Revisão e Reflexão sobre os 10 Principais Incidentes de Segurança do Web3 em 2024
Em 2024, a indústria de blockchain enfrenta, ao mesmo tempo, inovações tecnológicas e expansão ecológica, além de desafios de segurança cada vez mais severos. De acordo com dados de monitoramento de segurança, este ano, a perda total no campo do Web3 devido a ataques de hackers, fraudes de phishing e abandono de projetos atingiu 2,491 milhões de dólares.
Estes eventos não apenas expuseram falhas técnicas como a gestão de chaves privadas e vulnerabilidades em contratos inteligentes, mas também destacaram os riscos potenciais da engenharia social e da gestão interna. Este artigo irá rever os dez principais eventos de segurança do Web3 em 2024, com a esperança de aprender lições que possam servir como referência para a proteção de segurança futura da indústria.
1. DMM Bitcoin: vazamento de chave privada resulta em perda de 304 milhões de dólares
No dia 31 de maio de 2024, a famosa exchange de criptomoedas japonesa DMM Bitcoin sofreu um ataque significativo. Os hackers utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em bitcoins, dispersando rapidamente os fundos roubados em vários endereços. Este incidente expôs as sérias deficiências da exchange na gestão de chaves privadas e nas múltiplas camadas de segurança.
Embora as bolsas tentem rastrear hackers através de monitoramento on-chain e congelamento de fundos, o Bitcoin roubado é rapidamente disperso e lavado através de ferramentas de mistura, aumentando consideravelmente a dificuldade de recuperação. É importante notar que a polícia japonesa confirmou em 24 de dezembro que o incidente foi causado pelo grupo de hackers norte-coreano Lazarus Group.
2. PlayDapp: perda de 290 milhões de dólares devido a vazamento de chave privada
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe. Hackers conseguiram cunhar 2 bilhões de tokens PLA ao roubar chaves privadas, com um valor inicial de 36,5 milhões de dólares. Como as negociações entre a equipe do projeto e os hackers falharam, os hackers posteriormente cunharam mais 15,9 bilhões de tokens PLA, no valor de 253,9 milhões de dólares. Parte dos tokens roubados foi para as bolsas de valores, fazendo com que a PlayDapp fosse forçada a suspender o contrato PLA e migrar para um novo contrato de token PDA. Este incidente destaca as deficiências dos projetos de blockchain na proteção de chaves privadas e no tratamento de situações de emergência.
3. Uma exchange de criptomoedas indiana: ataques cibernéticos e phishing causam perdas de 235 milhões de dólares
No dia 18 de julho de 2024, a Safe Wallet, a carteira multi-assinatura da maior exchange de criptomoedas da Índia, foi alvo de um ataque preciso. Os atacantes induziram, através de engenharia social, os signatários da multi-assinatura a assinar uma transação de atualização de contrato, e em seguida, utilizaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este caso destaca os riscos potenciais das carteiras multi-assinatura em relação à gestão de permissões e à transparência operacional, além de suscitar uma reflexão profunda na indústria sobre os mecanismos de controle de risco interno e segurança dos projetos.
4. Gala Games: Vulnerabilidade de controle de acesso resulta em perdas de 216 milhões de dólares
Em 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato de tokens e cunharam 5 bilhões de tokens GALA de uma só vez. Em seguida, os hackers trocaram esses tokens em lotes por ETH, causando diretamente uma perda de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de lista negra para bloquear algumas contas dos hackers e recuperou parte das perdas por meio de ações legais.
5. O portfólio pessoal do cofundador da Ripple foi atacado: 112 milhões de dólares em XRP foram roubados
No dia 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple, Chris Larsen, foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras podem ter se tornado alvo do ataque devido à falta de proteção de dupla autenticação por hardware. Após o incidente, uma exchange conseguiu congelar 4,2 milhões de dólares em XRP e ajudou Larsen a rastrear os ativos roubados, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables: Ataques de engenharia social causam perdas de 62,5 milhões de dólares
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. O atacante era um hacker disfarçado de desenvolvedor de blockchain, que obteve o código-fonte e as chaves sensíveis após uma longa infiltração. Apesar de o ataque ter causado enormes perdas, sob a pressão da comunidade e da equipe, o hacker acabou devolvendo todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvimentos de terceiros.
7. Uma exchange de criptomoedas na Turquia: vazamento de chaves privadas resulta em perdas de 55 milhões de dólares
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia sofreu um ataque de vazamento de chaves privadas, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda da equipe de uma exchange, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aprofundou as preocupações do mercado sobre a gestão de chaves privadas em exchanges centralizadas.
8. Radiant Capital: Vulnerabilidade na carteira multiassinatura resulta em perdas de 53 milhões de dólares
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido ao uso de um modelo de verificação de assinatura de baixo limiar de 3/11, os hackers conseguiram dominar as chaves privadas de 3 signatários para iniciar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando na perda de 53 milhões de dólares. Este ataque gerou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma falha no contrato antes deste ataque, com mais de 1900 ETH sendo roubados. Isso reforça mais uma vez o espaço para melhoria na atenção à segurança por parte dos projetos Web3.
9. Hedgey Finance: Falha de contrato causa perda de 44,7 milhões de dólares
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque a vários contratos on-chain. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas redes Ethereum e Arbitrum, com uma perda total de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. Uma exchange de criptomoedas: carteira quente invadida com perda de 44,7 milhões de dólares
No dia 19 de setembro de 2024, a carteira quente de uma exchange de criptomoedas foi invadida por hackers, envolvendo várias blockchains públicas, como Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de retiradas, os hackers conseguiram retirar ativos no valor de 44,7 milhões de dólares. Este ataque reflete o alto risco da gestão de carteiras quentes em exchanges centralizadas e impulsiona ainda mais a indústria a explorar soluções de armazenamento de ativos mais seguras.
Conclusão
Os eventos de ataques de segurança em 2024 estão a aumentar, lembrando-nos novamente que o desenvolvimento da indústria de blockchain não pode prescindir de uma proteção segura. Desde o vazamento de chaves privadas até falhas em contratos, desde negligências na gestão interna até a atualização de métodos de ataque externos, cada incidente traz lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a intensificar os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e prevenção de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos estabelecer um ecossistema de blockchain mais seguro, oferecendo maior proteção e confiabilidade para usuários e investidores.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
7 Curtidas
Recompensa
7
3
Compartilhar
Comentário
0/400
SocialAnxietyStaker
· 9h atrás
A chave privada do pro pode ser roubada.
Ver originalResponder0
pvt_key_collector
· 9h atrás
Nem um fio de cabelo caiu e já está a ser muito seguro
Revisão dos 10 principais incidentes de segurança do Web3: perdas de até 2,491 milhões de dólares em 2024
Revisão e Reflexão sobre os 10 Principais Incidentes de Segurança do Web3 em 2024
Em 2024, a indústria de blockchain enfrenta, ao mesmo tempo, inovações tecnológicas e expansão ecológica, além de desafios de segurança cada vez mais severos. De acordo com dados de monitoramento de segurança, este ano, a perda total no campo do Web3 devido a ataques de hackers, fraudes de phishing e abandono de projetos atingiu 2,491 milhões de dólares.
Estes eventos não apenas expuseram falhas técnicas como a gestão de chaves privadas e vulnerabilidades em contratos inteligentes, mas também destacaram os riscos potenciais da engenharia social e da gestão interna. Este artigo irá rever os dez principais eventos de segurança do Web3 em 2024, com a esperança de aprender lições que possam servir como referência para a proteção de segurança futura da indústria.
1. DMM Bitcoin: vazamento de chave privada resulta em perda de 304 milhões de dólares
No dia 31 de maio de 2024, a famosa exchange de criptomoedas japonesa DMM Bitcoin sofreu um ataque significativo. Os hackers utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em bitcoins, dispersando rapidamente os fundos roubados em vários endereços. Este incidente expôs as sérias deficiências da exchange na gestão de chaves privadas e nas múltiplas camadas de segurança.
Embora as bolsas tentem rastrear hackers através de monitoramento on-chain e congelamento de fundos, o Bitcoin roubado é rapidamente disperso e lavado através de ferramentas de mistura, aumentando consideravelmente a dificuldade de recuperação. É importante notar que a polícia japonesa confirmou em 24 de dezembro que o incidente foi causado pelo grupo de hackers norte-coreano Lazarus Group.
2. PlayDapp: perda de 290 milhões de dólares devido a vazamento de chave privada
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe. Hackers conseguiram cunhar 2 bilhões de tokens PLA ao roubar chaves privadas, com um valor inicial de 36,5 milhões de dólares. Como as negociações entre a equipe do projeto e os hackers falharam, os hackers posteriormente cunharam mais 15,9 bilhões de tokens PLA, no valor de 253,9 milhões de dólares. Parte dos tokens roubados foi para as bolsas de valores, fazendo com que a PlayDapp fosse forçada a suspender o contrato PLA e migrar para um novo contrato de token PDA. Este incidente destaca as deficiências dos projetos de blockchain na proteção de chaves privadas e no tratamento de situações de emergência.
3. Uma exchange de criptomoedas indiana: ataques cibernéticos e phishing causam perdas de 235 milhões de dólares
No dia 18 de julho de 2024, a Safe Wallet, a carteira multi-assinatura da maior exchange de criptomoedas da Índia, foi alvo de um ataque preciso. Os atacantes induziram, através de engenharia social, os signatários da multi-assinatura a assinar uma transação de atualização de contrato, e em seguida, utilizaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este caso destaca os riscos potenciais das carteiras multi-assinatura em relação à gestão de permissões e à transparência operacional, além de suscitar uma reflexão profunda na indústria sobre os mecanismos de controle de risco interno e segurança dos projetos.
4. Gala Games: Vulnerabilidade de controle de acesso resulta em perdas de 216 milhões de dólares
Em 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato de tokens e cunharam 5 bilhões de tokens GALA de uma só vez. Em seguida, os hackers trocaram esses tokens em lotes por ETH, causando diretamente uma perda de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de lista negra para bloquear algumas contas dos hackers e recuperou parte das perdas por meio de ações legais.
5. O portfólio pessoal do cofundador da Ripple foi atacado: 112 milhões de dólares em XRP foram roubados
No dia 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple, Chris Larsen, foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras podem ter se tornado alvo do ataque devido à falta de proteção de dupla autenticação por hardware. Após o incidente, uma exchange conseguiu congelar 4,2 milhões de dólares em XRP e ajudou Larsen a rastrear os ativos roubados, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables: Ataques de engenharia social causam perdas de 62,5 milhões de dólares
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. O atacante era um hacker disfarçado de desenvolvedor de blockchain, que obteve o código-fonte e as chaves sensíveis após uma longa infiltração. Apesar de o ataque ter causado enormes perdas, sob a pressão da comunidade e da equipe, o hacker acabou devolvendo todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvimentos de terceiros.
7. Uma exchange de criptomoedas na Turquia: vazamento de chaves privadas resulta em perdas de 55 milhões de dólares
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia sofreu um ataque de vazamento de chaves privadas, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda da equipe de uma exchange, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aprofundou as preocupações do mercado sobre a gestão de chaves privadas em exchanges centralizadas.
8. Radiant Capital: Vulnerabilidade na carteira multiassinatura resulta em perdas de 53 milhões de dólares
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido ao uso de um modelo de verificação de assinatura de baixo limiar de 3/11, os hackers conseguiram dominar as chaves privadas de 3 signatários para iniciar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando na perda de 53 milhões de dólares. Este ataque gerou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma falha no contrato antes deste ataque, com mais de 1900 ETH sendo roubados. Isso reforça mais uma vez o espaço para melhoria na atenção à segurança por parte dos projetos Web3.
9. Hedgey Finance: Falha de contrato causa perda de 44,7 milhões de dólares
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque a vários contratos on-chain. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas redes Ethereum e Arbitrum, com uma perda total de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. Uma exchange de criptomoedas: carteira quente invadida com perda de 44,7 milhões de dólares
No dia 19 de setembro de 2024, a carteira quente de uma exchange de criptomoedas foi invadida por hackers, envolvendo várias blockchains públicas, como Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de retiradas, os hackers conseguiram retirar ativos no valor de 44,7 milhões de dólares. Este ataque reflete o alto risco da gestão de carteiras quentes em exchanges centralizadas e impulsiona ainda mais a indústria a explorar soluções de armazenamento de ativos mais seguras.
Conclusão
Os eventos de ataques de segurança em 2024 estão a aumentar, lembrando-nos novamente que o desenvolvimento da indústria de blockchain não pode prescindir de uma proteção segura. Desde o vazamento de chaves privadas até falhas em contratos, desde negligências na gestão interna até a atualização de métodos de ataque externos, cada incidente traz lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a intensificar os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e prevenção de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos estabelecer um ecossistema de blockchain mais seguro, oferecendo maior proteção e confiabilidade para usuários e investidores.