Revisão dos Dez Principais Incidentes de Segurança no Campo do Web3 em 2024
Em 2024, à medida que a indústria Web3 continua a prosperar, as questões de segurança tornam-se cada vez mais proeminentes. Segundo estatísticas, até o final do ano, as perdas totais devido a ataques de hackers, fraudes e desaparecimentos de projetos atingiram impressionantes 2,491 bilhões de dólares. Esses eventos não apenas expuseram vulnerabilidades no nível técnico, mas também destacaram os riscos potenciais na gestão e operação. Este artigo irá listar os dez incidentes de segurança mais impactantes no campo Web3 em 2024, para alerta e reflexão da indústria.
1. Uma importante troca japonesa sofreu um ataque significativo
Montante da perda: 304 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 31 de maio, uma conhecida exchange de criptomoedas no Japão sofreu um grave incidente de segurança. Os atacantes aproveitaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos roubados em vários endereços. Este incidente expôs sérias falhas na gestão de chaves privadas e nas múltiplas camadas de segurança da exchange. Embora a exchange tenha adotado medidas como monitoramento na blockchain e congelamento de fundos, o rastreamento enfrentou enormes desafios devido ao uso de ferramentas de mistura pelos hackers.
No final do ano, a polícia japonesa confirmou que o ataque foi realizado por um determinado grupo de hackers internacional.
2. PlayDapp enfrenta ataques de super emissão de tokens
Montante da perda: 290 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 9 de fevereiro, o projeto PlayDapp sofreu um grande golpe. Hackers roubaram chaves privadas para cunhar uma grande quantidade de tokens PLA, com um valor inicial de 36,5 milhões de dólares. Devido ao fracasso das negociações com os hackers, os atacantes cunharam ainda mais tokens, totalizando um valor de 253,9 milhões de dólares. Após parte desses tokens ter sido injetada nas exchanges, a PlayDapp foi forçada a suspender o contrato original e migrar para um novo contrato de token. Este incidente destaca as deficiências dos projetos de blockchain em termos de proteção de chaves privadas e gerenciamento de emergências.
3. A maior exchange de criptomoedas da Índia sofre ataque ao seu wallet multi-assinatura
Montante da perda: 235 milhões de dólaresMétodos de ataque: Ataques de rede e phishing
No dia 18 de julho, a Safe Wallet, uma carteira multi-assinatura da maior exchange de criptomoedas da Índia, foi alvo de um ataque preciso. Os atacantes induziram os signatários da multi-assinatura a assinar uma transação de atualização de contrato através de engenharia social, e, em seguida, utilizaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este caso revelou os riscos potenciais na configuração de permissões e na transparência das operações das carteiras multi-assinatura, e suscitou uma reflexão aprofundada na indústria sobre os mecanismos de controle de riscos internos dos projetos.
4. Gala Games sofre um ataque de emissão de tokens
Montante da perda: 216 milhões de dólaresMétodo de ataque: Vulnerabilidade de controlo de acesso
No dia 20 de maio, um endereço privilegiado da Gala Games foi comprometido por hackers. Os atacantes chamaram a função mint do contrato de token, cunhando 5 bilhões de tokens GALA de uma só vez. Em seguida, esses tokens recém-criados foram trocados em partes por ETH, resultando em uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers e recuperou parte das perdas por meio de ações legais.
5. O carteira pessoal do fundador de um conhecido projeto de criptomoeda foi roubada
Montante da perda: 112 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 31 de janeiro, quatro carteiras pessoais de um cofundador conhecido de um projeto de criptomoeda foram atacadas por hackers, resultando no roubo de 112 milhões de dólares em criptomoedas. Essas carteiras foram alvo do ataque devido à falta de proteção de dupla autenticação com hardware. Após o incidente, uma grande exchange conseguiu congelar ativos roubados no valor de 4,2 milhões de dólares, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta ataque de penetração interna
Montante da perda: 62,5 milhões de dólaresMétodo de ataque: Ataque de engenharia social
No dia 26 de março, a plataforma de jogos Web3 Munchables, baseada em Blast, sofreu um raro ataque de infiltração interna. Os atacantes se disfarçaram de desenvolvedores de blockchain e, após um longo período de infiltração, obtiveram o código-fonte e chaves sensíveis. Apesar das enormes perdas causadas, sob pressão da comunidade e da equipe, os hackers acabaram por devolver todos os fundos roubados. Este evento destaca a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. A maior bolsa de criptomoedas da Turquia enfrenta vazamento de chaves privadas
Montante da perda: 55 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 22 de junho, a maior exchange de criptomoedas da Turquia sofreu um ataque de vazamento de chaves privadas, resultando em uma perda de mais de 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma grande exchange, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este incidente aprofundou as preocupações do mercado sobre a gestão de chaves privadas por exchanges centralizadas.
8. A carteira multi-assinatura da Radiant Capital foi invadida
Montante da perda: 53 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 17 de outubro, a carteira multi-assinada da Radiant Capital foi alvo de um ataque hacker. Devido ao uso de um modo de verificação de assinatura 3/11 com baixo requisito, os hackers conseguiram obter as chaves privadas de 3 signatários e realizar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinadas.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH roubados. Isso mais uma vez demonstra que os projetos Web3 ainda precisam melhorar sua atenção à segurança.
9. Hedgey Finance contratos multi-chain foram atacados
Montante da perda: 44,7 milhões de dólaresMétodo de Ataque: Vulnerabilidade de Contrato
No dia 19 de abril, a Hedgey Finance sofreu um ataque a vários contratos on-chain. Os hackers exploraram uma vulnerabilidade de autorização no seu contrato ClaimCampaigns, conseguindo retirar tokens nas redes Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de autorização de tokens.
10. A carteira quente de uma exchange foi invadida por hackers
Montante da perda: 44,7 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 19 de setembro, a carteira quente de uma determinada exchange foi invadida por hackers, afetando várias blockchains, incluindo Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram retirar ativos no valor de 44,7 milhões de dólares. Este ataque reflete mais uma vez a alta risco na gestão das carteiras quentes de exchanges centralizadas, impulsionando a indústria a explorar soluções de armazenamento de ativos mais seguras.
Os frequentes incidentes de segurança em 2024 nos alertam novamente que o desenvolvimento da indústria de blockchain não pode prescindir da garantia de segurança. Desde a gestão de chaves privadas até vulnerabilidades em contratos, passando pela gestão interna e pela atualização das táticas de ataque externas, cada incidente soa um alarme para o setor. Para enfrentar as ameaças de segurança cada vez mais complexas, a indústria precisa continuar a aumentar os investimentos em pesquisa tecnológica, normas de gestão e controle de riscos. No futuro, esperamos que, por meio da colaboração entre setores e inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro e confiável.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Os dez principais eventos de segurança no campo do Web3 em 2024 causaram um prejuízo de 24,91 bilhões de dólares.
Revisão dos Dez Principais Incidentes de Segurança no Campo do Web3 em 2024
Em 2024, à medida que a indústria Web3 continua a prosperar, as questões de segurança tornam-se cada vez mais proeminentes. Segundo estatísticas, até o final do ano, as perdas totais devido a ataques de hackers, fraudes e desaparecimentos de projetos atingiram impressionantes 2,491 bilhões de dólares. Esses eventos não apenas expuseram vulnerabilidades no nível técnico, mas também destacaram os riscos potenciais na gestão e operação. Este artigo irá listar os dez incidentes de segurança mais impactantes no campo Web3 em 2024, para alerta e reflexão da indústria.
1. Uma importante troca japonesa sofreu um ataque significativo
Montante da perda: 304 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de maio, uma conhecida exchange de criptomoedas no Japão sofreu um grave incidente de segurança. Os atacantes aproveitaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos roubados em vários endereços. Este incidente expôs sérias falhas na gestão de chaves privadas e nas múltiplas camadas de segurança da exchange. Embora a exchange tenha adotado medidas como monitoramento na blockchain e congelamento de fundos, o rastreamento enfrentou enormes desafios devido ao uso de ferramentas de mistura pelos hackers.
No final do ano, a polícia japonesa confirmou que o ataque foi realizado por um determinado grupo de hackers internacional.
2. PlayDapp enfrenta ataques de super emissão de tokens
Montante da perda: 290 milhões de dólares Método de ataque: vazamento de chave privada
No dia 9 de fevereiro, o projeto PlayDapp sofreu um grande golpe. Hackers roubaram chaves privadas para cunhar uma grande quantidade de tokens PLA, com um valor inicial de 36,5 milhões de dólares. Devido ao fracasso das negociações com os hackers, os atacantes cunharam ainda mais tokens, totalizando um valor de 253,9 milhões de dólares. Após parte desses tokens ter sido injetada nas exchanges, a PlayDapp foi forçada a suspender o contrato original e migrar para um novo contrato de token. Este incidente destaca as deficiências dos projetos de blockchain em termos de proteção de chaves privadas e gerenciamento de emergências.
3. A maior exchange de criptomoedas da Índia sofre ataque ao seu wallet multi-assinatura
Montante da perda: 235 milhões de dólares Métodos de ataque: Ataques de rede e phishing
No dia 18 de julho, a Safe Wallet, uma carteira multi-assinatura da maior exchange de criptomoedas da Índia, foi alvo de um ataque preciso. Os atacantes induziram os signatários da multi-assinatura a assinar uma transação de atualização de contrato através de engenharia social, e, em seguida, utilizaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este caso revelou os riscos potenciais na configuração de permissões e na transparência das operações das carteiras multi-assinatura, e suscitou uma reflexão aprofundada na indústria sobre os mecanismos de controle de riscos internos dos projetos.
4. Gala Games sofre um ataque de emissão de tokens
Montante da perda: 216 milhões de dólares Método de ataque: Vulnerabilidade de controlo de acesso
No dia 20 de maio, um endereço privilegiado da Gala Games foi comprometido por hackers. Os atacantes chamaram a função mint do contrato de token, cunhando 5 bilhões de tokens GALA de uma só vez. Em seguida, esses tokens recém-criados foram trocados em partes por ETH, resultando em uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de blacklist para bloquear algumas contas dos hackers e recuperou parte das perdas por meio de ações legais.
5. O carteira pessoal do fundador de um conhecido projeto de criptomoeda foi roubada
Montante da perda: 112 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de janeiro, quatro carteiras pessoais de um cofundador conhecido de um projeto de criptomoeda foram atacadas por hackers, resultando no roubo de 112 milhões de dólares em criptomoedas. Essas carteiras foram alvo do ataque devido à falta de proteção de dupla autenticação com hardware. Após o incidente, uma grande exchange conseguiu congelar ativos roubados no valor de 4,2 milhões de dólares, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta ataque de penetração interna
Montante da perda: 62,5 milhões de dólares Método de ataque: Ataque de engenharia social
No dia 26 de março, a plataforma de jogos Web3 Munchables, baseada em Blast, sofreu um raro ataque de infiltração interna. Os atacantes se disfarçaram de desenvolvedores de blockchain e, após um longo período de infiltração, obtiveram o código-fonte e chaves sensíveis. Apesar das enormes perdas causadas, sob pressão da comunidade e da equipe, os hackers acabaram por devolver todos os fundos roubados. Este evento destaca a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.
7. A maior bolsa de criptomoedas da Turquia enfrenta vazamento de chaves privadas
Montante da perda: 55 milhões de dólares Método de ataque: vazamento de chave privada
No dia 22 de junho, a maior exchange de criptomoedas da Turquia sofreu um ataque de vazamento de chaves privadas, resultando em uma perda de mais de 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma grande exchange, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este incidente aprofundou as preocupações do mercado sobre a gestão de chaves privadas por exchanges centralizadas.
8. A carteira multi-assinatura da Radiant Capital foi invadida
Montante da perda: 53 milhões de dólares Método de ataque: vazamento de chave privada
No dia 17 de outubro, a carteira multi-assinada da Radiant Capital foi alvo de um ataque hacker. Devido ao uso de um modo de verificação de assinatura 3/11 com baixo requisito, os hackers conseguiram obter as chaves privadas de 3 signatários e realizar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinadas.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH roubados. Isso mais uma vez demonstra que os projetos Web3 ainda precisam melhorar sua atenção à segurança.
9. Hedgey Finance contratos multi-chain foram atacados
Montante da perda: 44,7 milhões de dólares Método de Ataque: Vulnerabilidade de Contrato
No dia 19 de abril, a Hedgey Finance sofreu um ataque a vários contratos on-chain. Os hackers exploraram uma vulnerabilidade de autorização no seu contrato ClaimCampaigns, conseguindo retirar tokens nas redes Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de autorização de tokens.
10. A carteira quente de uma exchange foi invadida por hackers
Montante da perda: 44,7 milhões de dólares Método de ataque: vazamento de chave privada
No dia 19 de setembro, a carteira quente de uma determinada exchange foi invadida por hackers, afetando várias blockchains, incluindo Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram retirar ativos no valor de 44,7 milhões de dólares. Este ataque reflete mais uma vez a alta risco na gestão das carteiras quentes de exchanges centralizadas, impulsionando a indústria a explorar soluções de armazenamento de ativos mais seguras.
Os frequentes incidentes de segurança em 2024 nos alertam novamente que o desenvolvimento da indústria de blockchain não pode prescindir da garantia de segurança. Desde a gestão de chaves privadas até vulnerabilidades em contratos, passando pela gestão interna e pela atualização das táticas de ataque externas, cada incidente soa um alarme para o setor. Para enfrentar as ameaças de segurança cada vez mais complexas, a indústria precisa continuar a aumentar os investimentos em pesquisa tecnológica, normas de gestão e controle de riscos. No futuro, esperamos que, por meio da colaboração entre setores e inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro e confiável.