Revisão dos Dez Principais Incidentes de Segurança no Campo Web3 em 2024
Em 2024, a indústria de blockchain, enquanto inova e se desenvolve, também enfrenta desafios de segurança cada vez mais severos. De acordo com estatísticas de plataformas de dados, até o momento, as perdas totais na área de Web3 em 2024, devido a ataques de hackers, fraudes e desaparecimentos de equipes de projetos, alcançaram 2,491 bilhões de dólares.
Estes eventos não apenas expuseram falhas técnicas na gestão de chaves privadas e contratos inteligentes, mas também destacaram os riscos potenciais em áreas como engenharia social e gestão interna. Este artigo irá enumerar os dez principais eventos de segurança na área do Web3 em 2024, para que a indústria possa aprender com os erros e lidar melhor com as ameaças de segurança no futuro.
1. Uma importante exchange de criptomoedas japonesa sofreu um ataque significativo
Montante da perda: 304 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 31 de maio de 2024, uma conhecida exchange de criptomoedas japonesa sofreu um ataque histórico. Os atacantes usaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em bitcoins, e rapidamente dispersaram os fundos roubados para mais de 10 endereços diferentes. Este incidente expôs as sérias deficiências da exchange na gestão de chaves privadas e na segurança em múltiplas camadas. Embora a exchange tenha tentado rastrear os hackers por meio de monitoramento na cadeia e congelamento de fundos, o rastreamento enfrentou grandes desafios devido à dispersão e limpeza dos bitcoins roubados através de ferramentas de mistura.
No dia 24 de dezembro, a polícia japonesa confirmou que o incidente foi obra de uma organização internacional de hackers.
2. PlayDapp sofre um grande golpe
Montante da perda: 290 milhões de dólares
Método de ataque: vazamento de chave privada
Em 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe, hackers roubaram chaves privadas e cunharam 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares. Devido à falha nas negociações entre a equipe do projeto e os hackers, estes cunharam rapidamente mais 15,9 bilhões de tokens PLA, totalizando 253,9 milhões de dólares. Após parte dos tokens ter sido movimentada para as exchanges, a PlayDapp foi forçada a suspender o contrato PLA e migrar para um novo contrato de token. Este evento destacou as deficiências dos projetos de blockchain em relação à proteção de chaves privadas e ao manejo de emergências.
3. A maior exchange de criptomoedas da Índia foi atacada
Montante da perda: 235 milhões de dólares
Métodos de ataque: Ataques de rede e phishing
No dia 18 de julho de 2024, a carteira multi-assinatura Safe Wallet da maior exchange de criptomoedas da Índia foi alvo de um ataque direcionado. Os atacantes induziram os signatários da multi-assinatura a assinar uma transação de atualização de contrato através de engenharia social, e posteriormente utilizaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este caso expôs os riscos potenciais da carteira multi-assinatura em relação à configuração de permissões e à transparência das operações, além de provocar uma reflexão profunda na indústria sobre os mecanismos internos de controle de riscos e segurança dos projetos.
4. Gala Games sofre um ataque em larga escala
Montante da perda: 216 milhões de dólares
Método de ataque: vulnerabilidade de controlo de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato do token, criando de uma só vez 5 bilhões de tokens GALA. Em seguida, os hackers trocaram os tokens emitidos em lotes por ETH, resultando diretamente em uma perda de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers após o incidente e recuperou parte das perdas por meio de vias legais.
5. Co-fundador de um conhecido projeto de blockchain foi atacado
Montante da perda: 112 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais de um dos cofundadores de um conhecido projeto de blockchain foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em criptomoedas. Essas carteiras tornaram-se alvo do ataque devido à falta de proteção de dupla autenticação com dispositivos de hardware. Após o incidente, uma grande exchange conseguiu congelar 4,2 milhões de dólares em ativos roubados e ajudou na rastreabilidade, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta infiltração interna
Montante da perda: 62,5 milhões de dólares
Método de ataque: ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes se disfarçaram de desenvolvedores de blockchain e, através de uma longa permanência, obtiveram o código-fonte e chaves sensíveis. Apesar de causar enormes perdas, sob pressão da comunidade e da equipe, os hackers finalmente devolveram todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. A bolsa de criptomoedas da Turquia sofre um ataque
Montante da perda: 55 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 22 de junho de 2024, a maior bolsa de criptomoedas da Turquia sofreu um ataque de vazamento de chave privada, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda da equipe de uma grande bolsa, 5,3 milhões de dólares do montante roubado foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este incidente aprofundou as preocupações do mercado sobre a gestão de chaves privadas em bolsas centralizadas.
8. A carteira multifirma da Radiant Capital foi atacada
Montante da perda: 53 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido ao uso de um modelo de validação de assinatura de baixo limite de 3/11, os hackers conseguiram, ao controlar as chaves privadas de 3 signatários, iniciar assinaturas off-chain e transferir a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH sendo roubados. Isso mais uma vez demonstra que as equipes de projetos Web3 ainda precisam aumentar a sua atenção à segurança.
9. Hedgey Finance sofreu um ataque cross-chain
Valor da perda: 44,7 milhões de dólares
Método de ataque: Vulnerabilidade de contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque a vários contratos em cadeia. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas redes Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. A carteira quente de uma exchange de criptomoedas foi invadida
Montante da perda: 44,7 milhões de dólares
Método de ataque: vazamento de chave privada
Em 19 de setembro de 2024, a carteira quente de uma exchange de criptomoedas foi invadida por hackers, envolvendo várias blockchains, incluindo Ethereum, BNB Chain, Tron, entre outras. Embora a exchange tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram retirar ativos no valor de 44,7 milhões de dólares. Este ataque expôs novamente o alto risco da gestão de carteiras quentes em exchanges centralizadas, impulsionando a indústria a explorar soluções de armazenamento de ativos mais seguras.
A frequência de incidentes de segurança em 2024 nos lembra mais uma vez que o desenvolvimento da indústria de blockchain não pode prescindir de uma proteção segura. Desde a revelação de chaves privadas até falhas em contratos, desde negligências na gestão interna até a atualização das técnicas de ataque externas, cada incidente trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a fortalecer os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e prevenção de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro, proporcionando garantias mais confiáveis para usuários e investidores.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
24 Curtidas
Recompensa
24
7
Compartilhar
Comentário
0/400
ProbablyNothing
· 07-20 22:27
Não é de admirar que a carteira esteja fria.
Ver originalResponder0
FrontRunFighter
· 07-19 17:24
mais um dia na floresta escura... extração como de costume smh
Ver originalResponder0
CascadingDipBuyer
· 07-18 01:51
Copiar por um ano é o mesmo que não copiar.
Ver originalResponder0
Blockblind
· 07-18 01:49
Ai, mais um ano a puxar o tapete.
Ver originalResponder0
SchrodingerWallet
· 07-18 01:40
又被 fazer as pessoas de parvas 了点 idiotas
Ver originalResponder0
StablecoinArbitrageur
· 07-18 01:34
*ajusta os óculos virtuais* 2.491B... estes amadores nunca aprendem sobre a gestão adequada de chaves smh
Ver originalResponder0
pvt_key_collector
· 07-18 01:24
As vulnerabilidades de contratos tornaram-se algo comum.
Revisão da Segurança Web3 de 2024: 10 Grandes Eventos que Resultaram em Quase 2,5 Mil Milhões de Dólares em Perdas
Revisão dos Dez Principais Incidentes de Segurança no Campo Web3 em 2024
Em 2024, a indústria de blockchain, enquanto inova e se desenvolve, também enfrenta desafios de segurança cada vez mais severos. De acordo com estatísticas de plataformas de dados, até o momento, as perdas totais na área de Web3 em 2024, devido a ataques de hackers, fraudes e desaparecimentos de equipes de projetos, alcançaram 2,491 bilhões de dólares.
Estes eventos não apenas expuseram falhas técnicas na gestão de chaves privadas e contratos inteligentes, mas também destacaram os riscos potenciais em áreas como engenharia social e gestão interna. Este artigo irá enumerar os dez principais eventos de segurança na área do Web3 em 2024, para que a indústria possa aprender com os erros e lidar melhor com as ameaças de segurança no futuro.
1. Uma importante exchange de criptomoedas japonesa sofreu um ataque significativo
Montante da perda: 304 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de maio de 2024, uma conhecida exchange de criptomoedas japonesa sofreu um ataque histórico. Os atacantes usaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em bitcoins, e rapidamente dispersaram os fundos roubados para mais de 10 endereços diferentes. Este incidente expôs as sérias deficiências da exchange na gestão de chaves privadas e na segurança em múltiplas camadas. Embora a exchange tenha tentado rastrear os hackers por meio de monitoramento na cadeia e congelamento de fundos, o rastreamento enfrentou grandes desafios devido à dispersão e limpeza dos bitcoins roubados através de ferramentas de mistura.
No dia 24 de dezembro, a polícia japonesa confirmou que o incidente foi obra de uma organização internacional de hackers.
2. PlayDapp sofre um grande golpe
Montante da perda: 290 milhões de dólares Método de ataque: vazamento de chave privada
Em 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe, hackers roubaram chaves privadas e cunharam 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares. Devido à falha nas negociações entre a equipe do projeto e os hackers, estes cunharam rapidamente mais 15,9 bilhões de tokens PLA, totalizando 253,9 milhões de dólares. Após parte dos tokens ter sido movimentada para as exchanges, a PlayDapp foi forçada a suspender o contrato PLA e migrar para um novo contrato de token. Este evento destacou as deficiências dos projetos de blockchain em relação à proteção de chaves privadas e ao manejo de emergências.
3. A maior exchange de criptomoedas da Índia foi atacada
Montante da perda: 235 milhões de dólares Métodos de ataque: Ataques de rede e phishing
No dia 18 de julho de 2024, a carteira multi-assinatura Safe Wallet da maior exchange de criptomoedas da Índia foi alvo de um ataque direcionado. Os atacantes induziram os signatários da multi-assinatura a assinar uma transação de atualização de contrato através de engenharia social, e posteriormente utilizaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este caso expôs os riscos potenciais da carteira multi-assinatura em relação à configuração de permissões e à transparência das operações, além de provocar uma reflexão profunda na indústria sobre os mecanismos internos de controle de riscos e segurança dos projetos.
4. Gala Games sofre um ataque em larga escala
Montante da perda: 216 milhões de dólares Método de ataque: vulnerabilidade de controlo de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato do token, criando de uma só vez 5 bilhões de tokens GALA. Em seguida, os hackers trocaram os tokens emitidos em lotes por ETH, resultando diretamente em uma perda de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers após o incidente e recuperou parte das perdas por meio de vias legais.
5. Co-fundador de um conhecido projeto de blockchain foi atacado
Montante da perda: 112 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais de um dos cofundadores de um conhecido projeto de blockchain foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em criptomoedas. Essas carteiras tornaram-se alvo do ataque devido à falta de proteção de dupla autenticação com dispositivos de hardware. Após o incidente, uma grande exchange conseguiu congelar 4,2 milhões de dólares em ativos roubados e ajudou na rastreabilidade, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta infiltração interna
Montante da perda: 62,5 milhões de dólares Método de ataque: ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes se disfarçaram de desenvolvedores de blockchain e, através de uma longa permanência, obtiveram o código-fonte e chaves sensíveis. Apesar de causar enormes perdas, sob pressão da comunidade e da equipe, os hackers finalmente devolveram todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. A bolsa de criptomoedas da Turquia sofre um ataque
Montante da perda: 55 milhões de dólares Método de ataque: vazamento de chave privada
No dia 22 de junho de 2024, a maior bolsa de criptomoedas da Turquia sofreu um ataque de vazamento de chave privada, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda da equipe de uma grande bolsa, 5,3 milhões de dólares do montante roubado foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este incidente aprofundou as preocupações do mercado sobre a gestão de chaves privadas em bolsas centralizadas.
8. A carteira multifirma da Radiant Capital foi atacada
Montante da perda: 53 milhões de dólares Método de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido ao uso de um modelo de validação de assinatura de baixo limite de 3/11, os hackers conseguiram, ao controlar as chaves privadas de 3 signatários, iniciar assinaturas off-chain e transferir a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH sendo roubados. Isso mais uma vez demonstra que as equipes de projetos Web3 ainda precisam aumentar a sua atenção à segurança.
9. Hedgey Finance sofreu um ataque cross-chain
Valor da perda: 44,7 milhões de dólares Método de ataque: Vulnerabilidade de contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque a vários contratos em cadeia. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas redes Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. A carteira quente de uma exchange de criptomoedas foi invadida
Montante da perda: 44,7 milhões de dólares Método de ataque: vazamento de chave privada
Em 19 de setembro de 2024, a carteira quente de uma exchange de criptomoedas foi invadida por hackers, envolvendo várias blockchains, incluindo Ethereum, BNB Chain, Tron, entre outras. Embora a exchange tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram retirar ativos no valor de 44,7 milhões de dólares. Este ataque expôs novamente o alto risco da gestão de carteiras quentes em exchanges centralizadas, impulsionando a indústria a explorar soluções de armazenamento de ativos mais seguras.
A frequência de incidentes de segurança em 2024 nos lembra mais uma vez que o desenvolvimento da indústria de blockchain não pode prescindir de uma proteção segura. Desde a revelação de chaves privadas até falhas em contratos, desde negligências na gestão interna até a atualização das técnicas de ataque externas, cada incidente trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a fortalecer os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e prevenção de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro, proporcionando garantias mais confiáveis para usuários e investidores.