Escrito por: Beosin

En 2024, la industria de blockchain, mientras avanza en innovación técnica y expansión ecológica, también enfrenta desafíos de seguridad cada vez más severos. Según un monitoreo de la plataforma Alert de la empresa de auditoría de seguridad Beosin, hasta el momento de la publicación, las pérdidas totales en el campo Web3 debido a ataques de hackers, fraudes de phishing y el Rug Pull de proyectos ascienden a 2.491 millones de dólares.

Estos eventos no solo expusieron defectos técnicos como la gestión de claves privadas y vulnerabilidades en contratos inteligentes, sino que también resaltaron los riesgos potenciales de la ingeniería social y la gestión interna. Este artículo resaltará los diez eventos de seguridad más impactantes de Web3 en 2024, ayudando a la industria a aprender de ellos y enfrentar mejor las amenazas de seguridad futuras.

No.1 DMM Bitcoin

Monto de pérdida: 304 millones de dólares

Método de ataque: filtración de clave privada

El 31 de mayo de 2024, el intercambio de criptomonedas japonés DMM Bitcoin sufrió un ataque histórico. Los atacantes utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en bitcoin, y rápidamente dispersaron los fondos robados en más de 10 direcciones diferentes. Este ataque expuso las serias deficiencias de DMM Bitcoin en la gestión de claves privadas y la protección de seguridad en múltiples capas. Aunque el intercambio intentó rastrear a los hackers a través de monitoreo en cadena y congelación de fondos, los bitcoins robados fueron dispersados y limpiados utilizando herramientas de mezcla, lo que dificultó enormemente el seguimiento.

El 24 de diciembre, la policía japonesa determinó que el robo de DMM Bitcoin fue realizado por el grupo de hackers norcoreanos Lazarus Group. Para un análisis detallado sobre los ataques pasados de Lazarus Group y el lavado de dinero, se puede leer (Exponiendo la banda de robo de criptomonedas más audaz de la historia, análisis de lavado de dinero del grupo de hackers Lazarus).

No.2 PlayDapp

Monto de pérdida: 290 millones de dólares

Método de ataque: filtración de clave privada

El 9 de febrero de 2024, PlayDapp sufrió un duro golpe, los hackers acuñaron 2 mil millones de tokens PLA robando la clave privada, con un valor inicial de 36.5 millones de dólares. Debido a que las negociaciones entre el proyecto y los hackers no tuvieron éxito, los hackers acuñaron 15.9 mil millones de tokens PLA en un corto período de tiempo, con un valor de 253.9 millones de dólares. Parte de estos tokens fluyeron a la bolsa Gate, lo que llevó a PlayDapp a suspender el contrato PLA y migrar al contrato de token PDA. Este incidente destaca las deficiencias en la protección de claves privadas y la gestión de emergencias en proyectos de blockchain.

No.3 WazirX

Monto de pérdida: 235 millones de dólares

Método de ataque: ciberataque y phishing

El 18 de julio de 2024, el monedero multi-firma Safe Wallet del mayor intercambio de criptomonedas de India, WazirX, fue atacado de manera precisa por hackers. Los atacantes indujeron a los firmantes de la multi-firma a firmar una transacción de actualización del contrato a través de ingeniería social, y luego utilizaron los permisos del contrato actualizado para vaciar los activos del monedero. Este caso destaca los riesgos potenciales de gestión de configuración de permisos y la transparencia de operaciones en monederos multi-firma, y provocó una profunda reflexión en la industria sobre la gestión de riesgos internos y mecanismos de seguridad.

Para un análisis detallado de este evento y el rastreo de fondos, se puede leer (Beosin | Análisis del robo de 235 millones de dólares del intercambio indio WazirX).

No.4 Gala Games

Monto de pérdida: 216 millones de dólares

Método de ataque: vulnerabilidad de control de acceso

El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue comprometida por hackers, quienes llamaron a la función mint en el contrato de tokens y acuñaron 5 mil millones de tokens GALA de una sola vez. Posteriormente, los hackers intercambiaron en lotes los tokens emitidos por ETH, causando una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó de inmediato la función de lista negra para bloquear algunas cuentas de los hackers y recuperó las pérdidas a través de medios judiciales.

No.5 Chris Larsen (cofundador de Ripple)

Monto de pérdida: 112 millones de dólares

Método de ataque: filtración de clave privada

El 31 de enero de 2024, cuatro monederos personales del cofundador de Ripple, Chris Larsen, fueron hackeados, resultando en el robo de 112 millones de dólares en XRP. Estos monederos se convirtieron en objetivos de ataque debido a la falta de protección de doble factor con dispositivos de hardware. Después del incidente, Binance logró congelar 4.2 millones de dólares en XRP y ayudó a Larsen a rastrear los activos robados, pero la gran mayoría de los fondos ya habían sido limpiados a través de intercambios descentralizados y servicios de mezcla.

No.6 Munchables

Monto de pérdida: 62.5 millones de dólares

Método de ataque: ataque de ingeniería social

El 26 de marzo de 2024, la plataforma de juegos Web3 Munchables basada en Blast sufrió un raro ataque de infiltración interna. Los atacantes eran hackers norcoreanos disfrazados de desarrolladores de blockchain, que obtuvieron el código fuente y claves sensibles a través de una larga infiltración. A pesar de que el ataque causó enormes pérdidas, debido a la presión de la comunidad y el equipo, los hackers finalmente devolvieron todos los fondos robados. Este incidente revela la importancia de la seguridad de la cadena de suministro, especialmente para proyectos de blockchain que dependen de desarrolladores externos.

No.7 BtcTurk

Monto de pérdida: 55 millones de dólares

Método de ataque: filtración de clave privada

El 22 de junio de 2024, el mayor intercambio de criptomonedas de Turquía, BtcTurk, sufrió un ataque por filtración de clave privada, con pérdidas de más de 55 millones de dólares en activos criptográficos. Con la ayuda del equipo de Binance, 5.3 millones de dólares en fondos robados fueron congelados con éxito, pero otros activos aún no han sido recuperados. Este evento profundizó la preocupación del mercado sobre la gestión de claves privadas en intercambios centralizados.

BtcTurk emitió un anuncio oficial sobre el ataque

No.8 Radiant Capital

Monto de pérdida: 53 millones de dólares

Método de ataque: filtración de clave privada

El 17 de octubre de 2024, el monedero multi-firma de Radiant Capital fue atacado por hackers. Debido a que utilizaba un modelo de verificación de firma 3/11 de bajo umbral, los hackers lograron obtener las claves privadas de 3 firmantes y realizar una firma fuera de la cadena, transfiriendo la propiedad del contrato del monedero a una dirección maliciosa, resultando en el robo de 53 millones de dólares. Este ataque provocó una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de los monederos multi-firma.

Radiant Capital había perdido 4.5 millones de dólares debido a vulnerabilidades en el contrato antes de este ataque, con más de 1900 ETH robados. El nivel de atención de los proyectos Web3 hacia la seguridad aún necesita mejorar.

No.9 Hedgey Finance

Monto de pérdida: 44.7 millones de dólares

Método de ataque: vulnerabilidad en el contrato

El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a varios contratos en cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns y extrajeron exitosamente tokens en las cadenas Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este incidente muestra la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.

No.10 BingX

Monto de pérdida: 44.7 millones de dólares

Método de ataque: filtración de clave privada

El 19 de septiembre de 2024, el monedero caliente del intercambio BingX fue invadido por hackers, involucrando múltiples cadenas como Ethereum, BNB Chain, Tron y otras. Aunque el intercambio activó rápidamente los mecanismos de transferencia de activos y congelación de retiros, los hackers ya habían extraído exitosamente activos por un valor de 44.7 millones de dólares. Este ataque refleja la alta peligrosidad de la gestión de monederos calientes en intercambios centralizados y promueve aún más la exploración de soluciones de almacenamiento de activos más seguras en la industria.

Los eventos de ataques de seguridad en 2024 han sido frecuentes, recordándonos nuevamente que el desarrollo de la industria de blockchain no puede prescindir de la protección de seguridad. Desde la filtración de claves privadas hasta vulnerabilidades en contratos, desde fallas en la gestión interna hasta la actualización de métodos de ataque externos, cada incidente ha traído lecciones profundas. Para enfrentar amenazas de ataque cada vez más complejas, todas las partes de la industria deben seguir invirtiendo en desarrollo tecnológico, normas de gestión y control de riesgos. En el futuro, esperamos que a través de la colaboración de la industria y la innovación tecnológica, podamos establecer un ecosistema blockchain más seguro y proporcionar una protección más confiable para usuarios e inversores.