Escrito por: Beosin
En 2024, la industria blockchain enfrenta desafíos de seguridad cada vez más graves, mientras avanza en innovación tecnológica y expansión del ecosistema. Según la plataforma Alert de la empresa de auditoría de seguridad Beosin, hasta el momento de la publicación, las pérdidas totales en el campo de Web3 por ataques de hackers, fraudes de phishing y Rug Pull de los proyectos han alcanzado los 2.491 millones de dólares.
Estos incidentes no solo exponen defectos técnicos como la gestión de claves privadas y vulnerabilidades de contratos inteligentes, sino que también destacan los riesgos potenciales de la ingeniería social y la gestión interna. Este artículo revisará los diez principales incidentes de seguridad en Web3 de 2024, ayudando a la industria a aprender lecciones y a enfrentar mejor las amenazas de seguridad futuras.
No.1 DMM Bitcoin
Monto de la pérdida: 304 millones de dólares
Método de ataque: filtración de clave privada
El 31 de mayo de 2024, el antiguo intercambio de criptomonedas japonés DMM Bitcoin sufrió un ataque histórico. Los atacantes utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, dispersando rápidamente los fondos robados a más de 10 direcciones diferentes. Este ataque expuso las graves deficiencias de DMM Bitcoin en la gestión de claves privadas y en la protección de seguridad en múltiples capas. A pesar de que el intercambio intentó rastrear a los hackers mediante monitoreo en cadena y congelación de fondos, los Bitcoin robados fueron dispersados y lavados utilizando herramientas de mezcla, lo que presentó un gran desafío para el trabajo de rastreo.
El 24 de diciembre, la policía japonesa determinó que el robo de DMM Bitcoin fue obra del grupo de hackers norcoreano Lazarus Group. Para un análisis detallado de los ataques pasados de Lazarus Group y el lavado de dinero, puede leer (Examinando la banda de robo de criptomonedas más audaz de la historia, análisis de lavado de dinero del grupo de hackers Lazarus).
No.2 PlayDapp
Monto de la pérdida: 290 millones de dólares
Método de ataque: filtración de clave privada
El 9 de febrero de 2024, PlayDapp sufrió un duro golpe, los hackers acuñaron 2 mil millones de tokens PLA robando claves privadas, con un valor inicial de 36.5 millones de dólares. Debido a que las negociaciones entre el proyecto y los hackers no tuvieron éxito, los hackers acuñaron en un corto período de tiempo 15.9 mil millones de tokens PLA, valorados en 253.9 millones de dólares. Después de que parte de estos tokens fluyeron hacia el intercambio Gate, PlayDapp se vio obligado a suspender el contrato PLA y migrar al contrato de tokens PDA. Este incidente pone de relieve las deficiencias en la protección de claves privadas y en la gestión de emergencias de los proyectos de blockchain.
No.3 WazirX
Monto de la pérdida: 235 millones de dólares
Método de ataque: ataques de red y phishing
El 18 de julio de 2024, la billetera multi-firma Safe Wallet del intercambio indio más grande, WazirX, fue objeto de un ataque preciso por parte de hackers. Los atacantes indujeron a los firmantes de la multi-firma a firmar una transacción de actualización de contrato mediante ingeniería social, y luego utilizaron los permisos del contrato actualizado para vaciar los activos de la billetera. Este caso resalta los riesgos potenciales en la configuración de permisos y la transparencia operativa de las billeteras multi-firma, y ha provocado una profunda reflexión en la industria sobre los mecanismos de control interno y seguridad de los proyectos.
Para un análisis detallado de este evento y el rastreo de fondos, puede leer (Beosin | Análisis del caso de robo de 235 millones de dólares en el intercambio indio WazirX).
No.4 Gala Games
Monto de la pérdida: 216 millones de dólares
Método de ataque: vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada, y los atacantes acuñaron 5 mil millones de tokens GALA de una vez al llamar a la función mint en el contrato de tokens. Luego, los hackers cambiaron los tokens emitidos en lotes a ETH, causando directamente una pérdida de 216 millones de dólares. El equipo de Gala Games activó urgentemente la función de lista negra para bloquear algunas cuentas de los hackers y recuperó la pérdida a través de medios judiciales.
No.5 Chris Larsen (cofundador de Ripple)
Monto de la pérdida: 112 millones de dólares
Método de ataque: filtración de clave privada
El 31 de enero de 2024, cuatro billeteras personales del cofundador de Ripple, Chris Larsen, fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en XRP. Estas billeteras parece que se convirtieron en objetivo de ataque debido a la falta de protección de doble factor con dispositivos de hardware. Después del incidente, Binance logró congelar 4.2 millones de dólares en XRP y ayudó a Larsen a rastrear los activos robados, pero la mayor parte de los fondos ya habían sido lavados a través de intercambios descentralizados y servicios de mezcla.
No.6 Munchables
Monto de la pérdida: 62.5 millones de dólares
Método de ataque: ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 Munchables, basada en Blast, sufrió un raro ataque de infiltración interna. Los atacantes eran hackers norcoreanos disfrazados de desarrolladores de blockchain, que obtuvieron el código fuente y claves sensibles tras una larga infiltración. A pesar de las enormes pérdidas, debido a la presión de la comunidad y el equipo, los hackers finalmente devolvieron todos los fondos robados. Este incidente revela la importancia de la seguridad en la cadena de suministro, especialmente para los proyectos de blockchain que dependen de desarrolladores de terceros.
No.7 BtcTurk
Monto de la pérdida: 55 millones de dólares
Método de ataque: filtración de clave privada
El 22 de junio de 2024, el mayor intercambio de criptomonedas de Turquía, BtcTurk, sufrió un ataque de filtración de clave privada, causando pérdidas de más de 55 millones de dólares en activos criptográficos. Con la ayuda del equipo de Binance, se logró congelar con éxito 5.3 millones de dólares en fondos robados, pero otros activos aún no se han recuperado. Este evento profundizó la preocupación del mercado sobre la gestión de claves privadas de los intercambios centralizados.
Anuncio oficial del ataque de BtcTurk
No.8 Radiant Capital
Monto de la pérdida: 53 millones de dólares
Método de ataque: filtración de clave privada
El 17 de octubre de 2024, la billetera multi-firma de Radiant Capital fue hackeada. Debido a que utilizaba un modo de verificación de firma de bajo umbral 3/11, los hackers iniciaron firmas fuera de la cadena al controlar las claves privadas de 3 firmantes, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque provocó una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multi-firma.
Radiant Capital, antes de este ataque, ya había sufrido una pérdida de 4.5 millones de dólares debido a una vulnerabilidad de contrato, con más de 1900 ETH robados. El nivel de atención de los proyectos de Web3 hacia la seguridad aún necesita mejorar.
No.9 Hedgey Finance
Monto de la pérdida: 44.7 millones de dólares
Método de ataque: vulnerabilidad de contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a múltiples contratos en cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns, extrayendo con éxito tokens en las cadenas de Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este evento demuestra la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.
No.10 BingX
Monto de la pérdida: 44.7 millones de dólares
Método de ataque: filtración de clave privada
El 19 de septiembre de 2024, la billetera caliente del intercambio BingX fue hackeada, afectando cadenas como Ethereum, BNB Chain, Tron y otras. A pesar de que el intercambio activó rápidamente mecanismos de transferencia de activos y congelación de retiros, los hackers ya habían extraído con éxito activos por un valor de 44.7 millones de dólares. Este ataque refleja el alto riesgo de gestión de billeteras calientes en intercambios centralizados y promueve aún más la búsqueda de soluciones de almacenamiento de activos más seguras en la industria.
Los ataques de seguridad en 2024 han sido frecuentes, recordándonos una vez más que el desarrollo de la industria blockchain no puede prescindir de la seguridad. Desde la filtración de claves privadas hasta las vulnerabilidades de contratos, desde la negligencia en la gestión interna hasta la evolución de métodos de ataque externos, cada evento ha traído lecciones profundas. Para hacer frente a las amenazas de ataque cada vez más complejas, todas las partes de la industria necesitan seguir aumentando la inversión en investigación y desarrollo tecnológico, normas de gestión y prevención de riesgos. En el futuro, esperamos que a través de la colaboración de la industria y la innovación tecnológica, se establezca un ecosistema blockchain más seguro, ofreciendo una mayor protección confiable a usuarios e inversionistas.