Fonte original: Beosin

Em 2024, enquanto a indústria de blockchain avança em inovação tecnológica e expansão ecológica, também enfrenta desafios de segurança cada vez mais severos. De acordo com a plataforma Alert da Beosin, até a data da publicação, as perdas totais no campo Web3 devido a ataques de hackers, fraudes de phishing e Rug Pulls por parte de projetos atingiram 2,491 bilhões de dólares.

Esses eventos não apenas expuseram falhas técnicas, como gestão de chaves privadas e vulnerabilidades de contratos inteligentes, mas também destacaram os riscos potenciais da engenharia social e da gestão interna. Este artigo irá listar os 10 principais eventos de segurança Web3 de 2024, ajudando a indústria a aprender com eles e a enfrentar melhor as ameaças de segurança futuras.

No.1 DMM Bitcoin

Valor da perda: 304 milhões de dólares

Método de ataque: vazamento de chave privada

Em 31 de maio de 2024, a DMM Bitcoin, uma exchange de criptomoedas tradicional do Japão, sofreu um ataque histórico. Os atacantes usaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em bitcoins, rapidamente dispersando os fundos roubados em mais de 10 endereços diferentes. Este ataque expôs as sérias deficiências da DMM Bitcoin na gestão de chaves privadas e nas defesas de segurança em múltiplas camadas. Embora a exchange tentasse rastrear os hackers através da monitorização em blockchain e congelamento de fundos, os bitcoins roubados foram dispersos e lavados usando ferramentas de mistura, o que representou um grande desafio para o rastreamento.

Em 24 de dezembro, a polícia japonesa determinou que o roubo da DMM Bitcoin foi realizado pelo grupo de hackers norte-coreanos Lazarus.

No.2 PlayDapp

Valor da perda: 290 milhões de dólares

Método de ataque: vazamento de chave privada

Em 9 de fevereiro de 2024, a PlayDapp sofreu um golpe severo, com hackers usando chaves privadas roubadas para cunhar 2 bilhões de tokens PLA, com um valor inicial de 36,5 milhões de dólares. Como as negociações entre a equipe do projeto e os hackers não resultaram em acordo, os hackers rapidamente cunharam mais 15,9 bilhões de tokens PLA, avaliados em 253,9 milhões de dólares. Parte desses tokens foi enviada para a exchange Gate, levando a PlayDapp a suspender o contrato PLA e migrar para o contrato de token PDA. Este incidente destacou as deficiências dos projetos de blockchain na proteção de chaves privadas e na resposta a emergências.

No.3 WazirX

Valor da perda: 235 milhões de dólares

Método de ataque: ataque de rede e phishing

Em 18 de julho de 2024, a carteira multi-assinatura Safe Wallet da WazirX, a maior exchange de criptomoedas da Índia, foi alvo de um ataque cibernético preciso. Os atacantes induziram os signatários da multi-assinatura a assinar uma transação de atualização de contrato através de engenharia social, e então usaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este caso destaca os riscos potenciais das carteiras multi-assinatura em relação à configuração de permissões e à transparência das operações, e gerou uma reflexão profunda na indústria sobre a gestão de riscos e mecanismos de segurança internos dos projetos.

Para uma análise detalhada deste incidente e rastreamento de fundos, consulte (Beosin | Análise do incidente de roubo de 235 milhões de dólares da exchange indiana WazirX).

No.4 Gala Games

Valor da perda: 216 milhões de dólares

Método de ataque: vulnerabilidade de controle de acesso

Em 20 de maio de 2024, um endereço privilegiado da Gala Games foi comprometido por hackers, que chamaram a função mint no contrato de tokens, criando 5 bilhões de tokens GALA de uma só vez. Em seguida, os hackers trocaram os tokens adicionais por ETH em lotes, resultando em perdas diretas de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de lista negra para bloquear algumas contas de hackers e tentou recuperar as perdas através de vias judiciais.

No.5 Chris Larsen (cofundador da Ripple)

Valor da perda: 112 milhões de dólares

Método de ataque: vazamento de chave privada

Em 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple, Chris Larsen, foram comprometidas por hackers, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras pareceram se tornar alvos devido à falta de proteção de dupla segurança com dispositivos de hardware. Após o incidente, a Binance congelou com sucesso 4,2 milhões de dólares em XRP e ajudou Larsen a rastrear os ativos roubados, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mistura.

No.6 Munchables

Valor da perda: 62,5 milhões de dólares

Método de ataque: ataque de engenharia social

Em 26 de março de 2024, a plataforma de jogos Web3 Munchables, baseada em Blast, sofreu um raro ataque de infiltração interna. Os atacantes, disfarçados como desenvolvedores de blockchain, obtiveram o código-fonte e chaves sensíveis ao longo do tempo. Embora o ataque tenha causado enormes perdas, devido à pressão da comunidade e da equipe, os hackers acabaram devolvendo todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvimentos de terceiros.

No.7 BtcTurk

Valor da perda: 55 milhões de dólares

Método de ataque: vazamento de chave privada

Em 22 de junho de 2024, a maior exchange de criptomoedas da Turquia, BtcTurk, sofreu um ataque de vazamento de chave privada, resultando em perdas superiores a 55 milhões de dólares em ativos criptográficos. Com a ajuda da equipe da Binance, 5,3 milhões de dólares em fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aprofundou as preocupações do mercado sobre a gestão de chaves privadas em exchanges centralizadas.

Anúncio oficial do BtcTurk sobre o ataque

No.8 Radiant Capital

Valor da perda: 53 milhões de dólares

Método de ataque: vazamento de chave privada

Em 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi comprometida por hackers. Devido ao uso de um modelo de verificação de assinatura 3/11 de baixo nível, os hackers, ao obter as chaves privadas de 3 signatários, iniciaram uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.

Antes deste ataque, a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade de contrato, com mais de 1900 ETH roubados. O nível de atenção à segurança por parte dos projetos Web3 ainda precisa ser elevado.

No.9 Hedgey Finance

Valor da perda: 44,7 milhões de dólares

Método de ataque: vulnerabilidade de contrato

Em 19 de abril de 2024, a Hedgey Finance sofreu ataques direcionados a vários contratos em blockchain. Os hackers exploraram uma vulnerabilidade de aprovação no contrato ClaimCampaigns, extraindo com sucesso tokens nas redes Ethereum e Arbitrum, resultando em uma perda total de 44,7 milhões de dólares. Este evento destacou a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.

No.10 BingX

Valor da perda: 44,7 milhões de dólares

Método de ataque: vazamento de chave privada

Em 19 de setembro de 2024, a carteira quente da exchange BingX foi invadida por hackers, envolvendo várias blockchains, incluindo Ethereum, BNB Chain, Tron e outras. Embora a exchange tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete o alto risco da gestão de carteiras quentes em exchanges centralizadas e impulsiona ainda mais a exploração de soluções de armazenamento de ativos mais seguras na indústria.

Os incidentes de segurança em 2024 são frequentes, lembrando-nos mais uma vez que o desenvolvimento da indústria de blockchain não pode prescindir de segurança. Desde o vazamento de chaves privadas até vulnerabilidades de contratos, desde falhas na gestão interna até a evolução de métodos de ataque externos, cada incidente trouxe lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, as partes da indústria precisam continuar a aumentar os investimentos em pesquisa e desenvolvimento tecnológico, normas de gestão e prevenção de riscos. No futuro, esperamos estabelecer um ecossistema de blockchain mais seguro através da colaboração da indústria e inovação tecnológica, proporcionando garantias mais confiáveis para usuários e investidores.