index
index
Guía para principiantes
Empezar aquí
Cursos
Artículos
TodoAltcoinsBitcoinCadena de bloquesDeFiEthereumMetaversoNFTTradingTutorialFuturosBots de TradingBRC-20GameFiDAOMacrotendenciasMonederosInscriptionTecnologíaMemeAISocialFiDePinMoneda estableStaking líquidoFinanzasRWABlockchains modularesPrueba de conocimiento-ceroRestakingHerramientas CriptoAirdropProductos de GateSeguridadAnálisis de proyectosCryptoPulseInvestigaciónEcosistema TONCapa 2SolanaPagosMineríaTemas de actualidadP2PEcosistema SuiAbstracción de cadenasOpciónLecturas rápidasVídeoInforme diario
Glosario
Investigación
Mis favoritos
Creator Incentive
EN PROGRESO
Arena de creadores
Embajador del Campus
Festival de creadores de vídeos
Reto de estudio diario
Registro en Hotspot
Learn
Informe anual del paisaje de seguridad de Blockchain Web3 2024

Informe anual del paisaje de seguridad de Blockchain Web3 2024

Principiante
Cadena de bloquesMacrotendenciasSeguridad
1/15/2025, 12:08:45 PM
Un análisis detallado de seguridad de la cadena de bloques Web3 de 2024, que abarca importantes incidentes como el hackeo de BitForex, los eventos de Rug Pull, las tendencias de lavado de fondos y el estado de las auditorías de proyectos. Examina los crecientes desafíos de seguridad, incluido el impacto del lavado de dinero entre cadenas, y ofrece ideas sobre cómo proteger los activos digitales en el ecosistema en rápida evolución.

Prefacio

Este informe de investigación fue iniciado por la Alianza de Seguridad Blockchain y creado conjuntamente por sus miembros Beosin y Footprint Analytics. Su objetivo es proporcionar una exploración integral del panorama mundial de la seguridad en la cadena de bloques en 2024. A través de un análisis y evaluación del estado actual de la seguridad en la cadena de bloques a nivel mundial, el informe revelará los desafíos y amenazas de seguridad que se enfrentan hoy en día, al tiempo que ofrecerá soluciones y mejores prácticas. Con este informe, los lectores obtendrán una comprensión más completa de la evolución dinámica de la seguridad en la cadena de bloques Web3. Esto ayudará a los lectores a evaluar y abordar los desafíos de seguridad que se enfrentan en el espacio de la cadena de bloques. Además, el informe proporciona información valiosa sobre medidas de seguridad y tendencias de desarrollo de la industria, ayudando a los lectores a tomar decisiones y acciones informadas dentro de este campo emergente. La seguridad y la regulación en la cadena de bloques son cuestiones clave en el desarrollo de la era Web3. A través de investigaciones y discusiones en profundidad, podemos comprender mejor y abordar estos desafíos, avanzando en la seguridad y el desarrollo sostenible de la tecnología de la cadena de bloques.

1. 2024 Visión general del panorama de seguridad de la cadena de bloques Web3

Según el monitoreo realizado por la plataforma Alert de la empresa de auditoría de seguridad Beosin, las pérdidas totales en el espacio Web3 en 2024 debido a ataques de hackers, estafas de phishing y rug pulls por parte de equipos de proyectos alcanzaron los $2.513 mil millones. Entre estos, hubo 131 incidentes de ataques importantes, que causaron pérdidas de aproximadamente $1.792 mil millones; 68 incidentes de rug pull por parte de equipos de proyectos, con pérdidas totales de alrededor de $148 millones; y las estafas de phishing causaron una pérdida total de aproximadamente $574 millones.

En 2024, tanto los ataques de piratas informáticos como las estafas de phishing experimentaron un aumento significativo en comparación con 2023, con las estafas de phishing aumentando en un 140.66%. Las pérdidas por incidentes de rug pull por parte de los equipos de proyectos disminuyeron notablemente, cayendo alrededor del 61.94%.

En 2024, los tipos de proyectos afectados por ataques incluyeron DeFi, CEX, DEX, cadenas públicas, puentes entre cadenas, billeteras, plataformas de pago, plataformas de juego, corredores de criptomonedas, infraestructura, gestores de contraseñas, herramientas de desarrollo, bots de MEV, bots de TG y otros. DeFi fue el tipo de proyecto más frecuentemente atacado, con 75 ataques a DeFi que causaron pérdidas totales de alrededor de $390 millones. CEX tuvo la cantidad total más alta de pérdidas, con 10 ataques a CEX que llevaron a pérdidas de aproximadamente $724 millones.

En 2024, ocurrieron ataques en varios tipos de cadenas públicas, con múltiples incidentes de seguridad que involucraron robos en diferentes cadenas. Ethereum siguió siendo la cadena pública con la mayor cantidad de pérdidas, con 66 ataques en Ethereum que resultaron en pérdidas de alrededor de $844 millones, lo que representa el 33.57% del total de pérdidas para el año.

Desde la perspectiva de los métodos de ataque, 35 incidentes de fuga de clave privada causaron pérdidas de aproximadamente $1.306 mil millones, lo que representa el 51.96% del total de pérdidas, lo que lo convierte en el método de ataque más perjudicial.

La explotación de vulnerabilidades de contrato fue el método de ataque más frecuente, con 76 de los 131 ataques provenientes de vulnerabilidades de contrato, lo que representa el 58,02% de los incidentes totales.

Aproximadamente se recuperaron $531 millones de fondos robados, lo que representa alrededor del 21.13%. Alrededor de $109 millones de fondos robados fueron transferidos a mezcladores, lo que representa aproximadamente el 4.34% del total de fondos robados, una disminución de aproximadamente el 66.97% en comparación con 2023.

2. Los 10 incidentes de seguridad Web3 más importantes en 2024

En 2024, hubo 5 incidentes importantes de ataques con pérdidas superiores a los $100 millones: DMM Bitcoin ($304 millones), PlayDapp ($290 millones), WazirX ($235 millones), Gala Games ($216 millones) y el robo de Chris Larsen ($112 millones). Las pérdidas totales de los 10 incidentes de seguridad principales ascendieron a aproximadamente $1.417 mil millones, lo que representa aproximadamente el 79.07% de las pérdidas totales anuales por ataques.

No.1 DMM Bitcoin

Pérdida: $304 millones

Método de ataque: Fuga de clave privada

El 31 de mayo de 2024, el intercambio japonés de criptomonedas DMM Bitcoin fue atacado, y se robaron más de $304 millones de dólares en Bitcoin. Los piratas informáticos dispersaron los fondos robados en más de 10 direcciones en un intento de blanquearlos.

No.2 PlayDapp

Pérdida: $290 millones

Método de ataque: Fuga de clave privada

El 9 de febrero de 2024, la plataforma de juegos basada en la cadena de bloques PlayDapp fue atacada, con hackers generando 2 mil millones de tokens PLA con un valor de 36.5 millones de dólares. Después de fracasar en las negociaciones con PlayDapp, el 12 de febrero los hackers generaron otros 15.9 mil millones de tokens PLA con un valor de 253.9 millones de dólares y enviaron parte de los fondos al intercambio gate. Luego, PlayDapp pausó el contrato de PLA y migró los tokens PLA a tokens PDA.

No.3 WazirX

Cantidad de pérdida: $235 millones

Método de ataque: Ataque a la red y phishing

El 18 de julio de 2024, se robó la billetera multi-firma del intercambio de criptomonedas indio WazirX, lo que resultó en una pérdida de más de $235 millones. La billetera multi-firma era un contrato inteligente de billetera segura. El atacante engañó a los firmantes de la multi-firma para que firmaran una transacción de actualización y, a través del contrato actualizado, transfirió los activos directamente desde la billetera.

No.4 Gala Juegos

Cantidad de pérdida: $216 millones

Método de ataque: Vulnerabilidad de control de acceso

El 20 de mayo de 2024, se comprometió una dirección privilegiada de Gala Games. El atacante utilizó esta dirección para llamar a la función de acuñación y acuñó directamente 5 mil millones de tokens GALA por un valor aproximado de 216 millones de dólares, convirtiendo los tokens acuñados en ETH en lotes. El equipo de Gala Games luego utilizó la función de lista negra para bloquear al hacker y recuperar las pérdidas.

No.5 Chris Larsen (cofundador de Ripple)

Cantidad de pérdida: $112 millones

Método de ataque: Fuga de clave privada

El 31 de enero de 2024, Chris Larsen, cofundador de Ripple, informó que cuatro de sus carteras fueron violadas, lo que resultó en una pérdida total de aproximadamente $112 millones. El equipo de Binance logró congelar con éxito $4.2 millones en tokens XRP robados.

No.6 Munchables

Cantidad de pérdida: $62.5 millones

Método de ataque: Ataque de ingeniería social

El 26 de marzo de 2024, la plataforma de juegos Web3 Munchables, basada en Blast, fue atacada, lo que resultó en una pérdida de alrededor de $62.5 millones. El proyecto fue atacado porque empleaba a hackers norcoreanos como desarrolladores. Todos los fondos robados fueron devueltos eventualmente por los hackers.

No.7 BTCTurk

Cantidad de pérdida: $55 millones

Método de ataque: Fuga de clave privada

El 22 de junio de 2024, el intercambio de criptomonedas turco BTCTurk fue atacado, lo que resultó en una pérdida de aproximadamente $55 millones. Binance ayudó a congelar más de $5.3 millones de los fondos robados.

No.8 Radiant Capital

Monto de pérdida: $53 millones

Método de ataque: Fuga de clave privada

El 17 de octubre de 2024, el protocolo de préstamos multi-cadena Radiant Capital fue atacado. El atacante obtuvo ilegalmente los permisos de 3 propietarios de la billetera multi-firma de Radiant Capital. La billetera multi-firma utilizó un modelo de validación de firma 3/11, y el atacante utilizó las 3 claves privadas para la firma sin conexión. El atacante luego inició una transacción en cadena para transferir la propiedad del contrato de Radiant Capital a un contrato malicioso bajo el control del atacante, lo que causó una pérdida de más de $53 millones.

No.9 Hedgey Finance

Cantidad de pérdida: $44.7 millones

Método de ataque: Vulnerabilidad del contrato

El 19 de abril de 2024, Hedgey Finance fue atacado varias veces por un atacante. El atacante explotó una vulnerabilidad de aprobación de tokens para robar una gran cantidad de tokens del contrato ClaimCampaigns, incluidos tokens por un valor de más de $2.1 millones robados de la cadena Ethereum y tokens por un valor de aproximadamente $42.6 millones robados de la cadena Arbitrum.

No.10 BingX

Monto de pérdida: $44.7 millones

Método de ataque: Fuga de clave privada

El 19 de septiembre de 2024, la billetera caliente del intercambio BingX fue atacada. Aunque BingX activó medidas de emergencia, incluida la transferencia de activos y la suspensión de retiros, las estadísticas de Beosin muestran que la pérdida total por la salida anormal de activos de la billetera caliente ascendió a $44.7 millones. Los activos robados involucraron múltiples cadenas de bloques, incluyendo Ethereum, BNB Chain, Tron, Polygon, Avalanche y Base.

3. Tipos de proyectos atacados

En 2024, los tipos de proyectos atacados no solo incluyeron tipos comunes como DeFi, CEX, DEX, cadenas públicas y puentes entre cadenas, sino que también se extendieron a plataformas de pago, plataformas de juegos de azar, corredores de criptomonedas, infraestructura, gestores de contraseñas, herramientas de desarrollo, bots de MEV, bots de TG y varios otros tipos de proyectos.

En 2024, los ataques a proyectos DeFi ocurrieron 75 veces, convirtiéndolos en el tipo de proyecto más atacado (aproximadamente el 50.70%). La pérdida total por ataques a DeFi fue de aproximadamente $390 millones, lo que representa aproximadamente el 15.50% de todas las pérdidas, convirtiéndolo en el cuarto tipo de proyecto con mayor cantidad de pérdidas.

El tipo de proyecto con la mayor pérdida fue CEX (intercambios centralizados). Diez ataques a CEX causaron pérdidas de alrededor de $724 millones, lo que lo convierte en el tipo de proyecto con la mayor cantidad de pérdidas. En general, los intercambios fueron el tipo de proyecto más atacado en 2024 y la seguridad de los intercambios sigue siendo el mayor desafío en el ecosistema Web3.

La segunda pérdida más grande provino de billeteras personales, con una pérdida total de aproximadamente $445 millones. Doce ataques dirigidos a ballenas criptográficas, junto con numerosos ataques de phishing y de ingeniería social a usuarios regulares, llevaron a un aumento del 464.72% en la pérdida total de billeteras personales en comparación con 2023, convirtiendo la seguridad de la billetera personal en el segundo desafío más grande después de la seguridad del intercambio.

4. Monto de pérdida por cadena

En comparación con 2023, los tipos de cadenas públicas atacadas en 2024 fueron más diversos. Las cinco cadenas principales por cantidad de pérdida fueron Ethereum, Bitcoin, Arbitrum, Ripple y Blast.

Las seis cadenas principales por el número de eventos de ataque fueron:

Ethereum, BNB Chain, Arbitrum, Otros, Base, y Solana.

En 2023, Ethereum siguió siendo la cadena con la mayor cantidad de pérdidas. Sesenta y seis ataques a Ethereum causaron aproximadamente $844 millones en pérdidas, lo que representa el 33.59% del total de pérdidas anuales.

Nota: Los datos totales de pérdidas no incluyen las pérdidas de phishing en cadena y algunas pérdidas de billetera caliente CEX. Las pérdidas en la red Bitcoin ocuparon el segundo lugar, con un incidente de seguridad único que causó una pérdida de $238 millones. Arbitrum ocupó el tercer lugar, con una pérdida total de aproximadamente $114 millones.

5. Análisis del método de ataque

Los métodos de ataque en 2024 fueron altamente diversificados. Además de los ataques comunes de vulnerabilidad de contrato, se utilizaron varios otros métodos, incluyendo ataques a la cadena de suministro, ataques a proveedores de servicios de terceros, ataques de hombre en el medio, ataques DNS y ataques de frente.

En 2024, 35 incidentes de filtración de claves privadas causaron una pérdida total de $1.306 mil millones, lo que representa el 51.96% de la pérdida total, convirtiéndolo en el método de ataque más dañino. Los incidentes destacados de filtración de claves privadas incluyeron: DMM Bitcoin ($304 millones), PlayDapp ($290 millones), Chris Larsen, cofundador de Ripple ($112 millones), BTCTurk ($55 millones), Radiant Capital ($53 millones), BingX ($44.7 millones) y DEXX ($21 millones).

La explotación de vulnerabilidades de contratos fue el método de ataque más frecuente. De los 131 incidentes de ataque, 76 se debieron a vulnerabilidades de contratos, lo que representa el 58.02% del total. La pérdida total por vulnerabilidades de contratos fue de aproximadamente $321 millones, ocupando el tercer lugar en términos de cantidad de pérdida.

En cuanto a vulnerabilidades específicas, los incidentes más frecuentes y con mayores pérdidas se debieron a vulnerabilidades en la lógica comercial. Aproximadamente el 53.95% de las pérdidas por vulnerabilidades de contrato fueron causadas por fallas en la lógica comercial, lo que resultó en una pérdida de aproximadamente $158 millones.

6. Análisis típico de eventos de lavado de dinero

6.1 Incidente de seguridad de Polter Finance

Resumen del evento

El 17 de noviembre de 2024, el monitoreo de alertas de Beosin detectó un ataque a Polter Finance, un protocolo de préstamos en la cadena FTM. El atacante manipuló el precio del token en el contrato del proyecto con el fin de obtener ganancias utilizando un flash loan.

Análisis de vulnerabilidad y fondos

El contrato LendingPool atacado (0xd47ae558623638f676c1e38dad71b53054f54273) utilizó 0x6808b5ce79d44e89883c5393b487c4296abb69fe como un oráculo. Este oráculo utilizó un contrato de alimentación de precios (0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe) recientemente implementado, que calcula precios basados en reservas de tokens en el contrato uniswapV2_pair (0xEc71), un contrato vulnerable a ataques de préstamos flash.

El atacante utilizó un préstamo flash para inflar artificialmente el precio del token $BOO y tomar prestados otros activos de criptomonedas. Los fondos robados se convirtieron luego en tokens FTM y se cruzaron a la cadena ETH, donde se almacenaron todos los fondos. A continuación se muestra un diagrama de flujo que ilustra el movimiento de fondos en las cadenas ARB y ETH:

El 20 de noviembre, el atacante continuó transfiriendo más de 2,625 ETH a Tornado Cash, como se muestra en el diagrama a continuación:

6.2 Incidente de seguridad de BitForex

Descripción del evento

El 23 de febrero de 2024, el conocido investigador de la cadena de bloques ZachXBT reveló a través de su herramienta de análisis que la billetera caliente de BitForex experimentó una salida de $56.5 millones, y la plataforma suspendió los servicios de retiro durante este proceso.

Análisis de fondos

El equipo de seguridad de Beosin llevó a cabo un seguimiento y análisis exhaustivo del incidente de BitForex utilizando Trace:

Ethereum

El 24 de febrero de 2024, a las 6:11 AM (UTC+8), BitForex comenzó a transferir 40,771 USDT, 258,700 USDC, 148.01 ETH y 471,405 TRB a una dirección de salida de Ethereum (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f).

El 9 de agosto, la dirección de salida transfirió todos los tokens, excepto TRB, de vuelta a la cuenta de BitForex (0xcce7300829f49b8f2e4aee6123b12da64662a8b8).

Desde el 9 de noviembre hasta el 10 de noviembre, la dirección de salida transfirió 355,000 TRB a cuatro direcciones de usuario de OKX diferentes a través de siete transacciones:

0x274c481bf400c2abfd2b5e648a0056ef34970b0a

0x45798ca76a589647acc21040c50562dcc33cf6bf

0x712d2fd67fe65510c5fad49d5a9181514d94183d

0xe8ec263ad9ee6947bf773837a2c86dff3a737bba

Posteriormente, la dirección de salida transfirió los 116,414.93 TRB restantes a una dirección intermedia (0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e), que luego se dividió en dos transacciones y se envió a dos direcciones de usuarios de Binance diferentes:

0x431c916ef45e660dae7cd7184e3226a72fa50c0c

0xe7b1fb77baaa3bba9326af2af3cd5857256519df

Cadena BNB

El 24 de febrero, BitForex retiró 166 ETH, 46.905 USDT y 57.810 USDC a una dirección de BNB Chain (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f), donde permanece.

Polígono

El 24 de febrero, BitForex retiró 99.000 MATIC, 20.300 USDT y 1.700 USDC a una dirección de cadena de bloques de Polygon (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f).

De los 99.000 MATIC, 8.000 fueron transferidos a la dirección 0xcce7300829f49b8f2e4aee6123b12da64662a8b8 el 9 de agosto, donde permanecen, y el resto de los tokens USDT y USDC también permanecen.

TRON

El 24 de febrero, BitForex retiró 44,000 TRX y 657,698 USDT a una dirección de cadena TRON (TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o).

El 9 de agosto, todos estos tokens fueron transferidos de vuelta a la dirección del usuario de BitForex (TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo).

Bitcoin

A partir del 24 de febrero, 16 direcciones de BitForex comenzaron a transferir un total de 5.7 BTC a una dirección de cadena BTC (3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2).

El 9 de agosto, los 5.7 BTC se transfirieron completamente de vuelta a la dirección de BitForex (11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz).

En resumen, el 24 de febrero, BitForex transfirió 40,771 USDT, 258,700 USDC, 148.01 ETH y 471,405 TRB a la cadena de Ethereum; 44,000 TRX y 657,698 USDT a la cadena TRON; 5.7 BTC a la cadena BTC; 166 ETH, 46,905 USDT y 57,810 USDC a la cadena BNB; y 99,000 MATIC, 20,300 USDT y 1,700 USDC a la cadena Polygon.

El 9 de agosto, todos los tokens en la cadena BTC, la cadena TRON y la cadena Ethereum (excepto TRB) fueron transferidos de vuelta a BitForex. El 9 y 10 de noviembre, los 471,405 TRB completos fueron transferidos a cuatro cuentas de OKX y dos cuentas de Binance.

Así, todos los tokens en las cadenas ETH, TRON y BTC han sido transferidos, y en BSC quedan 166 ETH, 46,905 USDT y 57,810 USDC, mientras que en POL quedan 99,000 MATIC, 20,300 USDT y 1,700 USDC.

Dirección de depósito de TRB adjunta para el intercambio:

7. Análisis del Flujo de Fondos Robados

En 2024, aproximadamente $1.312 mil millones de los fondos robados permanecieron en las direcciones de los hackers (incluidos los fondos transferidos entre cadenas y dispersados en múltiples direcciones), representando el 52.20% del total de los fondos robados. En comparación con el año pasado, los hackers de este año han estado más inclinados a lavar fondos a través de múltiples transacciones entre cadenas y a distribuir los activos robados en muchas direcciones, en lugar de usar directamente mezcladores. El aumento de las direcciones y la complejidad de las rutas de lavado sin duda aumenta la dificultad para que los equipos de proyectos y las autoridades reguladoras investiguen estas actividades.

Se recuperaron aproximadamente $531 millones de fondos robados, lo que representa aproximadamente el 21.13%. En 2023, la cantidad de fondos recuperados fue de aproximadamente $295 millones.

A lo largo del año, aproximadamente $109 millones de fondos robados fueron transferidos a mezcladores, lo que representa aproximadamente el 4.34% del total de fondos robados. Desde que la OFAC de los EE.UU. sancionó a Tornado Cash en agosto de 2022, la cantidad de fondos robados transferidos a Tornado Cash ha disminuido significativamente.

8. Análisis de la situación de auditoría del proyecto

Entre los 131 incidentes de ataque, 42 incidentes involucraron proyectos que no habían sido auditados, 78 incidentes involucraron proyectos que habían sido auditados, y 11 incidentes tenían un estado de auditoría poco claro.

Entre los 42 proyectos que no habían sido auditados, 30 incidentes (aproximadamente 71.43%) estaban relacionados con vulnerabilidades en los contratos. Esto indica que los proyectos sin auditorías tienen más probabilidades de tener riesgos de seguridad potenciales. En contraste, entre los 78 proyectos auditados, 49 incidentes (aproximadamente 62.82%) estaban relacionados con vulnerabilidades en los contratos. Esto sugiere que las auditorías pueden mejorar la seguridad del proyecto hasta cierto punto.

Sin embargo, debido a la falta de estándares completos en el mercado Web3, la calidad de las auditorías es desigual y los resultados a menudo no cumplen con las expectativas. Para proteger eficazmente la seguridad de los activos, se recomienda que los proyectos busquen empresas de seguridad profesionales para realizar auditorías antes de su lanzamiento.

9. Análisis de Rug Pull

En 2024, la plataforma de alerta Beosin monitoreó un total de 68 incidentes importantes de Rug Pull en el ecosistema Web3, con un valor total de aproximadamente $148 millones. Esto representa una disminución significativa en comparación con $388 millones en 2023.

En términos de valor, entre los 68 incidentes de Rug Pull, 9 proyectos tuvieron pérdidas superiores a $1 millón. Estos fueron: Essence Finance ($20 millones), Shido Global ($2.4 millones), ETHTrustFund ($2.2 millones), Nexera ($1.8 millones), Grand Base ($1.7 millones), SAGA Token ($1.6 millones), OrdiZK ($1.4 millones), MangoFarmSOL ($1.29 millones) y RiskOnBlast ($1.25 millones). La pérdida total de estos 9 incidentes fue de $33.64 millones, lo que representa el 22.73% de la pérdida total de todos los incidentes de Rug Pull.

Los proyectos de Rug Pull en Ethereum y BNB Chain representaron el 82.35% del total, con 24 incidentes en Ethereum y 32 en BNB Chain. Además, se produjo un incidente que superó los $20 millones en Scroll. Otras cadenas de bloques públicas, como Polygon, BASE y Solana, también experimentaron un pequeño número de eventos de Rug Pull.

10. Resumen de la situación de seguridad de la cadena de bloques Web3 de 2024

En 2024, las actividades de hacking on-chain y los incidentes de Rug Pull en el ecosistema Web3 disminuyeron significativamente en comparación con 2023. Sin embargo, la cantidad de pérdidas continuó aumentando y los ataques de phishing se volvieron más rampantes. El método de ataque que causó la mayor pérdida siguió siendo las filtraciones de claves privadas. Las principales razones de este cambio incluyen:

Después de las actividades desenfrenadas de hackers el año pasado, todo el ecosistema Web3 se centró más en la seguridad en 2024. Se han realizado esfuerzos desde equipos de proyectos hasta empresas de seguridad en varios aspectos, como monitoreo en cadena en tiempo real, mayor atención a auditorías de seguridad y aprendizaje activo de exploits de vulnerabilidades de contratos pasados. Esto ha dificultado que los hackers roben fondos a través de vulnerabilidades de contratos en comparación con el año pasado. Sin embargo, los equipos de proyectos aún necesitan fortalecer la conciencia sobre la gestión de claves privadas y la seguridad operativa.

Con la integración del mercado cripto y los mercados tradicionales, los hackers ya no se limitan a atacar DeFi, puentes entre cadenas, intercambios, etc., sino que se han centrado en plataformas de pago, plataformas de juego, corredores de criptomonedas, infraestructura, administradores de contraseñas, herramientas de desarrollo, bots de MEV, bots de TG y otros objetivos diversos.

En 2024-2025, a medida que el mercado de criptomonedas entra en un mercado alcista y los fondos on-chain se vuelven más activos, esto atraerá más ataques de hackers. Además, las regulaciones regionales sobre activos criptográficos están mejorando gradualmente para combatir los delitos relacionados con activos criptográficos. Bajo esta tendencia, se espera que las actividades de hackers sigan siendo altas en 2025, y las agencias de aplicación de la ley y los organismos reguladores mundiales seguirán enfrentando desafíos severos.

Descargo de responsabilidad:

  1. Este artículo es reproducido de [ Análisis de la cadena de bloques de Footprint]. El copyright pertenece al autor original [Beosin, Footprint Analytics], si tienes alguna objeción a la reimpresión, por favor contáctanos.Equipo de Aprendizaje de Gate, y el equipo lo manejará lo antes posible de acuerdo con los procedimientos relevantes.
  2. Descargo de responsabilidad de responsabilidad: Las opiniones expresadas en este artículo son únicamente las del autor y no constituyen asesoramiento de inversión.
  3. El equipo de Learn gate tradujo el artículo a otros idiomas. Está prohibido copiar, distribuir o plagiar los artículos traducidos a menos que se mencione.

Compartir

Contenido

1. Visión general del panorama de seguridad de la cadena de bloques Web3 de 2024

2. Los 10 principales incidentes de seguridad de Web3 en 2024

3. Tipos de Proyectos Atacados

4. Cantidad de pérdida por cadena

5. Análisis del método de ataque

6. Análisis de eventos típicos contra el lavado de dinero

7. Análisis del Flujo de Fondos Robados

8. Análisis de la situación de auditoría del proyecto

9. Análisis de Rug Pull

10. Resumen de la situación de seguridad de la cadena de bloques Web3 de 2024

Informe anual del paisaje de seguridad de Blockchain Web3 2024

Principiante1/15/2025, 12:08:45 PM
Un análisis detallado de seguridad de la cadena de bloques Web3 de 2024, que abarca importantes incidentes como el hackeo de BitForex, los eventos de Rug Pull, las tendencias de lavado de fondos y el estado de las auditorías de proyectos. Examina los crecientes desafíos de seguridad, incluido el impacto del lavado de dinero entre cadenas, y ofrece ideas sobre cómo proteger los activos digitales en el ecosistema en rápida evolución.
Cadena de bloquesMacrotendenciasSeguridad

1. Visión general del panorama de seguridad de la cadena de bloques Web3 de 2024

2. Los 10 principales incidentes de seguridad de Web3 en 2024

3. Tipos de Proyectos Atacados

4. Cantidad de pérdida por cadena

5. Análisis del método de ataque

6. Análisis de eventos típicos contra el lavado de dinero

7. Análisis del Flujo de Fondos Robados

8. Análisis de la situación de auditoría del proyecto

9. Análisis de Rug Pull

10. Resumen de la situación de seguridad de la cadena de bloques Web3 de 2024

Prefacio

Este informe de investigación fue iniciado por la Alianza de Seguridad Blockchain y creado conjuntamente por sus miembros Beosin y Footprint Analytics. Su objetivo es proporcionar una exploración integral del panorama mundial de la seguridad en la cadena de bloques en 2024. A través de un análisis y evaluación del estado actual de la seguridad en la cadena de bloques a nivel mundial, el informe revelará los desafíos y amenazas de seguridad que se enfrentan hoy en día, al tiempo que ofrecerá soluciones y mejores prácticas. Con este informe, los lectores obtendrán una comprensión más completa de la evolución dinámica de la seguridad en la cadena de bloques Web3. Esto ayudará a los lectores a evaluar y abordar los desafíos de seguridad que se enfrentan en el espacio de la cadena de bloques. Además, el informe proporciona información valiosa sobre medidas de seguridad y tendencias de desarrollo de la industria, ayudando a los lectores a tomar decisiones y acciones informadas dentro de este campo emergente. La seguridad y la regulación en la cadena de bloques son cuestiones clave en el desarrollo de la era Web3. A través de investigaciones y discusiones en profundidad, podemos comprender mejor y abordar estos desafíos, avanzando en la seguridad y el desarrollo sostenible de la tecnología de la cadena de bloques.

1. 2024 Visión general del panorama de seguridad de la cadena de bloques Web3

Según el monitoreo realizado por la plataforma Alert de la empresa de auditoría de seguridad Beosin, las pérdidas totales en el espacio Web3 en 2024 debido a ataques de hackers, estafas de phishing y rug pulls por parte de equipos de proyectos alcanzaron los $2.513 mil millones. Entre estos, hubo 131 incidentes de ataques importantes, que causaron pérdidas de aproximadamente $1.792 mil millones; 68 incidentes de rug pull por parte de equipos de proyectos, con pérdidas totales de alrededor de $148 millones; y las estafas de phishing causaron una pérdida total de aproximadamente $574 millones.

En 2024, tanto los ataques de piratas informáticos como las estafas de phishing experimentaron un aumento significativo en comparación con 2023, con las estafas de phishing aumentando en un 140.66%. Las pérdidas por incidentes de rug pull por parte de los equipos de proyectos disminuyeron notablemente, cayendo alrededor del 61.94%.

En 2024, los tipos de proyectos afectados por ataques incluyeron DeFi, CEX, DEX, cadenas públicas, puentes entre cadenas, billeteras, plataformas de pago, plataformas de juego, corredores de criptomonedas, infraestructura, gestores de contraseñas, herramientas de desarrollo, bots de MEV, bots de TG y otros. DeFi fue el tipo de proyecto más frecuentemente atacado, con 75 ataques a DeFi que causaron pérdidas totales de alrededor de $390 millones. CEX tuvo la cantidad total más alta de pérdidas, con 10 ataques a CEX que llevaron a pérdidas de aproximadamente $724 millones.

En 2024, ocurrieron ataques en varios tipos de cadenas públicas, con múltiples incidentes de seguridad que involucraron robos en diferentes cadenas. Ethereum siguió siendo la cadena pública con la mayor cantidad de pérdidas, con 66 ataques en Ethereum que resultaron en pérdidas de alrededor de $844 millones, lo que representa el 33.57% del total de pérdidas para el año.

Desde la perspectiva de los métodos de ataque, 35 incidentes de fuga de clave privada causaron pérdidas de aproximadamente $1.306 mil millones, lo que representa el 51.96% del total de pérdidas, lo que lo convierte en el método de ataque más perjudicial.

La explotación de vulnerabilidades de contrato fue el método de ataque más frecuente, con 76 de los 131 ataques provenientes de vulnerabilidades de contrato, lo que representa el 58,02% de los incidentes totales.

Aproximadamente se recuperaron $531 millones de fondos robados, lo que representa alrededor del 21.13%. Alrededor de $109 millones de fondos robados fueron transferidos a mezcladores, lo que representa aproximadamente el 4.34% del total de fondos robados, una disminución de aproximadamente el 66.97% en comparación con 2023.

2. Los 10 incidentes de seguridad Web3 más importantes en 2024

En 2024, hubo 5 incidentes importantes de ataques con pérdidas superiores a los $100 millones: DMM Bitcoin ($304 millones), PlayDapp ($290 millones), WazirX ($235 millones), Gala Games ($216 millones) y el robo de Chris Larsen ($112 millones). Las pérdidas totales de los 10 incidentes de seguridad principales ascendieron a aproximadamente $1.417 mil millones, lo que representa aproximadamente el 79.07% de las pérdidas totales anuales por ataques.

No.1 DMM Bitcoin

Pérdida: $304 millones

Método de ataque: Fuga de clave privada

El 31 de mayo de 2024, el intercambio japonés de criptomonedas DMM Bitcoin fue atacado, y se robaron más de $304 millones de dólares en Bitcoin. Los piratas informáticos dispersaron los fondos robados en más de 10 direcciones en un intento de blanquearlos.

No.2 PlayDapp

Pérdida: $290 millones

Método de ataque: Fuga de clave privada

El 9 de febrero de 2024, la plataforma de juegos basada en la cadena de bloques PlayDapp fue atacada, con hackers generando 2 mil millones de tokens PLA con un valor de 36.5 millones de dólares. Después de fracasar en las negociaciones con PlayDapp, el 12 de febrero los hackers generaron otros 15.9 mil millones de tokens PLA con un valor de 253.9 millones de dólares y enviaron parte de los fondos al intercambio gate. Luego, PlayDapp pausó el contrato de PLA y migró los tokens PLA a tokens PDA.

No.3 WazirX

Cantidad de pérdida: $235 millones

Método de ataque: Ataque a la red y phishing

El 18 de julio de 2024, se robó la billetera multi-firma del intercambio de criptomonedas indio WazirX, lo que resultó en una pérdida de más de $235 millones. La billetera multi-firma era un contrato inteligente de billetera segura. El atacante engañó a los firmantes de la multi-firma para que firmaran una transacción de actualización y, a través del contrato actualizado, transfirió los activos directamente desde la billetera.

No.4 Gala Juegos

Cantidad de pérdida: $216 millones

Método de ataque: Vulnerabilidad de control de acceso

El 20 de mayo de 2024, se comprometió una dirección privilegiada de Gala Games. El atacante utilizó esta dirección para llamar a la función de acuñación y acuñó directamente 5 mil millones de tokens GALA por un valor aproximado de 216 millones de dólares, convirtiendo los tokens acuñados en ETH en lotes. El equipo de Gala Games luego utilizó la función de lista negra para bloquear al hacker y recuperar las pérdidas.

No.5 Chris Larsen (cofundador de Ripple)

Cantidad de pérdida: $112 millones

Método de ataque: Fuga de clave privada

El 31 de enero de 2024, Chris Larsen, cofundador de Ripple, informó que cuatro de sus carteras fueron violadas, lo que resultó en una pérdida total de aproximadamente $112 millones. El equipo de Binance logró congelar con éxito $4.2 millones en tokens XRP robados.

No.6 Munchables

Cantidad de pérdida: $62.5 millones

Método de ataque: Ataque de ingeniería social

El 26 de marzo de 2024, la plataforma de juegos Web3 Munchables, basada en Blast, fue atacada, lo que resultó en una pérdida de alrededor de $62.5 millones. El proyecto fue atacado porque empleaba a hackers norcoreanos como desarrolladores. Todos los fondos robados fueron devueltos eventualmente por los hackers.

No.7 BTCTurk

Cantidad de pérdida: $55 millones

Método de ataque: Fuga de clave privada

El 22 de junio de 2024, el intercambio de criptomonedas turco BTCTurk fue atacado, lo que resultó en una pérdida de aproximadamente $55 millones. Binance ayudó a congelar más de $5.3 millones de los fondos robados.

No.8 Radiant Capital

Monto de pérdida: $53 millones

Método de ataque: Fuga de clave privada

El 17 de octubre de 2024, el protocolo de préstamos multi-cadena Radiant Capital fue atacado. El atacante obtuvo ilegalmente los permisos de 3 propietarios de la billetera multi-firma de Radiant Capital. La billetera multi-firma utilizó un modelo de validación de firma 3/11, y el atacante utilizó las 3 claves privadas para la firma sin conexión. El atacante luego inició una transacción en cadena para transferir la propiedad del contrato de Radiant Capital a un contrato malicioso bajo el control del atacante, lo que causó una pérdida de más de $53 millones.

No.9 Hedgey Finance

Cantidad de pérdida: $44.7 millones

Método de ataque: Vulnerabilidad del contrato

El 19 de abril de 2024, Hedgey Finance fue atacado varias veces por un atacante. El atacante explotó una vulnerabilidad de aprobación de tokens para robar una gran cantidad de tokens del contrato ClaimCampaigns, incluidos tokens por un valor de más de $2.1 millones robados de la cadena Ethereum y tokens por un valor de aproximadamente $42.6 millones robados de la cadena Arbitrum.

No.10 BingX

Monto de pérdida: $44.7 millones

Método de ataque: Fuga de clave privada

El 19 de septiembre de 2024, la billetera caliente del intercambio BingX fue atacada. Aunque BingX activó medidas de emergencia, incluida la transferencia de activos y la suspensión de retiros, las estadísticas de Beosin muestran que la pérdida total por la salida anormal de activos de la billetera caliente ascendió a $44.7 millones. Los activos robados involucraron múltiples cadenas de bloques, incluyendo Ethereum, BNB Chain, Tron, Polygon, Avalanche y Base.

3. Tipos de proyectos atacados

En 2024, los tipos de proyectos atacados no solo incluyeron tipos comunes como DeFi, CEX, DEX, cadenas públicas y puentes entre cadenas, sino que también se extendieron a plataformas de pago, plataformas de juegos de azar, corredores de criptomonedas, infraestructura, gestores de contraseñas, herramientas de desarrollo, bots de MEV, bots de TG y varios otros tipos de proyectos.

En 2024, los ataques a proyectos DeFi ocurrieron 75 veces, convirtiéndolos en el tipo de proyecto más atacado (aproximadamente el 50.70%). La pérdida total por ataques a DeFi fue de aproximadamente $390 millones, lo que representa aproximadamente el 15.50% de todas las pérdidas, convirtiéndolo en el cuarto tipo de proyecto con mayor cantidad de pérdidas.

El tipo de proyecto con la mayor pérdida fue CEX (intercambios centralizados). Diez ataques a CEX causaron pérdidas de alrededor de $724 millones, lo que lo convierte en el tipo de proyecto con la mayor cantidad de pérdidas. En general, los intercambios fueron el tipo de proyecto más atacado en 2024 y la seguridad de los intercambios sigue siendo el mayor desafío en el ecosistema Web3.

La segunda pérdida más grande provino de billeteras personales, con una pérdida total de aproximadamente $445 millones. Doce ataques dirigidos a ballenas criptográficas, junto con numerosos ataques de phishing y de ingeniería social a usuarios regulares, llevaron a un aumento del 464.72% en la pérdida total de billeteras personales en comparación con 2023, convirtiendo la seguridad de la billetera personal en el segundo desafío más grande después de la seguridad del intercambio.

4. Monto de pérdida por cadena

En comparación con 2023, los tipos de cadenas públicas atacadas en 2024 fueron más diversos. Las cinco cadenas principales por cantidad de pérdida fueron Ethereum, Bitcoin, Arbitrum, Ripple y Blast.

Las seis cadenas principales por el número de eventos de ataque fueron:

Ethereum, BNB Chain, Arbitrum, Otros, Base, y Solana.

En 2023, Ethereum siguió siendo la cadena con la mayor cantidad de pérdidas. Sesenta y seis ataques a Ethereum causaron aproximadamente $844 millones en pérdidas, lo que representa el 33.59% del total de pérdidas anuales.

Nota: Los datos totales de pérdidas no incluyen las pérdidas de phishing en cadena y algunas pérdidas de billetera caliente CEX. Las pérdidas en la red Bitcoin ocuparon el segundo lugar, con un incidente de seguridad único que causó una pérdida de $238 millones. Arbitrum ocupó el tercer lugar, con una pérdida total de aproximadamente $114 millones.

5. Análisis del método de ataque

Los métodos de ataque en 2024 fueron altamente diversificados. Además de los ataques comunes de vulnerabilidad de contrato, se utilizaron varios otros métodos, incluyendo ataques a la cadena de suministro, ataques a proveedores de servicios de terceros, ataques de hombre en el medio, ataques DNS y ataques de frente.

En 2024, 35 incidentes de filtración de claves privadas causaron una pérdida total de $1.306 mil millones, lo que representa el 51.96% de la pérdida total, convirtiéndolo en el método de ataque más dañino. Los incidentes destacados de filtración de claves privadas incluyeron: DMM Bitcoin ($304 millones), PlayDapp ($290 millones), Chris Larsen, cofundador de Ripple ($112 millones), BTCTurk ($55 millones), Radiant Capital ($53 millones), BingX ($44.7 millones) y DEXX ($21 millones).

La explotación de vulnerabilidades de contratos fue el método de ataque más frecuente. De los 131 incidentes de ataque, 76 se debieron a vulnerabilidades de contratos, lo que representa el 58.02% del total. La pérdida total por vulnerabilidades de contratos fue de aproximadamente $321 millones, ocupando el tercer lugar en términos de cantidad de pérdida.

En cuanto a vulnerabilidades específicas, los incidentes más frecuentes y con mayores pérdidas se debieron a vulnerabilidades en la lógica comercial. Aproximadamente el 53.95% de las pérdidas por vulnerabilidades de contrato fueron causadas por fallas en la lógica comercial, lo que resultó en una pérdida de aproximadamente $158 millones.

6. Análisis típico de eventos de lavado de dinero

6.1 Incidente de seguridad de Polter Finance

Resumen del evento

El 17 de noviembre de 2024, el monitoreo de alertas de Beosin detectó un ataque a Polter Finance, un protocolo de préstamos en la cadena FTM. El atacante manipuló el precio del token en el contrato del proyecto con el fin de obtener ganancias utilizando un flash loan.

Análisis de vulnerabilidad y fondos

El contrato LendingPool atacado (0xd47ae558623638f676c1e38dad71b53054f54273) utilizó 0x6808b5ce79d44e89883c5393b487c4296abb69fe como un oráculo. Este oráculo utilizó un contrato de alimentación de precios (0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe) recientemente implementado, que calcula precios basados en reservas de tokens en el contrato uniswapV2_pair (0xEc71), un contrato vulnerable a ataques de préstamos flash.

El atacante utilizó un préstamo flash para inflar artificialmente el precio del token $BOO y tomar prestados otros activos de criptomonedas. Los fondos robados se convirtieron luego en tokens FTM y se cruzaron a la cadena ETH, donde se almacenaron todos los fondos. A continuación se muestra un diagrama de flujo que ilustra el movimiento de fondos en las cadenas ARB y ETH:

El 20 de noviembre, el atacante continuó transfiriendo más de 2,625 ETH a Tornado Cash, como se muestra en el diagrama a continuación:

6.2 Incidente de seguridad de BitForex

Descripción del evento

El 23 de febrero de 2024, el conocido investigador de la cadena de bloques ZachXBT reveló a través de su herramienta de análisis que la billetera caliente de BitForex experimentó una salida de $56.5 millones, y la plataforma suspendió los servicios de retiro durante este proceso.

Análisis de fondos

El equipo de seguridad de Beosin llevó a cabo un seguimiento y análisis exhaustivo del incidente de BitForex utilizando Trace:

Ethereum

El 24 de febrero de 2024, a las 6:11 AM (UTC+8), BitForex comenzó a transferir 40,771 USDT, 258,700 USDC, 148.01 ETH y 471,405 TRB a una dirección de salida de Ethereum (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f).

El 9 de agosto, la dirección de salida transfirió todos los tokens, excepto TRB, de vuelta a la cuenta de BitForex (0xcce7300829f49b8f2e4aee6123b12da64662a8b8).

Desde el 9 de noviembre hasta el 10 de noviembre, la dirección de salida transfirió 355,000 TRB a cuatro direcciones de usuario de OKX diferentes a través de siete transacciones:

0x274c481bf400c2abfd2b5e648a0056ef34970b0a

0x45798ca76a589647acc21040c50562dcc33cf6bf

0x712d2fd67fe65510c5fad49d5a9181514d94183d

0xe8ec263ad9ee6947bf773837a2c86dff3a737bba

Posteriormente, la dirección de salida transfirió los 116,414.93 TRB restantes a una dirección intermedia (0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e), que luego se dividió en dos transacciones y se envió a dos direcciones de usuarios de Binance diferentes:

0x431c916ef45e660dae7cd7184e3226a72fa50c0c

0xe7b1fb77baaa3bba9326af2af3cd5857256519df

Cadena BNB

El 24 de febrero, BitForex retiró 166 ETH, 46.905 USDT y 57.810 USDC a una dirección de BNB Chain (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f), donde permanece.

Polígono

El 24 de febrero, BitForex retiró 99.000 MATIC, 20.300 USDT y 1.700 USDC a una dirección de cadena de bloques de Polygon (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f).

De los 99.000 MATIC, 8.000 fueron transferidos a la dirección 0xcce7300829f49b8f2e4aee6123b12da64662a8b8 el 9 de agosto, donde permanecen, y el resto de los tokens USDT y USDC también permanecen.

TRON

El 24 de febrero, BitForex retiró 44,000 TRX y 657,698 USDT a una dirección de cadena TRON (TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o).

El 9 de agosto, todos estos tokens fueron transferidos de vuelta a la dirección del usuario de BitForex (TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo).

Bitcoin

A partir del 24 de febrero, 16 direcciones de BitForex comenzaron a transferir un total de 5.7 BTC a una dirección de cadena BTC (3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2).

El 9 de agosto, los 5.7 BTC se transfirieron completamente de vuelta a la dirección de BitForex (11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz).

En resumen, el 24 de febrero, BitForex transfirió 40,771 USDT, 258,700 USDC, 148.01 ETH y 471,405 TRB a la cadena de Ethereum; 44,000 TRX y 657,698 USDT a la cadena TRON; 5.7 BTC a la cadena BTC; 166 ETH, 46,905 USDT y 57,810 USDC a la cadena BNB; y 99,000 MATIC, 20,300 USDT y 1,700 USDC a la cadena Polygon.

El 9 de agosto, todos los tokens en la cadena BTC, la cadena TRON y la cadena Ethereum (excepto TRB) fueron transferidos de vuelta a BitForex. El 9 y 10 de noviembre, los 471,405 TRB completos fueron transferidos a cuatro cuentas de OKX y dos cuentas de Binance.

Así, todos los tokens en las cadenas ETH, TRON y BTC han sido transferidos, y en BSC quedan 166 ETH, 46,905 USDT y 57,810 USDC, mientras que en POL quedan 99,000 MATIC, 20,300 USDT y 1,700 USDC.

Dirección de depósito de TRB adjunta para el intercambio:

7. Análisis del Flujo de Fondos Robados

En 2024, aproximadamente $1.312 mil millones de los fondos robados permanecieron en las direcciones de los hackers (incluidos los fondos transferidos entre cadenas y dispersados en múltiples direcciones), representando el 52.20% del total de los fondos robados. En comparación con el año pasado, los hackers de este año han estado más inclinados a lavar fondos a través de múltiples transacciones entre cadenas y a distribuir los activos robados en muchas direcciones, en lugar de usar directamente mezcladores. El aumento de las direcciones y la complejidad de las rutas de lavado sin duda aumenta la dificultad para que los equipos de proyectos y las autoridades reguladoras investiguen estas actividades.

Se recuperaron aproximadamente $531 millones de fondos robados, lo que representa aproximadamente el 21.13%. En 2023, la cantidad de fondos recuperados fue de aproximadamente $295 millones.

A lo largo del año, aproximadamente $109 millones de fondos robados fueron transferidos a mezcladores, lo que representa aproximadamente el 4.34% del total de fondos robados. Desde que la OFAC de los EE.UU. sancionó a Tornado Cash en agosto de 2022, la cantidad de fondos robados transferidos a Tornado Cash ha disminuido significativamente.

8. Análisis de la situación de auditoría del proyecto

Entre los 131 incidentes de ataque, 42 incidentes involucraron proyectos que no habían sido auditados, 78 incidentes involucraron proyectos que habían sido auditados, y 11 incidentes tenían un estado de auditoría poco claro.

Entre los 42 proyectos que no habían sido auditados, 30 incidentes (aproximadamente 71.43%) estaban relacionados con vulnerabilidades en los contratos. Esto indica que los proyectos sin auditorías tienen más probabilidades de tener riesgos de seguridad potenciales. En contraste, entre los 78 proyectos auditados, 49 incidentes (aproximadamente 62.82%) estaban relacionados con vulnerabilidades en los contratos. Esto sugiere que las auditorías pueden mejorar la seguridad del proyecto hasta cierto punto.

Sin embargo, debido a la falta de estándares completos en el mercado Web3, la calidad de las auditorías es desigual y los resultados a menudo no cumplen con las expectativas. Para proteger eficazmente la seguridad de los activos, se recomienda que los proyectos busquen empresas de seguridad profesionales para realizar auditorías antes de su lanzamiento.

9. Análisis de Rug Pull

En 2024, la plataforma de alerta Beosin monitoreó un total de 68 incidentes importantes de Rug Pull en el ecosistema Web3, con un valor total de aproximadamente $148 millones. Esto representa una disminución significativa en comparación con $388 millones en 2023.

En términos de valor, entre los 68 incidentes de Rug Pull, 9 proyectos tuvieron pérdidas superiores a $1 millón. Estos fueron: Essence Finance ($20 millones), Shido Global ($2.4 millones), ETHTrustFund ($2.2 millones), Nexera ($1.8 millones), Grand Base ($1.7 millones), SAGA Token ($1.6 millones), OrdiZK ($1.4 millones), MangoFarmSOL ($1.29 millones) y RiskOnBlast ($1.25 millones). La pérdida total de estos 9 incidentes fue de $33.64 millones, lo que representa el 22.73% de la pérdida total de todos los incidentes de Rug Pull.

Los proyectos de Rug Pull en Ethereum y BNB Chain representaron el 82.35% del total, con 24 incidentes en Ethereum y 32 en BNB Chain. Además, se produjo un incidente que superó los $20 millones en Scroll. Otras cadenas de bloques públicas, como Polygon, BASE y Solana, también experimentaron un pequeño número de eventos de Rug Pull.

10. Resumen de la situación de seguridad de la cadena de bloques Web3 de 2024

En 2024, las actividades de hacking on-chain y los incidentes de Rug Pull en el ecosistema Web3 disminuyeron significativamente en comparación con 2023. Sin embargo, la cantidad de pérdidas continuó aumentando y los ataques de phishing se volvieron más rampantes. El método de ataque que causó la mayor pérdida siguió siendo las filtraciones de claves privadas. Las principales razones de este cambio incluyen:

Después de las actividades desenfrenadas de hackers el año pasado, todo el ecosistema Web3 se centró más en la seguridad en 2024. Se han realizado esfuerzos desde equipos de proyectos hasta empresas de seguridad en varios aspectos, como monitoreo en cadena en tiempo real, mayor atención a auditorías de seguridad y aprendizaje activo de exploits de vulnerabilidades de contratos pasados. Esto ha dificultado que los hackers roben fondos a través de vulnerabilidades de contratos en comparación con el año pasado. Sin embargo, los equipos de proyectos aún necesitan fortalecer la conciencia sobre la gestión de claves privadas y la seguridad operativa.

Con la integración del mercado cripto y los mercados tradicionales, los hackers ya no se limitan a atacar DeFi, puentes entre cadenas, intercambios, etc., sino que se han centrado en plataformas de pago, plataformas de juego, corredores de criptomonedas, infraestructura, administradores de contraseñas, herramientas de desarrollo, bots de MEV, bots de TG y otros objetivos diversos.

En 2024-2025, a medida que el mercado de criptomonedas entra en un mercado alcista y los fondos on-chain se vuelven más activos, esto atraerá más ataques de hackers. Además, las regulaciones regionales sobre activos criptográficos están mejorando gradualmente para combatir los delitos relacionados con activos criptográficos. Bajo esta tendencia, se espera que las actividades de hackers sigan siendo altas en 2025, y las agencias de aplicación de la ley y los organismos reguladores mundiales seguirán enfrentando desafíos severos.

Descargo de responsabilidad:

  1. Este artículo es reproducido de [ Análisis de la cadena de bloques de Footprint]. El copyright pertenece al autor original [Beosin, Footprint Analytics], si tienes alguna objeción a la reimpresión, por favor contáctanos.Equipo de Aprendizaje de Gate, y el equipo lo manejará lo antes posible de acuerdo con los procedimientos relevantes.
  2. Descargo de responsabilidad de responsabilidad: Las opiniones expresadas en este artículo son únicamente las del autor y no constituyen asesoramiento de inversión.
  3. El equipo de Learn gate tradujo el artículo a otros idiomas. Está prohibido copiar, distribuir o plagiar los artículos traducidos a menos que se mencione.
Empieza ahora
¡Registrarse y recibe un bono de
$100
!