Revisão dos Dez Principais Incidentes de Segurança no Campo do Web3 em 2024
Com a contínua inovação da tecnologia blockchain e a expansão do ecossistema, a indústria Web3 enfrenta desafios de segurança cada vez mais rigorosos em 2024. De acordo com dados da indústria, até o final de 2024, as perdas totais no campo da Web3 devido a ataques de hackers, fraudes de phishing e saídas maliciosas de projetos atingiram impressionantes 2,491 milhões de dólares. Esses eventos não apenas expuseram falhas técnicas em áreas como gerenciamento de chaves privadas e contratos inteligentes, mas também destacaram riscos potenciais associados a ataques de engenharia social e gestão interna. Este artigo irá revisar os dez eventos de segurança mais impactantes na área da Web3 em 2024, com o objetivo de fornecer referências para a indústria e ajudar a enfrentar melhor as ameaças à segurança no futuro.
1. Uma exchange japonesa sofreu um grande ataque
Montante da perda: 304 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 31 de maio de 2024, uma conhecida exchange de criptomoedas japonesa sofreu um ataque histórico. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin e rapidamente dispersaram os fundos roubados em mais de 10 endereços diferentes. Este incidente expôs sérias falhas na gestão de chaves privadas e nas múltiplas camadas de segurança da exchange. Embora a exchange tenha tentado rastrear os hackers através do monitoramento on-chain e do congelamento de fundos, o rastreamento enfrentou grandes desafios devido à dispersão da transferência dos Bitcoins roubados e ao uso de ferramentas de mistura para lavagem.
No final do ano, a polícia japonesa confirmou que o incidente estava relacionado a um certo grupo de hackers internacional.
2. PlayDapp sofre um grande golpe
Montante da perda: 290 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 9 de fevereiro de 2024, o projeto PlayDapp sofreu perdas significativas. Hackers forjaram 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares, ao roubar chaves privadas. Como a negociação entre a equipe do projeto e os hackers falhou, os hackers forjaram rapidamente mais 15,9 bilhões de tokens PLA, avaliados em 253,9 milhões de dólares. Parte dos tokens roubados fluiu para as exchanges, levando a PlayDapp a suspender o contrato PLA e migrar para um novo contrato de token. Este incidente destaca as graves falhas na proteção das chaves privadas e na gestão de emergências em projetos de blockchain.
3. A maior exchange de criptomoedas da Índia sofre um ataque direcionado
Valor da perda: 235 milhões de dólares
Métodos de ataque: Ataques de rede e phishing
No dia 18 de julho de 2024, a Safe Wallet, uma carteira multi-assinatura da maior exchange de criptomoedas da Índia, foi alvo de um ataque preciso por hackers. Os atacantes induziram os signatários da multi-assinatura a assinar uma transação de atualização de contrato por meio de engenharia social, e em seguida, usaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este caso destaca os potenciais riscos das carteiras multi-assinatura em relação à configuração de permissões de gerenciamento e à transparência das operações, além de provocar uma reflexão profunda na indústria sobre os mecanismos de controle interno e segurança dos projetos.
4. Gala Games sofre um ataque de emissão de tokens
Montante da perda: 216 milhões de dólares
Método de ataque: vulnerabilidade de controlo de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint no contrato do token, criando de uma só vez 5 bilhões de tokens GALA. Em seguida, os hackers trocaram os tokens criados em várias etapas por ETH, causando diretamente uma perda de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers e tentou recuperar parte das perdas através de vias judiciais.
5. A carteira pessoal de um dos cofundadores de um projeto de criptomoeda foi invadida
Perda total: 112 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais de um cofundador de um conhecido projeto de criptomoeda foram hackeadas, resultando no roubo de 112 milhões de dólares em criptomoedas. Essas carteiras foram alvo do ataque, supostamente devido à falta de proteção em dupla camada com dispositivos de hardware. Após o incidente, uma grande bolsa conseguiu congelar ativos roubados no valor de 4,2 milhões de dólares e ajudou a rastrear, mas a maior parte dos fundos já havia sido lavada através de bolsas descentralizadas e serviços de mistura.
6. Munchables enfrenta um ataque de infiltração interna
Valor da perda: 62,5 milhões de dólares
Método de ataque: ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes disfarçaram-se de desenvolvedores de blockchain e, após uma longa infiltração, conseguiram obter o código principal e chaves sensíveis. Apesar da enorme perda causada pelo ataque, sob pressão da comunidade e da equipe, os hackers finalmente devolveram todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. A maior exchange de criptomoedas da Turquia enfrenta uma violação de chave privada
Montante da perda: 55 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 22 de junho de 2024, a maior bolsa de criptomoedas da Turquia sofreu um ataque de vazamento de chave privada, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda da equipe de uma grande bolsa, 5,3 milhões de dólares do fundo roubado foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aumentou as preocupações do mercado sobre a gestão de chaves privadas em bolsas centralizadas.
8. A carteira multi-assinatura da Radiant Capital foi invadida
Montante da perda: 53 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multiassinada da Radiant Capital foi alvo de um ataque hacker. Devido à utilização de um modo de verificação de assinatura 3/11 com baixa barreira de entrada, os hackers conseguiram obter as chaves privadas de 3 signatários e realizar uma assinatura fora da cadeia, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multiassinadas.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH roubados. Isso ressalta mais uma vez a importância de os projetos Web3 aumentarem a conscientização sobre segurança.
9. Hedgey Finance sofreu ataque a contratos multi-chain
Montante da perda: 44,7 milhões de dólares
Método de ataque: vulnerabilidades de contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque a vários contratos on-chain. Os hackers exploraram uma vulnerabilidade de aprovação em seu contrato ClaimCampaigns, conseguindo extrair tokens nas redes Ethereum e Arbitrum, com uma perda total de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. A carteira quente de uma exchange foi invadida
Montante da perda: 44,7 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente de uma determinada exchange foi invadida por hackers, envolvendo várias blockchains públicas como Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete novamente o alto risco da gestão de carteiras quentes em exchanges centralizadas e impulsiona ainda mais a indústria a explorar soluções de armazenamento de ativos mais seguras.
Os eventos de segurança frequentes em 2024 nos alertam novamente que o desenvolvimento da indústria de blockchain depende de garantias de segurança. Desde o vazamento de chaves privadas até falhas em contratos, desde falhas de gestão interna até a atualização de métodos de ataque externos, cada evento trouxe lições profundas para a indústria. Para lidar com as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a investir em pesquisa tecnológica, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro e confiável, oferecendo melhor proteção para usuários e investidores.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
8 Curtidas
Recompensa
8
4
Compartilhar
Comentário
0/400
QuorumVoter
· 7h atrás
Mais um relatório de fazer as pessoas de parvas do ano.
Ver originalResponder0
LightningPacketLoss
· 7h atrás
Outra vez a chave privada se perdeu.
Ver originalResponder0
GateUser-cff9c776
· 8h atrás
Mais um ano de dados de crescimento do PIB contribuídos pelos idiotas foi divulgado!
Resumo dos eventos de segurança no campo do Web3 em 2024: 10 ataques significativos resultaram em perdas de 2,491 milhões de dólares.
Revisão dos Dez Principais Incidentes de Segurança no Campo do Web3 em 2024
Com a contínua inovação da tecnologia blockchain e a expansão do ecossistema, a indústria Web3 enfrenta desafios de segurança cada vez mais rigorosos em 2024. De acordo com dados da indústria, até o final de 2024, as perdas totais no campo da Web3 devido a ataques de hackers, fraudes de phishing e saídas maliciosas de projetos atingiram impressionantes 2,491 milhões de dólares. Esses eventos não apenas expuseram falhas técnicas em áreas como gerenciamento de chaves privadas e contratos inteligentes, mas também destacaram riscos potenciais associados a ataques de engenharia social e gestão interna. Este artigo irá revisar os dez eventos de segurança mais impactantes na área da Web3 em 2024, com o objetivo de fornecer referências para a indústria e ajudar a enfrentar melhor as ameaças à segurança no futuro.
1. Uma exchange japonesa sofreu um grande ataque
Montante da perda: 304 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de maio de 2024, uma conhecida exchange de criptomoedas japonesa sofreu um ataque histórico. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin e rapidamente dispersaram os fundos roubados em mais de 10 endereços diferentes. Este incidente expôs sérias falhas na gestão de chaves privadas e nas múltiplas camadas de segurança da exchange. Embora a exchange tenha tentado rastrear os hackers através do monitoramento on-chain e do congelamento de fundos, o rastreamento enfrentou grandes desafios devido à dispersão da transferência dos Bitcoins roubados e ao uso de ferramentas de mistura para lavagem.
No final do ano, a polícia japonesa confirmou que o incidente estava relacionado a um certo grupo de hackers internacional.
2. PlayDapp sofre um grande golpe
Montante da perda: 290 milhões de dólares Método de ataque: vazamento de chave privada
No dia 9 de fevereiro de 2024, o projeto PlayDapp sofreu perdas significativas. Hackers forjaram 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares, ao roubar chaves privadas. Como a negociação entre a equipe do projeto e os hackers falhou, os hackers forjaram rapidamente mais 15,9 bilhões de tokens PLA, avaliados em 253,9 milhões de dólares. Parte dos tokens roubados fluiu para as exchanges, levando a PlayDapp a suspender o contrato PLA e migrar para um novo contrato de token. Este incidente destaca as graves falhas na proteção das chaves privadas e na gestão de emergências em projetos de blockchain.
3. A maior exchange de criptomoedas da Índia sofre um ataque direcionado
Valor da perda: 235 milhões de dólares Métodos de ataque: Ataques de rede e phishing
No dia 18 de julho de 2024, a Safe Wallet, uma carteira multi-assinatura da maior exchange de criptomoedas da Índia, foi alvo de um ataque preciso por hackers. Os atacantes induziram os signatários da multi-assinatura a assinar uma transação de atualização de contrato por meio de engenharia social, e em seguida, usaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este caso destaca os potenciais riscos das carteiras multi-assinatura em relação à configuração de permissões de gerenciamento e à transparência das operações, além de provocar uma reflexão profunda na indústria sobre os mecanismos de controle interno e segurança dos projetos.
4. Gala Games sofre um ataque de emissão de tokens
Montante da perda: 216 milhões de dólares Método de ataque: vulnerabilidade de controlo de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint no contrato do token, criando de uma só vez 5 bilhões de tokens GALA. Em seguida, os hackers trocaram os tokens criados em várias etapas por ETH, causando diretamente uma perda de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers e tentou recuperar parte das perdas através de vias judiciais.
5. A carteira pessoal de um dos cofundadores de um projeto de criptomoeda foi invadida
Perda total: 112 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais de um cofundador de um conhecido projeto de criptomoeda foram hackeadas, resultando no roubo de 112 milhões de dólares em criptomoedas. Essas carteiras foram alvo do ataque, supostamente devido à falta de proteção em dupla camada com dispositivos de hardware. Após o incidente, uma grande bolsa conseguiu congelar ativos roubados no valor de 4,2 milhões de dólares e ajudou a rastrear, mas a maior parte dos fundos já havia sido lavada através de bolsas descentralizadas e serviços de mistura.
6. Munchables enfrenta um ataque de infiltração interna
Valor da perda: 62,5 milhões de dólares Método de ataque: ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes disfarçaram-se de desenvolvedores de blockchain e, após uma longa infiltração, conseguiram obter o código principal e chaves sensíveis. Apesar da enorme perda causada pelo ataque, sob pressão da comunidade e da equipe, os hackers finalmente devolveram todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. A maior exchange de criptomoedas da Turquia enfrenta uma violação de chave privada
Montante da perda: 55 milhões de dólares Método de ataque: vazamento de chave privada
No dia 22 de junho de 2024, a maior bolsa de criptomoedas da Turquia sofreu um ataque de vazamento de chave privada, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda da equipe de uma grande bolsa, 5,3 milhões de dólares do fundo roubado foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aumentou as preocupações do mercado sobre a gestão de chaves privadas em bolsas centralizadas.
8. A carteira multi-assinatura da Radiant Capital foi invadida
Montante da perda: 53 milhões de dólares Método de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multiassinada da Radiant Capital foi alvo de um ataque hacker. Devido à utilização de um modo de verificação de assinatura 3/11 com baixa barreira de entrada, os hackers conseguiram obter as chaves privadas de 3 signatários e realizar uma assinatura fora da cadeia, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multiassinadas.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH roubados. Isso ressalta mais uma vez a importância de os projetos Web3 aumentarem a conscientização sobre segurança.
9. Hedgey Finance sofreu ataque a contratos multi-chain
Montante da perda: 44,7 milhões de dólares Método de ataque: vulnerabilidades de contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque a vários contratos on-chain. Os hackers exploraram uma vulnerabilidade de aprovação em seu contrato ClaimCampaigns, conseguindo extrair tokens nas redes Ethereum e Arbitrum, com uma perda total de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. A carteira quente de uma exchange foi invadida
Montante da perda: 44,7 milhões de dólares Método de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente de uma determinada exchange foi invadida por hackers, envolvendo várias blockchains públicas como Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete novamente o alto risco da gestão de carteiras quentes em exchanges centralizadas e impulsiona ainda mais a indústria a explorar soluções de armazenamento de ativos mais seguras.
Os eventos de segurança frequentes em 2024 nos alertam novamente que o desenvolvimento da indústria de blockchain depende de garantias de segurança. Desde o vazamento de chaves privadas até falhas em contratos, desde falhas de gestão interna até a atualização de métodos de ataque externos, cada evento trouxe lições profundas para a indústria. Para lidar com as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a investir em pesquisa tecnológica, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro e confiável, oferecendo melhor proteção para usuários e investidores.