Prefácio

Este relatório de pesquisa é iniciado pela Blockchain Security Alliance e criado em conjunto pelos seus membros Beosin e Footprint Analytics. Tem como objetivo fornecer uma exploração abrangente da paisagem global de segurança blockchain em 2024. Através de uma análise e avaliação do estado atual da segurança blockchain em todo o mundo, o relatório revelará os desafios e ameaças de segurança enfrentados hoje, oferecendo soluções e melhores práticas. Com este relatório, os leitores obterão uma compreensão mais completa da evolução dinâmica da segurança blockchain do Web3. Isso ajudará os leitores a avaliar e enfrentar os desafios de segurança enfrentados no espaço blockchain. Além disso, o relatório fornece insights valiosos sobre medidas de segurança e tendências de desenvolvimento da indústria, auxiliando os leitores a tomar decisões e ações informadas neste campo emergente. A segurança e a regulamentação blockchain são questões-chave no desenvolvimento da era Web3. Através de pesquisas e discussões aprofundadas, podemos entender e enfrentar melhor esses desafios, avançando a segurança e o desenvolvimento sustentável da tecnologia blockchain.

1. 2024 Visão Geral da Paisagem de Segurança Blockchain Web3

De acordo com o monitoramento da plataforma Alert da empresa de auditoria de segurança Beosin, as perdas totais no espaço Web3 em 2024 devido a ataques de hackers, golpes de phishing e rug pulls por parte de equipes de projetos atingiram US$2,513 bilhões. Entre esses, houve 131 incidentes de ataque principais, causando perdas de aproximadamente US$1,792 bilhão; 68 incidentes de rug pull por parte de equipes de projetos, com perdas totalizando cerca de US$148 milhões; e golpes de phishing causaram uma perda total de aproximadamente US$574 milhões.

Em 2024, tanto os ataques de hackers quanto os golpes de phishing tiveram um aumento significativo em comparação com 2023, com os golpes de phishing aumentando em 140,66%. As perdas decorrentes de incidentes de rug pull por equipes de projetos diminuíram consideravelmente, caindo cerca de 61,94%.

Em 2024, os tipos de projetos afetados por ataques incluíam DeFi, CEX, DEX, cadeias públicas, pontes entre cadeias, carteiras, plataformas de pagamento, plataformas de jogos de azar, corretores de criptomoedas, infraestrutura, gerenciadores de senhas, ferramentas de desenvolvimento, bots MEV, bots TG e outros. DeFi foi o tipo de projeto mais frequentemente atacado, com 75 ataques a DeFi causando perdas totais de cerca de US$ 390 milhões. CEX teve o maior valor total de perdas, com 10 ataques a CEX resultando em perdas de aproximadamente US$ 724 milhões.

Em 2024, ocorreram ataques em mais tipos de cadeias públicas, com vários incidentes de segurança envolvendo roubo em diferentes cadeias. Ethereum continuou a ser a cadeia pública com o maior montante de perdas, com 66 ataques ao Ethereum resultando em perdas de cerca de $844 milhões, representando 33.57% das perdas totais para o ano.

Do ponto de vista dos métodos de ataque, 35 incidentes de vazamento de chave privada causaram perdas de aproximadamente 1,306 bilhões de dólares, representando 51,96% do total de perdas, tornando-se o método de ataque mais prejudicial.

A exploração de vulnerabilidades de contrato foi o método de ataque mais frequente, com 76 dos 131 ataques originados de vulnerabilidades de contrato, representando 58,02% do total de incidentes.

Aproximadamente $531 milhões em fundos roubados foram recuperados, representando cerca de 21,13%. Cerca de $109 milhões de fundos roubados foram transferidos para misturadores, representando cerca de 4,34% do total de fundos roubados, uma diminuição de cerca de 66,97% em comparação com 2023.

2. Top 10 Incidentes de Segurança Web3 em 2024

Em 2024, houve 5 incidentes principais de ataque com perdas superiores a $100 milhões: DMM Bitcoin ($304 milhões), PlayDapp ($290 milhões), WazirX ($235 milhões), Gala Games ($216 milhões) e roubo de Chris Larsen ($112 milhões). As perdas totais dos 10 principais incidentes de segurança atingiram aproximadamente $1.417 bilhões, representando cerca de 79.07% das perdas totais anuais por ataques.

No.1 DMM Bitcoin

Perda: $304 milhões

Método de Ataque: Vazamento de Chave Privada

Em 31 de maio de 2024, a exchange japonesa de criptomoedas DMM Bitcoin foi atacada e mais de $304 milhões em Bitcoin foram roubados. Os hackers dispersaram os fundos roubados em mais de 10 endereços na tentativa de lavá-los.

No.2 PlayDapp

Perda: $290 milhões

Método de Ataque: Vazamento de Chave Privada

Em 9 de fevereiro de 2024, a plataforma de jogos blockchain PlayDapp foi atacada, com hackers a cunharem 2 bilhões de tokens PLA no valor de $36.5 milhões. Após negociações fracassadas com a PlayDapp, em 12 de fevereiro, os hackers cunharam mais 15.9 bilhões de tokens PLA no valor de $253.9 milhões e enviaram parte dos fundos para a exchange gate. A PlayDapp então pausou o contrato PLA e migrou os tokens PLA para tokens PDA.

No.3 WazirX

Quantidade de perda: $235 milhões

Método de ataque: Ataque de rede e phishing

Em 18 de julho de 2024, a carteira multi-assinatura da exchange de criptomoedas indiana WazirX foi roubada, resultando em uma perda de mais de $235 milhões. A carteira multi-assinatura era um contrato inteligente de carteira segura. O atacante enganou os signatários de multi-assinatura para assinar uma transação de atualização e, através do contrato atualizado, transferiu os ativos diretamente da carteira.

No.4 Gala Games

Quantidade de perda: $216 milhões

Método de Ataque: Vulnerabilidade de Controlo de Acesso

Em 20 de maio de 2024, um endereço privilegiado da Gala Games foi comprometido. O atacante usou esse endereço para chamar a função de cunhagem e cunhou diretamente 5 bilhões de tokens GALA no valor de aproximadamente $216 milhões, convertendo os tokens cunhados em ETH em lotes. Em seguida, a equipe da Gala Games usou a função de lista negra para bloquear o hacker e recuperar as perdas.

No.5 Chris Larsen (co-fundador da Ripple)

Quantidade de perda: $112 milhões

Método de Ataque: Vazamento de Chave Privada

Em 31 de janeiro de 2024, o co-fundador da Ripple, Chris Larsen, informou que quatro de suas carteiras foram violadas, resultando em uma perda total de aproximadamente $112 milhões. A equipe da Binance conseguiu congelar com sucesso $4,2 milhões em tokens XRP roubados.

No.6 Munchables

Valor da perda: $62.5 milhões

Método de Ataque: Ataque de Engenharia Social

Em 26 de março de 2024, a plataforma de jogos Web3 Munchables, baseada em Blast, foi atacada, resultando em uma perda de cerca de $62.5 milhões. O projeto foi atacado porque empregou hackers norte-coreanos como desenvolvedores. Todos os fundos roubados foram eventualmente devolvidos pelos hackers.

No.7 BTCTurk

Valor da perda: $55 milhões

Método de Ataque: Vazamento da Chave Privada

Em 22 de junho de 2024, a exchange de criptomoedas turca BTCTurk foi atacada, resultando em uma perda de cerca de $55 milhões. A Binance ajudou a congelar mais de $5.3 milhões dos fundos roubados.

No.8 Radiant Capital

Quantidade de perda: $53 milhões

Método de Ataque: Vazamento de Chave Privada

Em 17 de outubro de 2024, o protocolo de empréstimo multi-cadeia Radiant Capital foi atacado. O atacante obteve ilegalmente as permissões de 3 proprietários da carteira multiassinatura do Radiant Capital. A carteira multiassinatura usava um modelo de validação de assinatura 3/11, e o atacante usou as 3 chaves privadas para assinatura offline. O atacante então iniciou uma transação on-chain para transferir a propriedade do contrato do Radiant Capital para um contrato malicioso sob o controle do atacante, causando uma perda de mais de $53 milhões.

No.9 Hedgey Finance

Quantidade de perda: $44,7 milhões

Método de Ataque: Vulnerabilidade do Contrato

Em 19 de abril de 2024, Hedgey Finance foi atacado várias vezes por um atacante. O atacante explorou uma vulnerabilidade de aprovação de token para roubar uma grande quantidade de tokens do contrato ClaimCampaigns, incluindo tokens no valor de mais de $2.1 milhões roubados da cadeia Ethereum e tokens no valor de cerca de $42.6 milhões roubados da cadeia Arbitrum.

No.10 BingX

Quantidade de perda: $44.7 milhões

Método de Ataque: Vazamento da Chave Privada

Em 19 de setembro de 2024, a carteira quente da troca BingX foi atacada. Embora a BingX tenha ativado medidas de emergência, incluindo transferência de ativos e suspensão de retiradas, as estatísticas da Beosin mostram que a perda total da saída anormal de ativos da carteira quente foi de $44.7 milhões. Os ativos roubados envolveram várias blockchains, incluindo Ethereum, BNB Chain, Tron, Polygon, Avalanche e Base.

3. Tipos de Projetos Atacados

Em 2024, os tipos de projetos atacados incluíam não apenas tipos comuns como DeFi, CEX, DEX, cadeias públicas e pontes entre cadeias, mas também se estenderam para plataformas de pagamento, plataformas de jogos de azar, corretoras de criptomoedas, infraestrutura, gestores de senhas, ferramentas de desenvolvimento, bots MEV, bots TG e vários outros tipos de projetos.

Em 2024, os ataques a projetos DeFi ocorreram 75 vezes, tornando-se o tipo de projeto mais frequentemente atacado (cerca de 50,70%). A perda total dos ataques DeFi foi de aproximadamente $390 milhões, representando cerca de 15,50% de todas as perdas, tornando-se o quarto maior tipo de projeto em termos de montante de perda.

O tipo de projeto com as maiores perdas foi CEX (centralized exchanges). Dez ataques a CEX resultaram em perdas de cerca de $724 milhões, tornando-o o tipo de projeto com o maior valor de perdas. No geral, as exchanges foram o tipo de projeto mais frequentemente atacado em 2024, e a segurança da exchange continua a ser o maior desafio no ecossistema Web3.

A segunda maior perda foi de carteiras pessoais, com uma perda total de cerca de $445 milhões. Doze ataques direcionados a cripto baleias, juntamente com inúmeros ataques de phishing e de engenharia social a usuários regulares, resultaram num aumento de 464.72% na perda total de carteiras pessoais em comparação com 2023, tornando a segurança de carteiras pessoais o segundo maior desafio após a segurança de exchanges.

4. Quantidade de Perda por Cadeia

Comparadas a 2023, os tipos de blockchains públicas atacadas em 2024 eram mais diversas. As cinco principais blockchains por valor perdido foram Ethereum, Bitcoin, Arbitrum, Ripple e Blast.

As seis principais cadeias pelo número de eventos de ataque foram:

Ethereum, BNB Chain, Arbitrum, Outros, Base e Solana.

Em 2023, Ethereum continuou sendo a cadeia com a maior quantia de perdas. Sessenta e seis ataques à Ethereum causaram aproximadamente US$ 844 milhões em prejuízos, representando 33,59% da perda anual total.

Nota: Os dados totais de perdas não incluem perdas de phishing em cadeia e algumas perdas de carteira quente de CEX. As perdas da rede Bitcoin ficaram em segundo lugar, com um único incidente de segurança causando uma perda de $238 milhões. Arbitrum ficou em terceiro lugar, com uma perda total de aproximadamente $114 milhões.

5. Análise do Método de Ataque

Os métodos de ataque em 2024 foram altamente diversificados. Além dos ataques comuns de vulnerabilidade de contrato, foram utilizados vários outros métodos, incluindo ataques de cadeia de suprimentos, ataques a provedores de serviços de terceiros, ataques de homem no meio, ataques de DNS e ataques de front-end.

Em 2024, 35 incidentes de vazamento de chave privada causaram uma perda total de $1.306 bilhão, representando 51,96% da perda total, tornando-o o método de ataque mais prejudicial. Incidentes de vazamento de chave privada notáveis incluíram: DMM Bitcoin ($304 milhões), PlayDapp ($290 milhões), co-fundador da Ripple Chris Larsen ($112 milhões), BTCTurk ($55 milhões), Radiant Capital ($53 milhões), BingX ($44.7 milhões) e DEXX ($21 milhões).

A exploração de vulnerabilidades de contrato foi o método de ataque mais frequente. Das 131 incidentes de ataque, 76 foram devido a vulnerabilidades de contrato, representando 58,02% do total. A perda total devido a vulnerabilidades de contrato foi de aproximadamente $321 milhões, classificando-se em terceiro lugar em termos de montante perdido.

Em termos de vulnerabilidades específicas, os incidentes mais frequentes e com maiores perdas foram devido a vulnerabilidades na lógica de negócios. Cerca de 53,95% das perdas decorrentes de vulnerabilidades de contrato foram causadas por falhas na lógica de negócios, resultando em uma perda de aproximadamente $158 milhões.

6. Análise Típica de Eventos de Lavagem de Dinheiro

6.1 Incidente de Segurança do Polter Finance

Visão Geral do Evento

Em 17 de novembro de 2024, o monitoramento de alerta Beosin detectou um ataque ao Polter Finance, um protocolo de empréstimo na cadeia FTM. O atacante manipulou o preço do token no contrato do projeto para obter lucro usando um empréstimo flash.

Análise de Vulnerabilidade e Fundo

O contrato LendingPool atacado (0xd47ae558623638f676c1e38dad71b53054f54273) usou 0x6808b5ce79d44e89883c5393b487c4296abb69fe como um oráculo. Este oráculo utilizou um contrato de alimentação de preços recentemente implantado (0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe), que calcula os preços com base nas reservas de tokens no contrato uniswapV2_pair (0xEc71), um contrato vulnerável a ataques de empréstimo instantâneo.

O atacante usou um empréstimo relâmpago para inflar artificialmente o preço do token $BOO e pegou emprestado outros ativos criptográficos. Os fundos roubados foram então convertidos em tokens FTM e cruzados para a cadeia ETH, onde todos os fundos foram armazenados. Abaixo está um diagrama de fluxo ilustrando o movimento dos fundos nas cadeias ARB e ETH.

Em 20 de novembro, o atacante continuou a transferir mais de 2.625 ETH para o Tornado Cash, como mostrado no diagrama abaixo:

6.2 Incidente de Segurança BitForex

Visão Geral do Evento

Em 23 de fevereiro de 2024, o conhecido investigador de blockchain ZachXBT revelou através da sua ferramenta de análise que a carteira quente da BitForex experimentou uma saída de $56.5 milhões, e a plataforma suspendeu os serviços de levantamento durante este processo.

Análise de Fundos

A equipa de segurança da Beosin realizou um acompanhamento e análise aprofundados do incidente da BitForex usando o Trace:

Ethereum

Em 24 de fevereiro de 2024, às 6:11 (UTC+8), a BitForex começou a transferir 40.771 USDT, 258.700 USDC, 148,01 ETH e 471.405 TRB para um endereço de saída do Ethereum (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f).

Em 9 de agosto, o endereço de saída transferiu todos os tokens, exceto TRB, de volta para a conta da BitForex (0xcce7300829f49b8f2e4aee6123b12da64662a8b8).

De 9 de novembro a 10 de novembro, o endereço de saída transferiu 355.000 TRB para quatro endereços de usuário OKX diferentes através de sete transações:

0x274c481bf400c2abfd2b5e648a0056ef34970b0a

0x45798ca76a589647acc21040c50562dcc33cf6bf

0x712d2fd67fe65510c5fad49d5a9181514d94183d

0xe8ec263ad9ee6947bf773837a2c86dff3a737bba

Posteriormente, o endereço de saída transferiu os restantes 116,414.93 TRB para um endereço intermédio (0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e), que foi posteriormente dividido em duas transações e enviado para dois endereços de utilizadores diferentes da Binance:

0x431c916ef45e660dae7cd7184e3226a72fa50c0c

0xe7b1fb77baaa3bba9326af2af3cd5857256519df

Cadeia BNB

Em 24 de fevereiro, a BitForex retirou 166 ETH, 46.905 USDT e 57.810 USDC para um endereço da BNB Chain (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f), onde permanece.

Polygon

Em 24 de fevereiro, a BitForex retirou 99.000 MATIC, 20.300 USDT e 1.700 USDC para um endereço da cadeia Polygon (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f).

Dos 99.000 MATIC, 8.000 foram transferidos para o endereço 0xcce7300829f49b8f2e4aee6123b12da64662a8b8 em 9 de agosto, onde permanecem, e o restante dos tokens USDT e USDC também permanecem.

TRON

Em 24 de fevereiro, a BitForex retirou 44.000 TRX e 657.698 USDT para um endereço da cadeia TRON (TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o).

Em 9 de agosto, todos esses tokens foram transferidos de volta para o endereço do usuário BitForex (TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo).

Bitcoin

A partir de 24 de fevereiro, 16 endereços BitForex começaram a transferir um total de 5,7 BTC para um endereço da cadeia BTC (3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2).

Em 9 de agosto, os 5,7 BTC foram totalmente transferidos de volta para o endereço da BitForex (11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz).

Em resumo, em 24 de fevereiro, a BitForex transferiu 40.771 USDT, 258.700 USDC, 148,01 ETH e 471.405 TRB para a cadeia Ethereum; 44.000 TRX e 657.698 USDT para a cadeia TRON; 5,7 BTC para a cadeia BTC; 166 ETH, 46.905 USDT e 57.810 USDC para a cadeia BNB; e 99.000 MATIC, 20.300 USDT e 1.700 USDC para a cadeia Polygon.

Em 9 de agosto, todos os tokens na cadeia BTC, na cadeia TRON e na cadeia Ethereum (exceto TRB) foram transferidos de volta para a BitForex. Em 9 e 10 de novembro, o total de 471.405 TRB foi transferido para quatro contas OKX e duas contas Binance.

Assim, todos os tokens nas cadeias ETH, TRON e BTC foram transferidos, e na BSC, permanecem 166 ETH, 46.905 USDT e 57.810 USDC, enquanto na POL, permanecem 99.000 MATIC, 20.300 USDT e 1.700 USDC.

Endereço de Depósito de Troca TRB Anexado:

7. Análise do Fluxo de Fundos Roubados

Em 2024, cerca de $1.312 bilhões dos fundos roubados permaneceram nos endereços dos hackers (incluindo fundos transferidos entre cadeias e dispersos por múltiplos endereços), representando 52.20% do total dos fundos roubados. Comparado ao ano passado, os hackers deste ano têm sido mais propensos a lavar fundos através de múltiplas transações entre cadeias e espalhar os ativos roubados por muitos endereços, em vez de usar diretamente misturadores. O aumento de endereços e a complexidade dos caminhos de lavagem, sem dúvida, aumentam a dificuldade para as equipes de projetos e autoridades reguladoras investigarem essas atividades.

Aproximadamente $531 milhões de fundos roubados foram recuperados, representando cerca de 21,13%. Em 2023, o montante de fundos recuperados foi de cerca de $295 milhões.

Durante o ano, cerca de $ 109 milhões de fundos roubados foram transferidos para misturadores, representando aproximadamente 4,34% do total de fundos roubados. Desde que o Tornado Cash foi sancionado pela OFAC dos EUA em agosto de 2022, a quantidade de fundos roubados transferidos para o Tornado Cash diminuiu significativamente.

8. Análise da Situação de Auditoria do Projeto

Entre os 131 incidentes de ataque, 42 incidentes envolveram projetos que não passaram por uma auditoria, 78 incidentes envolveram projetos que foram auditados e 11 incidentes tiveram um status de auditoria indefinido.

Entre os 42 projetos que não foram auditados, 30 incidentes (aproximadamente 71,43%) estavam relacionados a vulnerabilidades de contrato. Isso indica que projetos sem auditorias têm maior probabilidade de ter riscos de segurança potenciais. Em contraste, entre os 78 projetos auditados, 49 incidentes (aproximadamente 62,82%) estavam relacionados a vulnerabilidades de contrato. Isso sugere que as auditorias podem melhorar a segurança do projeto em certa medida.

No entanto, devido à falta de normas abrangentes no mercado Web3, a qualidade das auditorias é desigual e os resultados muitas vezes ficam aquém das expectativas. Para proteger eficazmente a segurança dos ativos, recomenda-se que os projetos procurem empresas de segurança profissionais para realizar auditorias antes de irem ao ar.

9. Análise de Rug Pull

Em 2024, a plataforma Beosin Alert monitorou um total de 68 incidentes importantes de Rug Pull no ecossistema Web3, com um valor total de aproximadamente $148 milhões. Isso representa uma diminuição significativa em relação a $388 milhões em 2023.

Em termos de valor, entre os 68 incidentes de Rug Pull, 9 projetos tiveram perdas superiores a $1 milhão. Estes foram: Essence Finance ($20 milhões), Shido Global ($2,4 milhões), ETHTrustFund ($2,2 milhões), Nexera ($1,8 milhões), Grand Base ($1,7 milhões), SAGA Token ($1,6 milhões), OrdiZK ($1,4 milhões), MangoFarmSOL ($1,29 milhões) e RiskOnBlast ($1,25 milhões). A perda total desses 9 incidentes foi de $33,64 milhões, representando 22,73% do total de perdas de todos os incidentes de Rug Pull.

Os projetos de Rug Pull na Ethereum e na BNB Chain representaram 82,35% do total, com 24 incidentes na Ethereum e 32 na BNB Chain. Além disso, ocorreu um incidente acima de $20 milhões na Scroll. Outras blockchains públicas, incluindo Polygon, BASE e Solana, também experimentaram um pequeno número de eventos de Rug Pull.

10. Resumo da Situação de Segurança da Blockchain Web3 de 2024

Em 2024, as atividades de hacking on-chain e os incidentes de Rug Pull no ecossistema Web3 diminuíram significativamente em comparação com 2023. No entanto, a quantidade de perdas continuou a aumentar e os ataques de phishing se tornaram mais desenfreados. O método de ataque que causou mais perdas foi o vazamento de chave privada. As principais razões para essa mudança incluem:

Após as atividades desenfreadas de hackers no ano passado, todo o ecossistema Web3 focou mais na segurança em 2024. Esforços de equipes de projetos e empresas de segurança foram feitos em vários aspectos, como monitoramento em tempo real on-chain, maior atenção às auditorias de segurança e aprendizado ativo com exploits de vulnerabilidades de contratos passados. Isso tornou mais difícil para os hackers roubar fundos através de vulnerabilidades de contratos em comparação com o ano passado. No entanto, as equipes de projetos ainda precisam fortalecer a conscientização sobre a gestão de chaves privadas e a segurança operacional.

Com a integração do mercado de criptomoedas e dos mercados tradicionais, os hackers já não se limitam a atacar DeFi, pontes entre blockchains, exchanges, etc., mas têm-se voltado para alvos mais diversificados, como plataformas de pagamento, plataformas de jogos de azar, corretores de criptomoedas, infraestrutura, gestores de palavras-passe, ferramentas de desenvolvimento, bots MEV, bots TG e outros.

Em 2024-2025, à medida que o mercado de criptomoedas entra em alta e os fundos on-chain se tornam mais ativos, isso atrairá mais ataques de hackers. Além disso, as regulamentações regionais sobre criptoativos estão gradualmente a melhorar para combater crimes envolvendo esses ativos. Sob esta tendência, espera-se que as atividades dos hackers permaneçam elevadas em 2025, e as agências de aplicação da lei e órgãos reguladores globais ainda enfrentarão desafios severos.

Aviso legal:

1. Este artigo é reproduzido a partir de [Análise de Blockchain da Footprint]. Os direitos autorais pertencem ao autor original [Beosin, Footprint Analytics], se tiver alguma objeção à reprodução, entre em contatoEquipa Gate Learn, e a equipe irá lidar com isso o mais rápido possível, de acordo com os procedimentos relevantes.
2. Aviso de responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem aconselhamento de investimento.
3. A equipe Learn do gate traduziu o artigo para outros idiomas. Copiar, distribuir ou plagiar os artigos traduzidos é proibido, a menos que mencionado.