Beosin 24 de diciembre de 2024 16:39 Singapur En 2024, la industria blockchain enfrentará desafíos de seguridad cada vez más severos mientras experimenta innovación tecnológica y expansión ecológica. Según el seguimiento de la plataforma Alert de la empresa de auditoría de seguridad Beosin, al cierre de esta edición, las pérdidas totales causadas por ataques de piratas informáticos, estafas de phishing y Rug Pull de las partes del proyecto en el campo Web3 en 2024 alcanzaron los 2.491 millones de dólares estadounidenses.
Estos incidentes no solo expusieron fallas técnicas como la gestión de claves privadas y vulnerabilidades de contratos inteligentes, sino que también resaltaron los riesgos potenciales de la ingeniería social y la gestión interna. Este artículo hará un balance de los diez principales incidentes de seguridad Web3 en 2024 para ayudar a la industria a aprender de ellos y responder mejor a futuras amenazas a la seguridad.

El número 1 en DMM Bitcoin

Pérdida: 304 millones de dólares

Método de ataque: fuga de clave privada

El 31 de mayo de 2024, DMM Bitcoin, un intercambio de criptomonedas japonés de larga data, sufrió un ataque histórico. Los atacantes utilizaron las claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin y rápidamente dispersaron los fondos robados en más de 10 direcciones diferentes. Este ataque expuso graves deficiencias en la gestión de claves privadas y la protección de seguridad multicapa de DMM Bitcoin. Aunque el intercambio intentó rastrear a los piratas informáticos mediante el monitoreo en cadena y la congelación de fondos, los Bitcoins robados se dispersaron, transfirieron y limpiaron utilizando herramientas de mezcla de monedas, lo que planteó grandes desafíos para el trabajo de seguimiento.

El 24 de diciembre, la policía japonesa determinó que el robo de DMM Bitcoin fue causado por la organización de hackers norcoreana Lazarus Group. Para obtener un análisis detallado de los ataques pasados ​​y el lavado de fondos de Lazarus Group, lea (Análisis de lavado de dinero por parte de la organización de hackers Lazarus Group, el grupo de robo de criptomonedas más atrevido de la historia).

N.º 2 PlayDapp

 

Pérdida: 290 millones de dólares

Método de ataque: fuga de clave privada

El 9 de febrero de 2024, PlayDapp sufrió un duro golpe. Los piratas informáticos acuñaron 2 mil millones de tokens PLA con un valor inicial de 36,5 millones de dólares robando claves privadas. Como fracasaron las negociaciones entre el equipo del proyecto y el hacker, el hacker acuñó otros 15,9 mil millones de tokens PLA por un valor de 253,9 millones de dólares en un corto período de tiempo. Después de que algunos de estos tokens fluyeran hacia el intercambio Gate, PlayDapp se vio obligado a suspender el contrato PLA y migrar al contrato de token PDA. Este incidente puso de relieve las deficiencias de los proyectos blockchain en la protección de claves privadas y la respuesta a emergencias.

N.º 3 WazirX

Monto de la pérdida: $235 millones

Métodos de ataque: ataques de red y phishing

El 18 de julio de 2024, la billetera multifirma Safe Wallet de WazirX, el mayor intercambio de criptomonedas de la India, fue atacada con precisión por piratas informáticos. El atacante indujo al firmante múltiple a firmar una transacción de actualización de contrato mediante ingeniería social y luego utilizó los permisos del contrato actualizado para transferir todos los activos en la billetera. Este caso destaca los riesgos potenciales en la configuración de permisos de gestión y la transparencia operativa de las carteras multifirma, y ​​también desencadena una reflexión profunda en la industria sobre el control interno de riesgos y los mecanismos de seguridad de los proyectos.

Para un análisis detallado y un seguimiento de los fondos de este incidente, puede leer (Beosin | Análisis de 235 millones de dólares robados del exchange indio WazirX).

 

Juegos de gala nº4

Monto de la pérdida: $216 millones

Método de ataque: vulnerabilidad de control de acceso

El 20 de mayo de 2024, un hacker violó una dirección privilegiada de Gala Games. El atacante acuñó 5 mil millones de tokens GALA a la vez llamando a la función mint en el contrato del token. Posteriormente, el hacker convirtió los tokens recién emitidos en ETH en lotes, lo que provocó directamente una pérdida de 216 millones de dólares. Tras el incidente, el equipo de Gala Games activó urgentemente la función de lista negra para bloquear algunas cuentas de piratas informáticos y recuperar las pérdidas a través de la vía judicial.

 

No.5 Chris Larsen (cofundador de Ripple)

Monto de la pérdida: $112 millones

Método de ataque: fuga de clave privada

El 31 de enero de 2024, cuatro billeteras personales del cofundador de Ripple, Chris Larsen, fueron pirateadas, lo que resultó en el robo de 112 millones de dólares en XRP. Se sospecha que estas billeteras son un objetivo debido a la falta de protección dual de los dispositivos de hardware. Después del incidente, Binance congeló con éxito XRP por valor de 4,2 millones de dólares y ayudó a Larsen a rastrear los activos robados, pero la mayoría de los fondos habían sido lavados a través de intercambios descentralizados y servicios de mezcla de divisas.

No.6 Munchables

Monto de la pérdida: $62,5 millones

Método de ataque: ataque de ingeniería social

El 26 de marzo de 2024, la plataforma de juegos Web3 basada en Blast, Munchables, sufrió un raro ataque de penetración interna. Los atacantes eran piratas informáticos norcoreanos disfrazados de desarrolladores de blockchain y obtuvieron el código central y las claves confidenciales mediante un acecho a largo plazo. Aunque el ataque causó enormes pérdidas, debido a la presión de la comunidad y el equipo, los piratas informáticos finalmente devolvieron todos los fondos robados. Este incidente reveló la importancia de la seguridad de la cadena de suministro, especialmente para los proyectos blockchain que dependen del desarrollo de terceros.

 

N.º 7 BtcTurk

Monto de la pérdida: $55 millones

Método de ataque: fuga de clave privada

El 22 de junio de 2024, el mayor intercambio de criptomonedas de Turquía, BtcTurk, sufrió un ataque de filtración de clave privada, perdiendo más de 55 millones de dólares en criptoactivos. Con la ayuda del equipo de Binance, se congelaron con éxito 5,3 millones de dólares en fondos robados, pero aún no se han recuperado otros activos. Este incidente profundizó las preocupaciones del mercado sobre la gestión de claves privadas en los intercambios centralizados.

BtcTurk anuncio oficial de ser atacado

No.8 Capital Radiante

Monto de la pérdida: $53 millones

Método de ataque: fuga de clave privada

El 17 de octubre de 2024, los piratas informáticos vulneraron la billetera multifirma de Radiant Capital. Debido a su modo de verificación de firmas del 11 de marzo de bajo umbral, los piratas informáticos iniciaron firmas fuera de la cadena al dominar las claves privadas de tres firmantes y transfirieron la propiedad del contrato de billetera a una dirección maliciosa, lo que finalmente resultó en el robo de $ 53 millones. El ataque desencadenó un replanteamiento de la industria sobre el diseño de billeteras de firmas múltiples y los mecanismos de gobernanza.

Antes de este ataque, Radiant Capital había perdido 4,5 millones de dólares debido a vulnerabilidades en los contratos y se habían robado más de 1.900 ETH. Los participantes del proyecto Web3 aún deben prestar más atención a la seguridad.

 

No.9 Finanzas de cobertura

Monto de la pérdida: $44,7 millones

Método de ataque: vulnerabilidad del contrato

El 19 de abril de 2024, Hedgey Finance sufrió ataques dirigidos a múltiples contratos en cadena. El hacker aprovechó una vulnerabilidad de aprobación en su contrato ClaimCampaigns y retiró con éxito tokens en las cadenas Ethereum y Arbitrum, lo que resultó en una pérdida total de 44,7 millones de dólares. Este incidente muestra la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.

N.º 10 BingX

Monto de la pérdida: $44,7 millones

Método de ataque: fuga de clave privada

El 19 de septiembre de 2024, la billetera activa del intercambio BingX fue pirateada y las cadenas involucradas incluyeron Ethereum, BNB Chain, Tron y otras cadenas públicas. Aunque el intercambio inició rápidamente mecanismos de congelación de retiros y transferencias de activos, los piratas informáticos han retirado con éxito activos por valor de 44,7 millones de dólares. Este ataque refleja la naturaleza de alto riesgo de la gestión de billeteras activas en intercambios centralizados e impulsa aún más a la industria a explorar soluciones de almacenamiento de activos más seguras.

La frecuente aparición de ataques a la seguridad en 2024 nos recuerda una vez más que el desarrollo de la industria blockchain no puede separarse de la protección de la seguridad. Desde filtraciones de claves privadas hasta vulnerabilidades de contratos, desde descuidos de gestión interna hasta la actualización de métodos de ataque externos, cada incidente ha aportado profundas lecciones. Para hacer frente a amenazas de ataques cada vez más complejas, todas las partes de la industria deben seguir aumentando la inversión en investigación y desarrollo de tecnología, regulaciones de gestión y prevención y control de riesgos. En el futuro, esperamos construir conjuntamente un ecosistema blockchain más seguro a través de la colaboración de la industria y la innovación tecnológica para brindar a los usuarios e inversores una protección más confiable.