Resumen de los 10 principales incidentes de seguridad de Web3 en 2024
En 2024, la industria de Web3 enfrenta desafíos de seguridad severos mientras continúa su desarrollo e innovación. Según estadísticas, las pérdidas totales causadas por ataques de hackers, estafas y el colapso de proyectos alcanzan los 2.491 millones de dólares este año. Estos eventos han expuesto defectos técnicos en la gestión de claves privadas, contratos inteligentes, y también han resaltado los riesgos potenciales de la ingeniería social y la gestión interna. Este artículo revisará los diez eventos de seguridad más influyentes en el ámbito de Web3 en 2024, con la esperanza de aprender de ellos y enfrentar mejor las amenazas de seguridad futuras.
1. El evento DMM Bitcoin
Monto de la pérdida: 304 millones de dólaresMétodo de ataque: filtración de clave privada
El 31 de mayo de 2024, el conocido intercambio de criptomonedas japonés DMM Bitcoin sufrió un ataque significativo. Los hackers utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados en múltiples direcciones. Este incidente expuso graves defectos en la gestión de claves privadas y en la seguridad de múltiples capas del intercambio. A pesar de que el intercambio intentó rastrear a los hackers mediante monitoreo en la cadena y congelación de fondos, la tarea de rastreo enfrentó grandes desafíos debido a la dispersión de los fondos y al uso de herramientas de mezcla.
A finales de año, la policía japonesa confirmó que el ataque fue llevado a cabo por el grupo de hackers norcoreano Lazarus Group.
2. PlayDapp sufrió un ataque
Monto de la pérdida: 290 millones de dólaresMétodo de ataque: filtración de clave privada
El 9 de febrero de 2024, PlayDapp sufrió un duro golpe. Los hackers, al robar la clave privada, acuñaron 2 mil millones de tokens PLA, con un valor inicial de 36.5 millones de dólares. Debido a la falla en las negociaciones con los hackers, estos acuñaron posteriormente 15.9 mil millones de tokens PLA, con un valor de 253.9 millones de dólares. Después de que parte de los tokens ingresaron a los intercambios, PlayDapp se vio obligado a suspender el contrato de PLA y migrar a un nuevo contrato de tokens PDA. Este evento pone de relieve las deficiencias de los proyectos de blockchain en la protección de claves privadas y en la gestión de emergencias.
3. La cartera multisig de un intercambio indio fue hackeada
Monto de pérdida: 235 millones de dólaresMétodos de ataque: ataques en red y phishing
El 18 de julio de 2024, una importante bolsa de criptomonedas en India sufrió un ataque preciso en su monedero multi-firma Safe Wallet. Los atacantes utilizaron técnicas de ingeniería social para inducir a los firmantes de la multi-firma a firmar una transacción de actualización de contrato, y luego aprovecharon los permisos del contrato actualizado para transferir todos los activos del monedero. Este caso revela los riesgos potenciales en la configuración de permisos y la transparencia operativa de los monederos multi-firma, lo que ha llevado a una profunda reflexión en la industria sobre los mecanismos internos de control de riesgos y seguridad de los proyectos.
4. Gala Games enfrenta un ataque de emisión de tokens
Monto de la pérdida: 216 millones de dólaresMétodo de ataque: Vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. Los atacantes llamaron a la función mint del contrato de tokens, acuñando 5 mil millones de tokens GALA de una sola vez. Posteriormente, estos tokens emitidos se intercambiaron en lotes por ETH, causando una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó urgentemente la función de lista negra para bloquear algunas cuentas de los hackers y recuperó parte de las pérdidas a través de vías legales.
5. La billetera personal de un conocido fundador de criptomonedas fue robada
Monto de la pérdida: 112 millones de dólaresMétodo de ataque: filtración de clave privada
El 31 de enero de 2024, cuatro billeteras personales de un cofundador de un conocido proyecto de criptomonedas fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en criptomonedas. Estas billeteras se convirtieron en objetivos de ataque debido a la falta de protección de doble factor con dispositivos de hardware. Después del incidente, un importante intercambio logró congelar activos robados por un valor de 4.2 millones de dólares y ayudó a rastrearlos, pero la mayor parte de los fondos ya había sido lavada a través de intercambios descentralizados y servicios de mezcla.
6. Munchables enfrenta una infiltración interna
Monto de la pérdida: 62.5 millones de dólaresMétodo de ataque: Ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 basada en Blast, Munchables, sufrió un raro ataque de infiltración interna. Los atacantes se hicieron pasar por desarrolladores de blockchain y, tras una larga infiltración, obtuvieron el código fuente y claves sensibles. A pesar de las enormes pérdidas, bajo la presión de la comunidad y el equipo, los hackers finalmente devolvieron todos los fondos robados. Este evento revela la importancia de la seguridad en la cadena de suministro, especialmente para los proyectos de blockchain que dependen de desarrolladores externos.
7. Un intercambio turco sufre una filtración de claves privadas
Monto de la pérdida: 55 millones de dólaresMétodo de ataque: filtración de clave privada
El 22 de junio de 2024, un importante intercambio de criptomonedas en Turquía fue víctima de un ataque de filtración de claves privadas, perdiendo más de 55 millones de dólares en activos criptográficos. Con la ayuda de otros intercambios, se congelaron con éxito 5.3 millones de dólares de los fondos robados, pero otros activos aún no han sido recuperados. Este evento ha profundizado la preocupación del mercado sobre la gestión de claves privadas en intercambios centralizados.
8. La billetera multi-firma de Radiant Capital fue hackeada
Monto de la pérdida: 53 millones de dólaresMétodo de ataque: filtración de claves privadas
El 17 de octubre de 2024, la billetera multi-firma de Radiant Capital fue hackeada. Debido a que utilizaba un modo de verificación de firma de bajo umbral 3/11, el hacker logró iniciar una firma fuera de la cadena al controlar las claves privadas de 3 firmantes, transfiriendo así la propiedad del contrato de la billetera a una dirección maliciosa, lo que finalmente resultó en el robo de 53 millones de dólares. Este ataque ha provocado una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multi-firma.
Es importante señalar que Radiant Capital perdió 4.5 millones de dólares debido a un fallo en el contrato antes de este ataque, con más de 1900 ETH robados. Esto subraya una vez más la importancia de que los proyectos de Web3 aumenten la conciencia sobre la seguridad.
9. Hedgey Finance sufre un ataque de vulnerabilidad en el contrato
Monto de la pérdida: 44.7 millones de dólaresMétodo de ataque: vulnerabilidad del contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a varios contratos en cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns, extrayendo con éxito tokens en las cadenas de Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este evento destaca la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.
10. La billetera caliente de un intercambio fue hackeada
Monto de la pérdida: 44.7 millones de dólaresMétodo de ataque: filtración de clave privada
El 19 de septiembre de 2024, una plataforma de intercambio de criptomonedas fue hackeada, afectando a múltiples blockchains como Ethereum, BNB Chain y Tron. A pesar de que la plataforma activó rápidamente mecanismos de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por un valor de 44.7 millones de dólares. Este ataque refleja la alta vulnerabilidad en la gestión de carteras calientes de los intercambios centralizados y promueve aún más la exploración de soluciones de almacenamiento de activos más seguras en la industria.
Los frecuentes incidentes de seguridad en 2024 nos recuerdan una vez más que el desarrollo de la industria blockchain no puede prescindir de la garantía de seguridad. Desde la filtración de claves privadas hasta las vulnerabilidades de contratos, desde la negligencia en la gestión interna hasta la mejora de los métodos de ataque externos, cada incidente ha traído profundas lecciones. Para hacer frente a las amenazas de ataque cada vez más complejas, todas las partes de la industria deben seguir invirtiendo en investigación y desarrollo tecnológico, normas de gestión y prevención de riesgos. En el futuro, esperamos que, a través de la colaboración de la industria y la innovación tecnológica, podamos construir un ecosistema blockchain más seguro y proporcionar una garantía más confiable para los usuarios e inversores.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
7 me gusta
Recompensa
7
4
Compartir
Comentar
0/400
SybilSlayer
· hace10h
Tomar a la gente por tonta, tomar a la gente por tonta, es muy rápido.
Ver originalesResponder0
CryptoMom
· hace10h
Solo ha pasado un mes y ya se han perdido casi 3 mil millones.
Web3 alarma de seguridad: las diez principales pérdidas de 2024 ascienden a casi 2.5 mil millones de dólares
Resumen de los 10 principales incidentes de seguridad de Web3 en 2024
En 2024, la industria de Web3 enfrenta desafíos de seguridad severos mientras continúa su desarrollo e innovación. Según estadísticas, las pérdidas totales causadas por ataques de hackers, estafas y el colapso de proyectos alcanzan los 2.491 millones de dólares este año. Estos eventos han expuesto defectos técnicos en la gestión de claves privadas, contratos inteligentes, y también han resaltado los riesgos potenciales de la ingeniería social y la gestión interna. Este artículo revisará los diez eventos de seguridad más influyentes en el ámbito de Web3 en 2024, con la esperanza de aprender de ellos y enfrentar mejor las amenazas de seguridad futuras.
1. El evento DMM Bitcoin
Monto de la pérdida: 304 millones de dólares Método de ataque: filtración de clave privada
El 31 de mayo de 2024, el conocido intercambio de criptomonedas japonés DMM Bitcoin sufrió un ataque significativo. Los hackers utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados en múltiples direcciones. Este incidente expuso graves defectos en la gestión de claves privadas y en la seguridad de múltiples capas del intercambio. A pesar de que el intercambio intentó rastrear a los hackers mediante monitoreo en la cadena y congelación de fondos, la tarea de rastreo enfrentó grandes desafíos debido a la dispersión de los fondos y al uso de herramientas de mezcla.
A finales de año, la policía japonesa confirmó que el ataque fue llevado a cabo por el grupo de hackers norcoreano Lazarus Group.
2. PlayDapp sufrió un ataque
Monto de la pérdida: 290 millones de dólares Método de ataque: filtración de clave privada
El 9 de febrero de 2024, PlayDapp sufrió un duro golpe. Los hackers, al robar la clave privada, acuñaron 2 mil millones de tokens PLA, con un valor inicial de 36.5 millones de dólares. Debido a la falla en las negociaciones con los hackers, estos acuñaron posteriormente 15.9 mil millones de tokens PLA, con un valor de 253.9 millones de dólares. Después de que parte de los tokens ingresaron a los intercambios, PlayDapp se vio obligado a suspender el contrato de PLA y migrar a un nuevo contrato de tokens PDA. Este evento pone de relieve las deficiencias de los proyectos de blockchain en la protección de claves privadas y en la gestión de emergencias.
3. La cartera multisig de un intercambio indio fue hackeada
Monto de pérdida: 235 millones de dólares Métodos de ataque: ataques en red y phishing
El 18 de julio de 2024, una importante bolsa de criptomonedas en India sufrió un ataque preciso en su monedero multi-firma Safe Wallet. Los atacantes utilizaron técnicas de ingeniería social para inducir a los firmantes de la multi-firma a firmar una transacción de actualización de contrato, y luego aprovecharon los permisos del contrato actualizado para transferir todos los activos del monedero. Este caso revela los riesgos potenciales en la configuración de permisos y la transparencia operativa de los monederos multi-firma, lo que ha llevado a una profunda reflexión en la industria sobre los mecanismos internos de control de riesgos y seguridad de los proyectos.
4. Gala Games enfrenta un ataque de emisión de tokens
Monto de la pérdida: 216 millones de dólares Método de ataque: Vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. Los atacantes llamaron a la función mint del contrato de tokens, acuñando 5 mil millones de tokens GALA de una sola vez. Posteriormente, estos tokens emitidos se intercambiaron en lotes por ETH, causando una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó urgentemente la función de lista negra para bloquear algunas cuentas de los hackers y recuperó parte de las pérdidas a través de vías legales.
5. La billetera personal de un conocido fundador de criptomonedas fue robada
Monto de la pérdida: 112 millones de dólares Método de ataque: filtración de clave privada
El 31 de enero de 2024, cuatro billeteras personales de un cofundador de un conocido proyecto de criptomonedas fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en criptomonedas. Estas billeteras se convirtieron en objetivos de ataque debido a la falta de protección de doble factor con dispositivos de hardware. Después del incidente, un importante intercambio logró congelar activos robados por un valor de 4.2 millones de dólares y ayudó a rastrearlos, pero la mayor parte de los fondos ya había sido lavada a través de intercambios descentralizados y servicios de mezcla.
6. Munchables enfrenta una infiltración interna
Monto de la pérdida: 62.5 millones de dólares Método de ataque: Ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 basada en Blast, Munchables, sufrió un raro ataque de infiltración interna. Los atacantes se hicieron pasar por desarrolladores de blockchain y, tras una larga infiltración, obtuvieron el código fuente y claves sensibles. A pesar de las enormes pérdidas, bajo la presión de la comunidad y el equipo, los hackers finalmente devolvieron todos los fondos robados. Este evento revela la importancia de la seguridad en la cadena de suministro, especialmente para los proyectos de blockchain que dependen de desarrolladores externos.
7. Un intercambio turco sufre una filtración de claves privadas
Monto de la pérdida: 55 millones de dólares Método de ataque: filtración de clave privada
El 22 de junio de 2024, un importante intercambio de criptomonedas en Turquía fue víctima de un ataque de filtración de claves privadas, perdiendo más de 55 millones de dólares en activos criptográficos. Con la ayuda de otros intercambios, se congelaron con éxito 5.3 millones de dólares de los fondos robados, pero otros activos aún no han sido recuperados. Este evento ha profundizado la preocupación del mercado sobre la gestión de claves privadas en intercambios centralizados.
8. La billetera multi-firma de Radiant Capital fue hackeada
Monto de la pérdida: 53 millones de dólares Método de ataque: filtración de claves privadas
El 17 de octubre de 2024, la billetera multi-firma de Radiant Capital fue hackeada. Debido a que utilizaba un modo de verificación de firma de bajo umbral 3/11, el hacker logró iniciar una firma fuera de la cadena al controlar las claves privadas de 3 firmantes, transfiriendo así la propiedad del contrato de la billetera a una dirección maliciosa, lo que finalmente resultó en el robo de 53 millones de dólares. Este ataque ha provocado una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multi-firma.
Es importante señalar que Radiant Capital perdió 4.5 millones de dólares debido a un fallo en el contrato antes de este ataque, con más de 1900 ETH robados. Esto subraya una vez más la importancia de que los proyectos de Web3 aumenten la conciencia sobre la seguridad.
9. Hedgey Finance sufre un ataque de vulnerabilidad en el contrato
Monto de la pérdida: 44.7 millones de dólares Método de ataque: vulnerabilidad del contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a varios contratos en cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns, extrayendo con éxito tokens en las cadenas de Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este evento destaca la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.
10. La billetera caliente de un intercambio fue hackeada
Monto de la pérdida: 44.7 millones de dólares Método de ataque: filtración de clave privada
El 19 de septiembre de 2024, una plataforma de intercambio de criptomonedas fue hackeada, afectando a múltiples blockchains como Ethereum, BNB Chain y Tron. A pesar de que la plataforma activó rápidamente mecanismos de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por un valor de 44.7 millones de dólares. Este ataque refleja la alta vulnerabilidad en la gestión de carteras calientes de los intercambios centralizados y promueve aún más la exploración de soluciones de almacenamiento de activos más seguras en la industria.
Los frecuentes incidentes de seguridad en 2024 nos recuerdan una vez más que el desarrollo de la industria blockchain no puede prescindir de la garantía de seguridad. Desde la filtración de claves privadas hasta las vulnerabilidades de contratos, desde la negligencia en la gestión interna hasta la mejora de los métodos de ataque externos, cada incidente ha traído profundas lecciones. Para hacer frente a las amenazas de ataque cada vez más complejas, todas las partes de la industria deben seguir invirtiendo en investigación y desarrollo tecnológico, normas de gestión y prevención de riesgos. En el futuro, esperamos que, a través de la colaboración de la industria y la innovación tecnológica, podamos construir un ecosistema blockchain más seguro y proporcionar una garantía más confiable para los usuarios e inversores.