Revisión de eventos de seguridad Web3 de 2024: análisis de los diez principales casos de ataque
En 2024, la industria de la blockchain, mientras innova tecnológicamente y expande su ecosistema, también enfrenta desafíos de seguridad cada vez más graves. Según los datos de una plataforma de monitoreo de seguridad, hasta finales de año, las pérdidas totales en el ámbito de Web3 debido a ataques de hackers, fraudes de phishing y la fuga de proyectos alcanzaron los 2,491 millones de dólares.
Estos eventos no solo expusieron defectos técnicos como la gestión de claves privadas y vulnerabilidades en contratos inteligentes, sino que también resaltaron los riesgos potenciales de la ingeniería social y la gestión interna. Este artículo revisará los diez principales eventos de seguridad de Web3 en 2024, con la esperanza de aprender de ellos y proporcionar referencias para la futura protección de la seguridad en la industria.
1. Evento DMM Bitcoin
Cantidad de pérdida: 304 millones de dólares
Método de ataque: filtración de clave privada
El 31 de mayo de 2024, el conocido intercambio de criptomonedas japonés DMM Bitcoin sufrió un grave incidente de seguridad. Los atacantes utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados en más de 10 direcciones diferentes. Este ataque expuso las graves vulnerabilidades del intercambio en la gestión de claves privadas y en la protección de seguridad de múltiples capas.
A pesar de que el intercambio intentó rastrear a los hackers mediante la vigilancia en cadena y el congelamiento de fondos, la recuperación enfrenta grandes desafíos debido a que los bitcoins robados fueron rápidamente dispersados y blanqueados utilizando herramientas de mezcla. A finales de año, las autoridades locales determinaron que el ataque fue realizado por una organización internacional de hackers.
2. PlayDapp enfrenta la emisión excesiva de tokens
Cantidad de pérdida: 290 millones de dólares
Método de ataque: filtración de clave privada
El 9 de febrero de 2024, el proyecto PlayDapp sufrió un duro golpe. Los hackers, al obtener la clave privada, acuñaron ilegalmente 2 mil millones de tokens PLA, con un valor inicial de 36.5 millones de dólares. Debido a la falla en las negociaciones entre el equipo del proyecto y los hackers, los atacantes acuñaron en un corto período de tiempo 15.9 mil millones de tokens PLA, alcanzando un valor total de 253.9 millones de dólares. Parte de los tokens ingresaron a los intercambios, lo que llevó a PlayDapp a suspender el contrato PLA y migrar a un nuevo contrato de token. Este incidente destacó las deficiencias de los proyectos de blockchain en la protección de claves privadas y en la gestión de emergencias.
3. Un intercambio en India sufre un ataque preciso
Cantidad de pérdida: 235 millones de dólares
Métodos de ataque: ataques en red y phishing
El 18 de julio de 2024, una importante plataforma de intercambio de criptomonedas en India fue objeto de un ataque preciso por parte de hackers a su cartera multisig. Los atacantes utilizaron técnicas de ingeniería social para inducir a los firmantes de la multisig a aprobar una transacción de actualización de contrato, y luego utilizaron los permisos del contrato actualizado para transferir todos los activos de la cartera. Este caso revela los riesgos potenciales de la configuración de permisos y la transparencia operativa en las carteras multisig, y ha llevado a una profunda reflexión dentro de la industria sobre los mecanismos internos de control de riesgos de los proyectos.
4. Vulnerabilidades en el contrato del token de Gala Games
Monto de la pérdida: 216 millones de dólares
Método de ataque: vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. El atacante llamó a la función mint en el contrato de tokens y acuñó de una vez 5 mil millones de tokens GALA. Posteriormente, estos tokens acuñados ilegalmente fueron intercambiados en lotes por ETH, lo que resultó en una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó urgentemente la función de lista negra para bloquear algunas cuentas de los hackers y recuperó parte de las pérdidas a través de vías legales.
5. La billetera personal de un conocido fundador de criptomonedas fue robada
Cantidad de pérdida: 112 millones de dólares
Método de ataque: filtración de clave privada
El 31 de enero de 2024, cuatro billeteras personales de un cofundador de un conocido proyecto de criptomonedas fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en criptomonedas. Estas billeteras se convirtieron en el objetivo del ataque debido a la falta de protección dual con dispositivos de hardware. Después del incidente, un importante intercambio logró congelar activos robados por un valor de 4.2 millones de dólares y asistió en el rastreo de los fondos restantes, pero la mayor parte de los fondos ya había sido limpiada a través de intercambios descentralizados y servicios de mezcla.
6. Munchables enfrenta infiltración interna
Monto de la pérdida: 62.5 millones de dólares
Método de ataque: ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 basada en Blast, Munchables, sufrió un raro ataque de infiltración interna. Los atacantes se hicieron pasar por desarrolladores de blockchain y, tras una larga infiltración, obtuvieron el código fuente y las claves sensibles. A pesar de las enormes pérdidas, bajo la presión de la comunidad y del equipo, los hackers finalmente devolvieron todos los fondos robados. Este incidente destaca la importancia de la seguridad de la cadena de suministro, especialmente para los proyectos de blockchain que dependen de desarrolladores de terceros.
7. Filtración de claves privadas de un intercambio turco
Monto de la pérdida: 55 millones de dólares
Método de ataque: filtración de claves privadas
El 22 de junio de 2024, un importante intercambio de criptomonedas en Turquía sufrió un ataque de filtración de claves privadas, con pérdidas superiores a 55 millones de dólares en activos criptográficos. Con la ayuda de un intercambio internacional, aproximadamente 5.3 millones de dólares de los fondos robados fueron congelados con éxito, pero el resto de los activos aún no ha sido recuperado. Este evento ha profundizado la preocupación del mercado sobre la capacidad de gestión de claves privadas por parte de los intercambios centralizados.
8. Radiant Capital la billetera multifirma fue hackeada
Monto de la pérdida: 53 millones de dólares
Método de ataque: filtración de clave privada
El 17 de octubre de 2024, la billetera multi-firma de Radiant Capital fue hackeada. Debido a que se utilizó un modelo de verificación de firma 3/11 con un umbral más bajo, los hackers obtuvieron las claves privadas de 3 firmantes para iniciar la firma fuera de la cadena, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que finalmente resultó en el robo de 53 millones de dólares. Este ataque provocó una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multi-firma.
Cabe destacar que Radiant Capital había perdido 4.5 millones de dólares debido a una vulnerabilidad en el contrato, con más de 1900 ETH robados. Esto resalta una vez más que el nivel de atención a la seguridad por parte de los proyectos Web3 aún necesita mejorar.
9. La vulnerabilidad del contrato de Hedgey Finance fue explotada
Monto de pérdida: 44.7 millones de dólares
Método de ataque: Vulnerabilidad de contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque a múltiples contratos en cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns, logrando extraer tokens de las cadenas de Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este incidente resalta la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.
10. Invasión de la billetera caliente de un intercambio internacional
Monto de la pérdida: 44.7 millones de dólares
Método de ataque: filtración de clave privada
El 19 de septiembre de 2024, un wallet caliente de un intercambio internacionalmente conocido fue hackeado, involucrando múltiples cadenas públicas como Ethereum, BNB Chain y Tron. A pesar de que el intercambio activó rápidamente el mecanismo de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por un valor de 44.7 millones de dólares. Este ataque destaca una vez más la alta riesgo de la gestión de wallets calientes en intercambios centralizados, impulsando a la industria a explorar soluciones de almacenamiento de activos más seguras.
Conclusión
Los frecuentes incidentes de seguridad en 2024 nos recuerdan una vez más que el desarrollo saludable de la industria blockchain depende de la garantía de seguridad. Desde la gestión de llaves privadas hasta las vulnerabilidades de contratos, desde la gobernanza interna hasta la mejora de las técnicas de ataque externas, cada incidente ha sonado la alarma para la industria. Frente a las amenazas de seguridad cada vez más complejas, el sector necesita seguir invirtiendo en investigación y desarrollo tecnológico, normas de gestión y control de riesgos. En el futuro, esperamos construir conjuntamente un ecosistema blockchain más seguro y confiable a través de la colaboración de la industria y la innovación tecnológica, brindando una protección más sólida a los usuarios e inversores.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
15 me gusta
Recompensa
15
6
Republicar
Compartir
Comentar
0/400
ETHReserveBank
· 08-08 05:34
¿Se fueron 2500 millones de dólares así como así?
Ver originalesResponder0
ChainComedian
· 08-08 05:34
¡Difícil, demasiado difícil! Veinticinco mil millones se fueron así.
Ver originalesResponder0
SatoshiChallenger
· 08-08 05:34
Hacker año tras año, tontos no saben envejecer, al final pierden todo.
Resumen de los 10 principales incidentes de seguridad de Web3: ataques de hackers en 2024 causaron pérdidas de 2,491 millones de dólares.
Revisión de eventos de seguridad Web3 de 2024: análisis de los diez principales casos de ataque
En 2024, la industria de la blockchain, mientras innova tecnológicamente y expande su ecosistema, también enfrenta desafíos de seguridad cada vez más graves. Según los datos de una plataforma de monitoreo de seguridad, hasta finales de año, las pérdidas totales en el ámbito de Web3 debido a ataques de hackers, fraudes de phishing y la fuga de proyectos alcanzaron los 2,491 millones de dólares.
Estos eventos no solo expusieron defectos técnicos como la gestión de claves privadas y vulnerabilidades en contratos inteligentes, sino que también resaltaron los riesgos potenciales de la ingeniería social y la gestión interna. Este artículo revisará los diez principales eventos de seguridad de Web3 en 2024, con la esperanza de aprender de ellos y proporcionar referencias para la futura protección de la seguridad en la industria.
1. Evento DMM Bitcoin
Cantidad de pérdida: 304 millones de dólares Método de ataque: filtración de clave privada
El 31 de mayo de 2024, el conocido intercambio de criptomonedas japonés DMM Bitcoin sufrió un grave incidente de seguridad. Los atacantes utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados en más de 10 direcciones diferentes. Este ataque expuso las graves vulnerabilidades del intercambio en la gestión de claves privadas y en la protección de seguridad de múltiples capas.
A pesar de que el intercambio intentó rastrear a los hackers mediante la vigilancia en cadena y el congelamiento de fondos, la recuperación enfrenta grandes desafíos debido a que los bitcoins robados fueron rápidamente dispersados y blanqueados utilizando herramientas de mezcla. A finales de año, las autoridades locales determinaron que el ataque fue realizado por una organización internacional de hackers.
2. PlayDapp enfrenta la emisión excesiva de tokens
Cantidad de pérdida: 290 millones de dólares Método de ataque: filtración de clave privada
El 9 de febrero de 2024, el proyecto PlayDapp sufrió un duro golpe. Los hackers, al obtener la clave privada, acuñaron ilegalmente 2 mil millones de tokens PLA, con un valor inicial de 36.5 millones de dólares. Debido a la falla en las negociaciones entre el equipo del proyecto y los hackers, los atacantes acuñaron en un corto período de tiempo 15.9 mil millones de tokens PLA, alcanzando un valor total de 253.9 millones de dólares. Parte de los tokens ingresaron a los intercambios, lo que llevó a PlayDapp a suspender el contrato PLA y migrar a un nuevo contrato de token. Este incidente destacó las deficiencias de los proyectos de blockchain en la protección de claves privadas y en la gestión de emergencias.
3. Un intercambio en India sufre un ataque preciso
Cantidad de pérdida: 235 millones de dólares Métodos de ataque: ataques en red y phishing
El 18 de julio de 2024, una importante plataforma de intercambio de criptomonedas en India fue objeto de un ataque preciso por parte de hackers a su cartera multisig. Los atacantes utilizaron técnicas de ingeniería social para inducir a los firmantes de la multisig a aprobar una transacción de actualización de contrato, y luego utilizaron los permisos del contrato actualizado para transferir todos los activos de la cartera. Este caso revela los riesgos potenciales de la configuración de permisos y la transparencia operativa en las carteras multisig, y ha llevado a una profunda reflexión dentro de la industria sobre los mecanismos internos de control de riesgos de los proyectos.
4. Vulnerabilidades en el contrato del token de Gala Games
Monto de la pérdida: 216 millones de dólares Método de ataque: vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. El atacante llamó a la función mint en el contrato de tokens y acuñó de una vez 5 mil millones de tokens GALA. Posteriormente, estos tokens acuñados ilegalmente fueron intercambiados en lotes por ETH, lo que resultó en una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó urgentemente la función de lista negra para bloquear algunas cuentas de los hackers y recuperó parte de las pérdidas a través de vías legales.
5. La billetera personal de un conocido fundador de criptomonedas fue robada
Cantidad de pérdida: 112 millones de dólares Método de ataque: filtración de clave privada
El 31 de enero de 2024, cuatro billeteras personales de un cofundador de un conocido proyecto de criptomonedas fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en criptomonedas. Estas billeteras se convirtieron en el objetivo del ataque debido a la falta de protección dual con dispositivos de hardware. Después del incidente, un importante intercambio logró congelar activos robados por un valor de 4.2 millones de dólares y asistió en el rastreo de los fondos restantes, pero la mayor parte de los fondos ya había sido limpiada a través de intercambios descentralizados y servicios de mezcla.
6. Munchables enfrenta infiltración interna
Monto de la pérdida: 62.5 millones de dólares Método de ataque: ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 basada en Blast, Munchables, sufrió un raro ataque de infiltración interna. Los atacantes se hicieron pasar por desarrolladores de blockchain y, tras una larga infiltración, obtuvieron el código fuente y las claves sensibles. A pesar de las enormes pérdidas, bajo la presión de la comunidad y del equipo, los hackers finalmente devolvieron todos los fondos robados. Este incidente destaca la importancia de la seguridad de la cadena de suministro, especialmente para los proyectos de blockchain que dependen de desarrolladores de terceros.
7. Filtración de claves privadas de un intercambio turco
Monto de la pérdida: 55 millones de dólares Método de ataque: filtración de claves privadas
El 22 de junio de 2024, un importante intercambio de criptomonedas en Turquía sufrió un ataque de filtración de claves privadas, con pérdidas superiores a 55 millones de dólares en activos criptográficos. Con la ayuda de un intercambio internacional, aproximadamente 5.3 millones de dólares de los fondos robados fueron congelados con éxito, pero el resto de los activos aún no ha sido recuperado. Este evento ha profundizado la preocupación del mercado sobre la capacidad de gestión de claves privadas por parte de los intercambios centralizados.
8. Radiant Capital la billetera multifirma fue hackeada
Monto de la pérdida: 53 millones de dólares Método de ataque: filtración de clave privada
El 17 de octubre de 2024, la billetera multi-firma de Radiant Capital fue hackeada. Debido a que se utilizó un modelo de verificación de firma 3/11 con un umbral más bajo, los hackers obtuvieron las claves privadas de 3 firmantes para iniciar la firma fuera de la cadena, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que finalmente resultó en el robo de 53 millones de dólares. Este ataque provocó una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multi-firma.
Cabe destacar que Radiant Capital había perdido 4.5 millones de dólares debido a una vulnerabilidad en el contrato, con más de 1900 ETH robados. Esto resalta una vez más que el nivel de atención a la seguridad por parte de los proyectos Web3 aún necesita mejorar.
9. La vulnerabilidad del contrato de Hedgey Finance fue explotada
Monto de pérdida: 44.7 millones de dólares Método de ataque: Vulnerabilidad de contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque a múltiples contratos en cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns, logrando extraer tokens de las cadenas de Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este incidente resalta la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.
10. Invasión de la billetera caliente de un intercambio internacional
Monto de la pérdida: 44.7 millones de dólares Método de ataque: filtración de clave privada
El 19 de septiembre de 2024, un wallet caliente de un intercambio internacionalmente conocido fue hackeado, involucrando múltiples cadenas públicas como Ethereum, BNB Chain y Tron. A pesar de que el intercambio activó rápidamente el mecanismo de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por un valor de 44.7 millones de dólares. Este ataque destaca una vez más la alta riesgo de la gestión de wallets calientes en intercambios centralizados, impulsando a la industria a explorar soluciones de almacenamiento de activos más seguras.
Conclusión
Los frecuentes incidentes de seguridad en 2024 nos recuerdan una vez más que el desarrollo saludable de la industria blockchain depende de la garantía de seguridad. Desde la gestión de llaves privadas hasta las vulnerabilidades de contratos, desde la gobernanza interna hasta la mejora de las técnicas de ataque externas, cada incidente ha sonado la alarma para la industria. Frente a las amenazas de seguridad cada vez más complejas, el sector necesita seguir invirtiendo en investigación y desarrollo tecnológico, normas de gestión y control de riesgos. En el futuro, esperamos construir conjuntamente un ecosistema blockchain más seguro y confiable a través de la colaboración de la industria y la innovación tecnológica, brindando una protección más sólida a los usuarios e inversores.