Resumen de los diez principales incidentes de seguridad en el ámbito Web3 de 2024
En 2024, la industria de Web3, mientras innova y se desarrolla, también enfrenta desafíos de seguridad cada vez más severos. Según estadísticas, hasta finales de año, las pérdidas totales en el ámbito de Web3 debido a ataques de hackers, fraudes y el abandono de proyectos alcanzan los 2,491 millones de dólares.
Estos incidentes de seguridad no solo expusieron las deficiencias técnicas en la gestión de claves privadas, contratos inteligentes y otros aspectos, sino que también destacaron los riesgos potenciales de los ataques de ingeniería social y la gestión interna. Este artículo revisará los diez principales incidentes de seguridad en el ámbito de Web3 en 2024, con el fin de ayudar a la industria a aprender de las lecciones y enfrentar mejor las amenazas de seguridad futuras.
1. Un importante ataque a un intercambio japonés
Monto de la pérdida: 304 millones de dólares
Método de ataque: filtración de clave privada
El 31 de mayo de 2024, un conocido intercambio de criptomonedas japonés sufrió un ataque histórico. Los hackers utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados en más de 10 direcciones diferentes. Este incidente expuso las graves deficiencias del intercambio en la gestión de claves privadas y en la protección de seguridad en múltiples capas. A pesar de que el intercambio intentó rastrear a los hackers a través de la monitorización en cadena y la congelación de fondos, los Bitcoin robados ya habían sido dispersados y lavados utilizando herramientas de mezcla, lo que presentó un gran desafío para el rastreo.
A finales de año, la policía japonesa determinó que el ataque fue llevado a cabo por el grupo de hackers norcoreano Lazarus Group.
2. PlayDapp sufre un duro golpe
Monto de la pérdida: 290 millones de dólares
Método de ataque: filtración de claves privadas
El 9 de febrero de 2024, PlayDapp sufrió un duro golpe, los hackers acuñaron 2 mil millones de tokens PLA al robar las claves privadas, con un valor inicial de 36.5 millones de dólares. Debido a la fallida negociación entre el equipo del proyecto y los hackers, estos últimos acuñaron posteriormente 15.9 mil millones de tokens PLA, con un valor de 253.9 millones de dólares. Tras la entrada de algunos tokens en los intercambios, PlayDapp se vio obligado a suspender el contrato PLA y migrar a un nuevo contrato de tokens. Este incidente destaca las deficiencias de los proyectos de blockchain en la protección de claves privadas y en la gestión de emergencias.
3. El mayor intercambio de criptomonedas de la India sufre un ataque
Monto de la pérdida: 235 millones de dólares
Métodos de ataque: ataques en línea y phishing
El 18 de julio de 2024, la cartera multisig del mayor intercambio de criptomonedas de India fue objeto de un ataque preciso por parte de hackers. Los atacantes utilizaron técnicas de ingeniería social para inducir a los firmantes multisig a firmar una transacción de actualización de contrato, y luego utilizaron los permisos del contrato actualizado para vaciar los activos de la cartera. Este incidente destaca los riesgos potenciales de las carteras multisig en la configuración de permisos de gestión y la transparencia operativa, y también ha suscitado una reflexión profunda en la industria sobre los mecanismos de control interno y seguridad de los proyectos.
4. Gala Games sufre pérdidas significativas
Monto de la pérdida: 216 millones de dólares
Método de ataque: vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. El atacante mintió 5 mil millones de tokens GALA de una sola vez al llamar a la función mint en el contrato del token. Posteriormente, el hacker intercambió los tokens emitidos en partes por ETH, lo que resultó en una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó urgentemente la función de lista negra para bloquear algunas cuentas de los hackers y recuperó parte de las pérdidas a través de vías judiciales.
5. La billetera personal del cofundador de Ripple fue hackeada
Cantidad de pérdida: 112 millones de dólares
Método de ataque: filtración de clave privada
El 31 de enero de 2024, cuatro billeteras personales del cofundador de Ripple, Chris Larsen, fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en XRP. Estas billeteras se convirtieron en un objetivo de ataque debido a la falta de protección de doble factor con dispositivos de hardware. Después del incidente, un importante intercambio logró congelar XRP por un valor de 4.2 millones de dólares y ayudó a rastrear los activos robados, pero la mayor parte de los fondos ya había sido lavada a través de intercambios descentralizados y servicios de mezcla.
6. Munchables enfrenta un ataque de infiltración interna
Monto de la pérdida: 62.5 millones de dólares
Método de ataque: ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 basada en Blast, Munchables, sufrió un raro ataque de infiltración interna. Los atacantes eran hackers que se hacían pasar por desarrolladores de blockchain y, tras una larga infiltración, obtuvieron el código fuente y las claves sensibles. A pesar de que el ataque causó grandes pérdidas, bajo la presión de la comunidad y del equipo, los hackers finalmente devolvieron todos los fondos robados. Este incidente revela la importancia de la seguridad de la cadena de suministro, especialmente para los proyectos de blockchain que dependen de desarrollos de terceros.
7. El mayor intercambio de criptomonedas de Turquía sufre un ataque
Monto de la pérdida: 55 millones de dólares
Método de ataque: filtración de clave privada
El 22 de junio de 2024, el mayor intercambio de criptomonedas de Turquía sufrió un ataque de filtración de claves privadas, resultando en la pérdida de más de 55 millones de dólares en activos criptográficos. Con la ayuda de un equipo de intercambio, se logró congelar 5.3 millones de dólares de los fondos robados, pero otros activos aún no se han recuperado. Este evento ha profundizado las preocupaciones del mercado sobre la gestión de claves privadas en intercambios centralizados.
8. La billetera multi-firma de Radiant Capital fue comprometida
Pérdida total: 53 millones de dólares
Método de ataque: filtración de clave privada
El 17 de octubre de 2024, la billetera multisig de Radiant Capital fue hackeada. Debido a que utilizaba un modo de verificación de firma 3/11 de bajo umbral, los hackers lograron iniciar una firma fuera de la cadena al controlar las claves privadas de 3 firmantes, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque provocó una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multisig.
Es notable que Radiant Capital ya había perdido 4.5 millones de dólares debido a una vulnerabilidad en el contrato antes de este ataque, con más de 1900 ETH robados. Esto indica que las partes de los proyectos Web3 aún necesitan mejorar su enfoque en la seguridad.
9. Hedgey Finance sufrió un ataque en el contrato
Monto de la pérdida: 44.7 millones de dólares
Método de ataque: vulnerabilidad del contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a múltiples contratos en la cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns, logrando extraer tokens de las cadenas Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este evento destaca la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.
10. El monedero caliente de un intercambio de criptomonedas fue hackeado
Monto de la pérdida: 44.7 millones de dólares
Método de ataque: filtración de clave privada
El 19 de septiembre de 2024, una bolsa de criptomonedas fue hackeada en su billetera caliente, involucrando cadenas como Ethereum, BNB Chain, Tron y otras múltiples cadenas públicas. A pesar de que la bolsa rápidamente activó mecanismos de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por un valor de 44.7 millones de dólares. Este ataque refleja el alto riesgo en la gestión de billeteras calientes de las bolsas centralizadas y impulsa aún más a la industria a explorar soluciones de almacenamiento de activos más seguras.
Los frecuentes incidentes de ataques de seguridad en 2024 nos recuerdan una vez más que el desarrollo de la industria blockchain no puede prescindir de la seguridad. Desde la filtración de claves privadas hasta las vulnerabilidades de contratos, desde las omisiones en la gestión interna hasta la mejora de las técnicas de ataque externas, cada incidente ha traído lecciones profundas. Para enfrentar las amenazas de ataque cada vez más complejas, todas las partes de la industria necesitan seguir aumentando la inversión en investigación tecnológica, normas de gestión y prevención de riesgos. En el futuro, esperamos, a través de la colaboración en la industria y la innovación tecnológica, establecer conjuntamente un ecosistema blockchain más seguro, proporcionando a los usuarios e inversores una protección más confiable.
Ver originales
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Recopilación de los diez principales incidentes de seguridad en el ámbito de Web3 en 2024, con pérdidas de hasta 24.91 millones de dólares.
Resumen de los diez principales incidentes de seguridad en el ámbito Web3 de 2024
En 2024, la industria de Web3, mientras innova y se desarrolla, también enfrenta desafíos de seguridad cada vez más severos. Según estadísticas, hasta finales de año, las pérdidas totales en el ámbito de Web3 debido a ataques de hackers, fraudes y el abandono de proyectos alcanzan los 2,491 millones de dólares.
Estos incidentes de seguridad no solo expusieron las deficiencias técnicas en la gestión de claves privadas, contratos inteligentes y otros aspectos, sino que también destacaron los riesgos potenciales de los ataques de ingeniería social y la gestión interna. Este artículo revisará los diez principales incidentes de seguridad en el ámbito de Web3 en 2024, con el fin de ayudar a la industria a aprender de las lecciones y enfrentar mejor las amenazas de seguridad futuras.
1. Un importante ataque a un intercambio japonés
Monto de la pérdida: 304 millones de dólares Método de ataque: filtración de clave privada
El 31 de mayo de 2024, un conocido intercambio de criptomonedas japonés sufrió un ataque histórico. Los hackers utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados en más de 10 direcciones diferentes. Este incidente expuso las graves deficiencias del intercambio en la gestión de claves privadas y en la protección de seguridad en múltiples capas. A pesar de que el intercambio intentó rastrear a los hackers a través de la monitorización en cadena y la congelación de fondos, los Bitcoin robados ya habían sido dispersados y lavados utilizando herramientas de mezcla, lo que presentó un gran desafío para el rastreo.
A finales de año, la policía japonesa determinó que el ataque fue llevado a cabo por el grupo de hackers norcoreano Lazarus Group.
2. PlayDapp sufre un duro golpe
Monto de la pérdida: 290 millones de dólares Método de ataque: filtración de claves privadas
El 9 de febrero de 2024, PlayDapp sufrió un duro golpe, los hackers acuñaron 2 mil millones de tokens PLA al robar las claves privadas, con un valor inicial de 36.5 millones de dólares. Debido a la fallida negociación entre el equipo del proyecto y los hackers, estos últimos acuñaron posteriormente 15.9 mil millones de tokens PLA, con un valor de 253.9 millones de dólares. Tras la entrada de algunos tokens en los intercambios, PlayDapp se vio obligado a suspender el contrato PLA y migrar a un nuevo contrato de tokens. Este incidente destaca las deficiencias de los proyectos de blockchain en la protección de claves privadas y en la gestión de emergencias.
3. El mayor intercambio de criptomonedas de la India sufre un ataque
Monto de la pérdida: 235 millones de dólares Métodos de ataque: ataques en línea y phishing
El 18 de julio de 2024, la cartera multisig del mayor intercambio de criptomonedas de India fue objeto de un ataque preciso por parte de hackers. Los atacantes utilizaron técnicas de ingeniería social para inducir a los firmantes multisig a firmar una transacción de actualización de contrato, y luego utilizaron los permisos del contrato actualizado para vaciar los activos de la cartera. Este incidente destaca los riesgos potenciales de las carteras multisig en la configuración de permisos de gestión y la transparencia operativa, y también ha suscitado una reflexión profunda en la industria sobre los mecanismos de control interno y seguridad de los proyectos.
4. Gala Games sufre pérdidas significativas
Monto de la pérdida: 216 millones de dólares Método de ataque: vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. El atacante mintió 5 mil millones de tokens GALA de una sola vez al llamar a la función mint en el contrato del token. Posteriormente, el hacker intercambió los tokens emitidos en partes por ETH, lo que resultó en una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó urgentemente la función de lista negra para bloquear algunas cuentas de los hackers y recuperó parte de las pérdidas a través de vías judiciales.
5. La billetera personal del cofundador de Ripple fue hackeada
Cantidad de pérdida: 112 millones de dólares Método de ataque: filtración de clave privada
El 31 de enero de 2024, cuatro billeteras personales del cofundador de Ripple, Chris Larsen, fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en XRP. Estas billeteras se convirtieron en un objetivo de ataque debido a la falta de protección de doble factor con dispositivos de hardware. Después del incidente, un importante intercambio logró congelar XRP por un valor de 4.2 millones de dólares y ayudó a rastrear los activos robados, pero la mayor parte de los fondos ya había sido lavada a través de intercambios descentralizados y servicios de mezcla.
6. Munchables enfrenta un ataque de infiltración interna
Monto de la pérdida: 62.5 millones de dólares Método de ataque: ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 basada en Blast, Munchables, sufrió un raro ataque de infiltración interna. Los atacantes eran hackers que se hacían pasar por desarrolladores de blockchain y, tras una larga infiltración, obtuvieron el código fuente y las claves sensibles. A pesar de que el ataque causó grandes pérdidas, bajo la presión de la comunidad y del equipo, los hackers finalmente devolvieron todos los fondos robados. Este incidente revela la importancia de la seguridad de la cadena de suministro, especialmente para los proyectos de blockchain que dependen de desarrollos de terceros.
7. El mayor intercambio de criptomonedas de Turquía sufre un ataque
Monto de la pérdida: 55 millones de dólares Método de ataque: filtración de clave privada
El 22 de junio de 2024, el mayor intercambio de criptomonedas de Turquía sufrió un ataque de filtración de claves privadas, resultando en la pérdida de más de 55 millones de dólares en activos criptográficos. Con la ayuda de un equipo de intercambio, se logró congelar 5.3 millones de dólares de los fondos robados, pero otros activos aún no se han recuperado. Este evento ha profundizado las preocupaciones del mercado sobre la gestión de claves privadas en intercambios centralizados.
8. La billetera multi-firma de Radiant Capital fue comprometida
Pérdida total: 53 millones de dólares Método de ataque: filtración de clave privada
El 17 de octubre de 2024, la billetera multisig de Radiant Capital fue hackeada. Debido a que utilizaba un modo de verificación de firma 3/11 de bajo umbral, los hackers lograron iniciar una firma fuera de la cadena al controlar las claves privadas de 3 firmantes, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque provocó una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multisig.
Es notable que Radiant Capital ya había perdido 4.5 millones de dólares debido a una vulnerabilidad en el contrato antes de este ataque, con más de 1900 ETH robados. Esto indica que las partes de los proyectos Web3 aún necesitan mejorar su enfoque en la seguridad.
9. Hedgey Finance sufrió un ataque en el contrato
Monto de la pérdida: 44.7 millones de dólares Método de ataque: vulnerabilidad del contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a múltiples contratos en la cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns, logrando extraer tokens de las cadenas Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este evento destaca la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.
10. El monedero caliente de un intercambio de criptomonedas fue hackeado
Monto de la pérdida: 44.7 millones de dólares Método de ataque: filtración de clave privada
El 19 de septiembre de 2024, una bolsa de criptomonedas fue hackeada en su billetera caliente, involucrando cadenas como Ethereum, BNB Chain, Tron y otras múltiples cadenas públicas. A pesar de que la bolsa rápidamente activó mecanismos de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por un valor de 44.7 millones de dólares. Este ataque refleja el alto riesgo en la gestión de billeteras calientes de las bolsas centralizadas y impulsa aún más a la industria a explorar soluciones de almacenamiento de activos más seguras.
Los frecuentes incidentes de ataques de seguridad en 2024 nos recuerdan una vez más que el desarrollo de la industria blockchain no puede prescindir de la seguridad. Desde la filtración de claves privadas hasta las vulnerabilidades de contratos, desde las omisiones en la gestión interna hasta la mejora de las técnicas de ataque externas, cada incidente ha traído lecciones profundas. Para enfrentar las amenazas de ataque cada vez más complejas, todas las partes de la industria necesitan seguir aumentando la inversión en investigación tecnológica, normas de gestión y prevención de riesgos. En el futuro, esperamos, a través de la colaboración en la industria y la innovación tecnológica, establecer conjuntamente un ecosistema blockchain más seguro, proporcionando a los usuarios e inversores una protección más confiable.