Revisión y reflexión sobre los 10 principales incidentes de seguridad de Web3 en 2024
En 2024, la industria de blockchain enfrenta cada vez más serios desafíos de seguridad, al mismo tiempo que avanza en la innovación tecnológica y la expansión ecológica. Según los datos de monitoreo de seguridad, este año las pérdidas totales en el ámbito de Web3 debido a ataques de hackers, fraudes de phishing y fugas de proyectos alcanzan los 2.491 millones de dólares.
Estos eventos no solo expusieron defectos técnicos como la gestión de claves privadas y vulnerabilidades en contratos inteligentes, sino que también destacaron los riesgos potenciales de la ingeniería social y la gestión interna. Este artículo revisará los diez principales eventos de seguridad de Web3 en 2024, con la esperanza de aprender lecciones de ellos y proporcionar referencias para la seguridad futura de la industria.
1. DMM Bitcoin: la filtración de claves privadas causa una pérdida de 304 millones de dólares.
El 31 de mayo de 2024, el conocido intercambio de criptomonedas japonés DMM Bitcoin sufrió un ataque importante. Los hackers utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados en varias direcciones. Este evento expuso las serias deficiencias del intercambio en la gestión de claves privadas y en la protección de múltiples capas de seguridad.
A pesar de que el intercambio intentó rastrear a los hackers a través de la supervisión en cadena y congelar fondos, los bitcoins robados fueron rápidamente dispersados y lavados mediante herramientas de mezcla, lo que aumentó considerablemente la dificultad de recuperarlos. Cabe destacar que la policía japonesa confirmó el 24 de diciembre que el evento fue llevado a cabo por el grupo de hackers norcoreano Lazarus Group.
2. PlayDapp: Pérdida de 290 millones de dólares debido a la filtración de claves privadas
El 9 de febrero de 2024, PlayDapp sufrió un duro golpe. Los hackers mintieron 2 mil millones de tokens PLA al robar la clave privada, con un valor inicial de 36.5 millones de dólares. Después de que el equipo del proyecto fracasara en las negociaciones con los hackers, estos mintieron posteriormente 15.9 mil millones de tokens PLA, con un valor de 253.9 millones de dólares. Parte de los tokens robados fluyó hacia los intercambios, lo que llevó a PlayDapp a suspender el contrato de PLA y migrar a un nuevo contrato de token PDA. Este incidente destaca las deficiencias de los proyectos de blockchain en la protección de claves privadas y el manejo de emergencias.
3. Un intercambio de criptomonedas en India: ataques de red y phishing causan pérdidas de 235 millones de dólares.
El 18 de julio de 2024, la cartera multifirma Safe Wallet del mayor intercambio de criptomonedas de India fue objeto de un ataque dirigido. Los atacantes utilizaron técnicas de ingeniería social para inducir a los firmantes de la multifirma a firmar una transacción de actualización de contrato, y luego aprovecharon los permisos del contrato actualizado para transferir todos los activos de la cartera. Este caso destaca los riesgos potenciales en la gestión de permisos y la transparencia operativa de las carteras multifirma, y ha suscitado una reflexión profunda en la industria sobre los mecanismos de control interno y seguridad de los proyectos.
4. Gala Games: Vulnerabilidad de control de acceso que causó pérdidas de 216 millones de dólares
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. Los atacantes llamaron a la función mint en el contrato de tokens y acuñaron 5 mil millones de tokens GALA de una sola vez. Luego, los hackers intercambiaron estos tokens por ETH en lotes, causando una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó de inmediato la función de lista negra para bloquear algunas cuentas de los hackers y recuperó parte de las pérdidas a través de vías legales.
5. El monedero personal del cofundador de Ripple fue atacado: 112 millones de dólares en XRP robados
El 31 de enero de 2024, los cuatro monederos personales del cofundador de Ripple, Chris Larsen, fueron hackeados, lo que resultó en el robo de 112 millones de dólares en XRP. Estos monederos pudieron haber sido el objetivo del ataque debido a la falta de protección de doble factor en el hardware. Después del incidente, un intercambio logró congelar XRP por un valor de 4.2 millones de dólares y ayudó a Larsen a rastrear los activos robados, pero la mayor parte de los fondos ya había sido blanqueada a través de intercambios descentralizados y servicios de mezcla.
6. Munchables: Ataques de ingeniería social causan pérdidas de 62.5 millones de dólares
El 26 de marzo de 2024, la plataforma de juegos Web3 Munchables, basada en Blast, sufrió un raro ataque de infiltración interna. El atacante era un hacker disfrazado de desarrollador de blockchain que, tras una larga infiltración, obtuvo el código fuente y las claves sensibles. A pesar de las enormes pérdidas causadas por el ataque, bajo la presión de la comunidad y del equipo, el hacker finalmente devolvió todos los fondos robados. Este evento revela la importancia de la seguridad de la cadena de suministro, especialmente para los proyectos de blockchain que dependen del desarrollo de terceros.
7. Un intercambio de criptomonedas en Turquía: fuga de claves privadas causa pérdidas de 55 millones de dólares
El 22 de junio de 2024, la mayor bolsa de criptomonedas de Turquía sufrió un ataque de filtración de claves privadas, con pérdidas de más de 55 millones de dólares en activos criptográficos. Con la ayuda del equipo de una bolsa, se congelaron con éxito 5.3 millones de dólares de los fondos robados, pero otros activos aún no se han recuperado. Este evento ha profundizado las preocupaciones del mercado sobre la gestión de claves privadas en las bolsas centralizadas.
8. Radiant Capital: Vulnerabilidad en la billetera multifirma causa pérdidas de 53 millones de dólares
El 17 de octubre de 2024, la billetera multisignatura de Radiant Capital fue hackeada. Debido a que utilizaba un modelo de verificación de firma 3/11 de bajo umbral, el hacker pudo iniciar una firma fuera de la cadena al controlar las claves privadas de 3 firmantes, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque ha provocado una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multisignatura.
Es importante señalar que Radiant Capital había perdido 4.5 millones de dólares y más de 1900 ETH debido a una vulnerabilidad en el contrato antes de este ataque. Esto resalta una vez más el margen de mejora en la atención a la seguridad por parte de los proyectos Web3.
9. Hedgey Finance: Pérdida de 44.7 millones de dólares debido a vulnerabilidades en el contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a múltiples contratos en cadena. Los hackers aprovecharon una vulnerabilidad de autorización en su contrato ClaimCampaigns, logrando extraer tokens de las cadenas Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este incidente destaca la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de autorización de tokens.
10. Un intercambio de criptomonedas: se perdió 44.7 millones de dólares debido a la invasión de una billetera caliente
El 19 de septiembre de 2024, el monedero caliente de un intercambio de criptomonedas fue hackeado, afectando a múltiples cadenas públicas como Ethereum, BNB Chain y Tron. A pesar de que el intercambio activó rápidamente los mecanismos de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por un valor de 44.7 millones de dólares. Este ataque refleja el alto riesgo en la gestión de monederos calientes de intercambios centralizados y promueve aún más la búsqueda de soluciones de almacenamiento de activos más seguras en la industria.
Conclusión
Los incidentes de ataques de seguridad son frecuentes en 2024, lo que nos recuerda una vez más que el desarrollo de la industria blockchain no puede prescindir de la protección de la seguridad. Desde la filtración de claves privadas hasta vulnerabilidades en contratos, desde fallos en la gestión interna hasta la actualización de técnicas de ataque externas, cada incidente ha traído lecciones profundas. Para hacer frente a las amenazas de ataque cada vez más complejas, todas las partes de la industria necesitan seguir fortaleciendo la inversión en investigación y desarrollo tecnológico, normas de gestión y prevención de riesgos. En el futuro, esperamos que, a través de la colaboración en la industria y la innovación tecnológica, podamos establecer conjuntamente un ecosistema blockchain más seguro, proporcionando una protección más confiable para los usuarios e inversores.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Revisión de los 10 principales incidentes de seguridad en Web3: pérdidas de hasta 2,491 millones de dólares en 2024
Revisión y reflexión sobre los 10 principales incidentes de seguridad de Web3 en 2024
En 2024, la industria de blockchain enfrenta cada vez más serios desafíos de seguridad, al mismo tiempo que avanza en la innovación tecnológica y la expansión ecológica. Según los datos de monitoreo de seguridad, este año las pérdidas totales en el ámbito de Web3 debido a ataques de hackers, fraudes de phishing y fugas de proyectos alcanzan los 2.491 millones de dólares.
Estos eventos no solo expusieron defectos técnicos como la gestión de claves privadas y vulnerabilidades en contratos inteligentes, sino que también destacaron los riesgos potenciales de la ingeniería social y la gestión interna. Este artículo revisará los diez principales eventos de seguridad de Web3 en 2024, con la esperanza de aprender lecciones de ellos y proporcionar referencias para la seguridad futura de la industria.
1. DMM Bitcoin: la filtración de claves privadas causa una pérdida de 304 millones de dólares.
El 31 de mayo de 2024, el conocido intercambio de criptomonedas japonés DMM Bitcoin sufrió un ataque importante. Los hackers utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados en varias direcciones. Este evento expuso las serias deficiencias del intercambio en la gestión de claves privadas y en la protección de múltiples capas de seguridad.
A pesar de que el intercambio intentó rastrear a los hackers a través de la supervisión en cadena y congelar fondos, los bitcoins robados fueron rápidamente dispersados y lavados mediante herramientas de mezcla, lo que aumentó considerablemente la dificultad de recuperarlos. Cabe destacar que la policía japonesa confirmó el 24 de diciembre que el evento fue llevado a cabo por el grupo de hackers norcoreano Lazarus Group.
2. PlayDapp: Pérdida de 290 millones de dólares debido a la filtración de claves privadas
El 9 de febrero de 2024, PlayDapp sufrió un duro golpe. Los hackers mintieron 2 mil millones de tokens PLA al robar la clave privada, con un valor inicial de 36.5 millones de dólares. Después de que el equipo del proyecto fracasara en las negociaciones con los hackers, estos mintieron posteriormente 15.9 mil millones de tokens PLA, con un valor de 253.9 millones de dólares. Parte de los tokens robados fluyó hacia los intercambios, lo que llevó a PlayDapp a suspender el contrato de PLA y migrar a un nuevo contrato de token PDA. Este incidente destaca las deficiencias de los proyectos de blockchain en la protección de claves privadas y el manejo de emergencias.
3. Un intercambio de criptomonedas en India: ataques de red y phishing causan pérdidas de 235 millones de dólares.
El 18 de julio de 2024, la cartera multifirma Safe Wallet del mayor intercambio de criptomonedas de India fue objeto de un ataque dirigido. Los atacantes utilizaron técnicas de ingeniería social para inducir a los firmantes de la multifirma a firmar una transacción de actualización de contrato, y luego aprovecharon los permisos del contrato actualizado para transferir todos los activos de la cartera. Este caso destaca los riesgos potenciales en la gestión de permisos y la transparencia operativa de las carteras multifirma, y ha suscitado una reflexión profunda en la industria sobre los mecanismos de control interno y seguridad de los proyectos.
4. Gala Games: Vulnerabilidad de control de acceso que causó pérdidas de 216 millones de dólares
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. Los atacantes llamaron a la función mint en el contrato de tokens y acuñaron 5 mil millones de tokens GALA de una sola vez. Luego, los hackers intercambiaron estos tokens por ETH en lotes, causando una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó de inmediato la función de lista negra para bloquear algunas cuentas de los hackers y recuperó parte de las pérdidas a través de vías legales.
5. El monedero personal del cofundador de Ripple fue atacado: 112 millones de dólares en XRP robados
El 31 de enero de 2024, los cuatro monederos personales del cofundador de Ripple, Chris Larsen, fueron hackeados, lo que resultó en el robo de 112 millones de dólares en XRP. Estos monederos pudieron haber sido el objetivo del ataque debido a la falta de protección de doble factor en el hardware. Después del incidente, un intercambio logró congelar XRP por un valor de 4.2 millones de dólares y ayudó a Larsen a rastrear los activos robados, pero la mayor parte de los fondos ya había sido blanqueada a través de intercambios descentralizados y servicios de mezcla.
6. Munchables: Ataques de ingeniería social causan pérdidas de 62.5 millones de dólares
El 26 de marzo de 2024, la plataforma de juegos Web3 Munchables, basada en Blast, sufrió un raro ataque de infiltración interna. El atacante era un hacker disfrazado de desarrollador de blockchain que, tras una larga infiltración, obtuvo el código fuente y las claves sensibles. A pesar de las enormes pérdidas causadas por el ataque, bajo la presión de la comunidad y del equipo, el hacker finalmente devolvió todos los fondos robados. Este evento revela la importancia de la seguridad de la cadena de suministro, especialmente para los proyectos de blockchain que dependen del desarrollo de terceros.
7. Un intercambio de criptomonedas en Turquía: fuga de claves privadas causa pérdidas de 55 millones de dólares
El 22 de junio de 2024, la mayor bolsa de criptomonedas de Turquía sufrió un ataque de filtración de claves privadas, con pérdidas de más de 55 millones de dólares en activos criptográficos. Con la ayuda del equipo de una bolsa, se congelaron con éxito 5.3 millones de dólares de los fondos robados, pero otros activos aún no se han recuperado. Este evento ha profundizado las preocupaciones del mercado sobre la gestión de claves privadas en las bolsas centralizadas.
8. Radiant Capital: Vulnerabilidad en la billetera multifirma causa pérdidas de 53 millones de dólares
El 17 de octubre de 2024, la billetera multisignatura de Radiant Capital fue hackeada. Debido a que utilizaba un modelo de verificación de firma 3/11 de bajo umbral, el hacker pudo iniciar una firma fuera de la cadena al controlar las claves privadas de 3 firmantes, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque ha provocado una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multisignatura.
Es importante señalar que Radiant Capital había perdido 4.5 millones de dólares y más de 1900 ETH debido a una vulnerabilidad en el contrato antes de este ataque. Esto resalta una vez más el margen de mejora en la atención a la seguridad por parte de los proyectos Web3.
9. Hedgey Finance: Pérdida de 44.7 millones de dólares debido a vulnerabilidades en el contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a múltiples contratos en cadena. Los hackers aprovecharon una vulnerabilidad de autorización en su contrato ClaimCampaigns, logrando extraer tokens de las cadenas Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este incidente destaca la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de autorización de tokens.
10. Un intercambio de criptomonedas: se perdió 44.7 millones de dólares debido a la invasión de una billetera caliente
El 19 de septiembre de 2024, el monedero caliente de un intercambio de criptomonedas fue hackeado, afectando a múltiples cadenas públicas como Ethereum, BNB Chain y Tron. A pesar de que el intercambio activó rápidamente los mecanismos de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por un valor de 44.7 millones de dólares. Este ataque refleja el alto riesgo en la gestión de monederos calientes de intercambios centralizados y promueve aún más la búsqueda de soluciones de almacenamiento de activos más seguras en la industria.
Conclusión
Los incidentes de ataques de seguridad son frecuentes en 2024, lo que nos recuerda una vez más que el desarrollo de la industria blockchain no puede prescindir de la protección de la seguridad. Desde la filtración de claves privadas hasta vulnerabilidades en contratos, desde fallos en la gestión interna hasta la actualización de técnicas de ataque externas, cada incidente ha traído lecciones profundas. Para hacer frente a las amenazas de ataque cada vez más complejas, todas las partes de la industria necesitan seguir fortaleciendo la inversión en investigación y desarrollo tecnológico, normas de gestión y prevención de riesgos. En el futuro, esperamos que, a través de la colaboración en la industria y la innovación tecnológica, podamos establecer conjuntamente un ecosistema blockchain más seguro, proporcionando una protección más confiable para los usuarios e inversores.