Revisión de eventos de seguridad Web3 de 2024: diez casos de ataques y sus lecciones

En 2024, la industria blockchain, mientras innova tecnológicamente y amplía su ecosistema, también enfrenta desafíos de seguridad cada vez más graves. Según datos de monitoreo, hasta finales de año, las pérdidas totales en el ámbito de Web3 debido a ataques de hackers, fraudes de phishing y el abandono de proyectos alcanzaron los 2,491 millones de dólares.

Estos eventos no solo expusieron las vulnerabilidades en la gestión de claves privadas, contratos inteligentes y otros aspectos técnicos, sino que también destacaron los riesgos potenciales en la ingeniería social y la gestión interna. Este artículo revisará los diez principales eventos de seguridad de Web3 en 2024, con la esperanza de que la industria aprenda de ellos y esté mejor preparada para enfrentar futuras amenazas de seguridad.

1. DMM Bitcoin: Filtración de claves privadas causa pérdidas de 304 millones de dólares

El 31 de mayo de 2024, el conocido intercambio de criptomonedas japonés DMM Bitcoin sufrió un grave incidente de seguridad. Los atacantes utilizaron claves privadas filtradas para transferir directamente más de 300 millones de dólares en Bitcoin, y rápidamente dispersaron los fondos robados en varias direcciones diferentes. Este ataque expuso las serias deficiencias del intercambio en la gestión de claves privadas y en la protección de seguridad en múltiples capas.

A pesar de que el intercambio intenta rastrear a los hackers a través de la supervisión en cadena y el congelamiento de fondos, el trabajo de rastreo enfrenta enormes desafíos debido a que los bitcoins robados se transfieren de manera dispersa y se limpian utilizando herramientas de mezcla. A finales de año, la policía japonesa confirmó que este incidente fue planeado y ejecutado por la organización de hackers de Corea del Norte, Lazarus Group.

2. PlayDapp: Pérdida de 290 millones de dólares debido a la filtración de claves privadas

El 9 de febrero de 2024, PlayDapp sufrió un duro golpe. Los hackers, al robar claves privadas, acuñaron 2 mil millones de tokens PLA, con un valor inicial de 36.5 millones de dólares. Debido a que el equipo del proyecto no pudo negociar con los hackers, estos acuñaron rápidamente otros 15.9 mil millones de tokens PLA, con un valor de 253.9 millones de dólares. Una vez que algunos de los tokens ingresaron a los intercambios, PlayDapp se vio obligada a suspender el contrato de PLA y migrar a un nuevo contrato de token. Este incidente destaca las deficiencias de los proyectos de blockchain en la protección de claves privadas y en la gestión de emergencias.

3. Un intercambio indio: un ataque de ingeniería social causa pérdidas de 235 millones de dólares

El 18 de julio de 2024, el monedero multi-firma Safe Wallet de la mayor plataforma de criptomonedas de India fue atacado con precisión por hackers. Los atacantes utilizaron técnicas de ingeniería social para inducir a los firmantes del multi-firma a firmar una transacción de actualización de contrato, y luego aprovecharon los permisos del contrato actualizado para transferir todos los activos del monedero. Este caso revela los riesgos potenciales de los monederos multi-firma en la configuración de gestión de permisos y la transparencia operativa, y ha provocado una profunda reflexión en la industria sobre los mecanismos de control interno y seguridad de los proyectos.

4. Gala Games: Vulnerabilidad de control de acceso causa pérdidas de 216 millones de dólares

El 20 de mayo de 2024, una dirección privilegiada de Gala Games fue hackeada. Los atacantes llamaron a la función mint en el contrato de tokens y acuñaron de una sola vez 5 mil millones de tokens GALA. Posteriormente, los hackers intercambiaron estos tokens por ETH en lotes, lo que provocó una pérdida directa de 216 millones de dólares. El equipo de Gala Games activó de manera urgente la función de lista negra para bloquear algunas cuentas de los hackers y recuperó parte de las pérdidas a través de vías legales.

5. Cofundador de Ripple: La filtración de claves privadas causó el robo de 112 millones de dólares en XRP

El 31 de enero de 2024, cuatro billeteras personales del cofundador de Ripple fueron hackeadas, lo que resultó en el robo de 112 millones de dólares en XRP. Estas billeteras se convirtieron en un objetivo de ataque debido a la falta de protección de doble factor por hardware. Después del incidente, un intercambio logró congelar XRP por un valor de 4.2 millones de dólares y ayudó a rastrear los activos robados, pero la mayor parte de los fondos ya había sido lavada a través de intercambios descentralizados y servicios de mezcla.

6. Munchables: Ataques de infiltración interna causan pérdidas de 62.5 millones de dólares

El 26 de marzo de 2024, la plataforma de juegos Web3 basada en Blast, Munchables, sufrió un raro ataque de infiltración interna. Los atacantes eran hackers disfrazados de desarrolladores de blockchain, que obtuvieron el código fuente y las claves sensibles tras una larga infiltración. A pesar de que el ataque causó pérdidas enormes, bajo la presión de la comunidad y del equipo, los hackers finalmente devolvieron todos los fondos robados. Este incidente revela la importancia de la seguridad en la cadena de suministro, especialmente para los proyectos de blockchain que dependen de desarrolladores de terceros.

7. Un intercambio turco: fuga de claves privadas causa pérdidas de 55 millones de dólares

El 22 de junio de 2024, el mayor intercambio de criptomonedas de Turquía sufrió un ataque de filtración de claves privadas, resultando en la pérdida de más de 55 millones de dólares en activos criptográficos. Con la ayuda del equipo de un intercambio, se logró congelar 5.3 millones de dólares de los fondos robados, pero otros activos aún no han sido recuperados. Este evento ha profundizado la preocupación del mercado sobre la gestión de claves privadas en los intercambios centralizados.

8. Radiant Capital: La vulneración de la billetera multi-firma causó una pérdida de 53 millones de dólares.

El 17 de octubre de 2024, la billetera multisig de Radiant Capital fue comprometida por un hacker. Debido a que utiliza un modelo de verificación de firma 3/11 de bajo umbral, el hacker logró iniciar una firma fuera de la cadena al obtener las claves privadas de 3 firmantes, transfiriendo la propiedad del contrato de la billetera a una dirección maliciosa, lo que resultó en el robo de 53 millones de dólares. Este ataque provocó una reflexión en la industria sobre el diseño de billeteras multisig y los mecanismos de gobernanza.

Es importante señalar que Radiant Capital había perdido 4.5 millones de dólares debido a una vulnerabilidad en el contrato antes de este ataque, con más de 1900 ETH robados. Esto demuestra una vez más que los proyectos de Web3 aún deben mejorar su atención a la seguridad.

9. Hedgey Finance: Pérdida de 44.7 millones de dólares debido a vulnerabilidades en los contratos

El 19 de abril de 2024, Hedgey Finance sufrió un ataque dirigido a múltiples contratos en cadena. Los hackers aprovecharon una vulnerabilidad de aprobación en su contrato ClaimCampaigns y lograron extraer tokens de las cadenas de Ethereum y Arbitrum, con una pérdida total de 44.7 millones de dólares. Este incidente destaca la importancia de la auditoría de código, especialmente en la verificación rigurosa de la lógica de aprobación de tokens.

10. Plataforma de intercambio: la billetera caliente fue hackeada y se perdió 44.7 millones de dólares

El 19 de septiembre de 2024, el monedero caliente de una plataforma de intercambio fue hackeado, involucrando cadenas como Ethereum, BNB Chain, Tron y otras múltiples cadenas públicas. A pesar de que el intercambio activó rápidamente los mecanismos de transferencia de activos y congelación de retiros, los hackers lograron extraer activos por un valor de 44.7 millones de dólares. Este ataque refleja la alta riesgo de la gestión de monederos calientes en intercambios centralizados y promueve aún más la exploración de soluciones de almacenamiento de activos más seguras en la industria.

Conclusión

Los frecuentes incidentes de ataques de seguridad en 2024 nos recuerdan nuevamente que el desarrollo de la industria blockchain no puede prescindir de una protección segura. Desde la filtración de claves privadas hasta las vulnerabilidades en contratos, desde la negligencia en la gestión interna hasta la actualización de métodos de ataque externos, cada incidente ha traído lecciones profundas. Para hacer frente a las amenazas de ataque cada vez más complejas, todas las partes de la industria necesitan seguir invirtiendo en investigación y desarrollo tecnológico, normativas de gestión y prevención de riesgos. En el futuro, esperamos que a través de la colaboración en la industria y la innovación tecnológica, podamos construir un ecosistema blockchain más seguro, proporcionando una protección más confiable para los usuarios e inversores.