Principais dez eventos de segurança no campo Web3 de 2024

Em 2024, a indústria de blockchain, enquanto inova em tecnologia e expande ecossistemas, também enfrenta desafios de segurança cada vez mais severos. De acordo com dados da plataforma de monitoramento de segurança, até o momento, as perdas totais no espaço Web3 em 2024, devido a ataques de hackers, fraudes de phishing e desaparecimentos de projetos, atingem 2,491 bilhões de dólares.

Estes eventos não só expuseram falhas técnicas, como a gestão de chaves privadas e vulnerabilidades em contratos inteligentes, mas também destacaram os riscos potenciais da engenharia social e da gestão interna. Este artigo revisará os dez principais eventos de segurança do Web3 em 2024, na esperança de que a indústria possa aprender com eles e lidar melhor com as ameaças de segurança futuras.

1. DMM Bitcoin: vazamento de chaves privadas resulta em perdas de 304 milhões de dólares

No dia 31 de maio de 2024, a famosa exchange de criptomoedas japonesa DMM Bitcoin sofreu um grave incidente de segurança. Os atacantes utilizaram chaves privadas vazadas para transferir diretamente mais de 300 milhões de dólares em Bitcoin e rapidamente dispersaram os fundos roubados em vários endereços. Este ataque expôs sérias falhas na gestão de chaves privadas e na proteção de segurança em múltiplas camadas da exchange. Embora a exchange tenha tentado rastrear os hackers por meio de monitoramento on-chain e congelamento de fundos, a transferência dispersa e as operações de mistura dos Bitcoins roubados trouxeram enormes desafios para a recuperação dos ativos.

É importante notar que, no dia 24 de dezembro, a polícia japonesa confirmou que o ataque foi realizado por um certo grupo de hackers internacional.

2. PlayDapp: Vazamento de chave privada resulta em perdas de 290 milhões de dólares

No dia 9 de fevereiro de 2024, a PlayDapp enfrentou um grave incidente de segurança. Hackers ilegalmente cunharam 2 bilhões de tokens PLA ao roubar chaves privadas, com um valor inicial de 36,5 milhões de dólares. Como as negociações entre a equipe do projeto e os hackers falharam, os hackers posteriormente cunharam mais 15,9 bilhões de tokens PLA, no valor de 253,9 milhões de dólares. Após parte dos tokens roubados ter sido enviada para as exchanges, a PlayDapp foi forçada a suspender o contrato PLA e migrar para um novo contrato de token. Este incidente destaca as deficiências dos projetos de blockchain na proteção de chaves privadas e na resposta a emergências.

3. Uma bolsa de valores indiana: Ataques cibernéticos e phishing causam perdas de 235 milhões de dólares

No dia 18 de julho de 2024, a carteira multi-assinatura da maior exchange de criptomoedas da Índia foi alvo de um ataque preciso. Os atacantes induziram os signatários da multi-assinatura a aprovar uma transação de atualização de contrato por meio de engenharia social, e em seguida utilizaram os privilégios do contrato atualizado para transferir todos os ativos da carteira. Este caso revela os riscos potenciais da carteira multi-assinatura em relação à configuração de permissões e à transparência das operações, além de suscitar uma reflexão aprofundada na indústria sobre os mecanismos de controle interno e segurança dos projetos.

4. Gala Games: Vulnerabilidade de controle de acesso resulta em perdas de 216 milhões de dólares

No dia 20 de maio de 2024, um endereço privilegiado da Gala Games foi comprometido por hackers. Os atacantes chamaram a função mint no contrato do token e cunharam de uma só vez 5 bilhões de tokens GALA. Em seguida, esses tokens emitidos ilegalmente foram trocados em partes por ETH, resultando em uma perda direta de 216 milhões de dólares. A equipe da Gala Games rapidamente ativou a função de blacklist para bloquear algumas contas dos hackers e recuperou parte das perdas por meio de vias legais.

5. Co-fundador de um projeto de criptomoeda: a divulgação da chave privada causou uma perda de 112 milhões de dólares

No dia 31 de janeiro de 2024, quatro carteiras pessoais de um cofundador de um conhecido projeto de criptomoeda foram hackeadas, resultando no roubo de 112 milhões de dólares em criptomoeda. Essas carteiras se tornaram alvo do ataque devido à falta de proteção dupla com dispositivos de hardware. Após o incidente, uma grande exchange conseguiu congelar 4,2 milhões de dólares em ativos roubados e ajudou na rastreação, mas a maior parte dos fundos já havia sido lavada através de exchanges descentralizadas e serviços de mixagem.

6. Munchables: Ataques de engenharia social resultam em perdas de 62,5 milhões de dólares

No dia 26 de março de 2024, a plataforma de jogos Web3 baseada em Blast, Munchables, sofreu um raro ataque de infiltração interna. Os atacantes se disfarçaram de desenvolvedores de blockchain e, após um longo período de infiltração, obtiveram o código-fonte e chaves sensíveis. Embora o ataque tenha causado enormes perdas, sob pressão da comunidade e da equipe, os hackers acabaram devolvendo todos os fundos roubados. Este evento destaca a importância da segurança da cadeia de suprimentos, especialmente para projetos de blockchain que dependem de desenvolvimentos de terceiros.

7. Uma bolsa na Turquia: a exposição da chave privada resulta em uma perda de 55 milhões de dólares

No dia 22 de junho de 2024, a maior exchange de criptomoedas da Turquia sofreu um ataque de vazamento de chaves privadas, resultando em perdas de mais de 55 milhões de dólares em ativos criptográficos. Com a ajuda de uma grande exchange, 5,3 milhões de dólares dos fundos roubados foram congelados com sucesso, mas outros ativos ainda não foram recuperados. Este evento aprofundou ainda mais as preocupações do mercado sobre a capacidade de gerenciamento de chaves privadas das exchanges centralizadas.

8. Radiant Capital: Vazamento de chave privada resulta em perda de 53 milhões de dólares

Em 17 de outubro de 2024, a carteira multi-assinatura da Radiant Capital foi invadida por hackers. Devido ao seu uso de um modelo de validação de assinatura 3/11 com baixa barreira de entrada, os hackers conseguiram obter as chaves privadas de 3 signatários e realizar uma assinatura off-chain, transferindo a propriedade do contrato da carteira para um endereço malicioso, o que resultou no roubo de 53 milhões de dólares. Este ataque provocou uma reflexão na indústria sobre o design e os mecanismos de governança das carteiras multi-assinatura.

É importante notar que a Radiant Capital já havia perdido 4,5 milhões de dólares devido a uma vulnerabilidade no contrato antes deste ataque, com mais de 1900 ETH sendo roubados. Isso destaca novamente que a importância da segurança ainda precisa ser mais valorizada pelos projetos Web3.

9. Hedgey Finance: Falhas de contrato resultam em perdas de 44,7 milhões de dólares

No dia 19 de abril de 2024, a Hedgey Finance sofreu um ataque dirigido a múltiplos contratos on-chain. Os hackers exploraram uma vulnerabilidade de aprovação no seu contrato ClaimCampaigns, conseguindo extrair tokens nas cadeias Ethereum e Arbitrum, com uma perda total de 44,7 milhões de dólares. Este incidente destaca a importância da auditoria de código, especialmente a verificação rigorosa da lógica de aprovação de tokens.

10. Uma exchange de criptomoedas: a exposição de chaves privadas leva a uma perda de 44,7 milhões de dólares

No dia 19 de setembro de 2024, uma conhecida bolsa de criptomoedas teve sua hot wallet invadida por hackers, envolvendo redes como Ethereum, BNB Chain, Tron e várias outras blockchains. Apesar de a bolsa ter rapidamente ativado mecanismos de transferência de ativos e congelamento de saques, os hackers conseguiram extrair ativos no valor de 44,7 milhões de dólares. Este ataque expôs mais uma vez a alta vulnerabilidade da gestão de hot wallets em bolsas centralizadas e impulsionou ainda mais a indústria a explorar soluções de armazenamento de ativos mais seguras.

Os frequentes incidentes de ataques de segurança em 2024 nos alertam novamente que o desenvolvimento da indústria de blockchain não pode prescindir da segurança. Desde o vazamento de chaves privadas até vulnerabilidades em contratos, desde falhas na gestão interna até a evolução das táticas de ataque externas, cada incidente traz profundas lições para o setor. Para enfrentar as ameaças de ataque cada vez mais complexas, todas as partes envolvidas na indústria precisam continuar a investir em pesquisa e desenvolvimento tecnológico, normas de gestão e controle de riscos. No futuro, esperamos que, através da colaboração da indústria e da inovação tecnológica, possamos construir um ecossistema de blockchain mais seguro e confiável, proporcionando uma proteção mais robusta para usuários e investidores.