Rétrospective des dix principaux incidents de sécurité dans le domaine du Web3 en 2024
En 2024, l'industrie de la blockchain, tout en innovant technologiquement et en élargissant son écosystème, fait également face à des défis de sécurité de plus en plus graves. Selon les données de la plateforme de surveillance de la sécurité, d'ici la fin de l'année, les pertes totales dans le domaine du Web3 dues aux attaques de hackers, aux escroqueries par phishing et aux projets abandonnés s'élèvent à 2,491 milliards de dollars.
Ces événements mettent en lumière non seulement les défauts techniques tels que la gestion des clés privées et les vulnérabilités des contrats intelligents, mais aussi les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article passera en revue les dix principaux événements de sécurité Web3 de 2024, afin que l'industrie puisse en tirer des leçons et mieux faire face aux menaces de sécurité futures.
1. Événement DMM Bitcoin
Montant de la perte : 304 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, la célèbre bourse de cryptomonnaies japonaise DMM Bitcoin a subi une attaque majeure. Les attaquants ont utilisé une clé privée divulguée pour transférer directement plus de 300 millions de dollars de Bitcoin, et ont rapidement dispersé les fonds volés sur plus de 10 adresses différentes. Cet incident a révélé des vulnérabilités graves de la bourse en matière de gestion des clés privées et de protection de sécurité multilayer. Bien que la bourse ait tenté de suivre les hackers grâce à la surveillance on-chain et au gel des fonds, le suivi a été confronté à d'énormes défis en raison de la dispersion et de l'utilisation d'outils de mélange pour nettoyer les Bitcoins volés.
À la fin de l'année, la police japonaise a confirmé que ce vol avait été orchestré par un groupe de hackers nord-coréens.
2. PlayDapp subit un coup dur
Montant de la perte : 290 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup sévère. Des hackers ont volé des clés privées pour frapper 2 milliards de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. En raison d'un échec des négociations entre l'équipe du projet et les hackers, ces derniers ont ensuite frappé 15,9 milliards de jetons PLA, d'une valeur de 253,9 millions de dollars. Une partie des jetons volés ayant été introduite sur les échanges, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jetons PDA. Cet événement met en évidence les lacunes des projets blockchain en matière de protection des clés privées et de réponse d'urgence.
3. Attaque du portefeuille multi-signatures WazirX
Montant de la perte : 235 millions de dollars américains
Méthodes d'attaque : attaques réseau et hameçonnage
Le 18 juillet 2024, le Safe Wallet multi-signatures de WazirX, la plus grande plateforme de cryptomonnaie en Inde, a été la cible d'une attaque ciblée. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires multi-signatures à signer une transaction de mise à niveau de contrat, puis ont utilisé les droits du contrat mis à niveau pour transférer tous les actifs du portefeuille. Cette affaire met en lumière les risques potentiels des portefeuilles multi-signatures en matière de gestion des droits et de transparence des opérations, et a suscité une réflexion approfondie au sein du secteur sur les mécanismes de gestion des risques internes des projets.
4. La vulnérabilité du contrat Gala Games exploitée
Montant de la perte : 216 millions de dollars.
Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. L'attaquant a appelé la fonction mint du contrat de jeton pour frapper en une seule fois 5 milliards de jetons GALA. Par la suite, le hacker a échangé par lots les jetons émis contre de l'ETH, ce qui a entraîné une perte directe de 216 millions de dollars. L'équipe de Gala Games a activé en urgence la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré une partie des pertes par des voies légales.
5. Le cofondateur de Ripple victime d'une cyberattaque
Montant de la perte : 112 millions de dollars
Méthode d’attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels de Chris Larsen, co-fondateur de Ripple, ont été piratés, entraînant le vol de 112 millions de dollars en XRP. Ces portefeuilles ont probablement été ciblés en raison d'un manque de protection par double authentification matérielle. Suite à cet incident, une plateforme d'échange a réussi à geler 4,2 millions de dollars en XRP et a aidé à suivre les actifs volés, mais la majorité des fonds a été blanchie via des échanges décentralisés et des services de mélange.
6. Munchables fait face à une infiltration interne
Montant de la perte : 62,5 millions de dollars
Méthode d'attaque : attaque d'ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une rare attaque par infiltration interne. Les attaquants se sont déguisés en développeurs blockchain et ont obtenu le code source et des clés sensibles après une longue période de surveillance. Malgré les pertes considérables, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement met en lumière l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain qui dépendent de développeurs tiers.
7. L'incident de fuite de clé privée de BtcTurk
Montant de la perte : 55 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande bourse de cryptomonnaies de Turquie, BtcTurk, a subi une attaque par fuite de clés privées, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une plateforme d'échange, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a renforcé les préoccupations du marché concernant la gestion des clés privées par les bourses centralisées.
8. Le portefeuille multi-signatures de Radiant Capital a été compromis
Montant de la perte : 53 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de l'utilisation d'un modèle de vérification des signatures 3/11 à faible seuil, le pirate a réussi à maîtriser les clés privées de 3 signataires pour initier une signature hors chaîne, transférant la propriété du contrat du portefeuille à une adresse malveillante, entraînant finalement le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multi-signatures.
Il convient de noter que Radiant Capital a perdu 4,5 millions de dollars en raison d'une vulnérabilité de contrat avant cette attaque, avec plus de 1900 ETH volés. Cela souligne encore une fois qu'il y a encore de la place pour améliorer l'importance accordée à la sécurité par les projets Web3.
9. La vulnérabilité des contrats de Hedgey Finance a été exploitée
Montant de la perte : 44,7 millions de dollars
Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour une perte totale de 44,7 millions de dollars. Cet événement met en évidence l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. Le portefeuille chaud de l'échange BingX a été piraté
Montant de la perte : 44,7 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud de l'échange BingX a été piraté, impliquant plusieurs chaînes publiques telles qu'Ethereum, BNB Chain et Tron. Bien que l'échange ait rapidement mis en place des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont tout de même réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque met à nouveau en évidence les risques élevés associés à la gestion des portefeuilles chauds des échanges centralisés, incitant l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Les événements de sécurité fréquents en 2024 nous rappellent à nouveau que le développement de l'industrie de la blockchain ne peut se faire sans garanties de sécurité. De la fuite de clés privées aux vulnérabilités des contrats, des négligences dans la gestion interne aux méthodes d'attaque externes en évolution, chaque incident apporte des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties de l'industrie doivent continuer à renforcer leurs investissements dans la recherche et le développement technologique, la normalisation de la gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration de l'industrie et l'innovation technologique, nous pourrons construire ensemble un écosystème blockchain plus sûr, offrant aux utilisateurs et aux investisseurs des garanties plus fiables.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Revue de la sécurité Web3 en 2024 : Dix événements ayant entraîné des pertes de près de 2,5 milliards de dollars.
Rétrospective des dix principaux incidents de sécurité dans le domaine du Web3 en 2024
En 2024, l'industrie de la blockchain, tout en innovant technologiquement et en élargissant son écosystème, fait également face à des défis de sécurité de plus en plus graves. Selon les données de la plateforme de surveillance de la sécurité, d'ici la fin de l'année, les pertes totales dans le domaine du Web3 dues aux attaques de hackers, aux escroqueries par phishing et aux projets abandonnés s'élèvent à 2,491 milliards de dollars.
Ces événements mettent en lumière non seulement les défauts techniques tels que la gestion des clés privées et les vulnérabilités des contrats intelligents, mais aussi les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article passera en revue les dix principaux événements de sécurité Web3 de 2024, afin que l'industrie puisse en tirer des leçons et mieux faire face aux menaces de sécurité futures.
1. Événement DMM Bitcoin
Montant de la perte : 304 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, la célèbre bourse de cryptomonnaies japonaise DMM Bitcoin a subi une attaque majeure. Les attaquants ont utilisé une clé privée divulguée pour transférer directement plus de 300 millions de dollars de Bitcoin, et ont rapidement dispersé les fonds volés sur plus de 10 adresses différentes. Cet incident a révélé des vulnérabilités graves de la bourse en matière de gestion des clés privées et de protection de sécurité multilayer. Bien que la bourse ait tenté de suivre les hackers grâce à la surveillance on-chain et au gel des fonds, le suivi a été confronté à d'énormes défis en raison de la dispersion et de l'utilisation d'outils de mélange pour nettoyer les Bitcoins volés.
À la fin de l'année, la police japonaise a confirmé que ce vol avait été orchestré par un groupe de hackers nord-coréens.
2. PlayDapp subit un coup dur
Montant de la perte : 290 millions de dollars Méthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup sévère. Des hackers ont volé des clés privées pour frapper 2 milliards de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. En raison d'un échec des négociations entre l'équipe du projet et les hackers, ces derniers ont ensuite frappé 15,9 milliards de jetons PLA, d'une valeur de 253,9 millions de dollars. Une partie des jetons volés ayant été introduite sur les échanges, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jetons PDA. Cet événement met en évidence les lacunes des projets blockchain en matière de protection des clés privées et de réponse d'urgence.
3. Attaque du portefeuille multi-signatures WazirX
Montant de la perte : 235 millions de dollars américains Méthodes d'attaque : attaques réseau et hameçonnage
Le 18 juillet 2024, le Safe Wallet multi-signatures de WazirX, la plus grande plateforme de cryptomonnaie en Inde, a été la cible d'une attaque ciblée. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires multi-signatures à signer une transaction de mise à niveau de contrat, puis ont utilisé les droits du contrat mis à niveau pour transférer tous les actifs du portefeuille. Cette affaire met en lumière les risques potentiels des portefeuilles multi-signatures en matière de gestion des droits et de transparence des opérations, et a suscité une réflexion approfondie au sein du secteur sur les mécanismes de gestion des risques internes des projets.
4. La vulnérabilité du contrat Gala Games exploitée
Montant de la perte : 216 millions de dollars. Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. L'attaquant a appelé la fonction mint du contrat de jeton pour frapper en une seule fois 5 milliards de jetons GALA. Par la suite, le hacker a échangé par lots les jetons émis contre de l'ETH, ce qui a entraîné une perte directe de 216 millions de dollars. L'équipe de Gala Games a activé en urgence la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré une partie des pertes par des voies légales.
5. Le cofondateur de Ripple victime d'une cyberattaque
Montant de la perte : 112 millions de dollars Méthode d’attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels de Chris Larsen, co-fondateur de Ripple, ont été piratés, entraînant le vol de 112 millions de dollars en XRP. Ces portefeuilles ont probablement été ciblés en raison d'un manque de protection par double authentification matérielle. Suite à cet incident, une plateforme d'échange a réussi à geler 4,2 millions de dollars en XRP et a aidé à suivre les actifs volés, mais la majorité des fonds a été blanchie via des échanges décentralisés et des services de mélange.
6. Munchables fait face à une infiltration interne
Montant de la perte : 62,5 millions de dollars Méthode d'attaque : attaque d'ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une rare attaque par infiltration interne. Les attaquants se sont déguisés en développeurs blockchain et ont obtenu le code source et des clés sensibles après une longue période de surveillance. Malgré les pertes considérables, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement met en lumière l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain qui dépendent de développeurs tiers.
7. L'incident de fuite de clé privée de BtcTurk
Montant de la perte : 55 millions de dollars Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande bourse de cryptomonnaies de Turquie, BtcTurk, a subi une attaque par fuite de clés privées, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une plateforme d'échange, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a renforcé les préoccupations du marché concernant la gestion des clés privées par les bourses centralisées.
8. Le portefeuille multi-signatures de Radiant Capital a été compromis
Montant de la perte : 53 millions de dollars Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de l'utilisation d'un modèle de vérification des signatures 3/11 à faible seuil, le pirate a réussi à maîtriser les clés privées de 3 signataires pour initier une signature hors chaîne, transférant la propriété du contrat du portefeuille à une adresse malveillante, entraînant finalement le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multi-signatures.
Il convient de noter que Radiant Capital a perdu 4,5 millions de dollars en raison d'une vulnérabilité de contrat avant cette attaque, avec plus de 1900 ETH volés. Cela souligne encore une fois qu'il y a encore de la place pour améliorer l'importance accordée à la sécurité par les projets Web3.
9. La vulnérabilité des contrats de Hedgey Finance a été exploitée
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour une perte totale de 44,7 millions de dollars. Cet événement met en évidence l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. Le portefeuille chaud de l'échange BingX a été piraté
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud de l'échange BingX a été piraté, impliquant plusieurs chaînes publiques telles qu'Ethereum, BNB Chain et Tron. Bien que l'échange ait rapidement mis en place des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont tout de même réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque met à nouveau en évidence les risques élevés associés à la gestion des portefeuilles chauds des échanges centralisés, incitant l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Les événements de sécurité fréquents en 2024 nous rappellent à nouveau que le développement de l'industrie de la blockchain ne peut se faire sans garanties de sécurité. De la fuite de clés privées aux vulnérabilités des contrats, des négligences dans la gestion interne aux méthodes d'attaque externes en évolution, chaque incident apporte des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties de l'industrie doivent continuer à renforcer leurs investissements dans la recherche et le développement technologique, la normalisation de la gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration de l'industrie et l'innovation technologique, nous pourrons construire ensemble un écosystème blockchain plus sûr, offrant aux utilisateurs et aux investisseurs des garanties plus fiables.