Fonte originale: Beosin
Nel 2024, l'industria blockchain, mentre affronta innovazioni tecnologiche e l'espansione ecologica, si trova anche di fronte a sfide di sicurezza sempre più gravi. Secondo il monitoraggio della piattaforma Alert dell'azienda di audit di sicurezza Beosin, fino al momento della scrittura, le perdite totali nel campo Web3 a causa di attacchi hacker, frodi di phishing e rug pull da parte dei progetti ammontano a 2,491 miliardi di dollari.
Questi eventi non solo rivelano difetti tecnici come la gestione della chiave privata e i bug nei contratti intelligenti, ma evidenziano anche i potenziali rischi dell'ingegneria sociale e della gestione interna. Questo articolo esaminerà i dieci eventi di sicurezza più significativi del 2024 nel Web3, aiutando l'industria a trarre insegnamenti utili per affrontare meglio le minacce future alla sicurezza.
No.1 DMM Bitcoin
Importo della perdita: 304 milioni di dollari
Modalità di attacco: fuga della chiave privata
Il 31 maggio 2024, il noto exchange di criptovalute giapponese DMM Bitcoin ha subito un attacco storico. Gli hacker hanno utilizzato chiavi private trapelate per trasferire direttamente oltre 300 milioni di dollari in Bitcoin, disperso rapidamente i fondi rubati in oltre 10 indirizzi diversi. Questo attacco ha esposto le gravi carenze di DMM Bitcoin nella gestione delle chiavi private e nella protezione della sicurezza multilivello. Sebbene l'exchange abbia tentato di rintracciare gli hacker attraverso il monitoraggio on-chain e il congelamento dei fondi, i Bitcoin rubati sono stati disperso e lavati utilizzando strumenti di mixing, rendendo estremamente difficile il recupero.
Il 24 dicembre, la polizia giapponese ha identificato l'incidente di furto di DMM Bitcoin come opera del gruppo hacker nordcoreano Lazarus.
No.2 PlayDapp
Importo della perdita: 290 milioni di dollari
Modalità di attacco: fuga della chiave privata
Il 9 febbraio 2024, PlayDapp ha subito un duro colpo, con hacker che hanno rubato chiavi private per coniare 2 miliardi di token PLA, dal valore iniziale di 36,5 milioni di dollari. Poiché le negoziazioni tra il team di progetto e gli hacker non hanno avuto successo, gli hacker hanno ulteriormente coniato 15,9 miliardi di token PLA in breve tempo, per un valore di 253,9 milioni di dollari. Alcuni di questi token sono stati trasferiti all'exchange Gate, costringendo PlayDapp a sospendere il contratto PLA e migrare al contratto del token PDA. Questo evento evidenzia le carenze dei progetti blockchain nella protezione delle chiavi private e nella gestione delle emergenze.
No.3 WazirX
Importo della perdita: 235 milioni di dollari
Modalità di attacco: attacco informatico e phishing
Il 18 luglio 2024, il portafoglio multi-firma Safe Wallet del più grande scambio di criptovalute indiano WazirX è stato attaccato con precisione da hacker. Gli aggressori hanno indotto, attraverso ingegneria sociale, i firmatari multi-firma a firmare una transazione di aggiornamento del contratto e successivamente hanno utilizzato i diritti del contratto aggiornato per trasferire tutti gli asset nel portafoglio. Questo caso mette in evidenza i potenziali rischi dei portafogli multi-firma nella gestione della configurazione dei diritti e nella trasparenza delle operazioni, suscitando anche una profonda riflessione all'interno dell'industria sui meccanismi di controllo e sicurezza interni del progetto.
Per un'analisi dettagliata di questo evento e del tracciamento dei fondi, si può leggere (Beosin | Analisi dell'incidente di furto di 235 milioni di dollari dell'exchange indiano WazirX).
No.4 Gala Games
Importo della perdita: 216 milioni di dollari
Modalità di attacco: vulnerabilità nel controllo degli accessi
Il 20 maggio 2024, un indirizzo privilegiato di Gala Games è stato compromesso dagli hacker, che hanno utilizzato la funzione mint nel contratto del token per coniare 5 miliardi di token GALA in una sola volta. Successivamente, gli hacker hanno scambiato i token emessi in più fasi per ETH, causando una perdita diretta di 216 milioni di dollari. Il team di Gala Games ha attivato urgentemente la funzione di blacklist per bloccare parte degli account degli hacker e ha recuperato i fondi attraverso vie legali.
No.5 Chris Larsen (co-fondatore di Ripple)
Importo della perdita: 112 milioni di dollari
Modalità di attacco: fuga della chiave privata
Il 31 gennaio 2024, quattro portafogli personali del co-fondatore di Ripple, Chris Larsen, sono stati violati dagli hacker, portando al furto di 112 milioni di dollari in XRP. Questi portafogli sono stati probabilmente presi di mira a causa della mancanza di protezione duale con dispositivi hardware. Dopo l'incidente, Binance ha congelato con successo XRP per un valore di 4,2 milioni di dollari e ha assistito Larsen nel rintracciare gli asset rubati, ma la maggior parte dei fondi era già stata lavata attraverso exchange decentralizzati e servizi di mixing.
No.6 Munchables
Importo della perdita: 62,5 milioni di dollari
Modalità di attacco: attacco di ingegneria sociale
Il 26 marzo 2024, la piattaforma di gioco Web3 Munchables, basata su Blast, ha subito un attacco di infiltrazione interno raro. Gli aggressori si sono travestiti da sviluppatori blockchain nordcoreani e hanno ottenuto, dopo un lungo periodo di infiltrazione, il codice sorgente e le chiavi sensibili. Nonostante l'attacco abbia causato enormi perdite, a causa della pressione della comunità e del team, gli hacker alla fine hanno restituito tutti i fondi rubati. Questo evento ha rivelato l'importanza della sicurezza della catena di approvvigionamento, specialmente per i progetti blockchain che dipendono da sviluppatori di terze parti.
No.7 BtcTurk
Importo della perdita: 55 milioni di dollari
Modalità di attacco: fuga della chiave privata
Il 22 giugno 2024, il più grande exchange di criptovalute della Turchia, BtcTurk, ha subito un attacco di fuga della chiave privata, con perdite superiori a 55 milioni di dollari in asset crittografici. Con l'assistenza del team di Binance, 5,3 milioni di dollari di fondi rubati sono stati congelati con successo, ma altri asset non sono stati ancora recuperati. Questo evento ha approfondito le preoccupazioni del mercato sulla gestione delle chiavi private negli exchange centralizzati.
Annuncio ufficiale di attacco di BtcTurk
No.8 Radiant Capital
Importo della perdita: 53 milioni di dollari
Modalità di attacco: fuga della chiave privata
Il 17 ottobre 2024, il portafoglio multi-firma di Radiant Capital è stato compromesso da hacker. A causa dell'adozione di un modello di verifica della firma 3/11 a bassa soglia, gli hacker hanno ottenuto la chiave privata di 3 firmatari per avviare firme off-chain, trasferendo la proprietà del contratto del portafoglio a un indirizzo malevolo, portando infine al furto di 53 milioni di dollari. Questo attacco ha suscitato una riflessione nell'industria sulla progettazione e sui meccanismi di governance dei portafogli multi-firma.
Prima di questo attacco, Radiant Capital aveva già subito una perdita di 4,5 milioni di dollari a causa di un bug nel contratto, con oltre 1900 ETH rubati. Il livello di attenzione alla sicurezza da parte dei progetti Web3 deve ancora migliorare.
No.9 Hedgey Finance
Importo della perdita: 44,7 milioni di dollari
Modalità di attacco: bug nel contratto
Il 19 aprile 2024, Hedgey Finance ha subito attacchi contro più contratti on-chain. Gli hacker hanno sfruttato una vulnerabilità di approvazione nel contratto ClaimCampaigns, estraendo con successo token sulle due blockchain Ethereum e Arbitrum, con una perdita totale di 44,7 milioni di dollari. Questo evento evidenzia l'importanza della revisione del codice, in particolare per la verifica rigorosa della logica di approvazione dei token.
No.10 BingX
Importo della perdita: 44,7 milioni di dollari
Modalità di attacco: fuga della chiave privata
Il 19 settembre 2024, il portafoglio caldo dell'exchange BingX è stato violato dagli hacker, coinvolgendo blockchain come Ethereum, BNB Chain, Tron e altre blockchain pubbliche. Nonostante l'exchange abbia rapidamente attivato meccanismi di trasferimento di asset e congelamento dei prelievi, gli hacker sono riusciti a estrarre asset per un valore di 44,7 milioni di dollari. Questo attacco riflette l'alta rischiosità della gestione dei portafogli caldi negli exchange centralizzati e spinge ulteriormente l'industria a esplorare soluzioni di stoccaggio degli asset più sicure.
Gli eventi di attacco alla sicurezza del 2024 si sono intensificati, ricordandoci ancora una volta che lo sviluppo dell'industria blockchain non può prescindere dalla sicurezza. Dalla fuga della chiave privata ai bug nei contratti, dalla negligenza nella gestione interna all'aggiornamento delle tecniche di attacco esterne, ogni evento ha portato profonde lezioni. Per affrontare le minacce sempre più complesse degli attacchi, le parti dell'industria devono continuare a rafforzare gli investimenti nella ricerca tecnologica, nelle normative di gestione e nella prevenzione dei rischi. In futuro, ci aspettiamo che attraverso la collaborazione industriale e l'innovazione tecnologica si possa creare un ecosistema blockchain più sicuro, fornendo garanzie più affidabili per utenti e investitori.
