Fuente original: Beosin

En 2024, la industria blockchain se enfrenta a desafíos de seguridad cada vez más severos, incluso mientras avanza en innovaciones tecnológicas y expansión ecológica. Según la plataforma Alert de la empresa de auditoría de seguridad Beosin, hasta la fecha de redacción, las pérdidas totales en el campo de Web3 en 2024 debido a ataques de hackers, fraudes de phishing y el desfalco de proyectos alcanzan los 2.491 millones de dólares.

Estos eventos no solo expusieron defectos técnicos como la gestión de claves privadas y vulnerabilidades en contratos inteligentes, sino que también destacaron los riesgos potenciales de la ingeniería social y la gestión interna. Este artículo enumerará los diez eventos de seguridad más importantes en Web3 de 2024, ayudando a la industria a aprender de ellos y a enfrentar mejor las amenazas de seguridad futuras.

No.1 DMM Bitcoin

Monto de la pérdida: 304 millones de dólares

Método de ataque: filtración de clave privada

El 31 de mayo de 2024, el intercambio de criptomonedas japonés DMM Bitcoin sufrió un ataque histórico. Los atacantes utilizaron claves privadas filtradas para transferir directamente bitcoins por un valor de más de 300 millones de dólares, dispersando rápidamente los fondos robados a más de 10 direcciones diferentes. Este ataque expuso las serias deficiencias de DMM Bitcoin en la gestión de claves privadas y en la protección de seguridad en múltiples capas. Aunque el intercambio intentó rastrear a los hackers a través de monitoreo en la cadena y congelación de fondos, los bitcoins robados fueron dispersados y limpiados utilizando herramientas de mezclado, lo que presentó un gran desafío para el seguimiento.

El 24 de diciembre, la policía japonesa determinó que el robo de DMM Bitcoin fue llevado a cabo por el grupo de hackers norcoreano Lazarus Group.

No.2 PlayDapp

Monto de la pérdida: 290 millones de dólares

Método de ataque: filtración de clave privada

El 9 de febrero de 2024, PlayDapp sufrió un duro golpe, los hackers acuñaron 2 mil millones de tokens PLA al robar las claves privadas, con un valor inicial de 36.5 millones de dólares. Debido a que las negociaciones entre el equipo del proyecto y los hackers no tuvieron éxito, los hackers acuñaron rápidamente 15.9 mil millones de tokens PLA, con un valor de 253.9 millones de dólares. Algunos de estos tokens fluyeron a la bolsa Gate, después de lo cual PlayDapp se vio obligado a suspender el contrato PLA y migrar al contrato de tokens PDA. Este incidente destacó las deficiencias de los proyectos de blockchain en la protección de claves privadas y en la gestión de emergencias.

No.3 WazirX

Monto de la pérdida: 235 millones de dólares

Método de ataque: ataque cibernético y phishing

El 18 de julio de 2024, la billetera multi-firma Safe Wallet del mayor intercambio de criptomonedas de India, WazirX, fue objeto de un ataque preciso por parte de hackers. Los atacantes indujeron a los firmantes de la multi-firma a firmar una transacción de actualización de contrato mediante ingeniería social, y luego utilizaron los permisos del contrato actualizado para transferir todos los activos de la billetera. Este caso resalta los riesgos potenciales de las billeteras multi-firma en la configuración de permisos y la transparencia operativa, y ha generado una profunda reflexión en la industria sobre los mecanismos internos de control de riesgos y seguridad de los proyectos.

Para un análisis detallado de este incidente y el seguimiento de fondos, consulte (Beosin | Análisis del incidente de robo de 235 millones de dólares de WazirX en India).

No.4 Gala Games

Monto de la pérdida: 216 millones de dólares

Método de ataque: vulnerabilidad en el control de acceso

El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada, y los atacantes, al llamar a la función mint en el contrato de tokens, acuñaron 5 mil millones de tokens GALA de una sola vez. Luego, los hackers intercambiaron los tokens emitidos en varias tandas por ETH, causando pérdidas directas de 216 millones de dólares. El equipo de Gala Games activó urgentemente la función de lista negra para bloquear algunas cuentas de los hackers y buscó recuperar las pérdidas a través de procedimientos judiciales.

No.5 Chris Larsen (cofundador de Ripple)

Monto de la pérdida: 112 millones de dólares

Método de ataque: filtración de clave privada

El 31 de enero de 2024, cuatro billeteras personales del cofundador de Ripple, Chris Larsen, fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en XRP. Estas billeteras se convirtieron en objetivos de ataque debido a la falta de protección dual con dispositivos de hardware. Después del incidente, Binance logró congelar 4.2 millones de dólares en XRP y asistió a Larsen en el seguimiento de los activos robados, pero la mayor parte de los fondos ya habían sido limpiados a través de intercambios descentralizados y servicios de mezclado.

No.6 Munchables

Monto de la pérdida: 62.5 millones de dólares

Método de ataque: ataque de ingeniería social

El 26 de marzo de 2024, la plataforma de juegos Web3 basada en Blast, Munchables, sufrió un raro ataque de infiltración interna. Los atacantes eran hackers norcoreanos disfrazados de desarrolladores de blockchain, quienes, tras una larga infiltración, obtuvieron el código fuente y claves sensibles. Aunque el ataque causó enormes pérdidas, debido a la presión de la comunidad y el equipo, los hackers finalmente devolvieron todos los fondos robados. Este incidente reveló la importancia de la seguridad en la cadena de suministro, especialmente para los proyectos de blockchain que dependen de desarrolladores externos.

No.7 BtcTurk

Monto de la pérdida: 55 millones de dólares

Método de ataque: filtración de clave privada

El 22 de junio de 2024, el mayor intercambio de criptomonedas de Turquía, BtcTurk, sufrió un ataque de filtración de claves privadas, con pérdidas de más de 55 millones de dólares en activos criptográficos. Con la ayuda del equipo de Binance, se congelaron con éxito 5.3 millones de dólares de los fondos robados, pero otros activos aún no se han recuperado. Este incidente profundizó la preocupación del mercado sobre la gestión de claves privadas en intercambios centralizados.

Anuncio oficial de BtcTurk sobre el ataque

No.8 Radiant Capital

Monto de la pérdida: 53 millones de dólares

Método de ataque: filtración de clave privada

El 17 de octubre de 2024, la billetera multi-firma de Radiant Capital fue hackeada. Debido a que utilizaba un modelo de verificación de firma 3/11 de bajo umbral, los hackers, al obtener las claves privadas de 3 firmantes, iniciaron una firma fuera de la cadena, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque provocó una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multi-firma.

Antes de este ataque, Radiant Capital ya había perdido 4.5 millones de dólares debido a una vulnerabilidad en el contrato, con más de 1900 ETH robados. El nivel de atención de los proyectos de Web3 hacia la seguridad aún necesita mejorar.

No.9 Hedgey Finance

Monto de la pérdida: 44.7 millones de dólares

Método de ataque: vulnerabilidad en el contrato

El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a múltiples contratos en la cadena. Los hackers aprovecharon la vulnerabilidad de aprobación del contrato ClaimCampaigns, extrayendo con éxito tokens en las cadenas de Ethereum y Arbitrum, con un monto total de pérdidas de 44.7 millones de dólares. Este incidente mostró la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.

No.10 BingX

Monto de la pérdida: 44.7 millones de dólares

Método de ataque: filtración de clave privada

El 19 de septiembre de 2024, la billetera caliente del intercambio BingX fue hackeada, afectando cadenas como Ethereum, BNB Chain, Tron y otras múltiples cadenas públicas. Aunque el intercambio activó rápidamente mecanismos de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por un valor de 44.7 millones de dólares. Este ataque refleja la alta riesgo en la gestión de billeteras calientes de intercambios centralizados y promueve aún más la exploración de soluciones de almacenamiento de activos más seguras en la industria.

Los incidentes de seguridad en 2024 han sido frecuentes, recordándonos nuevamente que el desarrollo de la industria blockchain no puede prescindir de la seguridad. Desde la filtración de claves privadas hasta las vulnerabilidades de contratos, desde las negligencias en la gestión interna hasta la mejora de los métodos de ataque externos, cada incidente ha traído lecciones profundas. Para hacer frente a las amenazas de ataques cada vez más complejas, todas las partes de la industria deben continuar fortaleciendo la inversión en investigación y desarrollo tecnológico, normas de gestión y prevención de riesgos. En el futuro, esperamos que a través de la colaboración en la industria y la innovación tecnológica, podamos establecer un ecosistema blockchain más seguro, brindando una protección más confiable para usuarios e inversores.