Revisión de los diez principales incidentes de seguridad en el campo Web3 en 2024
En 2024, la industria de blockchain enfrenta desafíos de seguridad cada vez más severos, al tiempo que innova tecnológicamente y expande su ecosistema. Según los datos de la plataforma de monitoreo de seguridad, a finales de año, las pérdidas totales en el ámbito de Web3 debido a ataques de hackers, fraudes de phishing y la fuga de proyectos alcanzaron los 2,491 millones de dólares.
Estos eventos no solo exponen defectos técnicos como la gestión de claves privadas y vulnerabilidades en contratos inteligentes, sino que también destacan los riesgos potenciales de la ingeniería social y la gestión interna. Este artículo revisará los diez principales eventos de seguridad en Web3 de 2024, para que la industria pueda aprender lecciones y enfrentar mejor las amenazas de seguridad futuras.
1. Evento DMM Bitcoin
Monto de la pérdida: 304 millones de dólares
Método de ataque: filtración de clave privada
El 31 de mayo de 2024, el conocido intercambio de criptomonedas japonés DMM Bitcoin sufrió un ataque importante. Los atacantes utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados en más de 10 direcciones diferentes. Este incidente expuso las graves vulnerabilidades del intercambio en la gestión de claves privadas y en la protección de seguridad en múltiples capas. A pesar de que el intercambio intentó rastrear a los hackers a través de monitoreo en la cadena y congelación de fondos, el rastreo enfrenta enormes desafíos debido a que los Bitcoin robados fueron dispersados y limpiados utilizando herramientas de mezcla.
A finales de año, la policía japonesa confirmó que este robo fue planeado por una organización de hackers de Corea del Norte.
2. PlayDapp sufre un duro golpe
Monto de la pérdida: 290 millones de dólares
Método de ataque: filtración de clave privada
El 9 de febrero de 2024, PlayDapp sufrió un duro golpe. Los hackers acuñaron 2 mil millones de tokens PLA al robar claves privadas, con un valor inicial de 36,5 millones de dólares. Debido a que el equipo del proyecto no pudo negociar con los hackers, estos acuñaron posteriormente 15,9 mil millones de tokens PLA, con un valor de 253,9 millones de dólares. Parte de los tokens robados fluyó hacia los intercambios, lo que llevó a PlayDapp a suspender el contrato PLA y migrar a un nuevo contrato de token PDA. Este incidente destaca las deficiencias de los proyectos de blockchain en la protección de claves privadas y la respuesta de emergencia.
3. El monedero multisig de WazirX fue atacado
Monto de la pérdida: 235 millones de dólares
Métodos de ataque: ataques en línea y phishing
El 18 de julio de 2024, el monedero multiclave Safe Wallet del mayor intercambio de criptomonedas de India, WazirX, fue objeto de un ataque preciso. Los atacantes utilizaron técnicas de ingeniería social para inducir a los firmantes de la multiclave a firmar una transacción de actualización de contrato, y luego aprovecharon los permisos del contrato actualizado para transferir todos los activos del monedero. Este caso revela los riesgos potenciales en la gestión de permisos y la transparencia operativa de los monederos multiclave, y también ha suscitado una profunda reflexión en la industria sobre los mecanismos de control interno de los proyectos.
4. Se aprovechan de una vulnerabilidad en el contrato de Gala Games
Cantidad de pérdida: 216 millones de dólares
Método de ataque: vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. El atacante mintió 5 mil millones de tokens GALA al llamar a la función mint del contrato del token. Posteriormente, el hacker intercambió los tokens emitidos por partes por ETH, lo que resultó en una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó urgentemente la función de lista negra para bloquear algunas cuentas de los hackers y recuperó parte de las pérdidas a través de vías legales.
5. El cofundador de Ripple sufre un ataque de hackers
Monto de la pérdida: 112 millones de dólares
Método de ataque: filtración de claves privadas
El 31 de enero de 2024, cuatro billeteras personales del cofundador de Ripple, Chris Larsen, fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en XRP. Estas billeteras se convirtieron en objetivo del ataque debido a la falta de protección de doble factor con dispositivos de hardware. Tras el incidente, una plataforma de intercambio logró congelar XRP por un valor de 4.2 millones de dólares y ayudó a rastrear los activos robados, pero la mayor parte de los fondos ya había sido lavada a través de intercambios descentralizados y servicios de mezcla.
6. Munchables enfrenta infiltración interna
Monto de la pérdida: 62.5 millones de dólares
Método de ataque: ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 Munchables, basada en Blast, sufrió un raro ataque de infiltración interna. Los atacantes se hicieron pasar por desarrolladores de blockchain y, tras una larga infiltración, obtuvieron el código fuente y las claves sensibles. A pesar de las enormes pérdidas, bajo la presión de la comunidad y del equipo, los hackers finalmente devolvieron todos los fondos robados. Este incidente revela la importancia de la seguridad de la cadena de suministro, especialmente para los proyectos de blockchain que dependen del desarrollo de terceros.
7. Incidente de filtración de claves privadas de BtcTurk
Monto de pérdida: 55 millones de dólares
Método de ataque: filtración de clave privada
El 22 de junio de 2024, BtcTurk, el mayor exchange de criptomonedas de Turquía, sufrió un ataque de filtración de claves privadas, resultando en una pérdida de más de 55 millones de dólares en activos criptográficos. Con la ayuda de una plataforma de intercambio, se congelaron con éxito 5.3 millones de dólares de los fondos robados, pero otros activos aún no han sido recuperados. Este evento ha profundizado la preocupación del mercado sobre la gestión de claves privadas en los exchanges centralizados.
8. El monedero multifirma de Radiant Capital fue hackeado
Monto de la pérdida: 53 millones de dólares
Método de ataque: filtración de clave privada
El 17 de octubre de 2024, la billetera multifi rmada de Radiant Capital fue hackeada. Debido a que utilizaba un modo de verificación de firma 3/11 de bajo umbral, los hackers, al obtener las claves privadas de 3 firmantes, iniciaron una firma fuera de la cadena, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque provocó una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multifi rmadas.
Es importante señalar que Radiant Capital ya había perdido 4.5 millones de dólares debido a una vulnerabilidad en el contrato antes de este ataque, con más de 1900 ETH robados. Esto subraya una vez más que los proyectos de Web3 todavía tienen margen para mejorar su atención a la seguridad.
9. La vulnerabilidad del contrato de Hedgey Finance fue explotada
Monto de la pérdida: 44.7 millones de dólares
Método de ataque: vulnerabilidad del contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a múltiples contratos en cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns, extrayendo con éxito tokens en las cadenas de Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este evento destaca la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.
10. La billetera caliente del intercambio BingX fue hackeada
Cantidad de pérdida: 44.7 millones de dólares
Método de ataque: filtración de claves privadas
El 19 de septiembre de 2024, la billetera caliente del intercambio BingX fue hackeada, afectando a múltiples cadenas públicas como Ethereum, BNB Chain y Tron. A pesar de que el intercambio activó rápidamente el mecanismo de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por un valor de 44.7 millones de dólares. Este ataque vuelve a resaltar la alta riesgo de la gestión de billeteras calientes en los intercambios centralizados, impulsando a la industria a explorar soluciones de almacenamiento de activos más seguras.
Los frecuentes incidentes de seguridad en 2024 nos advierten nuevamente que el desarrollo de la industria blockchain no puede separarse de la garantía de seguridad. Desde la filtración de claves privadas hasta las vulnerabilidades de los contratos, desde las fallas en la gestión interna hasta la actualización de los métodos de ataque externos, cada incidente trae profundas lecciones. Para hacer frente a las amenazas de ataque cada vez más complejas, todas las partes de la industria deben continuar fortaleciendo la inversión en investigación tecnológica, normas de gestión y prevención de riesgos. En el futuro, esperamos que a través de la colaboración en la industria y la innovación tecnológica, construyamos juntos un ecosistema blockchain más seguro, proporcionando una garantía más confiable para los usuarios e inversionistas.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Revisión de seguridad Web3 de 2024: los diez principales eventos que causaron pérdidas cercanas a 2.5 mil millones de dólares
Revisión de los diez principales incidentes de seguridad en el campo Web3 en 2024
En 2024, la industria de blockchain enfrenta desafíos de seguridad cada vez más severos, al tiempo que innova tecnológicamente y expande su ecosistema. Según los datos de la plataforma de monitoreo de seguridad, a finales de año, las pérdidas totales en el ámbito de Web3 debido a ataques de hackers, fraudes de phishing y la fuga de proyectos alcanzaron los 2,491 millones de dólares.
Estos eventos no solo exponen defectos técnicos como la gestión de claves privadas y vulnerabilidades en contratos inteligentes, sino que también destacan los riesgos potenciales de la ingeniería social y la gestión interna. Este artículo revisará los diez principales eventos de seguridad en Web3 de 2024, para que la industria pueda aprender lecciones y enfrentar mejor las amenazas de seguridad futuras.
1. Evento DMM Bitcoin
Monto de la pérdida: 304 millones de dólares Método de ataque: filtración de clave privada
El 31 de mayo de 2024, el conocido intercambio de criptomonedas japonés DMM Bitcoin sufrió un ataque importante. Los atacantes utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados en más de 10 direcciones diferentes. Este incidente expuso las graves vulnerabilidades del intercambio en la gestión de claves privadas y en la protección de seguridad en múltiples capas. A pesar de que el intercambio intentó rastrear a los hackers a través de monitoreo en la cadena y congelación de fondos, el rastreo enfrenta enormes desafíos debido a que los Bitcoin robados fueron dispersados y limpiados utilizando herramientas de mezcla.
A finales de año, la policía japonesa confirmó que este robo fue planeado por una organización de hackers de Corea del Norte.
2. PlayDapp sufre un duro golpe
Monto de la pérdida: 290 millones de dólares Método de ataque: filtración de clave privada
El 9 de febrero de 2024, PlayDapp sufrió un duro golpe. Los hackers acuñaron 2 mil millones de tokens PLA al robar claves privadas, con un valor inicial de 36,5 millones de dólares. Debido a que el equipo del proyecto no pudo negociar con los hackers, estos acuñaron posteriormente 15,9 mil millones de tokens PLA, con un valor de 253,9 millones de dólares. Parte de los tokens robados fluyó hacia los intercambios, lo que llevó a PlayDapp a suspender el contrato PLA y migrar a un nuevo contrato de token PDA. Este incidente destaca las deficiencias de los proyectos de blockchain en la protección de claves privadas y la respuesta de emergencia.
3. El monedero multisig de WazirX fue atacado
Monto de la pérdida: 235 millones de dólares Métodos de ataque: ataques en línea y phishing
El 18 de julio de 2024, el monedero multiclave Safe Wallet del mayor intercambio de criptomonedas de India, WazirX, fue objeto de un ataque preciso. Los atacantes utilizaron técnicas de ingeniería social para inducir a los firmantes de la multiclave a firmar una transacción de actualización de contrato, y luego aprovecharon los permisos del contrato actualizado para transferir todos los activos del monedero. Este caso revela los riesgos potenciales en la gestión de permisos y la transparencia operativa de los monederos multiclave, y también ha suscitado una profunda reflexión en la industria sobre los mecanismos de control interno de los proyectos.
4. Se aprovechan de una vulnerabilidad en el contrato de Gala Games
Cantidad de pérdida: 216 millones de dólares Método de ataque: vulnerabilidad de control de acceso
El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. El atacante mintió 5 mil millones de tokens GALA al llamar a la función mint del contrato del token. Posteriormente, el hacker intercambió los tokens emitidos por partes por ETH, lo que resultó en una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó urgentemente la función de lista negra para bloquear algunas cuentas de los hackers y recuperó parte de las pérdidas a través de vías legales.
5. El cofundador de Ripple sufre un ataque de hackers
Monto de la pérdida: 112 millones de dólares Método de ataque: filtración de claves privadas
El 31 de enero de 2024, cuatro billeteras personales del cofundador de Ripple, Chris Larsen, fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en XRP. Estas billeteras se convirtieron en objetivo del ataque debido a la falta de protección de doble factor con dispositivos de hardware. Tras el incidente, una plataforma de intercambio logró congelar XRP por un valor de 4.2 millones de dólares y ayudó a rastrear los activos robados, pero la mayor parte de los fondos ya había sido lavada a través de intercambios descentralizados y servicios de mezcla.
6. Munchables enfrenta infiltración interna
Monto de la pérdida: 62.5 millones de dólares Método de ataque: ataque de ingeniería social
El 26 de marzo de 2024, la plataforma de juegos Web3 Munchables, basada en Blast, sufrió un raro ataque de infiltración interna. Los atacantes se hicieron pasar por desarrolladores de blockchain y, tras una larga infiltración, obtuvieron el código fuente y las claves sensibles. A pesar de las enormes pérdidas, bajo la presión de la comunidad y del equipo, los hackers finalmente devolvieron todos los fondos robados. Este incidente revela la importancia de la seguridad de la cadena de suministro, especialmente para los proyectos de blockchain que dependen del desarrollo de terceros.
7. Incidente de filtración de claves privadas de BtcTurk
Monto de pérdida: 55 millones de dólares Método de ataque: filtración de clave privada
El 22 de junio de 2024, BtcTurk, el mayor exchange de criptomonedas de Turquía, sufrió un ataque de filtración de claves privadas, resultando en una pérdida de más de 55 millones de dólares en activos criptográficos. Con la ayuda de una plataforma de intercambio, se congelaron con éxito 5.3 millones de dólares de los fondos robados, pero otros activos aún no han sido recuperados. Este evento ha profundizado la preocupación del mercado sobre la gestión de claves privadas en los exchanges centralizados.
8. El monedero multifirma de Radiant Capital fue hackeado
Monto de la pérdida: 53 millones de dólares Método de ataque: filtración de clave privada
El 17 de octubre de 2024, la billetera multifi rmada de Radiant Capital fue hackeada. Debido a que utilizaba un modo de verificación de firma 3/11 de bajo umbral, los hackers, al obtener las claves privadas de 3 firmantes, iniciaron una firma fuera de la cadena, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque provocó una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multifi rmadas.
Es importante señalar que Radiant Capital ya había perdido 4.5 millones de dólares debido a una vulnerabilidad en el contrato antes de este ataque, con más de 1900 ETH robados. Esto subraya una vez más que los proyectos de Web3 todavía tienen margen para mejorar su atención a la seguridad.
9. La vulnerabilidad del contrato de Hedgey Finance fue explotada
Monto de la pérdida: 44.7 millones de dólares Método de ataque: vulnerabilidad del contrato
El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a múltiples contratos en cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns, extrayendo con éxito tokens en las cadenas de Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este evento destaca la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.
10. La billetera caliente del intercambio BingX fue hackeada
Cantidad de pérdida: 44.7 millones de dólares Método de ataque: filtración de claves privadas
El 19 de septiembre de 2024, la billetera caliente del intercambio BingX fue hackeada, afectando a múltiples cadenas públicas como Ethereum, BNB Chain y Tron. A pesar de que el intercambio activó rápidamente el mecanismo de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por un valor de 44.7 millones de dólares. Este ataque vuelve a resaltar la alta riesgo de la gestión de billeteras calientes en los intercambios centralizados, impulsando a la industria a explorar soluciones de almacenamiento de activos más seguras.
Los frecuentes incidentes de seguridad en 2024 nos advierten nuevamente que el desarrollo de la industria blockchain no puede separarse de la garantía de seguridad. Desde la filtración de claves privadas hasta las vulnerabilidades de los contratos, desde las fallas en la gestión interna hasta la actualización de los métodos de ataque externos, cada incidente trae profundas lecciones. Para hacer frente a las amenazas de ataque cada vez más complejas, todas las partes de la industria deben continuar fortaleciendo la inversión en investigación tecnológica, normas de gestión y prevención de riesgos. En el futuro, esperamos que a través de la colaboración en la industria y la innovación tecnológica, construyamos juntos un ecosistema blockchain más seguro, proporcionando una garantía más confiable para los usuarios e inversionistas.