Según el último informe de seguridad de la industria Web3 de Gate Research, se produjeron un total de 27 incidentes de seguridad en diciembre, lo que resultó en pérdidas de aproximadamente $4.11 millones. Los tipos de incidentes fueron diversos, con las vulnerabilidades de contrato como la principal amenaza, representando el 72% de las pérdidas totales. El informe también proporciona un análisis detallado de los eventos de seguridad clave, incluidas la vulnerabilidad de FEG, la vulnerabilidad del contrato de Clober, la vulnerabilidad del contrato de Clipper DEX y el ataque de préstamo flash de HarryPotterObamaSonic10Inu. Las vulnerabilidades de contrato y los hackeos de cuentas fueron identificados como los principales riesgos de seguridad del mes, lo que destaca la necesidad continua de que la industria fortalezca sus medidas de seguridad.

Puntos clave

• En diciembre de 2024, la industria Web3 experimentó 27 incidentes de seguridad, lo que resultó en pérdidas de aproximadamente $4.11 millones, una disminución significativa en comparación con el mes anterior.
• Los incidentes de seguridad de este mes principalmente han involucrado vulnerabilidades de contratos y robos de cuentas.
• Las vulnerabilidades del contrato siguen siendo una gran amenaza, representando el 72% de las pérdidas totales en los incidentes de seguridad de la industria de la criptomoneda.
• La mayoría de las pérdidas ocurrieron en las principales blockchains, incluyendo BSC, Ethereum, Cardano y Base.
• Los incidentes clave de este mes incluyeron la vulnerabilidad de seguridad de FEG (pérdida de $1 millón), la vulnerabilidad del contrato Clober (pérdida de $500,000), la vulnerabilidad del contrato de Vestra DAO (pérdida de $500,000), el hackeo de la cuenta Moonhacker (pérdida de $320,000) y el ataque de préstamo instantáneo HarryPotterObamaSonic10Inu (pérdida de $243,000).

Resumen de incidentes de seguridad

Según datos de Slowmist, en diciembre de 2024 se produjeron un total de 27 incidentes de pirateo, que resultaron en pérdidas de $4.11 millones. Los ataques principalmente involucraron vulnerabilidades de contratos, hackeos de cuentas y otros métodos. En comparación con noviembre, tanto el número de incidentes como las pérdidas totales experimentaron una disminución significativa, lo que indica que las medidas de seguridad y la conciencia de la industria han mejorado. Las vulnerabilidades de contratos siguen siendo la principal causa de los ataques, con nueve incidentes que representan más de $2.98 millones en pérdidas, o el 72% del total. Las cuentas oficiales de X y los sitios web de proyectos de criptomonedas siguen siendo los principales objetivos de los piratas informáticos [1].

La distribución de incidentes de seguridad de este mes en las blockchains públicas revela que la mayoría de las pérdidas se concentraron en varias blockchains maduras y populares, especialmente Ethereum y Base, con pérdidas de $2.01 millones y $950,000, respectivamente. Esto resalta que, a pesar de la sólida seguridad fundamental de las blockchains públicas, las vulnerabilidades en la capa de aplicación y los contratos inteligentes aún representan riesgos significativos para los fondos de los usuarios.

Varios proyectos de blockchain experimentaron importantes incidentes de seguridad este mes, lo que resultó en pérdidas financieras significativas. Entre los incidentes destacados se encuentran la vulnerabilidad de seguridad de FEG, que causó una pérdida de $1 millón; la vulnerabilidad del contrato Clober, que llevó a una pérdida de $500,000; la vulnerabilidad del contrato Vestra DAO, que resultó en pérdidas de $500,000; y la vulnerabilidad del contrato Clipper DEX, que causó una pérdida de $457,000.

Principales incidentes de seguridad en diciembre

Según las divulgaciones oficiales, los siguientes proyectos sufrieron pérdidas que superaron los $3.22 millones en diciembre. Estos incidentes subrayan que las vulnerabilidades en los contratos siguen representando una amenaza significativa.

• Los atacantes aprovecharon una vulnerabilidad en el contrato inteligente utilizado por Clipper, manipulando la función de depósito/retiro de activos únicos. Esta operación afectó los pools de liquidez en las redes de Optimism y Base, causando un desequilibrio en los activos del pool y permitiendo a los atacantes retirar más de la cantidad depositada. El ataque resultó en una pérdida de aproximadamente $457,878.
• Vestra DAO tuiteó que un hacker explotó una vulnerabilidad en el contrato de staking bloqueado, manipulando el mecanismo de recompensa para adquirir recompensas excesivas más allá de lo que le correspondía. El incidente llevó al robo de 73,720,000 tokens VSTR. Los tokens robados se vendieron gradualmente en Uniswap, causando una pérdida de liquidez de alrededor de $500,000 en ETH. Para proteger la tokenómica de VSTR y la estabilidad del proyecto, se eliminaron permanentemente de circulación los 755,631,188 tokens VSTR restantes.
• La bóveda de liquidez en Clober DEX, construida en Base Network, fue atacada, lo que resultó en una pérdida de 133.7 ETH (aproximadamente $501,000). El equipo también ofreció el 20% de los fondos robados como recompensa por identificar la vulnerabilidad, esperando recuperar los activos restantes. Sin embargo, las negociaciones no llegaron a un consenso.
• HarryPotterObamaSonic10Inu fue objetivo de un ataque de préstamo flash en Ethereum, que involucró una serie de operaciones explotadoras dirigidas a la piscina de liquidez del token HarryPotterObamaSonic10Inu 2.0. El atacante obtuvo un beneficio aproximado de $243,000 y depositó los fondos en Tornado Cash.
• El proyecto FEG sufrió un ataque de vulnerabilidad de seguridad, lo que resultó en una pérdida de alrededor de $1 millón. El análisis sugiere que la causa raíz fue un problema de composabilidad al integrarse con el puente cruzado subyacente de Wormhole, que se utiliza para mensajería y transferencias de token entre cadenas. El equipo ha suspendido todas las transacciones de FEG en los intercambios centralizados, y el protocolo SmartDeFi también ha sido pausado.

Clipper DEX

Descripción del proyecto: Clipper es un intercambio descentralizado (DEX) diseñado para proporcionar las mejores tarifas para pequeños operadores de criptomonedas (menos de $10.000). Logra esto limitando la liquidez y reduciendo la pérdida impermanente.

Resumen del incidente: Según un informe de análisis publicado por Clipper, el 1 de diciembre de 2024, los atacantes aprovecharon una vulnerabilidad en el contrato inteligente utilizado por Clipper, manipulando la función de depósito/retiro de un solo activo. Esta operación afectó a las piscinas de liquidez en las redes de Optimism y Base, causando un desequilibrio en los activos de la piscina y permitiendo a los atacantes retirar más activos de los que habían depositado. El ataque resultó en una pérdida de aproximadamente $457,878.

En pocas horas, AdmiralDAO lanzó un plan de respuesta de emergencia, tomando medidas rápidamente para proteger los fondos restantes en el protocolo y detener el ataque. Después de la respuesta, no se vieron afectados fondos adicionales[2].

Recomendaciones posteriores al incidente:

• Expandir las verificaciones invariantes: Implementar la verificación en cadena para asegurar que las invariantes del pool permanezcan consistentes durante las retiradas de un solo activo, similar a las verificaciones que Clipper aplicó en la última versión de su contrato para el intercambio.
• Expand Oracle Price Verification: Integrar oráculos de precios en cadena en la validación del valor del activo para depósitos y retiros, tal como Clipper ha ejecutado en la última versión de su contrato para el intercambio.
• Considere el bloqueo a corto plazo de los depósitos: Si los nuevos depósitos están sujetos a un período de bloqueo que excede la validez de la firma del depósito (por ejemplo, unos minutos), este ataque no hubiera sido posible.

Vestra DAO

Visión general del proyecto: VSTR es un token desarrollado por la comunidad NFT "CMLE" (Edición Limitada de Monstruos Cripto) que ofrece servicios híbridos semi-descentralizados Web2+Web3. Opera como un proyecto de organización autónoma descentralizada (DAO), proporcionando soluciones DeFi.

Resumen del incidente: El 4 de diciembre de 2024, Vestra DAO tuiteó que un hacker explotó una vulnerabilidad en el contrato de bloqueo de participación, manipulando el mecanismo de recompensa para adquirir recompensas excesivas más allá de lo debido. El incidente llevó al robo de un total de 73,720,000 tokens VSTR. Los tokens robados se vendieron gradualmente en Uniswap, lo que resultó en una pérdida de alrededor de $500,000 en liquidez ETH.

El equipo identificó rápidamente el problema y tomó medidas inmediatas al incluir en la lista negra el contrato de staking bloqueado, lo que desactivó las interacciones adicionales con estos contratos. Como resultado, se eliminaron de la circulación 755,631,188 tokens VSTR en el pool de staking y los fondos en estos contratos ya no se pueden retirar. El 6 de diciembre, el equipo anunció que, para proteger la economía del token VSTR y la estabilidad del proyecto, los 755,631,188 tokens VSTR restantes se eliminarían permanentemente de la circulación[3].

Recomendaciones posteriores al incidente:

• Realizar auditorías de seguridad y optimización de contratos integrales
  Contrate una empresa de auditoría de seguridad de terceros reputada para revisar a fondo todos los contratos inteligentes, especialmente los contratos de participación y bloqueo. El enfoque debe estar en la gestión de permisos, el manejo de condiciones límite y la seguridad lógica del código. Después de la auditoría, el código del contrato debe optimizarse según las recomendaciones, y el informe de auditoría debe estar disponible públicamente para mejorar la transparencia y la confianza del usuario.

• Implementar mecanismos de protección multicapa y monitoreo en tiempo real

• Implementar la funcionalidad de bloqueo temporal: Introducir retrasos de tiempo para operaciones clave para asegurar que haya suficiente tiempo para pausar las operaciones o intervenir en caso de una anomalía.
• Introducir sistemas de monitoreo y alerta en tiempo real: Utilizar análisis de datos en cadena para detectar comportamientos comerciales anormales o interacciones de contratos en tiempo real, e implementar sistemas de alerta para notificar actividades sospechosas, minimizando las posibles pérdidas causadas por vulnerabilidades.

Clober DEX

Descripción del proyecto: Clober es un DEX de libro de órdenes completamente en cadena que permite la coincidencia de órdenes y liquidación en plataformas descentralizadas de contratos inteligentes. Con Clober, los participantes del mercado pueden realizar órdenes de límite y de mercado completamente descentralizadas y sin confianza a costos manejables.

Descripción del incidente:
El 10 de diciembre de 2024, la bóveda de liquidez de Clober DEX en la Base Network fue atacada, lo que resultó en una pérdida de 133.7 ETH (aproximadamente $501,000). La causa raíz del ataque fue una vulnerabilidad de reentrancia en la función _burn() dentro del contrato Rebalancer.

El equipo ofreció el 20% de los fondos robados como recompensa por identificar la vulnerabilidad de seguridad, siempre y cuando se pudieran devolver los activos restantes. Además, el equipo aseguró que no se tomaría ninguna acción legal si el atacante cooperaba. El 31 de diciembre de 2024, el equipo declaró que las negociaciones no habían llegado a un consenso y que el atacante había trasladado los activos robados a Tornado Cash. El equipo coopera con las agencias de aplicación de la ley para rastrear el origen del atacante[4].

Recomendaciones posteriores al incidente:

• Seguridad mejorada del contrato inteligente: El equipo del proyecto debe fortalecer la revisión de seguridad de los contratos inteligentes. Todo el código debe someterse a auditorías rigurosas antes de su implementación, con escaneos periódicos de vulnerabilidades para reducir los riesgos de ataque.
• Estrategias sólidas de gestión de fondos: Implementar billeteras multi-firma y sistemas de almacenamiento de fondos en capas para evitar la concentración excesiva de activos en un solo contrato, reduciendo así las posibles pérdidas en caso de un ataque.
• Colaboración con Organizaciones de Seguridad: La colaboración rápida con equipos de seguridad blockchain y agencias de aplicación de la ley puede controlar eficazmente los daños y agilizar la recuperación de activos después de un incidente.

HarryPotterObamaSonic10Inu

Descripción del proyecto: HarryPotterObamaSonic10Inu es la forma definitiva de activos criptográficos. Inspirado en BITCOIN, el proyecto fomenta la creación de contenido de memes novedoso y divertido. Con la propiedad cedida y la liquidez bloqueada, la comunidad en constante crecimiento ha tomado la delantera. Inspirado en el legendario meme de Bitcoin, el proyecto está desarrollando un sitio web único, mercancía exclusiva y una plataforma de comercio electrónico. El objetivo es crear un ecosistema donde los miembros activos de la comunidad puedan interactuar y colaborar.

Descripción del incidente:
El 18 de diciembre de 2024, una serie de transacciones explotadoras apuntaron al pool de liquidez del token HarryPotterObamaSonic10Inu 2.0 en la red Ethereum. El atacante obtuvo un beneficio de aproximadamente $243,000 y transfirió los fondos a Tornado Cash.

En los próximos cuatro días, el precio del token experimentó una disminución significativa de alrededor de -33.42%, con su capitalización de mercado cayendo de $245 millones a $168 millones[5]. \

Recomendaciones posteriores al incidente:

• Mejorar auditorías de seguridad y optimización de contratos inteligentes
  Contrate a una organización profesional de terceros para llevar a cabo una auditoría de seguridad integral de los contratos inteligentes existentes, centrándose en la lógica de la piscina de liquidez y el control de acceso. Las vulnerabilidades deben ser corregidas y el código del contrato debe ser optimizado. Se deben agregar mecanismos como bloqueos de tiempo y límites de tasa para evitar operaciones maliciosas en un corto período de tiempo.

• Integrar Oráculos de Precios On-Chain
  Integrar oráculos confiables en cadena para verificar los precios de los activos durante las transacciones de depósito y retiro, asegurando que las operaciones se alineen con los valores de mercado reales y evitando que los fondos sean manipulados a través de la manipulación de precios.

• Aumentar la transparencia y confianza de la comunidad
  Publicar los resultados de la investigación del incidente y el plan de remedio, garantizando la transparencia de la información y construyendo confianza dentro de la comunidad de usuarios.

FEG

El token FEG es un token de gobernanza deflacionario dentro del ecosistema FEG, que incluye un intercambio descentralizado y mecanismos de incentivos de ingresos pasivos. Su objetivo es reformar el modelo operativo de las redes de negociación descentralizadas. El token está disponible en las redes Ethereum y Binance Smart Chain.

Resumen del incidente:
El 29 de diciembre de 2024, el proyecto FEG fue objetivo de un ataque de vulnerabilidad de seguridad, lo que resultó en una pérdida de aproximadamente $1 millón. La causa raíz del incidente parece ser un problema de composabilidad relacionado con la integración del puente cruzado subyacente Wormhole, que facilita el envío de mensajes y transferencias de tokens entre cadenas. La Fundación Wormhole aclaró más tarde que no se encontraron problemas dentro del protocolo de Wormhole, y que el ataque no estaba relacionado con Wormhole.

Después del incidente, el equipo suspendió todas las transacciones FEG en los exchanges centralizados e inició una investigación exhaustiva. Si bien el código del contrato SmartDeFi no se vio afectado directamente, el protocolo SmartDeFi también se detuvo como precaución. Sin embargo, hasta ahora todos los proyectos en el protocolo han permanecido seguros[6].

Recomendaciones posteriores al incidente:

• Realice una auditoría de seguridad integral: contrate a una organización profesional externa para realizar una exhaustiva auditoría de seguridad de los contratos inteligentes y el código de la plataforma, centrándose en el control de acceso, fallos lógicos y vulnerabilidades del código. Con base en los resultados de la auditoría, aborde y corrija rápidamente cualquier problema identificado, y haga público el informe de la auditoría para mejorar la confianza del usuario.
• Establecer un Programa de Divulgación de Vulnerabilidades y Recompensas: Lanzar un programa continuo de recompensas por errores para incentivar a los investigadores de seguridad y hackers éticos a identificar y reportar posibles vulnerabilidades. Esto ayudará a abordar las vulnerabilidades rápidamente y reducir los futuros riesgos de seguridad.
• Mejorar la protección de activos y los mecanismos de compensación de usuarios: Desarrollar sistemas de protección de activos multinivel, como monitoreo en tiempo real de transacciones anormales, implementar funcionalidades de bloqueo temporal y usar billeteras de múltiples firmas. Para los usuarios afectados, establecer un plan de compensación justo y transparente para restaurar la confianza del usuario y minimizar las pérdidas financieras.

Conclusión

En diciembre de 2024, varios proyectos de DeFi fueron objetivo de vulnerabilidades de seguridad, lo que resultó en la pérdida de millones de dólares en activos. Estos incidentes incluyeron el ataque a la bóveda de liquidez de Clober DEX, una explotación de cadena cruzada causada por la integración de FEG con Wormhole, la vulnerabilidad de staking en Vestra DAO, la manipulación de la función de retiro de un solo activo de Clipper DEX y un ataque de préstamo flash en HarryPotterObamaSonic10Inu. Estos eventos resaltaron los riesgos críticos en la seguridad de los contratos inteligentes, la composabilidad de protocolos de cadena cruzada y la gestión de piscinas de liquidez. La industria necesita con urgencia fortalecer las auditorías de contratos inteligentes, implementar monitoreo en tiempo real y adoptar mecanismos de protección multinivel para mejorar la seguridad de la plataforma y la confianza de los usuarios. Gate.io recuerda a los usuarios que se mantengan actualizados sobre los avances en seguridad, elijan plataformas confiables y mejoren la protección de sus activos personales.


Referencia:

1. Slowmist,https://hacked.slowmist.io/es/statistics
2. Recortador,https://blog.clipper.exchange/clipper-dec-24-exploit-post-mortem/
3. X,https://x.com/Vestra_DAO/status/1864677381459390781
4. X,https://x.com/CloberDEX/status/1874039225001377816
5. Gate.io,https://www.gate.io/zh-tw/post/status/8242569
6. X,https://x.com/FEGtoken/status/1873265905867866294

Investigación Gate
Gate Research es una plataforma integral de investigación de blockchain y criptomonedas que ofrece a los lectores contenido detallado, que incluye análisis técnico, información valiosa, revisiones de mercado, investigación de la industria, pronósticos de tendencias y análisis de políticas macroeconómicas.

Haz clic en Enlacepara aprender más

Descargo de responsabilidad
Invertir en el mercado de criptomonedas implica un alto riesgo, y se recomienda que los usuarios realicen investigaciones independientes y comprendan completamente la naturaleza de los activos y productos que gate ofrecen.compraantes de tomar cualquier decisión de inversión.Gate.iono es responsable de ninguna pérdida o daño causado por tales decisiones de inversión.