Top 10 Web3-Sicherheitsvorfälle des Jahres 2024: Eine Rezension von Beosin

Im Jahr 2024 steht die Blockchain-Branche vor immer größeren Sicherheitsherausforderungen, während sie gleichzeitig technologische Innovationen vorantreibt und ihr Ökosystem erweitert.

Despite the rapid technological advancements and expanding ecosystem in the blockchain industry, 2024 has witnessed a surge in severe security challenges. According to the Alert platform of security audit company Beosin, Web3-related losses due to hacker attacks, phishing scams, and project party "Rug Pulls" have reached an alarming total of US$2.491 billion by press time.

Trotz der rasanten technologischen Fortschritte und des wachsenden Ökosystems in der Blockchain-Branche kam es im Jahr 2024 zu einem Anstieg schwerwiegender Sicherheitsherausforderungen. Nach Angaben der Alert-Plattform des Sicherheitsprüfungsunternehmens Beosin beliefen sich die Verluste im Zusammenhang mit Web3 aufgrund von Hackerangriffen, Phishing-Betrügereien und der Projektpartei „Rug Pulls“ bei Redaktionsschluss auf eine alarmierende Gesamtsumme von 2,491 Milliarden US-Dollar.

These incidents not only highlighted technical vulnerabilities such as private key mismanagement and smart contract flaws but also brought to light the potential risks posed by social engineering and internal management. In this article, we will delve into the top ten Web3 security

Diese Vorfälle machten nicht nur technische Schwachstellen wie Missmanagement privater Schlüssel und Mängel bei intelligenten Verträgen deutlich, sondern brachten auch die potenziellen Risiken ans Licht, die durch Social Engineering und internes Management entstehen. In diesem Artikel befassen wir uns mit den zehn wichtigsten Web3-Sicherheitsmaßnahmen

incidents of 2024 to help the industry learn from past experiences and better prepare for future threats.

Vorfälle im Jahr 2024, um der Branche zu helfen, aus vergangenen Erfahrungen zu lernen und sich besser auf zukünftige Bedrohungen vorzubereiten.

No.1 DMM Bitcoin

Nr. 1 DMM Bitcoin

Amount of Loss: $304 million

Verlusthöhe: 304 Millionen US-Dollar

Attack Method: Private key leakage

Angriffsmethode: Verlust des privaten Schlüssels

On May 31, 2024, a long-established cryptocurrency exchange in Japan, DMM Bitcoin, fell victim to a massive attack. The attacker, having obtained the leaked private key, directly transferred Bitcoin valued at over $300 million and swiftly dispersed the stolen funds across 10 different addresses.

Am 31. Mai 2024 wurde eine seit langem etablierte Kryptowährungsbörse in Japan, DMM Bitcoin, Opfer eines massiven Angriffs. Nachdem der Angreifer den durchgesickerten privaten Schlüssel erhalten hatte, überwies er direkt Bitcoin im Wert von über 300 Millionen US-Dollar und verteilte die gestohlenen Gelder schnell auf zehn verschiedene Adressen.

This attack exposed DMM Bitcoin's critical deficiencies in private key management and multi-layer security protection. Despite the exchange's attempt to track the stolen Bitcoin on-chain and freeze the funds, the attacker's use of mixing tools to disperse and clean the funds posed a significant challenge.

Dieser Angriff deckte die kritischen Mängel von DMM Bitcoin bei der Verwaltung privater Schlüssel und dem mehrschichtigen Sicherheitsschutz auf. Trotz des Versuchs der Börse, die gestohlenen Bitcoins in der Kette zu verfolgen und die Gelder einzufrieren, stellte der Einsatz von Mischwerkzeugen durch den Angreifer zur Verteilung und Säuberung der Gelder eine erhebliche Herausforderung dar.

On December 24, Japanese police concluded that the DMM Bitcoin theft was perpetrated by the North Korean hacker organization Lazarus Group.

Am 24. Dezember kam die japanische Polizei zu dem Schluss, dass der DMM-Bitcoin-Diebstahl von der nordkoreanischen Hackerorganisation Lazarus Group begangen wurde.

No.2 PlayDapp

Nr.2 PlayDapp

Amount of Loss: $290 million

Verlusthöhe: 290 Millionen US-Dollar

Attack Method: Private key leakage

Angriffsmethode: Verlust des privaten Schlüssels

A devastating blow was dealt to PlayDapp on February 9, 2024, when hackers stole the project's private keys and minted 2 billion PLA tokens, initially valued at $36.5 million. Following failed negotiations between the project and the hackers, the attackers minted an additional 15.9 billion PLA tokens, valued at $253.9 million, in a short span of time.

Am 9. Februar 2024 wurde PlayDapp ein verheerender Schlag versetzt, als Hacker die privaten Schlüssel des Projekts stahlen und 2 Milliarden PLA-Token im ursprünglichen Wert von 36,5 Millionen US-Dollar prägten. Nach gescheiterten Verhandlungen zwischen dem Projekt und den Hackern prägten die Angreifer in kurzer Zeit weitere 15,9 Milliarden PLA-Token im Wert von 253,9 Millionen US-Dollar.

After some of these tokens entered the Gate exchange, PlayDapp was compelled to suspend the PLA contract and migrate to the PDA token contract. This incident underscored the shortcomings in private key protection and incident emergency response among blockchain projects.

Nachdem einige dieser Token in die Gate-Börse gelangt waren, war PlayDapp gezwungen, den PLA-Vertrag auszusetzen und auf den PDA-Token-Vertrag umzusteigen. Dieser Vorfall verdeutlichte die Mängel beim Schutz privater Schlüssel und bei der Notfallreaktion bei Blockchain-Projekten.

No.3 WazirX

Nr.3 WazirX

Amount of Loss: $235 million

Schadenshöhe: 235 Millionen US-Dollar

Attack Methods: Cyberattack, phishing

Angriffsmethoden: Cyberangriff, Phishing

On July 18, 2024, the Safe Wallet multi-signature wallet of WazirX, India's largest cryptocurrency exchange, was precisely targeted by hackers. The attacker employed social engineering tactics to manipulate a multi-signature signer into approving a contract upgrade transaction, which was then exploited to siphon off all the assets in the wallet.

Am 18. Juli 2024 geriet das Safe Wallet Multi-Signatur-Wallet von WazirX, Indiens größter Kryptowährungsbörse, gezielt ins Visier von Hackern. Der Angreifer nutzte Social-Engineering-Taktiken, um einen Unterzeichner mit mehreren Signaturen dazu zu manipulieren, eine Vertragsaktualisierungstransaktion zu genehmigen, was dann dazu ausgenutzt wurde, alle Vermögenswerte in der Wallet abzuschöpfen.

This case highlighted the potential risks associated with multi-signature wallets in terms of management authority configuration and operational transparency. It also sparked industry-wide introspection on the internal risk control and security mechanisms of the project.

Dieser Fall verdeutlichte die potenziellen Risiken, die mit Multi-Signatur-Wallets im Hinblick auf die Konfiguration der Verwaltungsbefugnisse und die betriebliche Transparenz verbunden sind. Es löste auch eine branchenweite Selbstbeobachtung der internen Risikokontroll- und Sicherheitsmechanismen des Projekts aus.

For an in-depth analysis of the incident and fund tracking, please refer to "Beosin | Analysis of the $235 million theft from Indian exchange WazirX".

Eine ausführliche Analyse des Vorfalls und der Geldverfolgung finden Sie unter „Beosin | Analyse des 235-Millionen-Dollar-Diebstahls der indischen Börse WazirX“.

No.4 Gala Games

Nr. 4 Galaspiele

Amount of Loss: $216 million

Verlusthöhe: 216 Millionen US-Dollar

Attack Method: Access control vulnerability

Angriffsmethode: Schwachstelle in der Zugriffskontrolle

A privileged address of Gala Games was compromised on May 20, 2024. The attacker exploited a vulnerability in the token contract's mint function to generate 5 billion GALA tokens at once. Subsequently, the attacker exchanged the additional tokens for ETH in batches, directly leading to a loss of 216 million US dollars.

Eine privilegierte Adresse von Gala Games wurde am 20. Mai 2024 kompromittiert. Der Angreifer nutzte eine Schwachstelle in der Mint-Funktion des Token-Vertrags aus, um 5 Milliarden GALA-Tokens auf einmal zu generieren. Anschließend tauschte der Angreifer die zusätzlichen Token stapelweise gegen ETH ein, was direkt zu einem Verlust von 216 Millionen US-Dollar führte.

In the aftermath of the incident, the Gala Games team promptly activated the blacklist function to block several hacker accounts and recovered the losses through legal channels.

Nach dem Vorfall aktivierte das Gala Games-Team umgehend die Blacklist-Funktion, um mehrere Hacker-Konten zu sperren und die Verluste auf legalem Weg wiedergutzumachen.

No.5 Chris Larsen (Ripple's co-founder)

Nr. 5 Chris Larsen (Mitbegründer von Ripple)

Amount of Loss: $112 million

Verlusthöhe: 112 Millionen US-Dollar

Attack Method: Private key leakage

Angriffsmethode: Verlust des privaten Schlüssels

Four personal wallets belonging to Chris Larsen, co-founder of Ripple, were hacked on January 31, 2024, resulting in the theft of $112 million in XRP. These wallets are suspected to have become targets of attack due to the lack of dual protection for hardware devices.

Vier persönliche Wallets von Chris Larsen, Mitbegründer von Ripple, wurden am 31. Januar 2024 gehackt, was zum Diebstahl von XRP im Wert von 112 Millionen US-Dollar führte. Aufgrund des fehlenden doppelten Schutzes für Hardwaregeräte stehen diese Wallets im Verdacht, zu Angriffszielen geworden zu sein.

Binance successfully froze XRP valued at $4.2 million and assisted Larsen in tracking the stolen assets, but the majority of the funds had already been laundered through decentralized exchanges and currency mixing services.

Binance hat XRP im Wert von 4,2 Millionen US-Dollar erfolgreich eingefroren und Larsen dabei geholfen, die gestohlenen Vermögenswerte aufzuspüren, aber der Großteil der Gelder war bereits über dezentrale Börsen und Währungsmischdienste gewaschen worden.

No.6 Munchables

Nr.6 Munchables

Amount of Loss: $62.5 million

Verlusthöhe: 62,5 Millionen US-Dollar

Attack Method: Social engineering attack

Angriffsmethode: Social-Engineering-Angriff

On March 26, 2024, Munchables, a Web3 game platform built on Blast, encountered a rare internal penetration attack. The attacker, a North Korean hacker, posed as a blockchain developer and managed to obtain the core code and sensitive keys through a prolonged period of lurking.

Am 26. März 2024 erlebte Munchables, eine auf Blast basierende Web3-Spieleplattform, einen seltenen internen Penetrationsangriff. Der Angreifer, ein nordkoreanischer Hacker, gab sich als Blockchain-Entwickler aus und schaffte es, über einen längeren Zeitraum hinweg an den Kerncode und die sensiblen Schlüssel zu gelangen.

Despite the attack causing substantial

Obwohl der Angriff erhebliche Auswirkungen hatte