Revisión de los diez principales incidentes de seguridad en el ámbito Web3 de 2024

En 2024, la industria de blockchain, mientras innova y se desarrolla, también enfrenta desafíos de seguridad cada vez más severos. Según estadísticas de plataformas de datos, hasta la fecha, las pérdidas totales en el ámbito de Web3 en 2024 debido a ataques de hackers, fraudes y el abandono de proyectos ascienden a 2.491 millones de dólares.

Estos eventos no solo expusieron las vulnerabilidades en la gestión de claves privadas, contratos inteligentes y otros aspectos técnicos, sino que también resaltaron los riesgos potenciales en la ingeniería social y la gestión interna. Este artículo enumerará los diez principales incidentes de seguridad en el ámbito de Web3 en 2024, para que la industria pueda aprender de ellos y enfrentar mejor las amenazas de seguridad futuras.

1. Un importante ataque a un intercambio de criptomonedas japonés

Monto de la pérdida: 304 millones de dólares Método de ataque: filtración de clave privada

El 31 de mayo de 2024, un conocido intercambio de criptomonedas japonés sufrió un ataque histórico. Los atacantes utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados en más de 10 direcciones diferentes. Este incidente expuso las graves deficiencias del intercambio en la gestión de claves privadas y en la protección de múltiples capas de seguridad. A pesar de que el intercambio intentó rastrear a los hackers mediante la monitorización en la cadena y el congelamiento de fondos, el seguimiento se enfrentó a enormes desafíos debido a que los Bitcoins robados fueron dispersados y limpiados a través de herramientas de mezcla.

El 24 de diciembre, la policía japonesa confirmó que el incidente fue obra de una organización internacional de hackers.

2. PlayDapp sufre un duro golpe

Cantidad de pérdida: 290 millones de dólares Método de ataque: filtración de claves privadas

El 9 de febrero de 2024, PlayDapp sufrió un duro golpe, los hackers mintieron 2 mil millones de tokens PLA al robar la clave privada, con un valor inicial de 36.5 millones de dólares. Debido a que el equipo del proyecto no logró negociar con los hackers, estos mintieron otros 15.9 mil millones de tokens PLA en un corto período de tiempo, con un valor de 253.9 millones de dólares. Después de que algunos de los tokens ingresaran a los intercambios, PlayDapp se vio obligado a suspender el contrato de PLA y migrar a un nuevo contrato de tokens. Este incidente destaca las deficiencias de los proyectos de blockchain en la protección de claves privadas y en la gestión de emergencias.

3. El mayor intercambio de criptomonedas de la India sufre un ataque

Monto de la pérdida: 235 millones de dólares Métodos de ataque: ataques en red y phishing

El 18 de julio de 2024, el monedero multip firmante Safe Wallet del intercambio de criptomonedas más grande de India fue objeto de un ataque preciso. Los atacantes utilizaron técnicas de ingeniería social para inducir a los firmantes a firmar una transacción de actualización de contrato, y luego utilizaron los permisos del contrato actualizado para vaciar los activos del monedero. Este caso expone los riesgos potenciales en la configuración de permisos y la transparencia operativa de los monederos multip firmantes, y también ha provocado una profunda reflexión en la industria sobre los mecanismos de control interno y seguridad de los proyectos.

4. Gala Games sufre un ataque a gran escala

Monto de la pérdida: 216 millones de dólares Método de ataque: vulnerabilidad de control de acceso

El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. Los atacantes mintieron 5 mil millones de tokens GALA al invocar la función mint en el contrato de tokens. Luego, los hackers intercambiaron los tokens emitidos por lotes por ETH, lo que resultó en una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó de inmediato la función de lista negra para bloquear algunas cuentas de los hackers y recuperó parte de las pérdidas a través de vías legales.

5. Un cofundador de un conocido proyecto de blockchain sufre un ataque

Monto de la pérdida: 112 millones de dólares Método de ataque: filtración de clave privada

El 31 de enero de 2024, cuatro billeteras personales de un cofundador de un conocido proyecto de blockchain fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en criptomonedas. Estas billeteras se convirtieron en objetivo del ataque debido a la falta de protección de doble factor de hardware. Después del incidente, un importante intercambio logró congelar activos robados por un valor de 4.2 millones de dólares y ayudó a rastrear, pero la mayor parte de los fondos ya habían sido lavados a través de intercambios descentralizados y servicios de mezcla.

6. Munchables enfrenta una infiltración interna

Monto de la pérdida: 62.5 millones de dólares Método de ataque: ataque de ingeniería social

El 26 de marzo de 2024, la plataforma de juegos Web3 basada en Blast, Munchables, sufrió un raro ataque de infiltración interna. Los atacantes se hicieron pasar por desarrolladores de blockchain y, tras una larga infiltración, obtuvieron el código fuente y las claves sensibles. A pesar de las enormes pérdidas, bajo la presión de la comunidad y del equipo, los hackers finalmente devolvieron todos los fondos robados. Este incidente revela la importancia de la seguridad de la cadena de suministro, especialmente para los proyectos de blockchain que dependen de desarrolladores de terceros.

7. La bolsa de criptomonedas de Turquía sufre un ataque

Monto de la pérdida: 55 millones de dólares Método de ataque: filtración de claves privadas

El 22 de junio de 2024, el mayor intercambio de criptomonedas de Turquía fue víctima de un ataque de filtración de claves privadas, con pérdidas superiores a 55 millones de dólares en activos criptográficos. Con la ayuda del equipo de un importante intercambio, se congelaron con éxito 5.3 millones de dólares de fondos robados, pero otros activos aún no se han recuperado. Este incidente ha profundizado la preocupación del mercado sobre la gestión de claves privadas en los intercambios centralizados.

8. El monedero multi-firma de Radiant Capital es atacado

Monto de la pérdida: 53 millones de dólares Método de ataque: filtración de clave privada

El 17 de octubre de 2024, la billetera multifirma de Radiant Capital fue hackeada. Debido a que utilizaba un modelo de verificación de firma 3/11 de bajo umbral, el hacker logró iniciar una firma fuera de la cadena al controlar las claves privadas de 3 firmantes, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque ha provocado una reflexión en la industria sobre el diseño y los mecanismos de gobernanza de las billeteras multifirma.

Es importante señalar que Radiant Capital había perdido 4.5 millones de dólares debido a una vulnerabilidad en su contrato antes de este ataque, con más de 1900 ETH robados. Esto vuelve a demostrar que los proyectos de Web3 aún necesitan mejorar su enfoque en la seguridad.

9. Hedgey Finance sufre un ataque entre cadenas

Monto de la pérdida: 44,7 millones de dólares Método de ataque: vulnerabilidad del contrato

El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a múltiples contratos en cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns, extrayendo con éxito tokens en las cadenas de Ethereum y Arbitrum, con una pérdida total que asciende a 44.7 millones de dólares. Este incidente destaca la importancia de la auditoría de código, especialmente la verificación rigurosa de la lógica de aprobación de tokens.

10. La billetera caliente de un intercambio de criptomonedas fue hackeada

Monto de la pérdida: 44,7 millones de dólares Método de ataque: filtración de clave privada

El 19 de septiembre de 2024, el monedero caliente de un intercambio de criptomonedas fue hackeado, involucrando cadenas como Ethereum, BNB Chain, Tron y otras múltiples cadenas públicas. A pesar de que el intercambio rápidamente activó mecanismos de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por valor de 44.7 millones de dólares. Este ataque expone una vez más la alta riesgo de la gestión del monedero caliente en intercambios centralizados, impulsando a la industria a explorar soluciones de almacenamiento de activos más seguras.

La frecuencia de los incidentes de seguridad en 2024 nos recuerda una vez más que el desarrollo de la industria de blockchain depende de una protección segura. Desde la filtración de claves privadas hasta las vulnerabilidades de contratos, desde las fallas en la gestión interna hasta la actualización de métodos de ataque externos, cada incidente ha traído lecciones profundas. Para hacer frente a las amenazas de ataque cada vez más complejas, todas las partes de la industria necesitan seguir invirtiendo en desarrollo tecnológico, regulaciones de gestión y prevención de riesgos. En el futuro, esperamos que a través de la colaboración en la industria y la innovación tecnológica, construyamos juntos un ecosistema de blockchain más seguro, proporcionando una mayor protección a los usuarios e inversores.