Resumen de eventos de seguridad Web3 en 2024: Diez ataques causan pérdidas de casi 2500 millones de dólares
En 2024, el campo de Web3 enfrenta graves desafíos de seguridad. Según el monitoreo de plataformas de datos, hasta ahora, las pérdidas totales causadas por ataques de hackers, fraudes de phishing y el abandono de proyectos ascienden a 2,491 millones de dólares. Estos eventos no solo han expuesto defectos técnicos, sino que también han destacado los riesgos potenciales de la ingeniería social y la gestión interna. Este artículo revisará los diez principales eventos de seguridad de Web3 en 2024 para aprender lecciones y enfrentar mejor las amenazas de seguridad en el futuro.
1. DMM Bitcoin
Monto de la pérdida: 304 millones de dólaresMétodo de ataque: filtración de clave privada
El 31 de mayo de 2024, el conocido intercambio de criptomonedas japonés DMM Bitcoin sufrió un ataque significativo. Los atacantes utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados a varias direcciones. Este incidente expuso graves defectos en la gestión de claves privadas y en la protección de seguridad en múltiples capas del intercambio. A pesar de que el intercambio intentó rastrear a los hackers mediante la monitorización en la cadena y el congelamiento de fondos, la dispersión de la transferencia de Bitcoin robado y el lavado de monedas plantearon enormes desafíos para el trabajo de seguimiento.
El 24 de diciembre, la policía japonesa confirmó que el ataque fue llevado a cabo por el grupo de hackers norcoreano Lazarus Group.
2. PlayDapp
Monto de la pérdida: 290 millones de dólaresMétodo de ataque: filtración de clave privada
El 9 de febrero de 2024, PlayDapp sufrió un duro golpe. Los hackers, mediante el robo de claves privadas, acuñaron 2 mil millones de tokens PLA, con un valor inicial de 36.5 millones de dólares. Debido a la falla en las negociaciones con los hackers, estos acuñaron posteriormente otros 15.9 mil millones de tokens PLA, con un valor de 253.9 millones de dólares. Una parte de los tokens que fluyó a las plataformas de intercambio llevó a PlayDapp a verse obligado a suspender el contrato de PLA y migrar al contrato de tokens PDA. Este incidente destaca las deficiencias de los proyectos de blockchain en la protección de claves privadas y en la gestión de emergencias.
3. WazirX
Monto de la pérdida: 235 millones de dólaresMétodos de ataque: ataques en línea y phishing
El 18 de julio de 2024, el monedero multip firmante Safe Wallet del mayor intercambio de criptomonedas de India, WazirX, fue objeto de un ataque preciso. Los atacantes indujeron a los firmantes multip firmantes a aprobar una transacción de actualización de contrato a través de ingeniería social, y luego utilizaron los permisos del contrato actualizado para transferir todos los activos del monedero. Este incidente pone de manifiesto los riesgos potenciales de los monederos multip firmantes en la gestión de la configuración de permisos y la transparencia operativa, y ha suscitado una profunda reflexión en la industria sobre los mecanismos internos de control de riesgos y seguridad de los proyectos.
4. Gala Games
Monto de la pérdida: 216 millones de dólaresMétodo de ataque: vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. El atacante llamó a la función mint en el contrato del token y acuñó 5 mil millones de tokens GALA de una sola vez. Luego, el hacker intercambió los tokens adicionales en varias transacciones por ETH, lo que provocó una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó urgentemente la función de lista negra para bloquear algunas cuentas de los hackers y recuperó las pérdidas a través de vías legales.
5. El incidente de Chris Larsen
Monto de la pérdida: 112 millones de dólaresMétodo de ataque: filtración de claves privadas
El 31 de enero de 2024, cuatro billeteras personales del cofundador de Ripple, Chris Larsen, fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en XRP. Estas billeteras se convirtieron en objetivo del ataque debido a la falta de doble protección con dispositivos de hardware. Después del incidente, una plataforma de intercambio logró congelar XRP por un valor de 4.2 millones de dólares y ayudó a rastrear los activos robados, pero la mayor parte de los fondos ya había sido blanqueada a través de intercambios descentralizados y servicios de mezcla.
6. Munchables
Monto de la pérdida: 62.5 millones de dólaresMétodo de ataque: ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 basada en Blast, Munchables, sufrió un raro ataque de infiltración interna. Los atacantes eran hackers norcoreanos disfrazados de desarrolladores de blockchain, quienes obtuvieron el código fuente y las claves sensibles tras una larga infiltración. A pesar de las enormes pérdidas, bajo la presión de la comunidad y del equipo, los hackers finalmente devolvieron todos los fondos robados. Este evento revela la importancia de la seguridad en la cadena de suministro, especialmente para los proyectos de blockchain que dependen del desarrollo de terceros.
7. BtcTurk
Cantidad de pérdida: 55 millones de dólaresMétodo de ataque: filtración de clave privada
El 22 de junio de 2024, BtcTurk, el mayor intercambio de criptomonedas de Turquía, sufrió un ataque de filtración de claves privadas, resultando en la pérdida de más de 55 millones de dólares en activos criptográficos. Con la ayuda de una plataforma de intercambio, se congelaron con éxito 5.3 millones de dólares de los fondos robados, pero otros activos aún no han sido recuperados. Este evento ha profundizado las preocupaciones del mercado sobre la gestión de claves privadas en intercambios centralizados.
8. Radiant Capital
Monto de pérdida: 53 millones de dólaresMétodo de ataque: filtración de clave privada
El 17 de octubre de 2024, la billetera multifirma de Radiant Capital fue hackeada. Debido a la implementación de un modo de verificación de firma 3/11 de bajo umbral, los hackers lograron iniciar una firma fuera de la cadena al obtener las claves privadas de 3 firmantes, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque ha generado una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multifirma.
Es importante destacar que Radiant Capital ya había perdido 4.5 millones de dólares debido a una vulnerabilidad en el contrato antes de este ataque, con más de 1900 ETH robados. Esto subraya nuevamente que los proyectos de Web3 aún deben mejorar su atención a la seguridad.
9. Hedgey Finance
Monto de la pérdida: 44.7 millones de dólaresMétodo de ataque: vulnerabilidad del contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a múltiples contratos en la cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns y lograron extraer tokens de las cadenas Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este evento resalta la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.
10. BingX
Monto de la pérdida: 44.7 millones de dólaresMétodo de ataque: filtración de claves privadas
El 19 de septiembre de 2024, el monedero caliente del intercambio BingX fue hackeado, afectando a múltiples cadenas de bloques como Ethereum, BNB Chain y Tron. A pesar de que el intercambio activó rápidamente mecanismos de transferencia de activos y congelación de retiros, los hackers lograron retirar activos por un valor de 44.7 millones de dólares. Este ataque refleja la alta riesgo de gestión de monederos calientes en intercambios centralizados y promueve aún más la exploración de soluciones de almacenamiento de activos más seguras en la industria.
Los frecuentes incidentes de ataques de seguridad en 2024 nos recuerdan una vez más que el desarrollo de la industria blockchain depende de la garantía de seguridad. Desde la filtración de claves privadas hasta las vulnerabilidades de contratos, desde las negligencias en la gestión interna hasta la mejora de los métodos de ataque externos, cada incidente ha traído lecciones profundas. Para hacer frente a las amenazas de ataque cada vez más complejas, todas las partes de la industria necesitan continuar invirtiendo en desarrollo tecnológico, normas de gestión y prevención de riesgos. En el futuro, esperamos que a través de la colaboración en la industria y la innovación tecnológica, construyamos juntos un ecosistema blockchain más seguro, proporcionando garantías más confiables para los usuarios e inversores.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
21 me gusta
Recompensa
21
3
Republicar
Compartir
Comentar
0/400
TokenCreatorOP
· 08-17 03:06
Cada día sigo perdiendo dinero.
Ver originalesResponder0
GasFeeCrying
· 08-14 03:44
Otra vez he perdido.
Ver originalesResponder0
FastLeaver
· 08-14 03:24
Ja ja, otra vez la fuga de la Llave privada, no es la primera vez que vemos este tipo de drama en un año.
Los diez principales incidentes de seguridad de Web3 en 2024 causaron pérdidas de cerca de 2.5 mil millones de dólares.
Resumen de eventos de seguridad Web3 en 2024: Diez ataques causan pérdidas de casi 2500 millones de dólares
En 2024, el campo de Web3 enfrenta graves desafíos de seguridad. Según el monitoreo de plataformas de datos, hasta ahora, las pérdidas totales causadas por ataques de hackers, fraudes de phishing y el abandono de proyectos ascienden a 2,491 millones de dólares. Estos eventos no solo han expuesto defectos técnicos, sino que también han destacado los riesgos potenciales de la ingeniería social y la gestión interna. Este artículo revisará los diez principales eventos de seguridad de Web3 en 2024 para aprender lecciones y enfrentar mejor las amenazas de seguridad en el futuro.
1. DMM Bitcoin
Monto de la pérdida: 304 millones de dólares Método de ataque: filtración de clave privada
El 31 de mayo de 2024, el conocido intercambio de criptomonedas japonés DMM Bitcoin sufrió un ataque significativo. Los atacantes utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados a varias direcciones. Este incidente expuso graves defectos en la gestión de claves privadas y en la protección de seguridad en múltiples capas del intercambio. A pesar de que el intercambio intentó rastrear a los hackers mediante la monitorización en la cadena y el congelamiento de fondos, la dispersión de la transferencia de Bitcoin robado y el lavado de monedas plantearon enormes desafíos para el trabajo de seguimiento.
El 24 de diciembre, la policía japonesa confirmó que el ataque fue llevado a cabo por el grupo de hackers norcoreano Lazarus Group.
2. PlayDapp
Monto de la pérdida: 290 millones de dólares Método de ataque: filtración de clave privada
El 9 de febrero de 2024, PlayDapp sufrió un duro golpe. Los hackers, mediante el robo de claves privadas, acuñaron 2 mil millones de tokens PLA, con un valor inicial de 36.5 millones de dólares. Debido a la falla en las negociaciones con los hackers, estos acuñaron posteriormente otros 15.9 mil millones de tokens PLA, con un valor de 253.9 millones de dólares. Una parte de los tokens que fluyó a las plataformas de intercambio llevó a PlayDapp a verse obligado a suspender el contrato de PLA y migrar al contrato de tokens PDA. Este incidente destaca las deficiencias de los proyectos de blockchain en la protección de claves privadas y en la gestión de emergencias.
3. WazirX
Monto de la pérdida: 235 millones de dólares Métodos de ataque: ataques en línea y phishing
El 18 de julio de 2024, el monedero multip firmante Safe Wallet del mayor intercambio de criptomonedas de India, WazirX, fue objeto de un ataque preciso. Los atacantes indujeron a los firmantes multip firmantes a aprobar una transacción de actualización de contrato a través de ingeniería social, y luego utilizaron los permisos del contrato actualizado para transferir todos los activos del monedero. Este incidente pone de manifiesto los riesgos potenciales de los monederos multip firmantes en la gestión de la configuración de permisos y la transparencia operativa, y ha suscitado una profunda reflexión en la industria sobre los mecanismos internos de control de riesgos y seguridad de los proyectos.
4. Gala Games
Monto de la pérdida: 216 millones de dólares Método de ataque: vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. El atacante llamó a la función mint en el contrato del token y acuñó 5 mil millones de tokens GALA de una sola vez. Luego, el hacker intercambió los tokens adicionales en varias transacciones por ETH, lo que provocó una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó urgentemente la función de lista negra para bloquear algunas cuentas de los hackers y recuperó las pérdidas a través de vías legales.
5. El incidente de Chris Larsen
Monto de la pérdida: 112 millones de dólares Método de ataque: filtración de claves privadas
El 31 de enero de 2024, cuatro billeteras personales del cofundador de Ripple, Chris Larsen, fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en XRP. Estas billeteras se convirtieron en objetivo del ataque debido a la falta de doble protección con dispositivos de hardware. Después del incidente, una plataforma de intercambio logró congelar XRP por un valor de 4.2 millones de dólares y ayudó a rastrear los activos robados, pero la mayor parte de los fondos ya había sido blanqueada a través de intercambios descentralizados y servicios de mezcla.
6. Munchables
Monto de la pérdida: 62.5 millones de dólares Método de ataque: ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 basada en Blast, Munchables, sufrió un raro ataque de infiltración interna. Los atacantes eran hackers norcoreanos disfrazados de desarrolladores de blockchain, quienes obtuvieron el código fuente y las claves sensibles tras una larga infiltración. A pesar de las enormes pérdidas, bajo la presión de la comunidad y del equipo, los hackers finalmente devolvieron todos los fondos robados. Este evento revela la importancia de la seguridad en la cadena de suministro, especialmente para los proyectos de blockchain que dependen del desarrollo de terceros.
7. BtcTurk
Cantidad de pérdida: 55 millones de dólares Método de ataque: filtración de clave privada
El 22 de junio de 2024, BtcTurk, el mayor intercambio de criptomonedas de Turquía, sufrió un ataque de filtración de claves privadas, resultando en la pérdida de más de 55 millones de dólares en activos criptográficos. Con la ayuda de una plataforma de intercambio, se congelaron con éxito 5.3 millones de dólares de los fondos robados, pero otros activos aún no han sido recuperados. Este evento ha profundizado las preocupaciones del mercado sobre la gestión de claves privadas en intercambios centralizados.
8. Radiant Capital
Monto de pérdida: 53 millones de dólares Método de ataque: filtración de clave privada
El 17 de octubre de 2024, la billetera multifirma de Radiant Capital fue hackeada. Debido a la implementación de un modo de verificación de firma 3/11 de bajo umbral, los hackers lograron iniciar una firma fuera de la cadena al obtener las claves privadas de 3 firmantes, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque ha generado una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multifirma.
Es importante destacar que Radiant Capital ya había perdido 4.5 millones de dólares debido a una vulnerabilidad en el contrato antes de este ataque, con más de 1900 ETH robados. Esto subraya nuevamente que los proyectos de Web3 aún deben mejorar su atención a la seguridad.
9. Hedgey Finance
Monto de la pérdida: 44.7 millones de dólares Método de ataque: vulnerabilidad del contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a múltiples contratos en la cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns y lograron extraer tokens de las cadenas Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este evento resalta la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.
10. BingX
Monto de la pérdida: 44.7 millones de dólares Método de ataque: filtración de claves privadas
El 19 de septiembre de 2024, el monedero caliente del intercambio BingX fue hackeado, afectando a múltiples cadenas de bloques como Ethereum, BNB Chain y Tron. A pesar de que el intercambio activó rápidamente mecanismos de transferencia de activos y congelación de retiros, los hackers lograron retirar activos por un valor de 44.7 millones de dólares. Este ataque refleja la alta riesgo de gestión de monederos calientes en intercambios centralizados y promueve aún más la exploración de soluciones de almacenamiento de activos más seguras en la industria.
Los frecuentes incidentes de ataques de seguridad en 2024 nos recuerdan una vez más que el desarrollo de la industria blockchain depende de la garantía de seguridad. Desde la filtración de claves privadas hasta las vulnerabilidades de contratos, desde las negligencias en la gestión interna hasta la mejora de los métodos de ataque externos, cada incidente ha traído lecciones profundas. Para hacer frente a las amenazas de ataque cada vez más complejas, todas las partes de la industria necesitan continuar invirtiendo en desarrollo tecnológico, normas de gestión y prevención de riesgos. En el futuro, esperamos que a través de la colaboración en la industria y la innovación tecnológica, construyamos juntos un ecosistema blockchain más seguro, proporcionando garantías más confiables para los usuarios e inversores.