Revisión de los diez principales incidentes de seguridad de la industria de la cadena de bloques en 2024
Con el continuo desarrollo de la tecnología de la cadena de bloques, en 2024 esta industria ha logrado avances significativos en innovación tecnológica y expansión ecológica. Sin embargo, junto con estos avances, los desafíos de seguridad también se han vuelto cada vez más graves. Según los datos de una plataforma de monitoreo de seguridad, hasta finales de 2024, las pérdidas totales en el ámbito de Web3 debido a diversos incidentes de seguridad alcanzan los 2,491 millones de dólares. Estos incidentes no solo expusieron vulnerabilidades a nivel técnico, como la gestión inadecuada de claves privadas y defectos en contratos inteligentes, sino que también resaltaron problemas como ataques de ingeniería social y riesgos de gestión interna.
Este artículo revisará los diez eventos de seguridad más influyentes en el ámbito de Web3 en 2024, con el fin de extraer lecciones aprendidas y proporcionar referencias para la seguridad futura.
1. Evento DMM Bitcoin
Monto de la pérdida: 304 millones de dólares
Método de ataque: filtración de la clave privada
El 31 de mayo de 2024, el conocido intercambio de criptomonedas japonés DMM Bitcoin sufrió un ataque importante. Los atacantes utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron estos fondos en múltiples direcciones. Este evento expuso graves defectos en la gestión de claves privadas y la protección de seguridad en múltiples capas del intercambio. A pesar de que el intercambio implementó medidas como monitoreo en cadena y congelación de fondos, el trabajo de seguimiento enfrenta grandes desafíos debido a que los hackers utilizaron herramientas de mezcla.
Cabe destacar que la policía japonesa confirmó el 24 de diciembre que el incidente fue obra de una organización internacional de hackers, lo que resalta la gravedad del crimen cibernético transnacional.
2. PlayDapp enfrenta la sobreemisión de tokens
Pérdida total: 290 millones de dólares
Método de ataque: filtración de la clave privada
El 9 de febrero de 2024, el proyecto PlayDapp sufrió un fuerte golpe. Los hackers, al obtener la clave privada, acuñaron ilegalmente una gran cantidad de tokens PLA, lo que causó inicialmente una pérdida de 36.5 millones de dólares. Debido a que el equipo del proyecto no logró negociar con los hackers, los atacantes acuñaron 15.9 mil millones de tokens PLA adicionales, lo que elevó la pérdida total a 253.9 millones de dólares. Este incidente obligó a PlayDapp a suspender el contrato original y migrar a un nuevo contrato de token, destacando las deficiencias de los proyectos de cadena de bloques en la protección de claves privadas y en los mecanismos de respuesta de emergencia.
3. La billetera multifirma de WazirX fue atacada
Monto de la pérdida: 235 millones de dólares
Técnicas de ataque: ataques en línea y phishing
El 18 de julio de 2024, la billetera multifirma Safe Wallet del mayor intercambio de criptomonedas de India, WazirX, fue objeto de un ataque preciso. Los atacantes indujeron a los firmantes multifirma a aprobar una transacción de actualización de contrato mediante técnicas de ingeniería social, y luego utilizaron los permisos del contrato actualizado para transferir todos los activos de la billetera. Este incidente revela los riesgos potenciales en la gestión de permisos y la transparencia operativa de las billeteras multifirma, al mismo tiempo que provoca una profunda reflexión en la industria sobre los mecanismos internos de control de riesgos de los proyectos.
4. Vulnerabilidades en el contrato de token de Gala Games
Monto de pérdida: 216 millones de dólares
Método de ataque: vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue comprometida. Los atacantes utilizaron la función mint en el contrato de token para acuñar 5 mil millones de tokens GALA de una sola vez. Posteriormente, estos tokens acuñados ilegalmente fueron intercambiados en lotes por ETH, lo que resultó en una pérdida directa de 216 millones de dólares. A pesar de que el equipo de Gala Games activó rápidamente la función de lista negra para bloquear algunas cuentas de los hackers y recuperó parte de las pérdidas a través de vías legales, este incidente aún destaca la importancia del diseño de contratos y la gestión de permisos.
5. La billetera personal de un fundador de una conocida criptomoneda fue robada
Cantidad de pérdida: 1.12 millones de dólares
Método de ataque: filtración de clave privada
El 31 de enero de 2024, cuatro billeteras personales de un cofundador de un conocido proyecto de criptomonedas fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en XRP. Estas billeteras se convirtieron en el objetivo del ataque debido a la falta de protección dual con dispositivos de hardware. Después del incidente, un importante intercambio logró congelar 4.2 millones de dólares en XRP y ayudó a rastrear los activos robados, pero la mayor parte de los fondos ya había sido blanqueada a través de intercambios descentralizados y servicios de mezcla.
6. Munchables se enfrenta a infiltraciones internas
Monto de la pérdida: 6250 millones de dólares
Método de ataque: ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 Munchables, basada en Blast, sufrió un raro ataque de infiltración interna. Los atacantes se hicieron pasar por desarrolladores de Bloquear, obteniendo el código fuente y las claves sensibles a través de una larga infiltración. A pesar de las enormes pérdidas causadas, bajo la presión de la comunidad y el equipo, los hackers finalmente devolvieron todos los fondos robados. Este incidente destacó la importancia de la seguridad de la cadena de suministro, especialmente para los proyectos de cadena de bloques que dependen del desarrollo de terceros.
7. Fuga de clave privada de un intercambio turco
Pérdida total: 55 millones de dólares
Método de ataque: filtración de clave privada
El 22 de junio de 2024, un importante intercambio de criptomonedas en Turquía sufrió un ataque de filtración de claves privadas, resultando en pérdidas de más de 55 millones de dólares en activos criptográficos. Con la ayuda de un intercambio conocido, aproximadamente 5.3 millones de dólares en fondos robados fueron congelados con éxito, pero otros activos aún no han sido recuperados. Este evento ha suscitado nuevamente preocupaciones en el mercado sobre la capacidad de gestión de claves privadas de los intercambios centralizados.
8. Radiant Capital billetera multisig ha sido hackeada
Cantidad de pérdida: 53 millones de dólares
Método de ataque: filtración de claves privadas
El 17 de octubre de 2024, la billetera multifirma de Radiant Capital fue hackeada. Debido a la adopción de un modo de verificación de firma 3/11 con un umbral de seguridad más bajo, los hackers lograron obtener las claves privadas de 3 firmantes y realizar una firma fuera de la cadena, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que finalmente resultó en el robo de 53 millones de dólares. Este ataque ha provocado una profunda discusión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multifirma.
Es importante señalar que Radiant Capital había perdido 4.5 millones de dólares debido a una vulnerabilidad en el contrato, con más de 1900 ETH robados, lo que muestra que el proyecto tiene problemas persistentes en la gestión de la seguridad.
9. Evento de vulnerabilidad de contrato de Hedgey Finance
Monto de pérdida: 44.7 millones de dólares
Método de ataque: vulnerabilidad de contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque a múltiples contratos en la cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns y lograron extraer tokens de las cadenas de Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este evento subraya una vez más la importancia de las auditorías de código, especialmente en la estricta verificación de la lógica de aprobación de tokens.
10. La billetera caliente de un conocido intercambio fue hackeada
Monto de la pérdida: 44.7 millones de dólares
Método de ataque: filtración de clave privada
El 19 de septiembre de 2024, una conocida exchange sufrió una violación de su billetera caliente por parte de hackers, afectando a múltiples cadenas públicas como Ethereum, BNB Chain y Tron. A pesar de que la exchange activó rápidamente los mecanismos de transferencia de activos y congelación de retiros, los hackers ya habían logrado extraer activos por un valor de 44.7 millones de dólares. Este ataque destaca una vez más la alta riesgo de la gestión de billeteras calientes en exchanges centralizados, impulsando a la industria a explorar soluciones de almacenamiento de activos más seguras.
Conclusión
Los frecuentes incidentes de seguridad en 2024 nos recuerdan una vez más que el desarrollo saludable de la industria de la Cadena de bloques no puede prescindir de una fuerte garantía de seguridad. Desde la gestión de claves privadas hasta el diseño de contratos, desde la gobernanza interna hasta la defensa externa, cada incidente ha sonado la alarma para la industria. Frente a los métodos de ataque cada vez más complejos, todas las partes de la industria necesitan seguir invirtiendo en investigación y desarrollo tecnológico, normas de gestión y control de riesgos. En el futuro, esperamos que a través de la colaboración de la industria y la innovación tecnológica, podamos construir conjuntamente un ecosistema de Cadena de bloques más seguro y confiable, proporcionando una protección más sólida para usuarios e inversores.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
11 me gusta
Recompensa
11
7
Compartir
Comentar
0/400
GateUser-aa7df71e
· hace16h
Los tontos han vuelto a perder sangre. Los que todavía juegan con la gestión de llaves privadas son manos de papel.
Ver originalesResponder0
LightningClicker
· 08-06 14:54
Otra vez hay un fallo, ya hemos perdido mucho.
Ver originalesResponder0
EntryPositionAnalyst
· 08-06 14:50
En el mundo Cripto, se ha tomado a la gente por tonta tantas veces en un año, está muy lejos de la realidad.
Ver originalesResponder0
DeFiVeteran
· 08-06 14:50
¿Te han tomado otra vez por tonto?
Ver originalesResponder0
ForumMiningMaster
· 08-06 14:41
Accidentes de seguridad uno tras otro, otra vez ha llegado un gran tonto.
Ver originalesResponder0
OnChainSleuth
· 08-06 14:40
Desgraciadamente, casi no hay nada que se pueda recuperar de estos accidentes.
Ver originalesResponder0
Whale_Whisperer
· 08-06 14:25
tontos aún están gritando invierno Hacker ya han ganado mucho
Las diez principales pérdidas de seguridad en la industria Web3 en 2024 ascienden a casi 2,5 mil millones de dólares.
Revisión de los diez principales incidentes de seguridad de la industria de la cadena de bloques en 2024
Con el continuo desarrollo de la tecnología de la cadena de bloques, en 2024 esta industria ha logrado avances significativos en innovación tecnológica y expansión ecológica. Sin embargo, junto con estos avances, los desafíos de seguridad también se han vuelto cada vez más graves. Según los datos de una plataforma de monitoreo de seguridad, hasta finales de 2024, las pérdidas totales en el ámbito de Web3 debido a diversos incidentes de seguridad alcanzan los 2,491 millones de dólares. Estos incidentes no solo expusieron vulnerabilidades a nivel técnico, como la gestión inadecuada de claves privadas y defectos en contratos inteligentes, sino que también resaltaron problemas como ataques de ingeniería social y riesgos de gestión interna.
Este artículo revisará los diez eventos de seguridad más influyentes en el ámbito de Web3 en 2024, con el fin de extraer lecciones aprendidas y proporcionar referencias para la seguridad futura.
1. Evento DMM Bitcoin
Monto de la pérdida: 304 millones de dólares Método de ataque: filtración de la clave privada
El 31 de mayo de 2024, el conocido intercambio de criptomonedas japonés DMM Bitcoin sufrió un ataque importante. Los atacantes utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron estos fondos en múltiples direcciones. Este evento expuso graves defectos en la gestión de claves privadas y la protección de seguridad en múltiples capas del intercambio. A pesar de que el intercambio implementó medidas como monitoreo en cadena y congelación de fondos, el trabajo de seguimiento enfrenta grandes desafíos debido a que los hackers utilizaron herramientas de mezcla.
Cabe destacar que la policía japonesa confirmó el 24 de diciembre que el incidente fue obra de una organización internacional de hackers, lo que resalta la gravedad del crimen cibernético transnacional.
2. PlayDapp enfrenta la sobreemisión de tokens
Pérdida total: 290 millones de dólares Método de ataque: filtración de la clave privada
El 9 de febrero de 2024, el proyecto PlayDapp sufrió un fuerte golpe. Los hackers, al obtener la clave privada, acuñaron ilegalmente una gran cantidad de tokens PLA, lo que causó inicialmente una pérdida de 36.5 millones de dólares. Debido a que el equipo del proyecto no logró negociar con los hackers, los atacantes acuñaron 15.9 mil millones de tokens PLA adicionales, lo que elevó la pérdida total a 253.9 millones de dólares. Este incidente obligó a PlayDapp a suspender el contrato original y migrar a un nuevo contrato de token, destacando las deficiencias de los proyectos de cadena de bloques en la protección de claves privadas y en los mecanismos de respuesta de emergencia.
3. La billetera multifirma de WazirX fue atacada
Monto de la pérdida: 235 millones de dólares Técnicas de ataque: ataques en línea y phishing
El 18 de julio de 2024, la billetera multifirma Safe Wallet del mayor intercambio de criptomonedas de India, WazirX, fue objeto de un ataque preciso. Los atacantes indujeron a los firmantes multifirma a aprobar una transacción de actualización de contrato mediante técnicas de ingeniería social, y luego utilizaron los permisos del contrato actualizado para transferir todos los activos de la billetera. Este incidente revela los riesgos potenciales en la gestión de permisos y la transparencia operativa de las billeteras multifirma, al mismo tiempo que provoca una profunda reflexión en la industria sobre los mecanismos internos de control de riesgos de los proyectos.
4. Vulnerabilidades en el contrato de token de Gala Games
Monto de pérdida: 216 millones de dólares Método de ataque: vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue comprometida. Los atacantes utilizaron la función mint en el contrato de token para acuñar 5 mil millones de tokens GALA de una sola vez. Posteriormente, estos tokens acuñados ilegalmente fueron intercambiados en lotes por ETH, lo que resultó en una pérdida directa de 216 millones de dólares. A pesar de que el equipo de Gala Games activó rápidamente la función de lista negra para bloquear algunas cuentas de los hackers y recuperó parte de las pérdidas a través de vías legales, este incidente aún destaca la importancia del diseño de contratos y la gestión de permisos.
5. La billetera personal de un fundador de una conocida criptomoneda fue robada
Cantidad de pérdida: 1.12 millones de dólares Método de ataque: filtración de clave privada
El 31 de enero de 2024, cuatro billeteras personales de un cofundador de un conocido proyecto de criptomonedas fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en XRP. Estas billeteras se convirtieron en el objetivo del ataque debido a la falta de protección dual con dispositivos de hardware. Después del incidente, un importante intercambio logró congelar 4.2 millones de dólares en XRP y ayudó a rastrear los activos robados, pero la mayor parte de los fondos ya había sido blanqueada a través de intercambios descentralizados y servicios de mezcla.
6. Munchables se enfrenta a infiltraciones internas
Monto de la pérdida: 6250 millones de dólares Método de ataque: ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 Munchables, basada en Blast, sufrió un raro ataque de infiltración interna. Los atacantes se hicieron pasar por desarrolladores de Bloquear, obteniendo el código fuente y las claves sensibles a través de una larga infiltración. A pesar de las enormes pérdidas causadas, bajo la presión de la comunidad y el equipo, los hackers finalmente devolvieron todos los fondos robados. Este incidente destacó la importancia de la seguridad de la cadena de suministro, especialmente para los proyectos de cadena de bloques que dependen del desarrollo de terceros.
7. Fuga de clave privada de un intercambio turco
Pérdida total: 55 millones de dólares Método de ataque: filtración de clave privada
El 22 de junio de 2024, un importante intercambio de criptomonedas en Turquía sufrió un ataque de filtración de claves privadas, resultando en pérdidas de más de 55 millones de dólares en activos criptográficos. Con la ayuda de un intercambio conocido, aproximadamente 5.3 millones de dólares en fondos robados fueron congelados con éxito, pero otros activos aún no han sido recuperados. Este evento ha suscitado nuevamente preocupaciones en el mercado sobre la capacidad de gestión de claves privadas de los intercambios centralizados.
8. Radiant Capital billetera multisig ha sido hackeada
Cantidad de pérdida: 53 millones de dólares Método de ataque: filtración de claves privadas
El 17 de octubre de 2024, la billetera multifirma de Radiant Capital fue hackeada. Debido a la adopción de un modo de verificación de firma 3/11 con un umbral de seguridad más bajo, los hackers lograron obtener las claves privadas de 3 firmantes y realizar una firma fuera de la cadena, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que finalmente resultó en el robo de 53 millones de dólares. Este ataque ha provocado una profunda discusión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multifirma.
Es importante señalar que Radiant Capital había perdido 4.5 millones de dólares debido a una vulnerabilidad en el contrato, con más de 1900 ETH robados, lo que muestra que el proyecto tiene problemas persistentes en la gestión de la seguridad.
9. Evento de vulnerabilidad de contrato de Hedgey Finance
Monto de pérdida: 44.7 millones de dólares Método de ataque: vulnerabilidad de contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque a múltiples contratos en la cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns y lograron extraer tokens de las cadenas de Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este evento subraya una vez más la importancia de las auditorías de código, especialmente en la estricta verificación de la lógica de aprobación de tokens.
10. La billetera caliente de un conocido intercambio fue hackeada
Monto de la pérdida: 44.7 millones de dólares Método de ataque: filtración de clave privada
El 19 de septiembre de 2024, una conocida exchange sufrió una violación de su billetera caliente por parte de hackers, afectando a múltiples cadenas públicas como Ethereum, BNB Chain y Tron. A pesar de que la exchange activó rápidamente los mecanismos de transferencia de activos y congelación de retiros, los hackers ya habían logrado extraer activos por un valor de 44.7 millones de dólares. Este ataque destaca una vez más la alta riesgo de la gestión de billeteras calientes en exchanges centralizados, impulsando a la industria a explorar soluciones de almacenamiento de activos más seguras.
Conclusión
Los frecuentes incidentes de seguridad en 2024 nos recuerdan una vez más que el desarrollo saludable de la industria de la Cadena de bloques no puede prescindir de una fuerte garantía de seguridad. Desde la gestión de claves privadas hasta el diseño de contratos, desde la gobernanza interna hasta la defensa externa, cada incidente ha sonado la alarma para la industria. Frente a los métodos de ataque cada vez más complejos, todas las partes de la industria necesitan seguir invirtiendo en investigación y desarrollo tecnológico, normas de gestión y control de riesgos. En el futuro, esperamos que a través de la colaboración de la industria y la innovación tecnológica, podamos construir conjuntamente un ecosistema de Cadena de bloques más seguro y confiable, proporcionando una protección más sólida para usuarios e inversores.