayor intercambio de criptomonedas de India fue objeto de un ataque preciso por parte de hackers. Los atacantes indujeron a los firmantes de la multifirma a firmar una transacción de actualización de contrato a través de ingeniería social, y luego utilizaron los permisos del contrato actualizado para vaciar los activos de la billetera. Este caso destaca los riesgos potenciales de las billeteras multifirma en la configuración de permisos y la transparencia operativa, y ha llevado a una profunda reflexión en la industria sobre los mecanismos internos de control de riesgos y seguridad de los proyectos.
4. Gala Games sufre un ataque de direcciones privilegiadas
Monto de la pérdida: 216 millones de dólaresMétodo de ataque: vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. Los atacantes llamaron a la función mint en el contrato de tokens, creando de una sola vez 5 mil millones de tokens GALA. Luego, los hackers intercambiaron los tokens recién emitidos por ETH en lotes, lo que resultó en una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó urgentemente la función de lista negra para bloquear algunas cuentas de los hackers y recuperó las pérdidas a través de vías judiciales.
5. La billetera personal del cofundador de Ripple fue hackeada
Monto de la pérdida: 112 millones de dólaresMétodo de ataque: filtración de clave privada
El 31 de enero de 2024, cuatro billeteras personales del cofundador de Ripple, Chris Larsen, fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en XRP. Estas billeteras se convirtieron en objetivos de ataque debido a la falta de protección de doble autenticación mediante dispositivos de hardware. Tras el incidente, un importante intercambio logró congelar XRP por un valor de 4.2 millones de dólares y ayudó a Larsen a rastrear los activos robados, pero la mayor parte de los fondos ya había sido blanqueada a través de intercambios descentralizados y servicios de mezcla.
6. Munchables sufre un ataque de infiltración interna
Cantidad de pérdida: 62.5 millones de dólaresMétodo de ataque: Ataques de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 basada en Blast, Munchables, sufrió un raro ataque de infiltración interna. Los atacantes eran hackers disfrazados de desarrolladores de blockchain, quienes, tras una larga infiltración, obtuvieron el código fuente y claves sensibles. A pesar de que el ataque causó enormes pérdidas, debido a la presión de la comunidad y el equipo, los hackers finalmente devolvieron todos los fondos robados. Este incidente revela la importancia de la seguridad de la cadena de suministro, especialmente para los proyectos de blockchain que dependen de desarrolladores de terceros.
7. El mayor intercambio de criptomonedas de Turquía sufre un ataque
Monto de la pérdida: 55 millones de dólaresMétodo de ataque: filtración de clave privada
El 22 de junio de 2024, el mayor intercambio de criptomonedas de Turquía sufrió un ataque de filtración de claves privadas, perdiendo más de 55 millones de dólares en activos criptográficos. Con la ayuda del equipo de un intercambio, se logró congelar 5.3 millones de dólares de los fondos robados, pero otros activos aún no han sido recuperados. Este incidente ha profundizado las preocupaciones del mercado sobre la gestión de claves privadas en los intercambios centralizados.
8. El monedero multi-firma de Radiant Capital ha sido atacado
Monto de la pérdida: 53 millones de dólaresMétodo de ataque: filtración de clave privada
El 17 de octubre de 2024, la billetera multisig de Radiant Capital fue hackeada. Debido a que utilizaba un modelo de verificación de firma 3/11 de bajo umbral, los hackers lograron iniciar una firma fuera de la cadena al obtener las claves privadas de 3 firmantes, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque provocó una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multisig.
Es notable que Radiant Capital ya había perdido 4.5 millones de dólares debido a una vulnerabilidad en el contrato antes de este ataque, con más de 1900 ETH robados. Esto resalta que los proyectos de Web3 aún necesitan mejorar su atención a la seguridad.
9. Hedgey Finance sufre un ataque de contrato multichain
Monto de la pérdida: 44.7 millones de dólaresMétodo de ataque: vulnerabilidad del contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a múltiples contratos en cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns, logrando extraer tokens de las cadenas Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este evento demuestra la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.
10. Billetera caliente de un conocido intercambio fue hackeada
Monto de la pérdida: 44.7 millones de dólaresMétodo de ataque: filtración de clave privada
El 19 de septiembre de 2024, un conocido intercambio tuvo su billetera caliente hackeada, involucrando cadenas como Ethereum, BNB Chain, Tron y otras múltiples cadenas públicas. A pesar de que el intercambio activó rápidamente los mecanismos de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por un valor de 44.7 millones de dólares. Este ataque refleja el alto riesgo de la gestión de billeteras calientes en los intercambios centralizados y promueve aún más la exploración de soluciones de almacenamiento de activos más seguras en la industria.
Los incidentes de ataques de seguridad en 2024 son frecuentes, lo que nos recuerda una vez más que el desarrollo de la industria blockchain no puede separarse de la protección de la seguridad. Desde la filtración de claves privadas hasta las vulnerabilidades de contratos, desde las negligencias en la gestión interna hasta la mejora de los métodos de ataque externos, cada incidente ha traído lecciones profundas. Para hacer frente a las amenazas de ataque cada vez más complejas, todas las partes de la industria necesitan seguir aumentando su inversión en investigación y desarrollo tecnológico, normas de gestión y control de riesgos. En el futuro, esperamos que, a través de la colaboración de la industria y la innovación tecnológica, se establezca conjuntamente un ecosistema blockchain más seguro, proporcionando una protección más confiable para los usuarios e inversores.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Resumen de los diez principales incidentes de seguridad de Web3 en 2024: pérdidas cercanas a los 2,5 mil millones de dólares
Resumen de los diez principales eventos de seguridad de Web3 en 2024
En 2024, la industria de blockchain, mientras avanza en innovación tecnológica y expansión ecológica, también enfrenta desafíos de seguridad cada vez más severos. Según datos relevantes, hasta la fecha, las pérdidas totales en el ámbito de Web3 en 2024, debido a ataques de hackers, fraudes de phishing y el abandono de proyectos, ascienden a 2,491 millones de dólares.
Estos eventos no solo expusieron defectos técnicos en la gestión de claves privadas, vulnerabilidades de contratos inteligentes, sino que también resaltaron los riesgos potenciales en la ingeniería social y la gestión interna. Revisemos juntos los diez eventos de seguridad más influyentes en el ámbito del Web3 en 2024, con la esperanza de extraer lecciones aprendidas y estar mejor preparados para enfrentar amenazas de seguridad en el futuro.
1. Un importante ataque a un intercambio de criptomonedas japonés
Monto de la pérdida: 304 millones de dólares Método de ataque: filtración de clave privada
El 31 de mayo de 2024, un conocido intercambio de criptomonedas japonés sufrió un ataque histórico. Los atacantes utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados en más de 10 direcciones diferentes. Este ataque expuso las graves deficiencias del intercambio en la gestión de claves privadas y en la seguridad de múltiples capas. A pesar de que el intercambio intentó rastrear a los hackers mediante la monitorización en la cadena y el congelamiento de fondos, los Bitcoin robados fueron dispersados y lavados utilizando herramientas de mezcla, lo que representó un gran desafío para el rastreo.
El 24 de diciembre, la policía japonesa determinó que el incidente de robo en el intercambio fue obra de un grupo de hackers internacional.
2. PlayDapp sufre un duro golpe
Monto de pérdida: 290 millones de dólares Método de ataque: filtración de claves privadas
El 9 de febrero de 2024, PlayDapp sufrió un duro golpe, los hackers acuñaron 2 mil millones de tokens PLA al robar claves privadas, con un valor inicial de 36.5 millones de dólares. Debido a que las negociaciones entre el equipo del proyecto y los hackers no llegaron a buen término, los hackers acuñaron en un corto período de tiempo otros 15.9 mil millones de tokens PLA, valorados en 253.9 millones de dólares. Después de que parte de estos tokens fluyeron a un intercambio, PlayDapp se vio obligado a suspender el contrato de PLA y migrar al contrato de tokens PDA. Este incidente resalta las deficiencias de los proyectos de blockchain en la protección de claves privadas y la gestión de emergencias.
3. El mayor intercambio de criptomonedas de la India sufre un ataque dirigido
Cantidad de pérdida: 235 millones de dólares Métodos de ataque: ataques en línea y phishing
El 18 de julio de 2024, la billetera multifirma Safe Wallet del mayor intercambio de criptomonedas de India fue objeto de un ataque preciso por parte de hackers. Los atacantes indujeron a los firmantes de la multifirma a firmar una transacción de actualización de contrato a través de ingeniería social, y luego utilizaron los permisos del contrato actualizado para vaciar los activos de la billetera. Este caso destaca los riesgos potenciales de las billeteras multifirma en la configuración de permisos y la transparencia operativa, y ha llevado a una profunda reflexión en la industria sobre los mecanismos internos de control de riesgos y seguridad de los proyectos.
4. Gala Games sufre un ataque de direcciones privilegiadas
Monto de la pérdida: 216 millones de dólares Método de ataque: vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. Los atacantes llamaron a la función mint en el contrato de tokens, creando de una sola vez 5 mil millones de tokens GALA. Luego, los hackers intercambiaron los tokens recién emitidos por ETH en lotes, lo que resultó en una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó urgentemente la función de lista negra para bloquear algunas cuentas de los hackers y recuperó las pérdidas a través de vías judiciales.
5. La billetera personal del cofundador de Ripple fue hackeada
Monto de la pérdida: 112 millones de dólares Método de ataque: filtración de clave privada
El 31 de enero de 2024, cuatro billeteras personales del cofundador de Ripple, Chris Larsen, fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en XRP. Estas billeteras se convirtieron en objetivos de ataque debido a la falta de protección de doble autenticación mediante dispositivos de hardware. Tras el incidente, un importante intercambio logró congelar XRP por un valor de 4.2 millones de dólares y ayudó a Larsen a rastrear los activos robados, pero la mayor parte de los fondos ya había sido blanqueada a través de intercambios descentralizados y servicios de mezcla.
6. Munchables sufre un ataque de infiltración interna
Cantidad de pérdida: 62.5 millones de dólares Método de ataque: Ataques de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 basada en Blast, Munchables, sufrió un raro ataque de infiltración interna. Los atacantes eran hackers disfrazados de desarrolladores de blockchain, quienes, tras una larga infiltración, obtuvieron el código fuente y claves sensibles. A pesar de que el ataque causó enormes pérdidas, debido a la presión de la comunidad y el equipo, los hackers finalmente devolvieron todos los fondos robados. Este incidente revela la importancia de la seguridad de la cadena de suministro, especialmente para los proyectos de blockchain que dependen de desarrolladores de terceros.
7. El mayor intercambio de criptomonedas de Turquía sufre un ataque
Monto de la pérdida: 55 millones de dólares Método de ataque: filtración de clave privada
El 22 de junio de 2024, el mayor intercambio de criptomonedas de Turquía sufrió un ataque de filtración de claves privadas, perdiendo más de 55 millones de dólares en activos criptográficos. Con la ayuda del equipo de un intercambio, se logró congelar 5.3 millones de dólares de los fondos robados, pero otros activos aún no han sido recuperados. Este incidente ha profundizado las preocupaciones del mercado sobre la gestión de claves privadas en los intercambios centralizados.
8. El monedero multi-firma de Radiant Capital ha sido atacado
Monto de la pérdida: 53 millones de dólares Método de ataque: filtración de clave privada
El 17 de octubre de 2024, la billetera multisig de Radiant Capital fue hackeada. Debido a que utilizaba un modelo de verificación de firma 3/11 de bajo umbral, los hackers lograron iniciar una firma fuera de la cadena al obtener las claves privadas de 3 firmantes, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque provocó una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multisig.
Es notable que Radiant Capital ya había perdido 4.5 millones de dólares debido a una vulnerabilidad en el contrato antes de este ataque, con más de 1900 ETH robados. Esto resalta que los proyectos de Web3 aún necesitan mejorar su atención a la seguridad.
9. Hedgey Finance sufre un ataque de contrato multichain
Monto de la pérdida: 44.7 millones de dólares Método de ataque: vulnerabilidad del contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a múltiples contratos en cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns, logrando extraer tokens de las cadenas Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este evento demuestra la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.
10. Billetera caliente de un conocido intercambio fue hackeada
Monto de la pérdida: 44.7 millones de dólares Método de ataque: filtración de clave privada
El 19 de septiembre de 2024, un conocido intercambio tuvo su billetera caliente hackeada, involucrando cadenas como Ethereum, BNB Chain, Tron y otras múltiples cadenas públicas. A pesar de que el intercambio activó rápidamente los mecanismos de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por un valor de 44.7 millones de dólares. Este ataque refleja el alto riesgo de la gestión de billeteras calientes en los intercambios centralizados y promueve aún más la exploración de soluciones de almacenamiento de activos más seguras en la industria.
Los incidentes de ataques de seguridad en 2024 son frecuentes, lo que nos recuerda una vez más que el desarrollo de la industria blockchain no puede separarse de la protección de la seguridad. Desde la filtración de claves privadas hasta las vulnerabilidades de contratos, desde las negligencias en la gestión interna hasta la mejora de los métodos de ataque externos, cada incidente ha traído lecciones profundas. Para hacer frente a las amenazas de ataque cada vez más complejas, todas las partes de la industria necesitan seguir aumentando su inversión en investigación y desarrollo tecnológico, normas de gestión y control de riesgos. En el futuro, esperamos que, a través de la colaboración de la industria y la innovación tecnológica, se establezca conjuntamente un ecosistema blockchain más seguro, proporcionando una protección más confiable para los usuarios e inversores.