Os dez principais incidentes de segurança do Web3 em 2024 resultaram em perdas de quase 2,5 mil milhões de dólares, com a divulgação de Chave privada como a principal causa.
Revisão dos eventos de segurança da indústria Web3 em 2024: Análise dos dez principais casos de ataque
Em 2024, a indústria Web3, enquanto se desenvolve rapidamente, também enfrenta desafios de segurança cada vez mais severos. De acordo com estatísticas, até o final do ano, as perdas totais neste setor devido a ataques de hackers, fraudes e fuga de projetos podem chegar a 2,491 bilhões de dólares. Esses eventos não apenas expuseram vulnerabilidades a nível técnico, como gestão de chaves privadas e problemas de contratos inteligentes, mas também destacaram a importância dos ataques de engenharia social e dos riscos de gestão interna.
Este artigo irá rever os dez principais eventos de segurança no campo do Web3 em 2024, com o objetivo de extrair lições aprendidas e fornecer referências para a proteção de segurança futura.
1. Uma importante troca japonesa sofreu um ataque significativo
Perda: 304 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 31 de maio de 2024, uma famosa exchange de criptomoedas japonesa sofreu um ataque histórico. Os hackers utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos para vários endereços. Este incidente expôs sérias falhas na gestão de chaves privadas e na proteção de segurança em múltiplas camadas da exchange. Embora a exchange tenha tentado rastrear os hackers por meio de monitoramento on-chain e congelamento de fundos, a dificuldade de recuperação é imensa, uma vez que os fundos roubados foram rapidamente dispersos e lavados através de ferramentas de mistura.
No final do ano, a polícia japonesa determinou que o ataque foi realizado por um grupo de hackers específico.
2. PlayDapp sofre um grande golpe
Perda: 290 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um grave incidente de segurança. Hackers conseguiram forjar uma grande quantidade de tokens PLA ao roubar chaves privadas, com um valor inicial de 36,5 milhões de dólares. Como as negociações com os hackers falharam, os atacantes então forjaram mais tokens, fazendo com que a perda total disparasse para 253,9 milhões de dólares. A PlayDapp foi forçada a suspender o contrato original e migrar para um novo contrato de token. Este evento destaca as deficiências dos projetos de blockchain na proteção de chaves privadas e na resposta a emergências.
3. A maior exchange de criptomoedas da Índia sofre um ataque preciso
Perda: 235 milhões de dólaresMétodos de Ataque: Ataques de Rede e Phishing
No dia 18 de julho de 2024, a maior exchange de criptomoedas da Índia sofreu um ataque preciso ao seu wallet multi-assinatura. Os atacantes utilizaram engenharia social para induzir os signatários multi-assinatura a aprovar uma transação de atualização de contrato, e em seguida, utilizaram os privilégios do contrato atualizado para transferir todos os ativos da wallet. Este caso revelou os riscos potenciais dos wallets multi-assinatura em termos de gestão de permissões e transparência de operações, provocando uma reflexão aprofundada na indústria sobre os mecanismos de controle de risco interno dos projetos.
4. Gala Games sofre um ataque de emissão de tokens
Perda: 216 milhões de dólaresMétodo de ataque: vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato de token e, em uma única vez, cunharam 5 bilhões de tokens GALA. Em seguida, esses tokens foram trocados em lotes por ETH, resultando em uma perda direta de 216 milhões de dólares. A equipe da Gala Games então ativou a função de lista negra para bloquear algumas contas dos hackers e recuperou parte das perdas por meio de ações legais.
5. A carteira pessoal do fundador de um famoso projeto de criptomoeda foi roubada
Perda: 112 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais de um cofundador de um renomado projeto de criptomoeda foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras foram alvo do ataque devido à falta de proteção dupla de hardware. Embora uma exchange tenha conseguido congelar parte dos fundos roubados e ajudado a rastrear, a maior parte dos fundos já foi lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta infiltração interna
Perda: 62,5 milhões de dólaresTécnica de ataque: Ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes se disfarçaram de desenvolvedores de blockchain e, após uma longa permanência, obtiveram o código-fonte e chaves sensíveis. Embora tenham causado enormes perdas, sob pressão da comunidade e da equipe, os hackers finalmente devolveram todos os fundos roubados. Este incidente destaca a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. Principais bolsas da Turquia enfrentam vazamento de chave privada
Perda: 55 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 22 de junho de 2024, uma das principais bolsas de criptomoedas da Turquia sofreu um ataque de vazamento de chave privada, resultando em uma perda de mais de 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma grande bolsa, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aumentou as preocupações do mercado sobre a capacidade de gestão de chaves privadas das bolsas centralizadas.
8. A carteira multi-assinatura da Radiant Capital foi invadida
Perda: 53 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multiassinada da Radiant Capital foi alvo de um ataque de hackers. Devido à adoção de um modelo de verificação de assinatura 3/11 com baixo limiar, os hackers obtiveram as chaves privadas de 3 signatários e realizaram uma assinatura fora da cadeia, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque desencadeou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multiassinadas.
É importante notar que a Radiant Capital perdeu 4,5 milhões de dólares recentemente devido a uma vulnerabilidade no contrato, o que reflete que a equipe do projeto ainda tem espaço para melhorar a sua atenção à segurança.
9. Hedgey Finance enfrenta um ataque multi-chain
Perda: 44,7 milhões de dólaresMétodo de ataque: Vulnerabilidade de contrato
No dia 19 de abril de 2024, vários contratos em cadeia da Hedgey Finance foram atacados. Os hackers exploraram uma vulnerabilidade de autorização no contrato ClaimCampaigns e conseguiram extrair tokens nas cadeias Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este evento enfatiza novamente a importância da auditoria de código, especialmente a verificação rigorosa da lógica de autorização de tokens.
10. A carteira quente de uma exchange foi invadida
Perda: 44,7 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente de uma bolsa foi invadida por hackers, envolvendo várias blockchains como Ethereum, BNB Chain e Tron. Embora a bolsa tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de retiradas, os hackers conseguiram extrair com sucesso ativos no valor de 44,7 milhões de dólares. Este ataque levantou novamente a preocupação da indústria sobre os riscos de gestão das carteiras quentes das bolsas centralizadas, impulsionando a exploração de soluções mais seguras para o armazenamento de ativos.
Os eventos de segurança frequentes em 2024 nos lembram mais uma vez que o desenvolvimento saudável da indústria de blockchain depende de uma forte segurança. Desde a gestão de chaves privadas até a segurança de contratos, desde o controle interno até a defesa externa, cada incidente soou o alarme para a indústria. No futuro, esperamos que, através da inovação tecnológica e da colaboração da indústria, possamos construir um ecossistema de blockchain mais seguro e confiável, proporcionando uma melhor proteção para usuários e investidores.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
15 gostos
Recompensa
15
3
Republicar
Partilhar
Comentar
0/400
ThatsNotARugPull
· 08-11 09:01
Outra vez a chave privada foi vazada.. Longe da realidade
Ver originalResponder0
RegenRestorer
· 08-11 08:57
É verdadeiramente absurdo, mais uma vez uma chave privada foi vazada.
Ver originalResponder0
New_Ser_Ngmi
· 08-11 08:38
Se realmente tem moeda, então não tenha mais contacto com o web3.
Os dez principais incidentes de segurança do Web3 em 2024 resultaram em perdas de quase 2,5 mil milhões de dólares, com a divulgação de Chave privada como a principal causa.
Revisão dos eventos de segurança da indústria Web3 em 2024: Análise dos dez principais casos de ataque
Em 2024, a indústria Web3, enquanto se desenvolve rapidamente, também enfrenta desafios de segurança cada vez mais severos. De acordo com estatísticas, até o final do ano, as perdas totais neste setor devido a ataques de hackers, fraudes e fuga de projetos podem chegar a 2,491 bilhões de dólares. Esses eventos não apenas expuseram vulnerabilidades a nível técnico, como gestão de chaves privadas e problemas de contratos inteligentes, mas também destacaram a importância dos ataques de engenharia social e dos riscos de gestão interna.
Este artigo irá rever os dez principais eventos de segurança no campo do Web3 em 2024, com o objetivo de extrair lições aprendidas e fornecer referências para a proteção de segurança futura.
1. Uma importante troca japonesa sofreu um ataque significativo
Perda: 304 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de maio de 2024, uma famosa exchange de criptomoedas japonesa sofreu um ataque histórico. Os hackers utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos para vários endereços. Este incidente expôs sérias falhas na gestão de chaves privadas e na proteção de segurança em múltiplas camadas da exchange. Embora a exchange tenha tentado rastrear os hackers por meio de monitoramento on-chain e congelamento de fundos, a dificuldade de recuperação é imensa, uma vez que os fundos roubados foram rapidamente dispersos e lavados através de ferramentas de mistura.
No final do ano, a polícia japonesa determinou que o ataque foi realizado por um grupo de hackers específico.
2. PlayDapp sofre um grande golpe
Perda: 290 milhões de dólares Método de ataque: vazamento de chave privada
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um grave incidente de segurança. Hackers conseguiram forjar uma grande quantidade de tokens PLA ao roubar chaves privadas, com um valor inicial de 36,5 milhões de dólares. Como as negociações com os hackers falharam, os atacantes então forjaram mais tokens, fazendo com que a perda total disparasse para 253,9 milhões de dólares. A PlayDapp foi forçada a suspender o contrato original e migrar para um novo contrato de token. Este evento destaca as deficiências dos projetos de blockchain na proteção de chaves privadas e na resposta a emergências.
3. A maior exchange de criptomoedas da Índia sofre um ataque preciso
Perda: 235 milhões de dólares Métodos de Ataque: Ataques de Rede e Phishing
No dia 18 de julho de 2024, a maior exchange de criptomoedas da Índia sofreu um ataque preciso ao seu wallet multi-assinatura. Os atacantes utilizaram engenharia social para induzir os signatários multi-assinatura a aprovar uma transação de atualização de contrato, e em seguida, utilizaram os privilégios do contrato atualizado para transferir todos os ativos da wallet. Este caso revelou os riscos potenciais dos wallets multi-assinatura em termos de gestão de permissões e transparência de operações, provocando uma reflexão aprofundada na indústria sobre os mecanismos de controle de risco interno dos projetos.
4. Gala Games sofre um ataque de emissão de tokens
Perda: 216 milhões de dólares Método de ataque: vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato de token e, em uma única vez, cunharam 5 bilhões de tokens GALA. Em seguida, esses tokens foram trocados em lotes por ETH, resultando em uma perda direta de 216 milhões de dólares. A equipe da Gala Games então ativou a função de lista negra para bloquear algumas contas dos hackers e recuperou parte das perdas por meio de ações legais.
5. A carteira pessoal do fundador de um famoso projeto de criptomoeda foi roubada
Perda: 112 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais de um cofundador de um renomado projeto de criptomoeda foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras foram alvo do ataque devido à falta de proteção dupla de hardware. Embora uma exchange tenha conseguido congelar parte dos fundos roubados e ajudado a rastrear, a maior parte dos fundos já foi lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta infiltração interna
Perda: 62,5 milhões de dólares Técnica de ataque: Ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes se disfarçaram de desenvolvedores de blockchain e, após uma longa permanência, obtiveram o código-fonte e chaves sensíveis. Embora tenham causado enormes perdas, sob pressão da comunidade e da equipe, os hackers finalmente devolveram todos os fundos roubados. Este incidente destaca a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. Principais bolsas da Turquia enfrentam vazamento de chave privada
Perda: 55 milhões de dólares Método de ataque: vazamento de chave privada
No dia 22 de junho de 2024, uma das principais bolsas de criptomoedas da Turquia sofreu um ataque de vazamento de chave privada, resultando em uma perda de mais de 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma grande bolsa, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aumentou as preocupações do mercado sobre a capacidade de gestão de chaves privadas das bolsas centralizadas.
8. A carteira multi-assinatura da Radiant Capital foi invadida
Perda: 53 milhões de dólares Método de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multiassinada da Radiant Capital foi alvo de um ataque de hackers. Devido à adoção de um modelo de verificação de assinatura 3/11 com baixo limiar, os hackers obtiveram as chaves privadas de 3 signatários e realizaram uma assinatura fora da cadeia, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque desencadeou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multiassinadas.
É importante notar que a Radiant Capital perdeu 4,5 milhões de dólares recentemente devido a uma vulnerabilidade no contrato, o que reflete que a equipe do projeto ainda tem espaço para melhorar a sua atenção à segurança.
9. Hedgey Finance enfrenta um ataque multi-chain
Perda: 44,7 milhões de dólares Método de ataque: Vulnerabilidade de contrato
No dia 19 de abril de 2024, vários contratos em cadeia da Hedgey Finance foram atacados. Os hackers exploraram uma vulnerabilidade de autorização no contrato ClaimCampaigns e conseguiram extrair tokens nas cadeias Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este evento enfatiza novamente a importância da auditoria de código, especialmente a verificação rigorosa da lógica de autorização de tokens.
10. A carteira quente de uma exchange foi invadida
Perda: 44,7 milhões de dólares Método de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente de uma bolsa foi invadida por hackers, envolvendo várias blockchains como Ethereum, BNB Chain e Tron. Embora a bolsa tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de retiradas, os hackers conseguiram extrair com sucesso ativos no valor de 44,7 milhões de dólares. Este ataque levantou novamente a preocupação da indústria sobre os riscos de gestão das carteiras quentes das bolsas centralizadas, impulsionando a exploração de soluções mais seguras para o armazenamento de ativos.
Os eventos de segurança frequentes em 2024 nos lembram mais uma vez que o desenvolvimento saudável da indústria de blockchain depende de uma forte segurança. Desde a gestão de chaves privadas até a segurança de contratos, desde o controle interno até a defesa externa, cada incidente soou o alarme para a indústria. No futuro, esperamos que, através da inovação tecnológica e da colaboração da indústria, possamos construir um ecossistema de blockchain mais seguro e confiável, proporcionando uma melhor proteção para usuários e investidores.