Em 2024, a indústria de blockchain, enquanto inova em tecnologia e expande ecossistemas, também enfrenta desafios de segurança cada vez mais severos. De acordo com dados relevantes, até o momento, as perdas totais no campo do Web3 devido a ataques de hackers, fraudes de phishing e desaparecimento de projetos atingiram a impressionante quantia de 2.491 milhões de dólares.
Esses eventos não apenas expuseram falhas técnicas, como a gestão de chaves privadas e vulnerabilidades de contratos inteligentes, mas também destacaram os riscos potenciais em engenharia social e gestão interna. Vamos revisar os dez eventos de segurança mais impactantes no campo do Web3 em 2024, com a esperança de extrair lições valiosas para nos prepararmos melhor para enfrentar ameaças à segurança no futuro.
1. Uma importante troca de criptomoedas japonesa sofreu um ataque significativo
Montante da perda: 304 milhões de dólaresMétodo de ataque: Vazamento de chave privada
No dia 31 de maio de 2024, uma conhecida exchange de criptomoedas japonesa sofreu um ataque histórico. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, e rapidamente dispersaram os fundos roubados em mais de 10 endereços diferentes. Este ataque expôs as sérias deficiências da exchange na gestão de chaves privadas e na proteção de múltiplas camadas de segurança. Embora a exchange tenha tentado rastrear os hackers através de monitoramento on-chain e congelamento de fundos, o Bitcoin roubado foi dispersado e lavado usando ferramentas de mistura, o que trouxe grandes desafios para o trabalho de rastreamento.
No dia 24 de dezembro, a polícia japonesa determinou que o incidente de roubo na bolsa foi obra de um certo grupo de hackers internacional.
2. PlayDapp sofre um grande golpe
Montante da perda: 290 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe, com hackers que roubaram chaves privadas para cunhar 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares. Como as negociações entre a equipe do projeto e os hackers não tiveram sucesso, os hackers cunharam rapidamente mais 15,9 bilhões de tokens PLA, avaliados em 253,9 milhões de dólares. Após parte desses tokens terem sido enviados para uma exchange, a PlayDapp foi forçada a suspender o contrato PLA e migrar para o contrato de tokens PDA. Este incidente destaca as falhas dos projetos de blockchain na proteção de chaves privadas e na gestão de emergências.
3. A maior exchange de criptomoedas da Índia sofre um ataque direcionado
Montante da perda: 235 milhões de dólaresMétodos de ataque: Ataques de rede e phishing
No dia 18 de julho de 2024, a carteira multiassinatura Safe Wallet da maior exchange de criptomoedas da Índia foi alvo de um ataque hacker preciso. Os atacantes induziram os signatários da multiassinatura a assinar uma transação de atualização de contrato através de engenharia social, e em seguida, usaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este caso destaca os riscos potenciais associados à configuração de permissões e à transparência operacional das carteiras multiassinatura, e gerou uma reflexão profunda na indústria sobre os mecanismos de controle interno e segurança dos projetos.
4. Gala Games enfrenta ataque de endereços privilegiados
Montante da perda: 216 milhões de dólaresMétodo de ataque: Vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers, que chamaram a função mint do contrato de tokens, criando de uma só vez 5 bilhões de tokens GALA. Em seguida, os hackers trocaram os tokens recém-emissão em lotes por ETH, resultando em uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers e recuperou as perdas através de vias judiciais.
5. A carteira pessoal do cofundador da Ripple foi invadida por hackers
Montante da perda: 112 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais do co-fundador da Ripple, Chris Larsen, foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras provavelmente se tornaram alvos do ataque devido à falta de proteção dupla com dispositivos de hardware. Após o incidente, uma grande exchange conseguiu congelar 4,2 milhões de dólares em XRP e ajudou Larsen a rastrear os ativos roubados, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta um ataque de infiltração interna
Montante da perda: 62,5 milhões de dólaresMétodo de ataque: Ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. O atacante era um hacker disfarçado de desenvolvedor de blockchain, que obteve o código-fonte e chaves sensíveis após um longo período de infiltração. Apesar de o ataque ter causado enormes perdas, devido à pressão da comunidade e da equipe, o hacker acabou devolvendo todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores terceirizados.
7. A maior exchange de criptomoedas da Turquia foi atacada
Montante de perda: 55 milhões de dólaresMétodo de ataque: Vazamento de chave privada
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia sofreu um ataque de vazamento de chave privada, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda da equipe de uma exchange, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aprofundou a preocupação do mercado sobre a gestão de chaves privadas em exchanges centralizadas.
8. A carteira multi-assinatura da Radiant Capital foi invadida
Montante da perda: 53 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido ao seu uso de um modelo de validação de assinatura 3/11 de baixo limite, os hackers conseguiram obter as chaves privadas de 3 signatários e realizar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão da indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH roubados. Isso destaca que os projetos Web3 ainda precisam aumentar a sua atenção à segurança.
9. Hedgey Finance enfrenta ataque a contratos multi-chain
Montante da perda: 44,7 milhões de dólaresMétodo de ataque: Vulnerabilidade de contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque a vários contratos em cadeia. Os hackers exploraram uma vulnerabilidade de autorização no seu contrato ClaimCampaigns, conseguindo extrair tokens nas cadeias Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de autorização de tokens.
10. A carteira quente de uma famosa exchange foi invadida
Montante da perda: 44,7 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente de uma conhecida exchange foi invadida por hackers, envolvendo várias blockchains como Ethereum, BNB Chain, Tron e outras. Embora a exchange tenha rapidamente ativado os mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete o alto risco da gestão de carteiras quentes em exchanges centralizadas e promove ainda mais a exploração de soluções de armazenamento de ativos mais seguras na indústria.
Os incidentes de ataques de segurança em 2024 tornaram-se frequentes, lembrando-nos mais uma vez que o desenvolvimento da indústria de blockchain não pode prescindir de uma proteção segura. Desde o vazamento de chaves privadas até vulnerabilidades de contratos, desde falhas na gestão interna até a atualização de métodos de ataque externos, cada incidente trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a investir em pesquisa e desenvolvimento tecnológico, normas de gestão e prevenção de riscos. No futuro, esperamos que a colaboração da indústria e a inovação tecnológica estabeleçam em conjunto um ecossistema de blockchain mais seguro, proporcionando uma proteção mais confiável para usuários e investidores.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Principais 10 incidentes de segurança do Web3 em 2024: perdas de quase 2,5 bilhões de dólares
Principais 10 Eventos de Segurança Web3 de 2024
Em 2024, a indústria de blockchain, enquanto inova em tecnologia e expande ecossistemas, também enfrenta desafios de segurança cada vez mais severos. De acordo com dados relevantes, até o momento, as perdas totais no campo do Web3 devido a ataques de hackers, fraudes de phishing e desaparecimento de projetos atingiram a impressionante quantia de 2.491 milhões de dólares.
Esses eventos não apenas expuseram falhas técnicas, como a gestão de chaves privadas e vulnerabilidades de contratos inteligentes, mas também destacaram os riscos potenciais em engenharia social e gestão interna. Vamos revisar os dez eventos de segurança mais impactantes no campo do Web3 em 2024, com a esperança de extrair lições valiosas para nos prepararmos melhor para enfrentar ameaças à segurança no futuro.
1. Uma importante troca de criptomoedas japonesa sofreu um ataque significativo
Montante da perda: 304 milhões de dólares Método de ataque: Vazamento de chave privada
No dia 31 de maio de 2024, uma conhecida exchange de criptomoedas japonesa sofreu um ataque histórico. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, e rapidamente dispersaram os fundos roubados em mais de 10 endereços diferentes. Este ataque expôs as sérias deficiências da exchange na gestão de chaves privadas e na proteção de múltiplas camadas de segurança. Embora a exchange tenha tentado rastrear os hackers através de monitoramento on-chain e congelamento de fundos, o Bitcoin roubado foi dispersado e lavado usando ferramentas de mistura, o que trouxe grandes desafios para o trabalho de rastreamento.
No dia 24 de dezembro, a polícia japonesa determinou que o incidente de roubo na bolsa foi obra de um certo grupo de hackers internacional.
2. PlayDapp sofre um grande golpe
Montante da perda: 290 milhões de dólares Método de ataque: vazamento de chave privada
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe, com hackers que roubaram chaves privadas para cunhar 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares. Como as negociações entre a equipe do projeto e os hackers não tiveram sucesso, os hackers cunharam rapidamente mais 15,9 bilhões de tokens PLA, avaliados em 253,9 milhões de dólares. Após parte desses tokens terem sido enviados para uma exchange, a PlayDapp foi forçada a suspender o contrato PLA e migrar para o contrato de tokens PDA. Este incidente destaca as falhas dos projetos de blockchain na proteção de chaves privadas e na gestão de emergências.
3. A maior exchange de criptomoedas da Índia sofre um ataque direcionado
Montante da perda: 235 milhões de dólares Métodos de ataque: Ataques de rede e phishing
No dia 18 de julho de 2024, a carteira multiassinatura Safe Wallet da maior exchange de criptomoedas da Índia foi alvo de um ataque hacker preciso. Os atacantes induziram os signatários da multiassinatura a assinar uma transação de atualização de contrato através de engenharia social, e em seguida, usaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este caso destaca os riscos potenciais associados à configuração de permissões e à transparência operacional das carteiras multiassinatura, e gerou uma reflexão profunda na indústria sobre os mecanismos de controle interno e segurança dos projetos.
4. Gala Games enfrenta ataque de endereços privilegiados
Montante da perda: 216 milhões de dólares Método de ataque: Vulnerabilidade de controle de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers, que chamaram a função mint do contrato de tokens, criando de uma só vez 5 bilhões de tokens GALA. Em seguida, os hackers trocaram os tokens recém-emissão em lotes por ETH, resultando em uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers e recuperou as perdas através de vias judiciais.
5. A carteira pessoal do cofundador da Ripple foi invadida por hackers
Montante da perda: 112 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais do co-fundador da Ripple, Chris Larsen, foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras provavelmente se tornaram alvos do ataque devido à falta de proteção dupla com dispositivos de hardware. Após o incidente, uma grande exchange conseguiu congelar 4,2 milhões de dólares em XRP e ajudou Larsen a rastrear os ativos roubados, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta um ataque de infiltração interna
Montante da perda: 62,5 milhões de dólares Método de ataque: Ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. O atacante era um hacker disfarçado de desenvolvedor de blockchain, que obteve o código-fonte e chaves sensíveis após um longo período de infiltração. Apesar de o ataque ter causado enormes perdas, devido à pressão da comunidade e da equipe, o hacker acabou devolvendo todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores terceirizados.
7. A maior exchange de criptomoedas da Turquia foi atacada
Montante de perda: 55 milhões de dólares Método de ataque: Vazamento de chave privada
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia sofreu um ataque de vazamento de chave privada, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda da equipe de uma exchange, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aprofundou a preocupação do mercado sobre a gestão de chaves privadas em exchanges centralizadas.
8. A carteira multi-assinatura da Radiant Capital foi invadida
Montante da perda: 53 milhões de dólares Método de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido ao seu uso de um modelo de validação de assinatura 3/11 de baixo limite, os hackers conseguiram obter as chaves privadas de 3 signatários e realizar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão da indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH roubados. Isso destaca que os projetos Web3 ainda precisam aumentar a sua atenção à segurança.
9. Hedgey Finance enfrenta ataque a contratos multi-chain
Montante da perda: 44,7 milhões de dólares Método de ataque: Vulnerabilidade de contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque a vários contratos em cadeia. Os hackers exploraram uma vulnerabilidade de autorização no seu contrato ClaimCampaigns, conseguindo extrair tokens nas cadeias Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de autorização de tokens.
10. A carteira quente de uma famosa exchange foi invadida
Montante da perda: 44,7 milhões de dólares Método de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente de uma conhecida exchange foi invadida por hackers, envolvendo várias blockchains como Ethereum, BNB Chain, Tron e outras. Embora a exchange tenha rapidamente ativado os mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete o alto risco da gestão de carteiras quentes em exchanges centralizadas e promove ainda mais a exploração de soluções de armazenamento de ativos mais seguras na indústria.
Os incidentes de ataques de segurança em 2024 tornaram-se frequentes, lembrando-nos mais uma vez que o desenvolvimento da indústria de blockchain não pode prescindir de uma proteção segura. Desde o vazamento de chaves privadas até vulnerabilidades de contratos, desde falhas na gestão interna até a atualização de métodos de ataque externos, cada incidente trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a investir em pesquisa e desenvolvimento tecnológico, normas de gestão e prevenção de riscos. No futuro, esperamos que a colaboração da indústria e a inovação tecnológica estabeleçam em conjunto um ecossistema de blockchain mais seguro, proporcionando uma proteção mais confiável para usuários e investidores.