Revisão dos Eventos de Segurança Web3 de 2024: Análise dos Dez Principais Casos de Ataque

Em 2024, a indústria blockchain, enquanto inova tecnologicamente e expande ecossistemas, também enfrenta desafios de segurança cada vez mais severos. Segundo estatísticas, até o final do ano, as perdas totais no campo do Web3 devido a ataques de hackers, fraudes de phishing e desaparecimentos de projetos atingiram impressionantes 2,491 bilhões de dólares. Esses eventos não apenas expuseram falhas técnicas na gestão de chaves privadas e contratos inteligentes, mas também ressaltaram os riscos potenciais de engenharia social e gestão interna. Este artigo revisará os dez principais eventos de segurança do Web3 em 2024, para que a indústria possa aprender lições e se preparar melhor para as ameaças de segurança futuras.

1. DMM Bitcoin

Montante da perda: 304 milhões de dólares Método de ataque: vazamento de chave privada

No dia 31 de maio de 2024, a conhecida exchange de criptomoedas japonesa DMM Bitcoin sofreu um ataque significativo. Hackers utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin, e rapidamente dispersaram os fundos roubados em mais de dez endereços diferentes. Este incidente expôs as sérias falhas da exchange na gestão de chaves privadas e na proteção de segurança em múltiplas camadas. Apesar de a exchange ter implementado monitoramento on-chain e congelamento de fundos, a tarefa de rastreamento enfrentou enormes desafios devido ao uso de ferramentas de mistura pelos hackers.

No final do ano, a polícia japonesa confirmou que este incidente foi perpetrado pelo grupo de hackers norte-coreano Lazarus Group.

2. PlayDapp

Valor da perda: 290 milhões de dólares Método de ataque: vazamento da chave privada

No dia 9 de fevereiro de 2024, a PlayDapp sofreu um ataque grave. Hackers conseguiram criar 2 bilhões de tokens PLA ao roubar chaves privadas, com um valor inicial de 36,5 milhões de dólares. Como a equipe do projeto falhou nas negociações com os hackers, eles criaram rapidamente mais 15,9 bilhões de tokens PLA, no valor de 253,9 milhões de dólares. Após parte dos tokens entrarem nas exchanges, a PlayDapp foi forçada a suspender o contrato PLA e migrar para um novo contrato de token. Este incidente destaca as deficiências dos projetos de blockchain na proteção de chaves privadas e na gestão de emergências.

3. Uma exchange de criptomoedas na Índia

Montante da perda: 235 milhões de dólares Método de ataque: Ataques cibernéticos e phishing

No dia 18 de julho de 2024, a Safe Wallet, uma carteira multi-assinatura da maior exchange de criptomoedas da Índia, foi alvo de um ataque direcionado. Os atacantes induziram os signatários da multi-assinatura a assinar uma transação de atualização de contrato através de engenharia social, e depois utilizaram os privilégios do contrato atualizado para transferir os ativos da carteira. Este caso revelou os riscos potenciais associados à configuração de permissões e à transparência operacional das carteiras multi-assinatura, além de suscitar uma reflexão profunda na indústria sobre os mecanismos de controle interno e segurança dos projetos.

4. Gala Games

Montante da perda: 216 milhões de dólares Método de ataque: Vulnerabilidade de controle de acesso

No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi hackeado. O atacante chamou a função mint no contrato do token e cunhou 5 bilhões de tokens GALA de uma só vez. Em seguida, o hacker trocou os tokens emitidos em lotes por ETH, causando uma perda direta de 216 milhões de dólares. A equipe da Gala Games ativou urgentemente a função de lista negra para bloquear algumas contas do hacker e recuperou parte das perdas através de meios legais.

5. Carteira pessoal do cofundador da Ripple

Montante da perda: 112 milhões de dólares Método de ataque: vazamento de chave privada

No dia 31 de janeiro de 2024, quatro carteiras pessoais do cofundador da Ripple, Chris Larsen, foram invadidas por hackers, resultando no roubo de 112 milhões de dólares em XRP. Essas carteiras foram alvos do ataque devido à falta de proteção de dupla autenticação com dispositivos de hardware. Após o incidente, uma plataforma de negociação conseguiu congelar 4,2 milhões de dólares em XRP e ajudou a rastrear os ativos roubados, mas a maior parte dos fundos já foi lavada através de exchanges descentralizadas e serviços de mistura.

6. Munchables

Valor da perda: 62,5 milhões de dólares Método de Ataque: Ataque de Engenharia Social

No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes se disfarçaram de desenvolvedores de blockchain e, por meio de uma longa infiltração, obtiveram o código-fonte e chaves sensíveis. Apesar das enormes perdas, sob pressão da comunidade e da equipe, os hackers acabaram devolvendo todos os fundos roubados. Este evento revelou a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvedores de terceiros.

7. Uma bolsa de criptomoedas da Turquia

Montante da perda: 55 milhões de dólares Método de ataque: vazar a chave privada

No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia sofreu um ataque de vazamento de chave privada, resultando na perda de mais de 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma plataforma de negociação, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aprofundou as preocupações do mercado sobre a gestão de chaves privadas em exchanges centralizadas.

8. Radiant Capital

Montante da perda: 53 milhões de dólares Método de ataque: vazamento de chave privada

No dia 17 de outubro de 2024, a carteira multiassinado da Radiant Capital foi invadida por hackers. Devido à adoção de um modo de verificação de assinatura 3/11 com baixo limiar, os hackers conseguiram iniciar a assinatura fora da cadeia ao controlar as chaves privadas de 3 signatários, transferindo a propriedade do contrato da carteira para um endereço malicioso, resultando no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multiassinadas.

É importante notar que a Radiant Capital perdeu anteriormente 4,5 milhões de dólares devido a uma vulnerabilidade de contrato, com mais de 1900 ETH sendo roubados, destacando a falta de atenção do projeto em relação à segurança.

9. Hedgey Finance

Montante da perda: 44,7 milhões de dólares Método de ataque: Vulnerabilidade do contrato

No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque direcionado a vários contratos na blockchain. Os hackers exploraram uma vulnerabilidade de aprovação no contrato ClaimCampaigns, conseguindo extrair tokens nas redes Ethereum e Arbitrum, totalizando uma perda de 44,7 milhões de dólares. Este incidente destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.

10. Uma plataforma de negociação de criptomoedas

Montante da perda: 44,7 milhões de dólares Método de ataque: vazamento de chave privada

No dia 19 de setembro de 2024, a carteira quente de uma plataforma de negociação foi invadida por hackers, envolvendo várias blockchains públicas, como Ethereum, BNB Chain e Tron. Embora a exchange tenha rapidamente ativado mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque reflete a alta risco na gestão de carteiras quentes de exchanges centralizadas e impulsiona ainda mais a indústria a explorar soluções de armazenamento de ativos mais seguras.

Os frequentes incidentes de segurança em 2024 nos lembram mais uma vez que o desenvolvimento da indústria de blockchain não pode prescindir da segurança. Desde o vazamento de chaves privadas até vulnerabilidades em contratos, desde falhas na gestão interna até a evolução das técnicas de ataque externas, cada incidente traz lições profundas. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes da indústria devem continuar a aumentar o investimento em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração na indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro, proporcionando uma proteção mais confiável para usuários e investidores.