Revisão dos Dez Principais Eventos de Segurança da Indústria Blockchain em 2024
Com o contínuo desenvolvimento da tecnologia Blockchain, a indústria alcançou avanços significativos em inovação tecnológica e expansão ecológica em 2024. No entanto, juntamente com esses progressos, os desafios de segurança tornaram-se cada vez mais severos. De acordo com os dados de uma plataforma de monitoramento de segurança, até o final de 2024, as perdas totais no setor Web3 devido a vários incidentes de segurança atingiram 2,491 milhões de dólares. Esses eventos não apenas expuseram vulnerabilidades no nível técnico, como a gestão inadequada de chaves privadas e defeitos em contratos inteligentes, mas também destacaram problemas como ataques de engenharia social e riscos de gestão interna.
Este artigo revisará os dez principais eventos de segurança mais impactantes na área do Web3 em 2024, com o objetivo de extrair lições e fornecer referência para a segurança futura.
1. Evento DMM Bitcoin
Montante da perda: 304 milhões de dólares
Método de ataque: vazamento da chave privada
No dia 31 de maio de 2024, a famosa exchange de criptomoedas japonesa DMM Bitcoin sofreu um ataque significativo. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente esses fundos em vários endereços. Este evento expôs as sérias falhas da exchange na gestão de chaves privadas e na proteção de segurança em múltiplas camadas. Apesar de a exchange ter tomado medidas como monitoramento on-chain e congelamento de fundos, o rastreamento enfrentou enormes desafios devido ao uso de ferramentas de mistura pelos hackers.
É importante notar que a polícia japonesa confirmou em 24 de dezembro que o incidente foi causado por um grupo de hackers internacional, destacando a gravidade do crime cibernético transnacional.
2. PlayDapp enfrenta a emissão excessiva de tokens
Montante da perda: 290 milhões de dólares
Método de ataque: vazamento da chave privada
No dia 9 de fevereiro de 2024, o projeto PlayDapp sofreu um grande golpe. Hackers, ao obterem a chave privada, cunharam ilegalmente uma grande quantidade de tokens PLA, causando inicialmente uma perda de 36,5 milhões de dólares. Como as negociações entre a equipe do projeto e os hackers falharam, os atacantes cunharam mais 15,9 bilhões de tokens PLA, fazendo com que a perda total disparasse para 253,9 milhões de dólares. Este incidente forçou a PlayDapp a suspender o contrato original e migrar para um novo contrato de token, destacando as deficiências dos projetos de blockchain em termos de proteção de chaves privadas e mecanismos de resposta a emergências.
3. Carteira multi-assinatura WazirX atacada
Montante da perda: 235 milhões de dólares
Técnicas de ataque: ataque à rede e phishing
No dia 18 de julho de 2024, a Safe Wallet de múltiplas assinaturas da maior exchange de criptomoedas da Índia, WazirX, foi alvo de um ataque direcionado. Os atacantes induziram os signatários da múltipla assinatura a aprovar uma transação de atualização de contrato através de engenharia social, e, em seguida, utilizaram os direitos do contrato atualizado para transferir todos os ativos da carteira. Este incidente revelou os riscos potenciais dos wallets de múltiplas assinaturas em termos de gestão de permissões e transparência operacional, ao mesmo tempo que provocou uma profunda reflexão na indústria sobre os mecanismos internos de controle de riscos dos projetos.
4. Vulnerabilidade do contrato de token Gala Games
Montante da perda: 216 milhões de dólares
Método de ataque: Vulnerabilidades de controlo de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido. O atacante utilizou a função mint no contrato de tokens para cunhar, de uma só vez, 5 bilhões de tokens GALA. Posteriormente, esses tokens cunhados ilegalmente foram trocados em lotes por ETH, resultando diretamente em uma perda de 216 milhões de dólares. Embora a equipe da Gala Games tenha rapidamente ativado a função de blacklist para bloquear algumas contas de hackers e tenha recuperado parte das perdas por meio de vias legais, este evento ainda destaca a importância do design de contratos e da gestão de permissões.
5. A carteira pessoal de um conhecido fundador de criptomoedas foi roubada
Perda: 112 milhões de dólares
Método de ataque: vazamento da chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais de um cofundador de um conhecido projeto de criptomoeda foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras tornaram-se alvos do ataque devido à falta de proteção dupla com dispositivos de hardware. Após o incidente, uma grande exchange conseguiu congelar 4,2 milhões de dólares em XRP e ajudou a rastrear os ativos roubados, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta infiltração interna
Montante da perda: 6250 milhões de dólares
Método de ataque: ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 Munchables, baseada em Blast, sofreu um raro ataque de infiltração interna. Os atacantes disfarçaram-se de desenvolvedores de Blockchain e, através de uma longa permanência, conseguiram obter o código-fonte e chaves sensíveis. Embora tenha causado enormes perdas, sob pressão da comunidade e da equipe, os hackers acabaram por devolver todos os fundos roubados. Este incidente destacou a importância da segurança da cadeia de suprimentos, especialmente para projetos de Blockchain que dependem de desenvolvimentos de terceiros.
7. Vazamento da chave privada de uma exchange turca
Valor da perda: 55 milhões de dólares
Método de ataque: vazamento da chave privada
No dia 22 de junho de 2024, uma grande exchange de criptomoedas na Turquia sofreu um ataque de vazamento de chaves privadas, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma conhecida exchange, cerca de 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento levantou novamente preocupações no mercado sobre a capacidade de gestão de chaves privadas das exchanges centralizadas.
8. O wallet multi-assinatura da Radiant Capital foi invadido
Valor da perda: 53 milhões de dólares
Método de ataque: vazamento de chave privada
Em 17 de outubro de 2024, a carteira multisig da Radiant Capital foi invadida por hackers. Devido ao uso de um modelo de verificação de assinatura 3/11 com um nível de segurança mais baixo, os hackers conseguiram obter as chaves privadas de 3 signatários e realizar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando em um roubo de 53 milhões de dólares. Este ataque gerou uma discussão aprofundada na indústria sobre o design e os mecanismos de governança das carteiras multisig.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH roubados, mostrando que o projeto tem problemas persistentes na gestão de segurança.
9. Incidente de vulnerabilidade do contrato Hedgey Finance
Montante da perda: 44,7 milhões de dólares
Método de ataque: Falha no contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque a vários contratos em cadeia. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas cadeias Ethereum e Arbitrum, com uma perda total de 44,7 milhões de dólares. Este evento destaca mais uma vez a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. A carteira quente de uma conhecida exchange foi invadida
Montante da perda: 44,7 milhões de dólares
Método de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, uma conhecida exchange teve sua hot wallet invadida por hackers, envolvendo várias blockchains como Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente ativado o mecanismo de transferência de ativos e congelamento de retiradas, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque destaca novamente o alto risco associado à gestão de hot wallets em exchanges centralizadas, impulsionando o setor a explorar ainda mais soluções de armazenamento de ativos mais seguras.
Conclusão
Os eventos de segurança frequentes em 2024 nos lembram novamente que o desenvolvimento saudável da indústria de Blockchain não pode prescindir de uma forte garantia de segurança. Desde a gestão de chaves privadas até o design de contratos, desde a governança interna até a defesa externa, cada incidente soou o alarme para a indústria. Diante de métodos de ataque cada vez mais complexos, todas as partes da indústria precisam continuar investindo em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de Blockchain mais seguro e confiável, proporcionando uma proteção mais robusta para usuários e investidores.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
11 gostos
Recompensa
11
7
Partilhar
Comentar
0/400
GateUser-aa7df71e
· 9h atrás
idiotas de sangue já escorreram mais uma vez. Quem ainda brinca com gestão de Chave privada são mãos de papel.
Ver originalResponder0
LightningClicker
· 19h atrás
Já arranjaram outra falha, estou completamente arruinado.
Ver originalResponder0
EntryPositionAnalyst
· 19h atrás
mundo crypto um ano foi fazer as pessoas de parvas tantos idiotas longe da realidade
Ver originalResponder0
DeFiVeteran
· 19h atrás
又被 fazer as pessoas de parvas 一波 idiotas?
Ver originalResponder0
ForumMiningMaster
· 19h atrás
Acidentes de segurança um após o outro, aqui vem mais um grande idiota.
Ver originalResponder0
OnChainSleuth
· 19h atrás
Trágico, quase não há nada que possa ser recuperado desses acidentes.
Ver originalResponder0
Whale_Whisperer
· 20h atrás
idiotas ainda estão gritando inverno Hacker já ganhou muito
As dez principais perdas de segurança na indústria Web3 em 2024 totalizaram quase 2,5 mil milhões de dólares.
Revisão dos Dez Principais Eventos de Segurança da Indústria Blockchain em 2024
Com o contínuo desenvolvimento da tecnologia Blockchain, a indústria alcançou avanços significativos em inovação tecnológica e expansão ecológica em 2024. No entanto, juntamente com esses progressos, os desafios de segurança tornaram-se cada vez mais severos. De acordo com os dados de uma plataforma de monitoramento de segurança, até o final de 2024, as perdas totais no setor Web3 devido a vários incidentes de segurança atingiram 2,491 milhões de dólares. Esses eventos não apenas expuseram vulnerabilidades no nível técnico, como a gestão inadequada de chaves privadas e defeitos em contratos inteligentes, mas também destacaram problemas como ataques de engenharia social e riscos de gestão interna.
Este artigo revisará os dez principais eventos de segurança mais impactantes na área do Web3 em 2024, com o objetivo de extrair lições e fornecer referência para a segurança futura.
1. Evento DMM Bitcoin
Montante da perda: 304 milhões de dólares Método de ataque: vazamento da chave privada
No dia 31 de maio de 2024, a famosa exchange de criptomoedas japonesa DMM Bitcoin sofreu um ataque significativo. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente esses fundos em vários endereços. Este evento expôs as sérias falhas da exchange na gestão de chaves privadas e na proteção de segurança em múltiplas camadas. Apesar de a exchange ter tomado medidas como monitoramento on-chain e congelamento de fundos, o rastreamento enfrentou enormes desafios devido ao uso de ferramentas de mistura pelos hackers.
É importante notar que a polícia japonesa confirmou em 24 de dezembro que o incidente foi causado por um grupo de hackers internacional, destacando a gravidade do crime cibernético transnacional.
2. PlayDapp enfrenta a emissão excessiva de tokens
Montante da perda: 290 milhões de dólares Método de ataque: vazamento da chave privada
No dia 9 de fevereiro de 2024, o projeto PlayDapp sofreu um grande golpe. Hackers, ao obterem a chave privada, cunharam ilegalmente uma grande quantidade de tokens PLA, causando inicialmente uma perda de 36,5 milhões de dólares. Como as negociações entre a equipe do projeto e os hackers falharam, os atacantes cunharam mais 15,9 bilhões de tokens PLA, fazendo com que a perda total disparasse para 253,9 milhões de dólares. Este incidente forçou a PlayDapp a suspender o contrato original e migrar para um novo contrato de token, destacando as deficiências dos projetos de blockchain em termos de proteção de chaves privadas e mecanismos de resposta a emergências.
3. Carteira multi-assinatura WazirX atacada
Montante da perda: 235 milhões de dólares Técnicas de ataque: ataque à rede e phishing
No dia 18 de julho de 2024, a Safe Wallet de múltiplas assinaturas da maior exchange de criptomoedas da Índia, WazirX, foi alvo de um ataque direcionado. Os atacantes induziram os signatários da múltipla assinatura a aprovar uma transação de atualização de contrato através de engenharia social, e, em seguida, utilizaram os direitos do contrato atualizado para transferir todos os ativos da carteira. Este incidente revelou os riscos potenciais dos wallets de múltiplas assinaturas em termos de gestão de permissões e transparência operacional, ao mesmo tempo que provocou uma profunda reflexão na indústria sobre os mecanismos internos de controle de riscos dos projetos.
4. Vulnerabilidade do contrato de token Gala Games
Montante da perda: 216 milhões de dólares Método de ataque: Vulnerabilidades de controlo de acesso
No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi invadido. O atacante utilizou a função mint no contrato de tokens para cunhar, de uma só vez, 5 bilhões de tokens GALA. Posteriormente, esses tokens cunhados ilegalmente foram trocados em lotes por ETH, resultando diretamente em uma perda de 216 milhões de dólares. Embora a equipe da Gala Games tenha rapidamente ativado a função de blacklist para bloquear algumas contas de hackers e tenha recuperado parte das perdas por meio de vias legais, este evento ainda destaca a importância do design de contratos e da gestão de permissões.
5. A carteira pessoal de um conhecido fundador de criptomoedas foi roubada
Perda: 112 milhões de dólares Método de ataque: vazamento da chave privada
No dia 31 de janeiro de 2024, quatro carteiras pessoais de um cofundador de um conhecido projeto de criptomoeda foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras tornaram-se alvos do ataque devido à falta de proteção dupla com dispositivos de hardware. Após o incidente, uma grande exchange conseguiu congelar 4,2 milhões de dólares em XRP e ajudou a rastrear os ativos roubados, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.
6. Munchables enfrenta infiltração interna
Montante da perda: 6250 milhões de dólares Método de ataque: ataque de engenharia social
No dia 26 de março de 2024, a plataforma de jogos Web3 Munchables, baseada em Blast, sofreu um raro ataque de infiltração interna. Os atacantes disfarçaram-se de desenvolvedores de Blockchain e, através de uma longa permanência, conseguiram obter o código-fonte e chaves sensíveis. Embora tenha causado enormes perdas, sob pressão da comunidade e da equipe, os hackers acabaram por devolver todos os fundos roubados. Este incidente destacou a importância da segurança da cadeia de suprimentos, especialmente para projetos de Blockchain que dependem de desenvolvimentos de terceiros.
7. Vazamento da chave privada de uma exchange turca
Valor da perda: 55 milhões de dólares Método de ataque: vazamento da chave privada
No dia 22 de junho de 2024, uma grande exchange de criptomoedas na Turquia sofreu um ataque de vazamento de chaves privadas, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma conhecida exchange, cerca de 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento levantou novamente preocupações no mercado sobre a capacidade de gestão de chaves privadas das exchanges centralizadas.
8. O wallet multi-assinatura da Radiant Capital foi invadido
Valor da perda: 53 milhões de dólares Método de ataque: vazamento de chave privada
Em 17 de outubro de 2024, a carteira multisig da Radiant Capital foi invadida por hackers. Devido ao uso de um modelo de verificação de assinatura 3/11 com um nível de segurança mais baixo, os hackers conseguiram obter as chaves privadas de 3 signatários e realizar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando em um roubo de 53 milhões de dólares. Este ataque gerou uma discussão aprofundada na indústria sobre o design e os mecanismos de governança das carteiras multisig.
É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH roubados, mostrando que o projeto tem problemas persistentes na gestão de segurança.
9. Incidente de vulnerabilidade do contrato Hedgey Finance
Montante da perda: 44,7 milhões de dólares Método de ataque: Falha no contrato
No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque a vários contratos em cadeia. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas cadeias Ethereum e Arbitrum, com uma perda total de 44,7 milhões de dólares. Este evento destaca mais uma vez a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.
10. A carteira quente de uma conhecida exchange foi invadida
Montante da perda: 44,7 milhões de dólares Método de ataque: vazamento de chave privada
No dia 19 de setembro de 2024, uma conhecida exchange teve sua hot wallet invadida por hackers, envolvendo várias blockchains como Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente ativado o mecanismo de transferência de ativos e congelamento de retiradas, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque destaca novamente o alto risco associado à gestão de hot wallets em exchanges centralizadas, impulsionando o setor a explorar ainda mais soluções de armazenamento de ativos mais seguras.
Conclusão
Os eventos de segurança frequentes em 2024 nos lembram novamente que o desenvolvimento saudável da indústria de Blockchain não pode prescindir de uma forte garantia de segurança. Desde a gestão de chaves privadas até o design de contratos, desde a governança interna até a defesa externa, cada incidente soou o alarme para a indústria. Diante de métodos de ataque cada vez mais complexos, todas as partes da indústria precisam continuar investindo em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de Blockchain mais seguro e confiável, proporcionando uma proteção mais robusta para usuários e investidores.