Revisão dos 10 principais incidentes de segurança em Web3 em 2024
Em 2024, a indústria de blockchain, enquanto se desenvolve rapidamente, também enfrenta desafios de segurança severos. Segundo monitoramento de plataformas de dados, até o final do ano, as perdas totais no setor Web3 devido a ataques de hackers, fraudes e desaparecimento de projetos atingiram impressionantes 2,491 bilhões de dólares. Esses eventos não apenas expuseram vulnerabilidades no nível técnico, mas também destacaram os riscos potenciais de engenharia social e gestão interna. Vamos rever os dez principais incidentes de segurança mais impactantes no setor Web3 em 2024, na esperança de aprender com eles e enfrentar melhor as ameaças de segurança futuras.
1. DMM Bitcoin: A divulgação de chaves privadas levou a uma perda de 304 milhões de dólares.
No dia 31 de maio de 2024, a conhecida exchange de criptomoedas japonesa DMM Bitcoin sofreu um grande golpe. Os atacantes utilizaram chaves privadas vazadas para transferir mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos em vários endereços. Este incidente expôs falhas graves na gestão de chaves privadas e na segurança em múltiplas camadas da exchange. Embora a exchange tenha tentado rastrear os hackers através de monitoramento on-chain e congelamento de fundos, os fundos roubados já foram transferidos e lavados através de ferramentas de mistura, aumentando significativamente a dificuldade de recuperação.
No final do ano, a polícia japonesa confirmou que o ataque foi realizado por um determinado grupo de hackers.
2. PlayDapp: Perda de 290 milhões de dólares devido ao vazamento de chaves privadas
No dia 9 de fevereiro de 2024, a PlayDapp enfrentou um grave incidente de segurança. Hackers, ao roubar chaves privadas, cunharam uma grande quantidade de tokens PLA, com um valor inicial de 36,5 milhões de dólares. Devido ao fracasso nas negociações com os hackers, os atacantes cunharam mais tokens, totalizando um valor de 253,9 milhões de dólares. Após parte desses tokens ter sido movimentada para as exchanges, a PlayDapp foi forçada a suspender o contrato PLA e migrar para um novo contrato de token. Este incidente destaca as deficiências dos projetos de blockchain na proteção de chaves privadas e na gestão de emergências.
3. Uma bolsa de valores indiana: ataques cibernéticos e phishing resultam em perdas de 235 milhões de dólares
No dia 18 de julho de 2024, a Safe Wallet, uma carteira multi-assinatura da maior exchange de criptomoedas da Índia, foi alvo de um ataque direcionado. Os atacantes induziram os signatários da multi-assinatura a assinar uma transação de atualização de contrato por meio de engenharia social, e em seguida utilizaram os direitos do contrato atualizado para transferir os ativos da carteira. Este caso expôs os riscos potenciais da carteira multi-assinatura em relação à configuração de permissões e à transparência das operações, levantando uma reflexão profunda na indústria sobre os mecanismos internos de controle de risco e segurança dos projetos.
4. Gala Games: Vulnerabilidade de controle de acesso resulta em perdas de 216 milhões de dólares
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato do token e criaram 5 bilhões de tokens GALA de uma só vez. Em seguida, esses tokens foram trocados em partes por ETH, resultando em uma perda de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers e recuperou parte das perdas por meio de vias legais.
5. Cofundador de uma criptomoeda: a violação da chave privada causou uma perda de 112 milhões de dólares
No dia 31 de janeiro de 2024, quatro carteiras pessoais de um cofundador de um conhecido projeto de criptomoeda foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em tokens. Essas carteiras tornaram-se alvo do ataque devido à falta de proteção em dupla camada com dispositivos de hardware. Após o incidente, uma exchange conseguiu congelar tokens no valor de 4,2 milhões de dólares, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables: Ataques de engenharia social resultam em perdas de 62,5 milhões de dólares
No dia 26 de março de 2024, a plataforma de jogos Web3 Munchables, baseada em Blast, sofreu um raro ataque de infiltração interna. Os atacantes se disfarçaram de desenvolvedores de blockchain e, após um longo período de infiltração, obtiveram o código-fonte e chaves sensíveis. Apesar das enormes perdas, sob pressão da comunidade e da equipe, os hackers acabaram devolvendo todos os fundos roubados. Este incidente destaca a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvimentos de terceiros.
7. Uma exchange turca: vazamento de chave privada causa perda de 55 milhões de dólares
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia sofreu um ataque de vazamento de chaves privadas, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda da equipe de uma determinada exchange, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este incidente aprofundou as preocupações do mercado sobre a gestão de chaves privadas em exchanges centralizadas.
8. Radiant Capital: A divulgação de chaves privadas resultou em perdas de 53 milhões de dólares
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido ao uso do modo de verificação de assinatura 3/11, os hackers conseguiram, ao controlar as chaves privadas de 3 signatários, iniciar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando, em última instância, no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade em um contrato, com mais de 1900 ETH roubados, o que demonstra que o nível de atenção à segurança por parte dos projetos Web3 ainda precisa ser melhorado.
9. Hedgey Finance: Falha de contrato causa perda de 44.7 milhões de dólares
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque direcionado a vários contratos em cadeia. Os hackers exploraram uma vulnerabilidade de aprovação no contrato ClaimCampaigns, conseguindo extrair tokens nas duas cadeias Ethereum e Arbitrum, com uma perda total de 44,7 milhões de dólares. Este evento destacou a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. Uma exchange de criptomoedas: vazamento de chave privada resulta em perda de 44,7 milhões de dólares
No dia 19 de setembro de 2024, a carteira quente de uma determinada exchange foi invadida por hackers, afetando várias blockchains, incluindo Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de retiradas, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete novamente o alto risco da gestão de carteiras quentes em exchanges centralizadas, impulsionando a indústria a explorar soluções de armazenamento de ativos mais seguras.
Os frequentes acidentes de segurança em 2024 nos lembram mais uma vez que o desenvolvimento da indústria de blockchain não pode prescindir da garantia de segurança. Desde a gestão de chaves privadas até as vulnerabilidades de contratos, desde falhas de gestão interna até a atualização das táticas de ataque externas, cada evento trouxe lições profundas. Para lidar com as ameaças de segurança cada vez mais complexas, todos os envolvidos na indústria precisam continuar a aumentar os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro, proporcionando uma proteção mais confiável para usuários e investidores.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Revisão dos 10 principais incidentes de segurança do Web3 em 2024: perdas de quase 2,5 mil milhões de dólares alertam a indústria
Revisão dos 10 principais incidentes de segurança em Web3 em 2024
Em 2024, a indústria de blockchain, enquanto se desenvolve rapidamente, também enfrenta desafios de segurança severos. Segundo monitoramento de plataformas de dados, até o final do ano, as perdas totais no setor Web3 devido a ataques de hackers, fraudes e desaparecimento de projetos atingiram impressionantes 2,491 bilhões de dólares. Esses eventos não apenas expuseram vulnerabilidades no nível técnico, mas também destacaram os riscos potenciais de engenharia social e gestão interna. Vamos rever os dez principais incidentes de segurança mais impactantes no setor Web3 em 2024, na esperança de aprender com eles e enfrentar melhor as ameaças de segurança futuras.
1. DMM Bitcoin: A divulgação de chaves privadas levou a uma perda de 304 milhões de dólares.
No dia 31 de maio de 2024, a conhecida exchange de criptomoedas japonesa DMM Bitcoin sofreu um grande golpe. Os atacantes utilizaram chaves privadas vazadas para transferir mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos em vários endereços. Este incidente expôs falhas graves na gestão de chaves privadas e na segurança em múltiplas camadas da exchange. Embora a exchange tenha tentado rastrear os hackers através de monitoramento on-chain e congelamento de fundos, os fundos roubados já foram transferidos e lavados através de ferramentas de mistura, aumentando significativamente a dificuldade de recuperação.
No final do ano, a polícia japonesa confirmou que o ataque foi realizado por um determinado grupo de hackers.
2. PlayDapp: Perda de 290 milhões de dólares devido ao vazamento de chaves privadas
No dia 9 de fevereiro de 2024, a PlayDapp enfrentou um grave incidente de segurança. Hackers, ao roubar chaves privadas, cunharam uma grande quantidade de tokens PLA, com um valor inicial de 36,5 milhões de dólares. Devido ao fracasso nas negociações com os hackers, os atacantes cunharam mais tokens, totalizando um valor de 253,9 milhões de dólares. Após parte desses tokens ter sido movimentada para as exchanges, a PlayDapp foi forçada a suspender o contrato PLA e migrar para um novo contrato de token. Este incidente destaca as deficiências dos projetos de blockchain na proteção de chaves privadas e na gestão de emergências.
3. Uma bolsa de valores indiana: ataques cibernéticos e phishing resultam em perdas de 235 milhões de dólares
No dia 18 de julho de 2024, a Safe Wallet, uma carteira multi-assinatura da maior exchange de criptomoedas da Índia, foi alvo de um ataque direcionado. Os atacantes induziram os signatários da multi-assinatura a assinar uma transação de atualização de contrato por meio de engenharia social, e em seguida utilizaram os direitos do contrato atualizado para transferir os ativos da carteira. Este caso expôs os riscos potenciais da carteira multi-assinatura em relação à configuração de permissões e à transparência das operações, levantando uma reflexão profunda na indústria sobre os mecanismos internos de controle de risco e segurança dos projetos.
4. Gala Games: Vulnerabilidade de controle de acesso resulta em perdas de 216 milhões de dólares
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint do contrato do token e criaram 5 bilhões de tokens GALA de uma só vez. Em seguida, esses tokens foram trocados em partes por ETH, resultando em uma perda de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers e recuperou parte das perdas por meio de vias legais.
5. Cofundador de uma criptomoeda: a violação da chave privada causou uma perda de 112 milhões de dólares
No dia 31 de janeiro de 2024, quatro carteiras pessoais de um cofundador de um conhecido projeto de criptomoeda foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em tokens. Essas carteiras tornaram-se alvo do ataque devido à falta de proteção em dupla camada com dispositivos de hardware. Após o incidente, uma exchange conseguiu congelar tokens no valor de 4,2 milhões de dólares, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables: Ataques de engenharia social resultam em perdas de 62,5 milhões de dólares
No dia 26 de março de 2024, a plataforma de jogos Web3 Munchables, baseada em Blast, sofreu um raro ataque de infiltração interna. Os atacantes se disfarçaram de desenvolvedores de blockchain e, após um longo período de infiltração, obtiveram o código-fonte e chaves sensíveis. Apesar das enormes perdas, sob pressão da comunidade e da equipe, os hackers acabaram devolvendo todos os fundos roubados. Este incidente destaca a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvimentos de terceiros.
7. Uma exchange turca: vazamento de chave privada causa perda de 55 milhões de dólares
No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia sofreu um ataque de vazamento de chaves privadas, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda da equipe de uma determinada exchange, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este incidente aprofundou as preocupações do mercado sobre a gestão de chaves privadas em exchanges centralizadas.
8. Radiant Capital: A divulgação de chaves privadas resultou em perdas de 53 milhões de dólares
No dia 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido ao uso do modo de verificação de assinatura 3/11, os hackers conseguiram, ao controlar as chaves privadas de 3 signatários, iniciar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando, em última instância, no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade em um contrato, com mais de 1900 ETH roubados, o que demonstra que o nível de atenção à segurança por parte dos projetos Web3 ainda precisa ser melhorado.
9. Hedgey Finance: Falha de contrato causa perda de 44.7 milhões de dólares
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque direcionado a vários contratos em cadeia. Os hackers exploraram uma vulnerabilidade de aprovação no contrato ClaimCampaigns, conseguindo extrair tokens nas duas cadeias Ethereum e Arbitrum, com uma perda total de 44,7 milhões de dólares. Este evento destacou a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. Uma exchange de criptomoedas: vazamento de chave privada resulta em perda de 44,7 milhões de dólares
No dia 19 de setembro de 2024, a carteira quente de uma determinada exchange foi invadida por hackers, afetando várias blockchains, incluindo Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de retiradas, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete novamente o alto risco da gestão de carteiras quentes em exchanges centralizadas, impulsionando a indústria a explorar soluções de armazenamento de ativos mais seguras.
Os frequentes acidentes de segurança em 2024 nos lembram mais uma vez que o desenvolvimento da indústria de blockchain não pode prescindir da garantia de segurança. Desde a gestão de chaves privadas até as vulnerabilidades de contratos, desde falhas de gestão interna até a atualização das táticas de ataque externas, cada evento trouxe lições profundas. Para lidar com as ameaças de segurança cada vez mais complexas, todos os envolvidos na indústria precisam continuar a aumentar os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro, proporcionando uma proteção mais confiável para usuários e investidores.