Análise dos eventos de segurança Web3 em 2024: Dez casos de ataque que alertam para os riscos da indústria
Em 2024, a indústria de blockchain, enquanto se desenvolve rapidamente, enfrenta também desafios de segurança cada vez mais severos. De acordo com dados de uma plataforma de monitoramento de segurança, até o momento, as perdas totais no campo do Web3 em 2024, devido a ataques de hackers, fraudes de phishing e desaparecimento de projetos, atingem impressionantes 2,491 milhões de dólares.
Esses eventos não apenas expuseram falhas técnicas na gestão de chaves privadas, contratos inteligentes e outros aspectos, mas também ressaltaram os riscos potenciais relacionados à engenharia social e à gestão interna. Este artigo revisará os dez principais eventos de segurança do Web3 em 2024, com a esperança de que a indústria possa aprender com eles e lidar melhor com as ameaças de segurança futuras.
1. Uma grande ataque a uma bolsa de valores japonesa
Montante da perda: 304 milhões de dólaresMétodo de ataque: vazamento da chave privada
No dia 31 de maio de 2024, uma conhecida exchange de criptomoedas japonesa sofreu um ataque histórico. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos roubados em mais de 10 endereços diferentes. Este incidente expôs as sérias deficiências da exchange na gestão de chaves privadas e na proteção de segurança em múltiplas camadas. Embora a exchange tenha tentado rastrear os hackers por meio de monitoramento on-chain e congelamento de fundos, os Bitcoins roubados já haviam sido transferidos de forma dispersa e lavados através de ferramentas de mistura, apresentando grandes desafios para o trabalho de rastreamento.
No dia 24 de dezembro, a polícia japonesa confirmou que o incidente foi causado por um grupo de hackers internacional.
2. PlayDapp enfrenta ataque de superemissão de tokens
Montante da perda: 290 milhões de dólaresMétodo de ataque: vazamento da chave privada
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe, hackers roubaram chaves privadas e cunharam 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares. Como a equipe do projeto não conseguiu negociar com os hackers, estes cunharam posteriormente 15,9 bilhões de tokens PLA, no valor de 253,9 milhões de dólares. Após parte dos tokens entrarem em uma determinada exchange, a PlayDapp foi forçada a suspender o contrato PLA e migrar para um novo contrato de token. Este incidente destacou as deficiências dos projetos de blockchain na proteção de chaves privadas e na resposta a emergências.
3. A maior exchange de criptomoedas da Índia tem carteira multi-assinatura atacada
Montante da perda: 235 milhões de dólaresMétodo de ataque: ataque à rede e phishing
No dia 18 de julho de 2024, a Safe Wallet, uma carteira multi-assinatura da maior exchange de criptomoedas da Índia, foi alvo de um ataque preciso. Os atacantes induziram os signatários da multi-assinatura a aprovar uma transação de atualização de contrato através de engenharia social, e, em seguida, usaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este caso expôs os riscos potenciais das carteiras multi-assinatura em relação à configuração de permissões e à transparência das operações, além de provocar uma reflexão profunda na indústria sobre os mecanismos internos de controle de riscos e segurança dos projetos.
4. Endereço de privilégio da Gala Games foi invadido
Montante da perda: 216 milhões de dólaresMétodo de ataque: Vulnerabilidade de controlo de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint no contrato de token, criando de uma só vez 5 bilhões de tokens GALA. Em seguida, os hackers converteram esses novos tokens em ETH em lotes, resultando em uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers e recuperou parte das perdas por meio de vias legais.
5. O wallet pessoal do fundador de um conhecido projeto de criptomoeda foi roubado
Montante da perda: 112 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais de um dos cofundadores de um conhecido projeto de criptomoeda foram hackeadas, resultando no roubo de 112 milhões de dólares em ativos digitais. Essas carteiras se tornaram alvos do ataque devido à falta de proteção de dupla autenticação por meio de dispositivos de hardware. Após o incidente, uma grande exchange conseguiu congelar ativos no valor de 4,2 milhões de dólares e ajudou a rastrear os fundos roubados, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta infiltração interna
Montante da perda: 62,5 milhões de dólaresMétodo de ataque: Ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, passou por um raro ataque de infiltração interna. Os atacantes disfarçaram-se como desenvolvedores de blockchain e, através de uma longa permanência, conseguiram obter o código central e chaves sensíveis. Apesar das enormes perdas, sob pressão da comunidade e da equipe, os hackers acabaram devolvendo todos os fundos roubados. Este incidente destacou a importância da segurança na cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. Uma exchange turca sofre vazamento de chave privada
Montante da perda: 55 milhões de dólaresMétodo de ataque: vazamento da chave privada
No dia 22 de junho de 2024, uma das principais exchanges de criptomoedas da Turquia sofreu um ataque de vazamento de chave privada, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma grande exchange, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aumentou as preocupações do mercado sobre a capacidade de gerenciamento de chaves privadas das exchanges centralizadas.
8. A carteira multi-assinatura da Radiant Capital foi invadida
Montante da perda: 53 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multifirma da Radiant Capital foi invadida por hackers. Devido à adoção de um modelo de verificação de assinatura 3/11 com um limite mais baixo, os hackers conseguiram controlar as chaves privadas de 3 signatários e realizar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multifirma.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH sendo roubados. Isso serve como um lembrete para as equipes de projetos Web3 sobre a necessidade de dar mais atenção às questões de segurança.
9. Hedgey Finance contratos multi-chain atacados
Valor da perda: 44,7 milhões de dólaresMétodo de ataque: Vulnerabilidade de contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque direcionado a vários contratos on-chain. Os hackers exploraram uma vulnerabilidade de autorização no seu contrato ClaimCampaigns e conseguiram extrair tokens nas redes Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de autorização de tokens.
10. A hot wallet de uma exchange conhecida foi invadida
Montante da perda: 44,7 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente de uma conhecida exchange foi invadida por hackers, envolvendo várias blockchains como Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de retiradas, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque expôs novamente a alta vulnerabilidade da gestão de carteiras quentes em exchanges centralizadas, levando a indústria a explorar soluções de armazenamento de ativos mais seguras.
Os frequentes eventos de segurança em 2024 nos lembram mais uma vez que o desenvolvimento da indústria blockchain não pode prescindir da garantia de segurança. Desde o vazamento de chaves privadas até vulnerabilidades de contratos, desde falhas de gestão interna até a atualização de métodos de ataque externos, cada evento trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a fortalecer os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema blockchain mais seguro, proporcionando garantias mais confiáveis para usuários e investidores.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
15 gostos
Recompensa
15
4
Republicar
Partilhar
Comentar
0/400
LightningPacketLoss
· 23h atrás
Como é que me roubaram outra vez? Já se passaram 24 anos e ainda cometo este erro básico.
Ver originalResponder0
ponzi_poet
· 23h atrás
Novamente, a armadilha de fazer as pessoas de parvas com a mesma sopa, mas sem mudar os ingredientes.
Ver originalResponder0
GasFeeCrier
· 23h atrás
Muito escuro, por que os contratos inteligentes ainda não foram melhorados?
Ver originalResponder0
SignatureAnxiety
· 23h atrás
Mais uma vez a Chave privada foi vazada? Quem ainda se atreve a usar um exchange japonês?
Revisão dos eventos de segurança Web3 de 2024: Dez ataques causaram perdas de 2,5 bilhões de dólares.
Análise dos eventos de segurança Web3 em 2024: Dez casos de ataque que alertam para os riscos da indústria
Em 2024, a indústria de blockchain, enquanto se desenvolve rapidamente, enfrenta também desafios de segurança cada vez mais severos. De acordo com dados de uma plataforma de monitoramento de segurança, até o momento, as perdas totais no campo do Web3 em 2024, devido a ataques de hackers, fraudes de phishing e desaparecimento de projetos, atingem impressionantes 2,491 milhões de dólares.
Esses eventos não apenas expuseram falhas técnicas na gestão de chaves privadas, contratos inteligentes e outros aspectos, mas também ressaltaram os riscos potenciais relacionados à engenharia social e à gestão interna. Este artigo revisará os dez principais eventos de segurança do Web3 em 2024, com a esperança de que a indústria possa aprender com eles e lidar melhor com as ameaças de segurança futuras.
1. Uma grande ataque a uma bolsa de valores japonesa
Montante da perda: 304 milhões de dólares Método de ataque: vazamento da chave privada
No dia 31 de maio de 2024, uma conhecida exchange de criptomoedas japonesa sofreu um ataque histórico. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos roubados em mais de 10 endereços diferentes. Este incidente expôs as sérias deficiências da exchange na gestão de chaves privadas e na proteção de segurança em múltiplas camadas. Embora a exchange tenha tentado rastrear os hackers por meio de monitoramento on-chain e congelamento de fundos, os Bitcoins roubados já haviam sido transferidos de forma dispersa e lavados através de ferramentas de mistura, apresentando grandes desafios para o trabalho de rastreamento.
No dia 24 de dezembro, a polícia japonesa confirmou que o incidente foi causado por um grupo de hackers internacional.
2. PlayDapp enfrenta ataque de superemissão de tokens
Montante da perda: 290 milhões de dólares Método de ataque: vazamento da chave privada
No dia 9 de fevereiro de 2024, a PlayDapp sofreu um grande golpe, hackers roubaram chaves privadas e cunharam 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares. Como a equipe do projeto não conseguiu negociar com os hackers, estes cunharam posteriormente 15,9 bilhões de tokens PLA, no valor de 253,9 milhões de dólares. Após parte dos tokens entrarem em uma determinada exchange, a PlayDapp foi forçada a suspender o contrato PLA e migrar para um novo contrato de token. Este incidente destacou as deficiências dos projetos de blockchain na proteção de chaves privadas e na resposta a emergências.
3. A maior exchange de criptomoedas da Índia tem carteira multi-assinatura atacada
Montante da perda: 235 milhões de dólares Método de ataque: ataque à rede e phishing
No dia 18 de julho de 2024, a Safe Wallet, uma carteira multi-assinatura da maior exchange de criptomoedas da Índia, foi alvo de um ataque preciso. Os atacantes induziram os signatários da multi-assinatura a aprovar uma transação de atualização de contrato através de engenharia social, e, em seguida, usaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este caso expôs os riscos potenciais das carteiras multi-assinatura em relação à configuração de permissões e à transparência das operações, além de provocar uma reflexão profunda na indústria sobre os mecanismos internos de controle de riscos e segurança dos projetos.
4. Endereço de privilégio da Gala Games foi invadido
Montante da perda: 216 milhões de dólares Método de ataque: Vulnerabilidade de controlo de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido por hackers. Os atacantes chamaram a função mint no contrato de token, criando de uma só vez 5 bilhões de tokens GALA. Em seguida, os hackers converteram esses novos tokens em ETH em lotes, resultando em uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers e recuperou parte das perdas por meio de vias legais.
5. O wallet pessoal do fundador de um conhecido projeto de criptomoeda foi roubado
Montante da perda: 112 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais de um dos cofundadores de um conhecido projeto de criptomoeda foram hackeadas, resultando no roubo de 112 milhões de dólares em ativos digitais. Essas carteiras se tornaram alvos do ataque devido à falta de proteção de dupla autenticação por meio de dispositivos de hardware. Após o incidente, uma grande exchange conseguiu congelar ativos no valor de 4,2 milhões de dólares e ajudou a rastrear os fundos roubados, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta infiltração interna
Montante da perda: 62,5 milhões de dólares Método de ataque: Ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, passou por um raro ataque de infiltração interna. Os atacantes disfarçaram-se como desenvolvedores de blockchain e, através de uma longa permanência, conseguiram obter o código central e chaves sensíveis. Apesar das enormes perdas, sob pressão da comunidade e da equipe, os hackers acabaram devolvendo todos os fundos roubados. Este incidente destacou a importância da segurança na cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. Uma exchange turca sofre vazamento de chave privada
Montante da perda: 55 milhões de dólares Método de ataque: vazamento da chave privada
No dia 22 de junho de 2024, uma das principais exchanges de criptomoedas da Turquia sofreu um ataque de vazamento de chave privada, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma grande exchange, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aumentou as preocupações do mercado sobre a capacidade de gerenciamento de chaves privadas das exchanges centralizadas.
8. A carteira multi-assinatura da Radiant Capital foi invadida
Montante da perda: 53 milhões de dólares Método de ataque: vazamento de chave privada
No dia 17 de outubro de 2024, a carteira multifirma da Radiant Capital foi invadida por hackers. Devido à adoção de um modelo de verificação de assinatura 3/11 com um limite mais baixo, os hackers conseguiram controlar as chaves privadas de 3 signatários e realizar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multifirma.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH sendo roubados. Isso serve como um lembrete para as equipes de projetos Web3 sobre a necessidade de dar mais atenção às questões de segurança.
9. Hedgey Finance contratos multi-chain atacados
Valor da perda: 44,7 milhões de dólares Método de ataque: Vulnerabilidade de contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque direcionado a vários contratos on-chain. Os hackers exploraram uma vulnerabilidade de autorização no seu contrato ClaimCampaigns e conseguiram extrair tokens nas redes Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de autorização de tokens.
10. A hot wallet de uma exchange conhecida foi invadida
Montante da perda: 44,7 milhões de dólares Método de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, a carteira quente de uma conhecida exchange foi invadida por hackers, envolvendo várias blockchains como Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de retiradas, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque expôs novamente a alta vulnerabilidade da gestão de carteiras quentes em exchanges centralizadas, levando a indústria a explorar soluções de armazenamento de ativos mais seguras.
Os frequentes eventos de segurança em 2024 nos lembram mais uma vez que o desenvolvimento da indústria blockchain não pode prescindir da garantia de segurança. Desde o vazamento de chaves privadas até vulnerabilidades de contratos, desde falhas de gestão interna até a atualização de métodos de ataque externos, cada evento trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam continuar a fortalecer os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema blockchain mais seguro, proporcionando garantias mais confiáveis para usuários e investidores.