En 2024, les pertes dues aux incidents de sécurité Web3 s'élèvent à près de 2,5 milliards de dollars, la fuite de la clé privée étant la principale cause.
Top 10 incidents de sécurité dans le domaine du Web3 en 2024
En 2024, l'industrie du Web3 fait face à des défis de sécurité de plus en plus sévères tout en innovant et se développant. Selon les données surveillées par la plateforme, jusqu'à présent, les pertes totales dans le domaine du Web3 en 2024, dues à des attaques de hackers, à des escroqueries et à des projets abandonnés, s'élèvent à 2,491 milliards de dollars.
Ces événements ont non seulement révélé des vulnérabilités techniques dans la gestion des clés privées et des contrats intelligents, mais ont également mis en évidence les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article reviendra sur les dix principaux événements de sécurité Web3 de 2024, à titre de référence pour l'industrie, afin de mieux faire face aux menaces de sécurité futures.
1. Événement DMM Bitcoin
Montant de la perte : 304 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, la célèbre bourse de cryptomonnaies DMM Bitcoin au Japon a subi une attaque majeure. Des hackers ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars de bitcoins et ont rapidement dispersé les fonds volés sur plus de 10 adresses différentes. Cet incident a révélé de graves lacunes dans la gestion des clés privées et la protection de sécurité multicouche de cette bourse.
Bien que l'échange ait tenté de suivre les hackers grâce à la surveillance on-chain et au gel des fonds, les bitcoins volés ont été dispersés et blanchis par des outils de mixage, rendant la traçabilité beaucoup plus difficile. Le 24 décembre, la police japonaise a confirmé que l'incident avait été perpétré par le groupe de hackers nord-coréen Lazarus.
2. Événement d'attaque PlayDapp
Montant de la perte : 290 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur. Des hackers ont réussi à forger 2 milliards de jetons PLA en volant une clé privée, d'une valeur initiale de 36,5 millions de dollars. Après un échec des négociations entre l'équipe du projet et les hackers, ces derniers ont ensuite forgé 15,9 milliards de jetons PLA, d'une valeur de 253,9 millions de dollars. Après que certains jetons ont été échangés sur des plateformes de trading, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers le contrat de jetons PDA. Cet événement met en évidence les lacunes des projets blockchain en matière de protection des clés privées et de gestion des situations d'urgence.
3. Le portefeuille multi-signatures de WazirX a été attaqué
Montant de la perte: 235 millions de dollars
Méthodes d'attaque : Attaque réseau et phishing
Le 18 juillet 2024, le portefeuille multi-signatures Safe Wallet de WazirX, la plus grande plateforme de cryptomonnaie en Inde, a été la cible d'une attaque ciblée. Les attaquants ont induit en erreur les signataires multi-signatures par des techniques d'ingénierie sociale pour faire signer une transaction de mise à niveau de contrat, puis ont utilisé les droits du contrat mis à niveau pour transférer tous les actifs du portefeuille. Cette affaire met en évidence les risques potentiels liés à la configuration des droits et à la transparence des opérations des portefeuilles multi-signatures, et a également suscité une réflexion approfondie au sein de l'industrie sur les mécanismes de contrôle interne et de sécurité des projets.
4. Événement d'augmentation de l'offre de jetons Gala Games
Montant de la perte : 216 millions de dollars
Méthode d'attaque : Vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. L'attaquant a utilisé la fonction mint du contrat de jetons pour frapper en une seule fois 5 milliards de jetons GALA. Par la suite, le hacker a échangé ces jetons par lots contre de l'ETH, causant directement une perte de 216 millions de dollars. L'équipe de Gala Games a rapidement activé la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré les pertes par des voies légales.
5. Le portefeuille personnel du cofondateur de Ripple a été volé
Montant de la perte: 112 millions de dollars
Méthode d'attaque : Fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels de Chris Larsen, cofondateur de Ripple, ont été piratés, entraînant le vol de 112 millions de dollars d'XRP. Ces portefeuilles ont été ciblés en raison d'un manque de double protection par des dispositifs matériels. Après l'incident, une plateforme d'échange a réussi à geler 4,2 millions de dollars d'XRP et a aidé Larsen à retracer les actifs volés, mais la plupart des fonds ont déjà été blanchis par le biais d'échanges décentralisés et de services de mélange.
6. Attaque par infiltration interne de Munchables
Montant de la perte : 62,5 millions de dollars
Méthode d'attaque : Attaque d'ingénierie sociale
Le 26 mars 2024, la plateforme de jeux Web3 Munchables, basée sur Blast, a subi une rare attaque par infiltration interne. Les attaquants étaient des hackers nord-coréens déguisés en développeurs de blockchain, qui ont obtenu le code source et les clés sensibles après une longue période de présence discrète. Malgré des pertes énormes, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement met en lumière l'importance de la sécurité de la chaîne d'approvisionnement, notamment pour les projets blockchain qui dépendent de développeurs tiers.
7. Incident de fuite de clé privée de BtcTurk
Montant de la perte : 55 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande bourse de cryptomonnaies de Turquie, BtcTurk, a subi une attaque de fuite de clés privées, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une plateforme de trading, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a approfondi les inquiétudes du marché concernant la gestion des clés privées par les bourses centralisées.
8. Le portefeuille multi-signature de Radiant Capital a été compromis
Montant de la perte : 53 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de l'utilisation d'un mode de vérification de signature à faible seuil de 3/11, les hackers ont réussi à obtenir les clés privées de trois signataires pour initier une signature hors chaîne, transférant ainsi la propriété du contrat du portefeuille à une adresse malveillante, ce qui a finalement conduit au vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et les mécanismes de gouvernance des portefeuilles multi-signatures.
Il est à noter que Radiant Capital a déjà perdu 4,5 millions de dollars en raison d'une faille de contrat avant cette attaque, avec plus de 1900 ETH volés. Cela reflète le fait que les projets Web3 doivent encore améliorer leur niveau d'attention à la sécurité.
9. Attaque par vulnérabilité de contrat de Hedgey Finance
Montant de la perte : 44,7 millions de dollars
Méthode d'attaque: Vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a été victime d'attaques ciblant plusieurs contrats sur la chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour un total de 44,7 millions de dollars de pertes. Cet événement met en évidence l'importance des audits de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. Le portefeuille chaud de l'échange BingX a été piraté
Montant de la perte : 44,7 millions de dollars
Méthode d'attaque: fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud de l'échange BingX a été piraté, impliquant plusieurs chaînes publiques telles qu'Ethereum, BNB Chain, et Tron. Bien que l'échange ait rapidement activé un mécanisme de transfert d'actifs et de gel des retraits, les hackers ont tout de même réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque met en évidence le risque élevé de gestion des portefeuilles chauds des échanges centralisés, incitant l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Les incidents de sécurité sont fréquents en 2024, nous rappelant une fois de plus que le développement de l'industrie de la blockchain dépend d'une protection sécuritaire. Des fuites de clés privées aux vulnérabilités des contrats, des négligences dans la gestion interne aux méthodes d'attaque externes en évolution, chaque incident apporte des leçons profondes. Pour faire face à des menaces d'attaques de plus en plus complexes, toutes les parties prenantes de l'industrie doivent continuer à renforcer les investissements en recherche et développement technologique, en normes de gestion et en prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration de l'industrie et l'innovation technologique, nous construirons ensemble un écosystème blockchain plus sûr, offrant une protection plus fiable aux utilisateurs et aux investisseurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
En 2024, les pertes dues aux incidents de sécurité Web3 s'élèvent à près de 2,5 milliards de dollars, la fuite de la clé privée étant la principale cause.
Top 10 incidents de sécurité dans le domaine du Web3 en 2024
En 2024, l'industrie du Web3 fait face à des défis de sécurité de plus en plus sévères tout en innovant et se développant. Selon les données surveillées par la plateforme, jusqu'à présent, les pertes totales dans le domaine du Web3 en 2024, dues à des attaques de hackers, à des escroqueries et à des projets abandonnés, s'élèvent à 2,491 milliards de dollars.
Ces événements ont non seulement révélé des vulnérabilités techniques dans la gestion des clés privées et des contrats intelligents, mais ont également mis en évidence les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article reviendra sur les dix principaux événements de sécurité Web3 de 2024, à titre de référence pour l'industrie, afin de mieux faire face aux menaces de sécurité futures.
1. Événement DMM Bitcoin
Montant de la perte : 304 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, la célèbre bourse de cryptomonnaies DMM Bitcoin au Japon a subi une attaque majeure. Des hackers ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars de bitcoins et ont rapidement dispersé les fonds volés sur plus de 10 adresses différentes. Cet incident a révélé de graves lacunes dans la gestion des clés privées et la protection de sécurité multicouche de cette bourse.
Bien que l'échange ait tenté de suivre les hackers grâce à la surveillance on-chain et au gel des fonds, les bitcoins volés ont été dispersés et blanchis par des outils de mixage, rendant la traçabilité beaucoup plus difficile. Le 24 décembre, la police japonaise a confirmé que l'incident avait été perpétré par le groupe de hackers nord-coréen Lazarus.
2. Événement d'attaque PlayDapp
Montant de la perte : 290 millions de dollars Méthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur. Des hackers ont réussi à forger 2 milliards de jetons PLA en volant une clé privée, d'une valeur initiale de 36,5 millions de dollars. Après un échec des négociations entre l'équipe du projet et les hackers, ces derniers ont ensuite forgé 15,9 milliards de jetons PLA, d'une valeur de 253,9 millions de dollars. Après que certains jetons ont été échangés sur des plateformes de trading, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers le contrat de jetons PDA. Cet événement met en évidence les lacunes des projets blockchain en matière de protection des clés privées et de gestion des situations d'urgence.
3. Le portefeuille multi-signatures de WazirX a été attaqué
Montant de la perte: 235 millions de dollars Méthodes d'attaque : Attaque réseau et phishing
Le 18 juillet 2024, le portefeuille multi-signatures Safe Wallet de WazirX, la plus grande plateforme de cryptomonnaie en Inde, a été la cible d'une attaque ciblée. Les attaquants ont induit en erreur les signataires multi-signatures par des techniques d'ingénierie sociale pour faire signer une transaction de mise à niveau de contrat, puis ont utilisé les droits du contrat mis à niveau pour transférer tous les actifs du portefeuille. Cette affaire met en évidence les risques potentiels liés à la configuration des droits et à la transparence des opérations des portefeuilles multi-signatures, et a également suscité une réflexion approfondie au sein de l'industrie sur les mécanismes de contrôle interne et de sécurité des projets.
4. Événement d'augmentation de l'offre de jetons Gala Games
Montant de la perte : 216 millions de dollars Méthode d'attaque : Vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. L'attaquant a utilisé la fonction mint du contrat de jetons pour frapper en une seule fois 5 milliards de jetons GALA. Par la suite, le hacker a échangé ces jetons par lots contre de l'ETH, causant directement une perte de 216 millions de dollars. L'équipe de Gala Games a rapidement activé la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré les pertes par des voies légales.
5. Le portefeuille personnel du cofondateur de Ripple a été volé
Montant de la perte: 112 millions de dollars Méthode d'attaque : Fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels de Chris Larsen, cofondateur de Ripple, ont été piratés, entraînant le vol de 112 millions de dollars d'XRP. Ces portefeuilles ont été ciblés en raison d'un manque de double protection par des dispositifs matériels. Après l'incident, une plateforme d'échange a réussi à geler 4,2 millions de dollars d'XRP et a aidé Larsen à retracer les actifs volés, mais la plupart des fonds ont déjà été blanchis par le biais d'échanges décentralisés et de services de mélange.
6. Attaque par infiltration interne de Munchables
Montant de la perte : 62,5 millions de dollars Méthode d'attaque : Attaque d'ingénierie sociale
Le 26 mars 2024, la plateforme de jeux Web3 Munchables, basée sur Blast, a subi une rare attaque par infiltration interne. Les attaquants étaient des hackers nord-coréens déguisés en développeurs de blockchain, qui ont obtenu le code source et les clés sensibles après une longue période de présence discrète. Malgré des pertes énormes, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement met en lumière l'importance de la sécurité de la chaîne d'approvisionnement, notamment pour les projets blockchain qui dépendent de développeurs tiers.
7. Incident de fuite de clé privée de BtcTurk
Montant de la perte : 55 millions de dollars Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande bourse de cryptomonnaies de Turquie, BtcTurk, a subi une attaque de fuite de clés privées, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une plateforme de trading, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a approfondi les inquiétudes du marché concernant la gestion des clés privées par les bourses centralisées.
8. Le portefeuille multi-signature de Radiant Capital a été compromis
Montant de la perte : 53 millions de dollars Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de l'utilisation d'un mode de vérification de signature à faible seuil de 3/11, les hackers ont réussi à obtenir les clés privées de trois signataires pour initier une signature hors chaîne, transférant ainsi la propriété du contrat du portefeuille à une adresse malveillante, ce qui a finalement conduit au vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et les mécanismes de gouvernance des portefeuilles multi-signatures.
Il est à noter que Radiant Capital a déjà perdu 4,5 millions de dollars en raison d'une faille de contrat avant cette attaque, avec plus de 1900 ETH volés. Cela reflète le fait que les projets Web3 doivent encore améliorer leur niveau d'attention à la sécurité.
9. Attaque par vulnérabilité de contrat de Hedgey Finance
Montant de la perte : 44,7 millions de dollars Méthode d'attaque: Vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a été victime d'attaques ciblant plusieurs contrats sur la chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour un total de 44,7 millions de dollars de pertes. Cet événement met en évidence l'importance des audits de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. Le portefeuille chaud de l'échange BingX a été piraté
Montant de la perte : 44,7 millions de dollars Méthode d'attaque: fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud de l'échange BingX a été piraté, impliquant plusieurs chaînes publiques telles qu'Ethereum, BNB Chain, et Tron. Bien que l'échange ait rapidement activé un mécanisme de transfert d'actifs et de gel des retraits, les hackers ont tout de même réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque met en évidence le risque élevé de gestion des portefeuilles chauds des échanges centralisés, incitant l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Les incidents de sécurité sont fréquents en 2024, nous rappelant une fois de plus que le développement de l'industrie de la blockchain dépend d'une protection sécuritaire. Des fuites de clés privées aux vulnérabilités des contrats, des négligences dans la gestion interne aux méthodes d'attaque externes en évolution, chaque incident apporte des leçons profondes. Pour faire face à des menaces d'attaques de plus en plus complexes, toutes les parties prenantes de l'industrie doivent continuer à renforcer les investissements en recherche et développement technologique, en normes de gestion et en prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration de l'industrie et l'innovation technologique, nous construirons ensemble un écosystème blockchain plus sûr, offrant une protection plus fiable aux utilisateurs et aux investisseurs.