Principais Dez Incidentes de Segurança no Domínio Web3 em 2024
Em 2024, a indústria Web3 enfrenta desafios de segurança cada vez mais severos, ao mesmo tempo em que inova e se desenvolve. De acordo com a monitorização de plataformas de dados, até o final do ano, as perdas totais na área Web3 devido a vários tipos de ataques e fraudes atingiram 2,491 milhões de dólares. Esses eventos não apenas expuseram falhas a nível técnico, mas também destacaram os riscos potenciais de gestão interna e ataques de engenharia social. Este artigo irá rever os dez principais eventos de segurança da Web3 em 2024, na esperança de extrair lições que possam servir de referência para a proteção de segurança futura.
1. Evento DMM Bitcoin
Perda: 304 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 31 de maio, a conhecida exchange de criptomoedas japonesa DMM Bitcoin sofreu um grave incidente de segurança. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos em vários endereços. Este evento expôs as sérias deficiências da exchange na gestão de chaves privadas e nas múltiplas proteções de segurança. Embora a exchange tenha tomado medidas como monitoramento em cadeia e congelamento de fundos, a recuperação dos fundos roubados enfrenta enormes desafios devido à lavagem de dinheiro através de ferramentas de mistura.
No final do ano, as autoridades japonesas confirmaram que o ataque foi realizado por um grupo específico de hackers.
2. Evento PlayDapp
Perda: 290 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 9 de fevereiro, a PlayDapp enfrentou uma grave falha de segurança. Hackers ilegalmente cunharam uma grande quantidade de tokens PLA através de chaves privadas roubadas, com um valor inicial de 36,5 milhões de dólares. Após a falha nas negociações com os hackers, os atacantes cunharam posteriormente tokens no valor de 253,9 milhões de dólares. Este incidente forçou a PlayDapp a suspender o contrato original e migrar para um novo contrato de token, destacando as deficiências dos projetos de blockchain na proteção de chaves privadas e na gestão de emergências.
3. Um evento de uma exchange na Índia
Perda: 235 milhões de dólaresMétodos de ataque: Ataques cibernéticos e phishing
No dia 18 de julho, uma das principais exchanges de criptomoedas da Índia sofreu um ataque direcionado ao seu wallet multi-assinatura. Os atacantes induziram os detentores de multi-assinatura a assinar uma transação de atualização de contrato por meio de engenharia social, e depois usaram as permissões atualizadas para transferir todos os ativos do wallet. Este evento revelou os potenciais riscos na gestão de permissões e na transparência das operações dos wallets multi-assinatura, levando à reflexão profunda na indústria sobre os mecanismos internos de controle de riscos dos projetos.
4. Evento Gala Games
Perda: 216 milhões de dólaresMétodo de ataque: vulnerabilidades de controle de acesso
No dia 20 de maio, um endereço privilegiado da Gala Games foi comprometido. Os hackers utilizaram a função mint do contrato para cunhar 5 bilhões de tokens GALA de uma só vez e causaram uma perda de 216 milhões de dólares ao trocá-los em lotes por ETH. A equipe do projeto ativou então a função de lista negra para bloquear algumas contas dos hackers e recuperou parte das perdas através de meios legais.
5. Fundador de um projeto de criptomoeda é atacado
Perda: 112 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 31 de janeiro, quatro carteiras pessoais de um cofundador de um famoso projeto de criptomoeda foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em criptomoedas. Essas carteiras foram alvos do ataque devido à falta de proteção por hardware em dupla. Embora uma plataforma de negociação tenha conseguido congelar parte dos fundos roubados, a maior parte dos fundos já foi lavada através de exchanges descentralizadas e serviços de mistura.
6. Evento Munchables
Perda: 62,5 milhões de dólaresTécnica de ataque: Ataque de engenharia social
No dia 26 de março, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um ataque de infiltração interna. O atacante disfarçou-se de desenvolvedor de blockchain e, através de uma longa permanência, obteve o código-fonte e chaves sensíveis. Apesar de causar enormes perdas, sob pressão da comunidade e da equipe, o hacker acabou devolvendo todos os fundos roubados. Este evento destaca a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores terceirizados.
7. Um incidente em uma bolsa turca
Perda: 55 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 22 de junho, uma das principais exchanges de criptomoedas da Turquia sofreu um ataque de vazamento de chaves privadas, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a assistência de uma plataforma de negociação, 5,3 milhões de dólares em fundos roubados foram congelados com sucesso, mas a maior parte dos ativos ainda não foi recuperada. Este evento aumentou as preocupações do mercado sobre a gestão das chaves privadas em exchanges centralizadas.
8. Evento Radiant Capital
Perda: 53 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 17 de outubro, a carteira multi-assinatura da Radiant Capital foi atacada por hackers. Devido ao uso de um modo de verificação de assinatura de baixo limite de 3/11, os hackers conseguiram iniciar uma assinatura off-chain ao dominar as chaves privadas de 3 signatários, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando em um roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
Vale a pena notar que a Radiant Capital anteriormente perdeu 4,5 milhões de dólares devido a uma vulnerabilidade em um contrato, com mais de 1900 ETH roubados, refletindo que a equipe do projeto ainda tem espaço para melhorar a sua atenção à segurança.
9. Evento Hedgey Finance
Perda: 44,7 milhões de dólaresMétodo de ataque: Vulnerabilidade de contrato
No dia 19 de abril, a Hedgey Finance sofreu um ataque a vários contratos em cadeia. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas duas cadeias, Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a validação rigorosa da lógica de aprovação de tokens.
10. Carteira quente de uma plataforma de negociação foi roubada
Perda: 44,7 milhões de dólaresMétodo de ataque: vazamento de chave privada
No dia 19 de setembro, uma carteira quente de uma plataforma de negociação foi invadida por hackers, envolvendo várias blockchains, incluindo Ethereum, BNB Chain e Tron. Apesar de a bolsa ter rapidamente iniciado o mecanismo de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque expôs novamente os altos riscos na gestão de carteiras quentes de exchanges centralizadas, impulsionando a indústria a explorar soluções de armazenamento de ativos mais seguras.
Os frequentes incidentes de segurança em 2024 nos lembram mais uma vez que o desenvolvimento saudável da indústria de blockchain depende de uma forte proteção de segurança. Desde a gestão de chaves privadas até o design de contratos, desde o controle interno até a defesa externa, cada incidente oferece à indústria valiosas lições aprendidas. Diante de ameaças de ataque cada vez mais complexas, o setor precisa continuar a aumentar os investimentos em pesquisa e desenvolvimento de tecnologia, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro e confiável, proporcionando melhor proteção para usuários e investidores.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
18 gostos
Recompensa
18
5
Partilhar
Comentar
0/400
SelfStaking
· 07-25 18:21
Insight sem limites, deitar-se com propósito.
Ver originalResponder0
GateUser-9ad11037
· 07-25 03:07
Outra vez tenho que guardar a carteira fria.
Ver originalResponder0
MEV_Whisperer
· 07-22 19:47
gm! Acabei de ver, caiu 2.5B de dólares, mais um ano com problemas.
Ver originalResponder0
CrashHotline
· 07-22 19:45
Há tanto dinheiro roubado, não é de admirar que a minha Carteira esteja a emagrecer todos os dias.
Perdas de segurança no setor Web3 em 2024 chegam a quase 2,5 mil milhões de dólares: Análise aprofundada dos dez principais eventos
Principais Dez Incidentes de Segurança no Domínio Web3 em 2024
Em 2024, a indústria Web3 enfrenta desafios de segurança cada vez mais severos, ao mesmo tempo em que inova e se desenvolve. De acordo com a monitorização de plataformas de dados, até o final do ano, as perdas totais na área Web3 devido a vários tipos de ataques e fraudes atingiram 2,491 milhões de dólares. Esses eventos não apenas expuseram falhas a nível técnico, mas também destacaram os riscos potenciais de gestão interna e ataques de engenharia social. Este artigo irá rever os dez principais eventos de segurança da Web3 em 2024, na esperança de extrair lições que possam servir de referência para a proteção de segurança futura.
1. Evento DMM Bitcoin
Perda: 304 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de maio, a conhecida exchange de criptomoedas japonesa DMM Bitcoin sofreu um grave incidente de segurança. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, dispersando rapidamente os fundos em vários endereços. Este evento expôs as sérias deficiências da exchange na gestão de chaves privadas e nas múltiplas proteções de segurança. Embora a exchange tenha tomado medidas como monitoramento em cadeia e congelamento de fundos, a recuperação dos fundos roubados enfrenta enormes desafios devido à lavagem de dinheiro através de ferramentas de mistura.
No final do ano, as autoridades japonesas confirmaram que o ataque foi realizado por um grupo específico de hackers.
2. Evento PlayDapp
Perda: 290 milhões de dólares Método de ataque: vazamento de chave privada
No dia 9 de fevereiro, a PlayDapp enfrentou uma grave falha de segurança. Hackers ilegalmente cunharam uma grande quantidade de tokens PLA através de chaves privadas roubadas, com um valor inicial de 36,5 milhões de dólares. Após a falha nas negociações com os hackers, os atacantes cunharam posteriormente tokens no valor de 253,9 milhões de dólares. Este incidente forçou a PlayDapp a suspender o contrato original e migrar para um novo contrato de token, destacando as deficiências dos projetos de blockchain na proteção de chaves privadas e na gestão de emergências.
3. Um evento de uma exchange na Índia
Perda: 235 milhões de dólares Métodos de ataque: Ataques cibernéticos e phishing
No dia 18 de julho, uma das principais exchanges de criptomoedas da Índia sofreu um ataque direcionado ao seu wallet multi-assinatura. Os atacantes induziram os detentores de multi-assinatura a assinar uma transação de atualização de contrato por meio de engenharia social, e depois usaram as permissões atualizadas para transferir todos os ativos do wallet. Este evento revelou os potenciais riscos na gestão de permissões e na transparência das operações dos wallets multi-assinatura, levando à reflexão profunda na indústria sobre os mecanismos internos de controle de riscos dos projetos.
4. Evento Gala Games
Perda: 216 milhões de dólares Método de ataque: vulnerabilidades de controle de acesso
No dia 20 de maio, um endereço privilegiado da Gala Games foi comprometido. Os hackers utilizaram a função mint do contrato para cunhar 5 bilhões de tokens GALA de uma só vez e causaram uma perda de 216 milhões de dólares ao trocá-los em lotes por ETH. A equipe do projeto ativou então a função de lista negra para bloquear algumas contas dos hackers e recuperou parte das perdas através de meios legais.
5. Fundador de um projeto de criptomoeda é atacado
Perda: 112 milhões de dólares Método de ataque: vazamento de chave privada
No dia 31 de janeiro, quatro carteiras pessoais de um cofundador de um famoso projeto de criptomoeda foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em criptomoedas. Essas carteiras foram alvos do ataque devido à falta de proteção por hardware em dupla. Embora uma plataforma de negociação tenha conseguido congelar parte dos fundos roubados, a maior parte dos fundos já foi lavada através de exchanges descentralizadas e serviços de mistura.
6. Evento Munchables
Perda: 62,5 milhões de dólares Técnica de ataque: Ataque de engenharia social
No dia 26 de março, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um ataque de infiltração interna. O atacante disfarçou-se de desenvolvedor de blockchain e, através de uma longa permanência, obteve o código-fonte e chaves sensíveis. Apesar de causar enormes perdas, sob pressão da comunidade e da equipe, o hacker acabou devolvendo todos os fundos roubados. Este evento destaca a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores terceirizados.
7. Um incidente em uma bolsa turca
Perda: 55 milhões de dólares Método de ataque: vazamento de chave privada
No dia 22 de junho, uma das principais exchanges de criptomoedas da Turquia sofreu um ataque de vazamento de chaves privadas, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a assistência de uma plataforma de negociação, 5,3 milhões de dólares em fundos roubados foram congelados com sucesso, mas a maior parte dos ativos ainda não foi recuperada. Este evento aumentou as preocupações do mercado sobre a gestão das chaves privadas em exchanges centralizadas.
8. Evento Radiant Capital
Perda: 53 milhões de dólares Método de ataque: vazamento de chave privada
No dia 17 de outubro, a carteira multi-assinatura da Radiant Capital foi atacada por hackers. Devido ao uso de um modo de verificação de assinatura de baixo limite de 3/11, os hackers conseguiram iniciar uma assinatura off-chain ao dominar as chaves privadas de 3 signatários, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando em um roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.
Vale a pena notar que a Radiant Capital anteriormente perdeu 4,5 milhões de dólares devido a uma vulnerabilidade em um contrato, com mais de 1900 ETH roubados, refletindo que a equipe do projeto ainda tem espaço para melhorar a sua atenção à segurança.
9. Evento Hedgey Finance
Perda: 44,7 milhões de dólares Método de ataque: Vulnerabilidade de contrato
No dia 19 de abril, a Hedgey Finance sofreu um ataque a vários contratos em cadeia. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas duas cadeias, Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este evento destaca a importância da auditoria de código, especialmente a validação rigorosa da lógica de aprovação de tokens.
10. Carteira quente de uma plataforma de negociação foi roubada
Perda: 44,7 milhões de dólares Método de ataque: vazamento de chave privada
No dia 19 de setembro, uma carteira quente de uma plataforma de negociação foi invadida por hackers, envolvendo várias blockchains, incluindo Ethereum, BNB Chain e Tron. Apesar de a bolsa ter rapidamente iniciado o mecanismo de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque expôs novamente os altos riscos na gestão de carteiras quentes de exchanges centralizadas, impulsionando a indústria a explorar soluções de armazenamento de ativos mais seguras.
Os frequentes incidentes de segurança em 2024 nos lembram mais uma vez que o desenvolvimento saudável da indústria de blockchain depende de uma forte proteção de segurança. Desde a gestão de chaves privadas até o design de contratos, desde o controle interno até a defesa externa, cada incidente oferece à indústria valiosas lições aprendidas. Diante de ameaças de ataque cada vez mais complexas, o setor precisa continuar a aumentar os investimentos em pesquisa e desenvolvimento de tecnologia, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro e confiável, proporcionando melhor proteção para usuários e investidores.