Escrito por: Beosin

Em 2024, a indústria de blockchain enfrenta desafios de segurança cada vez mais severos, ao mesmo tempo em que inova em tecnologia e expande seu ecossistema. De acordo com a plataforma Alert da empresa de auditoria de segurança Beosin, até a data da publicação, as perdas totais no campo do Web3 devido a ataques de hackers, fraudes de phishing e Rug Pulls de projetos atingiram 2,491 bilhões de dólares.

Esses eventos não apenas expuseram deficiências técnicas na gestão de chaves privadas e vulnerabilidades de contratos inteligentes, mas também destacaram os riscos potenciais da engenharia social e da gestão interna. Este artigo revisará os 10 principais eventos de segurança do Web3 em 2024, ajudando a indústria a aprender com eles e a se preparar melhor para futuras ameaças à segurança.

No.1 DMM Bitcoin

Perda total: 304 milhões de dólares

Método de ataque: Vazamento de chave privada

Em 31 de maio de 2024, a antiga exchange de criptomoedas japonesa DMM Bitcoin sofreu um ataque histórico. Os hackers usaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin e rapidamente dispersaram os fundos roubados em mais de 10 endereços diferentes. Este ataque expôs as sérias deficiências da DMM Bitcoin na gestão de chaves privadas e na proteção de segurança em várias camadas. Embora a exchange tenha tentado rastrear os hackers por meio de monitoramento on-chain e congelamento de fundos, os Bitcoins roubados foram dispersos e limpos usando ferramentas de mistura, o que tornou o trabalho de rastreamento extremamente desafiador.

Em 24 de dezembro, a polícia japonesa determinou que o roubo da DMM Bitcoin foi realizado pelo grupo de hackers norte-coreano Lazarus. Para uma análise detalhada dos ataques anteriores do Lazarus Group e da lavagem de dinheiro, consulte (Análise do maior roubo de criptomoedas da história, análise de lavagem de dinheiro do grupo de hackers Lazarus).

No.2 PlayDapp

Perda total: 290 milhões de dólares

Método de ataque: Vazamento de chave privada

Em 9 de fevereiro de 2024, a PlayDapp sofreu um golpe severo, com hackers cunhando 2 bilhões de tokens PLA ao roubar uma chave privada, com um valor inicial de 36,5 milhões de dólares. Como as negociações entre o projeto e os hackers falharam, os hackers cunharam ainda mais 15,9 bilhões de tokens PLA, avaliados em 253,9 milhões de dólares, em um curto período de tempo. Esses tokens foram parcialmente enviados para a exchange Gate, levando a PlayDapp a pausar o contrato PLA e migrar para o contrato de token PDA. Este incidente destacou as deficiências dos projetos de blockchain na proteção de chaves privadas e na resposta a emergências.

No.3 WazirX

Perda total: 235 milhões de dólares

Método de ataque: Ataque cibernético e phishing

Em 18 de julho de 2024, a carteira multi-assinatura Safe Wallet da WazirX, a maior exchange de criptomoedas da Índia, foi alvo de um ataque preciso. Os hackers induziram os signatários multi-assinatura a assinar uma transação de atualização de contrato por meio de engenharia social, e em seguida usaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este caso destacou os riscos potenciais na configuração de gerenciamento de permissões e na transparência operacional da carteira multi-assinatura, além de provocar uma reflexão profunda na indústria sobre as práticas internas de gerenciamento de riscos e segurança dos projetos.

Para uma análise detalhada do incidente e rastreamento de fundos, consulte (Beosin | Análise do roubo de 235 milhões de dólares da exchange indiana WazirX).

No.4 Gala Games

Perda total: 216 milhões de dólares

Método de ataque: Vulnerabilidade de controle de acesso

Em 20 de maio de 2024, um endereço privilegiado do Gala Games foi comprometido por hackers, que invocaram a função mint do contrato de token, cunhando 5 bilhões de tokens GALA de uma só vez. Em seguida, os hackers trocaram os tokens recém-emissor por ETH em lotes, resultando em uma perda direta de 216 milhões de dólares. A equipe do Gala Games ativou rapidamente a função de blacklist para bloquear algumas contas de hackers e recuperou as perdas por meio de vias judiciais.

No.5 Chris Larsen (cofundador da Ripple)

Perda total: 112 milhões de dólares

Método de ataque: Vazamento de chave privada

Em 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple, Chris Larsen, foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras foram alvo de ataque devido à falta de proteção de dupla autenticação com dispositivos de hardware. Após o incidente, a Binance conseguiu congelar 4,2 milhões de dólares em XRP e ajudou Larsen a rastrear os ativos roubados, mas a maior parte dos fundos já havia sido limpa através de exchanges descentralizadas e serviços de mistura.

No.6 Munchables

Perda total: 62,5 milhões de dólares

Método de ataque: Ataque de engenharia social

Em 26 de março de 2024, a plataforma de jogos Web3 Munchables, baseada em Blast, sofreu um raro ataque de infiltração interna. O atacante, disfarçado como desenvolvedor de blockchain, conseguiu obter o código-fonte e chaves sensíveis após um longo período de infiltração. Embora o ataque tenha causado grandes perdas, devido à pressão da comunidade e da equipe, os hackers acabaram devolvendo todos os fundos roubados. Este incidente revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.

No.7 BtcTurk

Perda total: 55 milhões de dólares

Método de ataque: Vazamento de chave privada

Em 22 de junho de 2024, a maior exchange de criptomoedas da Turquia, BtcTurk, sofreu um ataque de vazamento de chave privada, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda da equipe da Binance, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este incidente aprofundou a preocupação do mercado sobre a gestão de chaves privadas das exchanges centralizadas.

Anúncio oficial de ataque da BtcTurk

No.8 Radiant Capital

Perda total: 53 milhões de dólares

Método de ataque: Vazamento de chave privada

Em 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi atacada por hackers. Devido ao uso de um modelo de verificação de assinatura 3/11 de baixa exigência, os hackers, controlando as chaves privadas de 3 signatários, iniciaram uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque gerou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.

Antes deste ataque, a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade de contrato, com mais de 1900 ETH roubados. A atenção dos projetos Web3 à segurança ainda precisa ser aprimorada.

No.9 Hedgey Finance

Perda total: 44,7 milhões de dólares

Método de ataque: Vulnerabilidade de contrato

Em 19 de abril de 2024, a Hedgey Finance sofreu um ataque direcionado a vários contratos em blockchain. Os hackers exploraram uma vulnerabilidade de autorização no contrato ClaimCampaigns, extraindo com sucesso tokens nas redes Ethereum e Arbitrum, resultando em uma perda total de 44,7 milhões de dólares. Este incidente destacou a importância da auditoria de código, especialmente em relação à verificação rigorosa da lógica de autorização de tokens.

No.10 BingX

Perda total: 44,7 milhões de dólares

Método de ataque: Vazamento de chave privada

Em 19 de setembro de 2024, a carteira quente da exchange BingX foi invadida por hackers, abrangendo várias blockchains, incluindo Ethereum, BNB Chain, Tron e outras. Embora a exchange tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete a alta risco na gestão de carteiras quentes das exchanges centralizadas e promove ainda mais a busca da indústria por soluções de armazenamento de ativos mais seguras.

Os eventos de ataques de segurança em 2024 ocorreram com frequência, lembrando-nos novamente de que o desenvolvimento da indústria de blockchain não pode prescindir de uma proteção segura. Desde vazamentos de chaves privadas até vulnerabilidades de contratos, desde falhas na gestão interna até a atualização das táticas de ataque externas, cada incidente trouxe lições profundas. Para lidar com ameaças de ataque cada vez mais complexas, todas as partes da indústria precisam aumentar continuamente os investimentos em pesquisa e desenvolvimento tecnológico, normas de gerenciamento e prevenção de riscos. No futuro, esperamos que, por meio da colaboração da indústria e inovação tecnológica, possamos estabelecer um ecossistema de blockchain mais seguro, proporcionando garantias mais confiáveis para usuários e investidores.