Os 10 piores hacks e explorações de criptomoedas de 2024

2024 continuou a ser um ano desafiador para usuários e empresas de criptomoedas em termos de cibersegurança, marcado por vários incidentes de hackeamento proeminentes.

Hackers apropriaram-se de quase $2,2 bilhões em criptomoedas até dezembro de 2024, de acordo com dados da Chainalysis. Isso aumentou em relação aos $1,8 bilhões roubados em 2023, indicando um salto nos volumes de hackeamento de mais de 22% ano a ano.

Em 2024, grandes explorações visaram exchanges centralizadas como DMM Bitcoin, WazirX e BingX. Falhas nos designs de protocolos DeFi permaneceram outro foco para os atacantes, que as exploraram para desviar fundos.

Embora o ganho financeiro continue sendo o principal motivo por trás da maioria dos hacks de criptomoedas, outros elementos também contribuem. Por exemplo, incidentes atribuídos ao suposto Grupo Lazarus no WazirX e Radiant Capital sugerem ataques patrocinados por estados.

Este artigo explora os hacks de criptomoedas mais notáveis de 2024, analisando as razões por trás deles e as estratégias usadas pelos hackers.

DMM Bitcoin: $300 milhões

Em maio de 2024, a DMM Bitcoin, uma exchange de criptomoedas japonesa, sofreu o maior hack de criptomoedas do ano. Perdeu mais de 4.500 BTC, avaliados em mais de $300 milhões na época.

Embora a causa exata do ataque à DMM Bitcoin permaneça incerta, especialistas sugerem vulnerabilidades potenciais, como chaves privadas roubadas ou envenenamento de endereço. Este último é uma tática enganosa onde os atacantes enviam pequenas quantias de criptomoeda para a carteira de uma vítima, criando um histórico de transações falso para confundir os usuários e potencialmente enganá-los a enviar fundos para o endereço errado.

O incidente foi o oitavo maior roubo de criptomoedas de todos os tempos e o maior exploit desde o hack de $477 milhões da FTX em novembro de 2022.

Em dezembro, a DMM Bitcoin anunciou que havia concordado com o Grupo SBI do Japão em transferir contas de clientes e ativos de custódia para este último até março de 2025.

WazirX: $230 milhões

Em 18 de julho de 2024, a WazirX, uma das maiores exchanges de criptomoedas da Índia, sofreu um grande hack, perdendo cerca de $230 milhões em fundos de investidores.

Os hackers usaram um esquema sofisticado para comprometer a carteira multi-assinatura da WazirX, que precisava de várias assinaturas para autorizar transações. Ao explorar discrepâncias em como as transações eram mostradas na interface do Liminal, uma plataforma de custódia de criptomoedas usada pela WazirX, os atacantes conseguiram enganar signatários autorizados a aprovar uma transação maliciosa. Isso permitiu que eles contornassem as medidas de segurança e esvaziassem a carteira de criptomoedas da exchange.

Especialistas suspeitam que o Grupo Lazarus, um grupo de hackers norte-coreano notório por seu envolvimento em assaltos a criptomoedas de alto perfil anteriores, estava envolvido.

A WazirX imediatamente tomou medidas para mitigar os danos, incluindo a suspensão temporária de retiradas de criptomoedas e fiat.

Uma investigação sobre o hack está atualmente em andamento.

Munchables: $62 milhões

Em março de 2024, a Munchables, um jogo play-to-earn construído na blockchain Blast Layer 2, foi vítima de uma grande exploração de segurança. Um atacante desconhecido explorou uma vulnerabilidade crítica nos contratos inteligentes do jogo, desviando $62,5 milhões em criptomoedas. Os contratos inteligentes do projeto concederam ao desenvolvedor em questão o poder de transferir fundos a seu critério — uma capacidade mal utilizada.

O cerne do ataque foi o uso do projeto de um contrato proxy atualizável. Embora esse tipo de contrato ofereça flexibilidade, também pode introduzir vulnerabilidades se não for manuseado com cuidado, explicou Rob Behnke, analista de segurança da Halborn. Neste caso, o desenvolvedor desonesto assumiu o controle do endereço de implantação do contrato inteligente, ganhando o poder de alterar o código do contrato.

Explorando esse privilégio, o atacante inseriu sutilmente uma porta dos fundos maliciosa no contrato. Com o tempo, eles esperaram até que grandes quantias de ether fossem depositadas no contrato. Quando o momento foi certo, t

eles acionaram a exploração, desviando milhões de dólares em criptomoeda.

Mais tarde, Munchables nos atualizou que o desenvolvedor concordou em renunciar incondicionalmente às chaves privadas da carteira que continha os ativos de Munchables, resultando na recuperação total dos ativos. Não está totalmente claro por que o atacante decidiu fazer isso.

Exploração do Dai whale: $55 milhões 

Em agosto, uma baleia cripto foi vítima de um ataque de phishing sofisticado, resultando na perda de $55 milhões em stablecoins Dai.

O atacante explorou uma vulnerabilidade para acessar a conta da carteira cripto da vítima, também chamada de conta de propriedade externa, que controlava um cofre no protocolo Maker. Este tipo de cofre permite que os usuários peguem emprestado stablecoins Dai depositando colateral.

Aproveitando a EOA comprometida, o atacante transferiu a propriedade do Proxy de Serviço Descentralizado (DSProxy) da vítima para um endereço recém-criado sob seu controle. Um DSProxy é um contrato inteligente que permite aos usuários executar várias chamadas de contrato em uma única transação.

O DSProxy, uma ferramenta para automatizar transações complexas, era a chave para o cofre digital da baleia. Ao ganhar controle sobre o DSProxy, o atacante adquiriu a capacidade de manipular o Cofre Maker da baleia. Com controle sobre o DSProxy, o hacker se estabeleceu como o endereço proprietário do protocolo e cunhou 55.473.618 stablecoins Dai em sua carteira.

A empresa de segurança Halborn explicou que o atacante provavelmente usou um ataque de phishing contra a baleia para enganá-la a assinar uma transação transferindo a propriedade do proxy para eles. Outra possibilidade é que o ataque de phishing comprometeu as chaves privadas da conta da carteira que controlava o DSProxy.

Radiant Capital: $51 milhões

Em outubro de 2024, a Radiant Capital foi atingida por um segundo ataque severo no ano, levando a uma perda de cerca de $51 milhões.

O incidente inicial, uma exploração de empréstimo relâmpago, retirou do protocolo cerca de $4,5 milhões. No entanto, este evento foi menor em comparação com o ataque posterior, mais complexo. Este ataque subsequente visou uma falha no mecanismo de multi-assinatura do protocolo, utilizando uma tática altamente sofisticada. A Radiant Capital usava uma configuração de multi-sig 3-de-11, que precisava de três chaves privadas para aprovar transações cruciais.

No entanto, os atacantes, acreditados estar associados ao grupo Lazarus da Coreia do Norte, contornaram esse recurso de segurança. Os atacantes manipularam o processo de assinatura, enganando os signatários para endossar transações maliciosas que pareciam legítimas. Essa manipulação envolveu malware sofisticado que alterou os dados da transação mostrados na interface da carteira Gnosis Safe. Em contraste, transações maliciosas foram encaminhadas para as carteiras de hardware para assinatura e implementação.

Os atacantes aproveitaram falhas ocasionais de transação, tipicamente ignoradas como normais. Ao embutir transações maliciosas dentro dessas falhas, eles obtiveram assinaturas válidas sem alertar ninguém.

Uma vez que essas transações maliciosas receberam aprovação, os atacantes tomaram controle de um dos contratos inteligentes da Radiant, que supervisionava vários pools de empréstimo. Essa violação permitiu que eles substituíssem os contratos dos pools por versões maliciosas, acessando assim os fundos dos usuários.

BingX: $43 milhões

Em outro incidente alarmante destacando a vulnerabilidade das exchanges centralizadas de criptomoedas, a BingX, com sede em Singapura, foi vítima de uma grande exploração de segurança. O ataque, que ocorreu em 20 de setembro de 2024, comprometeu a carteira quente da exchange.

Enquanto a BingX minimizou o incidente como “menor”, analistas de segurança estimaram a perda total em cerca de $43 milhões. Os fundos roubados foram desviados em várias parcelas, sugerindo um ataque bem coordenado.

Este incidente faz parte de uma tendência perturbadora de hacks em CEX que assolaram a indústria de criptomoedas ao longo de 2024. Neste incidente, os atacantes ganharam acesso não autorizado

d acesso a múltiplas blockchains e usou diversos endereços de exploração para coletar uma ampla gama de criptomoedas. Subsequentemente, esses fundos roubados foram convertidos em ether, uma prática comum entre o Grupo Lazarus da Coreia do Norte.

Penpie: $27 milhões

Em setembro de 2024, o protocolo Penpie, uma plataforma de yield farming operando na Pendle Finance, foi comprometido, resultando em uma perda de cerca de $27 milhões.

A causa raiz do hack da Penpie foi uma vulnerabilidade crítica conhecida como ataque de reentrância. Este tipo de exploração permite que atores maliciosos manipulem o fluxo de execução de um contrato inteligente, levando a consequências indesejadas. 

Ao criar um mercado enganoso na Pendle, o atacante criou versões falsas do token "standardized yield" da Pendle e os vinculou aos tokens "liquidity provider" da Pendle. Essa manipulação permitiu que o atacante chamasse uma função vulnerável repetidamente, inflando seu saldo de recompensas com esses tokens fabricados. O contrato inteligente, sem mecanismos de validação fortes, aceitou erroneamente esses tokens falsos, permitindo que o atacante drenasse fundos significativos.

Apesar da gravidade do ataque, a equipe da Penpie estendeu um ramo de oliveira ao atacante, oferecendo uma recompensa em troca do retorno dos fundos roubados. O atacante optou por ignorar este apelo e lavar os ganhos ilícitos através do mixer Tornado Cash.

UwU Lend: $20 milhões

Em junho de 2024, a UwU Lend, uma plataforma de empréstimos descentralizada, sofreu uma exploração de $20 milhões devido a uma falha em seu oráculo de preços, que depende de dados em tempo real dos pools de liquidez da Curve Finance. Um atacante explorou essa vulnerabilidade e manipulou o preço da stablecoin atrelada ao USD, sUSDE, através de uma série de negociações calculadas.

O ataque começou com o atacante tomando um empréstimo relâmpago substancial e trocando uma grande parte desses ativos por sUSDE em um pool da Curve, reduzindo drasticamente seu preço. O atacante então tomou emprestado grandes quantidades de tokens sUSDE subvalorizados da UwU Lend, usando outras criptomoedas como garantia. Subsequentemente, o atacante negociou dentro do pool da Curve para restaurar o preço do sUSDE ao normal, aumentando o valor de suas participações.

O atacante liquidou essas posições para recuperar as criptomoedas inicialmente emprestadas, que agora eram mais valiosas, e redepositou o sUSDE na UwU Lend para tomar mais emprestado, lucrando, em última análise, $19,3 milhões em ether. Este incidente destaca vulnerabilidades críticas no uso de preços à vista para oráculos de finanças descentralizadas.

Sonne Finance: $20 milhões

Em maio de 2024, a Sonne Finance, um protocolo de empréstimos descentralizado operando na cadeia Optimism Layer 2, encontrou uma exploração de $20 milhões causada por uma vulnerabilidade em seu sistema — derivada de forks do Compound v2. Essa vulnerabilidade geralmente mira as falhas de design do protocolo, especialmente em mercados com baixa liquidez ou recém-estabelecidos.

Criar um novo mercado em um fork do Compound v2 como a Sonne requer liquidez inicial para deter a manipulação de preços. Sem isso, o mercado é propenso a ataques. Erros de precisão ou arredondamento nos cálculos de contratos inteligentes, particularmente valores decimais, podem ser manipulados.

No caso da Sonne Finance, um atacante injetou uma pequena quantidade do ativo subjacente em um mercado vazio, alterando significativamente a taxa de câmbio entre o ativo subjacente e seu equivalente tokenizado.

Isso levou a um erro de arredondamento, que o atacante da Sonne Finance explorou para retirar mais ativos subjacentes do que depositou inicialmente, resultando em uma perda total de cerca de $20 milhões. Este evento destaca um problema recorrente com forks do Compound v2, explorado em ataques semelhantes em plataformas como a Hundred Finance e o Protocolo Onyx.

M2 exchange: $14 milhões

Em outubro, a exchange de criptomoedas M2, com sede nos Emirados Árabes Unidos, foi vítima de um ataque cibernético que resultou no roubo de $13,7 milhões em criptomoedas.

O ator malicioso explorou vulnerabilidades nos sistemas de segurança da exchange, ganhando

Após o incidente, a M2 reconheceu a violação de segurança e assegurou aos seus usuários que a situação havia sido "totalmente resolvida". No entanto, em vez de recuperar os fundos roubados, a exchange optou por restaurar os saldos dos clientes usando seus próprios ativos.