Les dix principaux incidents de sécurité Web3 de 2024 ont entraîné des pertes de près de 2,5 milliards de dollars, DMM Bitcoin étant en tête avec une attaque de 300 millions de dollars.
Bilan des dix principaux événements de sécurité Web3 de 2024
En 2024, l'industrie de la blockchain fait face à des défis de sécurité de plus en plus sévères dans le processus d'innovation technologique et d'expansion écologique. Selon les données de la plateforme de surveillance de la sécurité, à ce jour, les pertes totales dans le domaine du Web3 en 2024, en raison d'attaques de hackers, d'escroqueries par phishing et de projets abandonnés, s'élèvent à 2,491 milliards de dollars.
Ces événements ont non seulement mis en évidence les vulnérabilités techniques telles que la gestion des clés privées et les contrats intelligents, mais ont également souligné les risques potentiels des attaques par ingénierie sociale et de la gestion interne. Cet article examinera les dix événements de sécurité les plus influents dans le domaine du Web3 en 2024, dans l'espoir que l'industrie puisse en tirer des leçons et mieux faire face aux menaces de sécurité futures.
1. DMM Bitcoin
Montant de la perte : 304 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, la célèbre bourse de cryptomonnaies japonaise DMM Bitcoin a subi un grave incident de sécurité. Les attaquants ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars de Bitcoin, et ont rapidement dispersé les fonds volés sur plus de 10 adresses différentes. Cet incident a révélé des défauts majeurs dans la gestion des clés privées et la protection de sécurité multicouche de la bourse. Bien que la bourse ait tenté de suivre les hackers en surveillant la chaîne et en gelant les fonds, la récupération a été confrontée à de grands défis en raison de la dispersion rapide des Bitcoins volés et de leur nettoyage à l'aide d'outils de mixage.
Le 24 décembre, la police japonaise a confirmé que cette attaque avait été menée par le groupe de hackers nord-coréen Lazarus.
2. PlayDapp
Montant de la perte : 290 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur. Des hackers ont volé une clé privée pour frapper 2 milliards de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. En raison de l'échec des négociations avec les hackers, les attaquants ont frappé rapidement 15,9 milliards de jetons PLA supplémentaires, d'une valeur de 253,9 millions de dollars. Une partie des jetons volés étant arrivée sur les échanges, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jetons PDA. Cet événement met en évidence les lacunes des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. Un échange de cryptomonnaies indien
Montant de la perte : 235 millions de dollars
Méthodes d'attaque : attaques en ligne et phishing
Le 18 juillet 2024, le portefeuille multi-signatures Safe Wallet de la plus grande bourse de cryptomonnaies d'Inde a été attaqué de manière ciblée. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires multi-signatures à signer une transaction de mise à niveau de contrat, puis ont utilisé les autorisations du contrat mis à niveau pour vider les actifs du portefeuille. Cette affaire met en évidence les risques potentiels des portefeuilles multi-signatures en ce qui concerne la gestion des configurations de droits et la transparence des opérations, et a également suscité une réflexion approfondie dans l'industrie sur les mécanismes de contrôle interne et de sécurité des projets.
4. Gala Games
Montant de la perte : 216 millions de dollars
Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. L'attaquant a réussi à appeler la fonction mint dans le contrat de jeton, créant ainsi 5 milliards de jetons GALA en une seule fois. Par la suite, le pirate a échangé les jetons émis en plusieurs transactions contre de l'ETH, entraînant une perte directe de 216 millions de dollars. L'équipe de Gala Games a rapidement activé la fonction de liste noire pour bloquer certains comptes de pirates et a récupéré une partie des pertes par voie légale.
5. Le portefeuille personnel du cofondateur de Ripple a été volé
Montant de la perte : 112 millions de dollars américains
Méthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels de Chris Larsen, co-fondateur de Ripple, ont été piratés, entraînant le vol de 112 millions de dollars d'XRP. Ces portefeuilles semblent avoir été la cible de l'attaque en raison du manque de double protection par matériel. Après l'incident, une bourse a réussi à geler 4,2 millions de dollars d'XRP et a aidé Larsen à suivre les actifs volés, mais la plupart des fonds ont déjà été blanchis via des échanges décentralisés et des services de mixage.
6. Munchables
Montant de la perte : 62,5 millions de dollars
Méthode d'attaque : attaque d'ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une rare attaque de pénétration interne. Les attaquants étaient des hackers déguisés en développeurs de blockchain, qui avaient obtenu le code source et des clés sensibles après une longue infiltration. Bien que l'attaque ait entraîné d'énormes pertes, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement a révélé l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets de blockchain dépendant de développeurs tiers.
7. Un échange de cryptomonnaie turc
Montant de la perte : 55 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande plateforme d'échange de cryptomonnaies en Turquie a subi une attaque de fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide de l'équipe d'un certain échange, 5,3 millions de dollars de fonds volés ont été réussis à geler, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a approfondi les inquiétudes du marché concernant la gestion des clés privées par les échanges centralisés.
8. Radiant Capital
Montant de la perte : 53 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de son modèle de validation de signature 3/11 à faible seuil, le hacker a réussi à contrôler les clés privées de 3 signataires pour initier une signature hors chaîne, transférant ainsi la propriété du contrat du portefeuille à une adresse malveillante, entraînant finalement le vol de 53 millions de dollars. Cette attaque a suscité une réflexion au sein de l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multi-signatures.
Il est à noter que Radiant Capital a perdu 4,5 millions de dollars en raison d'un défaut de contrat avant cette attaque, avec plus de 1900 ETH volés. Cela souligne une fois de plus la nécessité pour les projets Web3 d'accroître leur attention à la sécurité.
9. Hedgey Finance
Montant de la perte : 44,7 millions de dollars
Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des jetons sur les chaînes Ethereum et Arbitrum, pour un montant total de 44,7 millions de dollars. Cet événement souligne l'importance de l'audit de code, en particulier la validation rigoureuse de la logique d'approbation des jetons.
10. Un portefeuille chaud d'une plateforme d'échange de cryptomonnaies a été volé
Montant de la perte : 44,7 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud d'une bourse de cryptomonnaies a été piraté, impliquant plusieurs chaînes, y compris Ethereum, BNB Chain, Tron et d'autres chaînes publiques. Bien que la bourse ait rapidement mis en place un mécanisme de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le haut degré de risque associé à la gestion des portefeuilles chauds des bourses centralisées et incite davantage l'industrie à explorer des solutions de stockage d'actifs plus sécurisées.
Les attaques de sécurité fréquentes de 2024 nous rappellent une fois de plus que le développement de l'industrie de la blockchain dépend d'une protection sécurisée. Des fuites de clés privées aux vulnérabilités des contrats, des négligences de gestion interne aux méthodes d'attaque externes en constante évolution, chaque incident a apporté des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties prenantes de l'industrie doivent continuer à renforcer leurs investissements dans la recherche et le développement technologique, les normes de gestion et le contrôle des risques. À l'avenir, nous espérons qu'à travers la collaboration sectorielle et l'innovation technologique, nous pourrons établir ensemble un écosystème blockchain plus sûr, offrant une protection plus fiable aux utilisateurs et aux investisseurs.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
11 J'aime
Récompense
11
5
Partager
Commentaire
0/400
GasBandit
· Il y a 22h
Hacker vraiment capable de faire des choses
Voir l'originalRépondre0
Ser_APY_2000
· Il y a 22h
Une autre année de pertes record
Voir l'originalRépondre0
LadderToolGuy
· Il y a 22h
Encore une vague de préambule à un grand bull run
Voir l'originalRépondre0
MetaverseLandlord
· Il y a 22h
Il est urgent de renforcer les mesures de sécurité.
Les dix principaux incidents de sécurité Web3 de 2024 ont entraîné des pertes de près de 2,5 milliards de dollars, DMM Bitcoin étant en tête avec une attaque de 300 millions de dollars.
Bilan des dix principaux événements de sécurité Web3 de 2024
En 2024, l'industrie de la blockchain fait face à des défis de sécurité de plus en plus sévères dans le processus d'innovation technologique et d'expansion écologique. Selon les données de la plateforme de surveillance de la sécurité, à ce jour, les pertes totales dans le domaine du Web3 en 2024, en raison d'attaques de hackers, d'escroqueries par phishing et de projets abandonnés, s'élèvent à 2,491 milliards de dollars.
Ces événements ont non seulement mis en évidence les vulnérabilités techniques telles que la gestion des clés privées et les contrats intelligents, mais ont également souligné les risques potentiels des attaques par ingénierie sociale et de la gestion interne. Cet article examinera les dix événements de sécurité les plus influents dans le domaine du Web3 en 2024, dans l'espoir que l'industrie puisse en tirer des leçons et mieux faire face aux menaces de sécurité futures.
1. DMM Bitcoin
Montant de la perte : 304 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, la célèbre bourse de cryptomonnaies japonaise DMM Bitcoin a subi un grave incident de sécurité. Les attaquants ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars de Bitcoin, et ont rapidement dispersé les fonds volés sur plus de 10 adresses différentes. Cet incident a révélé des défauts majeurs dans la gestion des clés privées et la protection de sécurité multicouche de la bourse. Bien que la bourse ait tenté de suivre les hackers en surveillant la chaîne et en gelant les fonds, la récupération a été confrontée à de grands défis en raison de la dispersion rapide des Bitcoins volés et de leur nettoyage à l'aide d'outils de mixage.
Le 24 décembre, la police japonaise a confirmé que cette attaque avait été menée par le groupe de hackers nord-coréen Lazarus.
2. PlayDapp
Montant de la perte : 290 millions de dollars Méthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur. Des hackers ont volé une clé privée pour frapper 2 milliards de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. En raison de l'échec des négociations avec les hackers, les attaquants ont frappé rapidement 15,9 milliards de jetons PLA supplémentaires, d'une valeur de 253,9 millions de dollars. Une partie des jetons volés étant arrivée sur les échanges, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jetons PDA. Cet événement met en évidence les lacunes des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. Un échange de cryptomonnaies indien
Montant de la perte : 235 millions de dollars Méthodes d'attaque : attaques en ligne et phishing
Le 18 juillet 2024, le portefeuille multi-signatures Safe Wallet de la plus grande bourse de cryptomonnaies d'Inde a été attaqué de manière ciblée. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires multi-signatures à signer une transaction de mise à niveau de contrat, puis ont utilisé les autorisations du contrat mis à niveau pour vider les actifs du portefeuille. Cette affaire met en évidence les risques potentiels des portefeuilles multi-signatures en ce qui concerne la gestion des configurations de droits et la transparence des opérations, et a également suscité une réflexion approfondie dans l'industrie sur les mécanismes de contrôle interne et de sécurité des projets.
4. Gala Games
Montant de la perte : 216 millions de dollars Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. L'attaquant a réussi à appeler la fonction mint dans le contrat de jeton, créant ainsi 5 milliards de jetons GALA en une seule fois. Par la suite, le pirate a échangé les jetons émis en plusieurs transactions contre de l'ETH, entraînant une perte directe de 216 millions de dollars. L'équipe de Gala Games a rapidement activé la fonction de liste noire pour bloquer certains comptes de pirates et a récupéré une partie des pertes par voie légale.
5. Le portefeuille personnel du cofondateur de Ripple a été volé
Montant de la perte : 112 millions de dollars américains Méthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels de Chris Larsen, co-fondateur de Ripple, ont été piratés, entraînant le vol de 112 millions de dollars d'XRP. Ces portefeuilles semblent avoir été la cible de l'attaque en raison du manque de double protection par matériel. Après l'incident, une bourse a réussi à geler 4,2 millions de dollars d'XRP et a aidé Larsen à suivre les actifs volés, mais la plupart des fonds ont déjà été blanchis via des échanges décentralisés et des services de mixage.
6. Munchables
Montant de la perte : 62,5 millions de dollars Méthode d'attaque : attaque d'ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une rare attaque de pénétration interne. Les attaquants étaient des hackers déguisés en développeurs de blockchain, qui avaient obtenu le code source et des clés sensibles après une longue infiltration. Bien que l'attaque ait entraîné d'énormes pertes, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement a révélé l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets de blockchain dépendant de développeurs tiers.
7. Un échange de cryptomonnaie turc
Montant de la perte : 55 millions de dollars Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande plateforme d'échange de cryptomonnaies en Turquie a subi une attaque de fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide de l'équipe d'un certain échange, 5,3 millions de dollars de fonds volés ont été réussis à geler, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a approfondi les inquiétudes du marché concernant la gestion des clés privées par les échanges centralisés.
8. Radiant Capital
Montant de la perte : 53 millions de dollars Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de son modèle de validation de signature 3/11 à faible seuil, le hacker a réussi à contrôler les clés privées de 3 signataires pour initier une signature hors chaîne, transférant ainsi la propriété du contrat du portefeuille à une adresse malveillante, entraînant finalement le vol de 53 millions de dollars. Cette attaque a suscité une réflexion au sein de l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multi-signatures.
Il est à noter que Radiant Capital a perdu 4,5 millions de dollars en raison d'un défaut de contrat avant cette attaque, avec plus de 1900 ETH volés. Cela souligne une fois de plus la nécessité pour les projets Web3 d'accroître leur attention à la sécurité.
9. Hedgey Finance
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des jetons sur les chaînes Ethereum et Arbitrum, pour un montant total de 44,7 millions de dollars. Cet événement souligne l'importance de l'audit de code, en particulier la validation rigoureuse de la logique d'approbation des jetons.
10. Un portefeuille chaud d'une plateforme d'échange de cryptomonnaies a été volé
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud d'une bourse de cryptomonnaies a été piraté, impliquant plusieurs chaînes, y compris Ethereum, BNB Chain, Tron et d'autres chaînes publiques. Bien que la bourse ait rapidement mis en place un mécanisme de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le haut degré de risque associé à la gestion des portefeuilles chauds des bourses centralisées et incite davantage l'industrie à explorer des solutions de stockage d'actifs plus sécurisées.
Les attaques de sécurité fréquentes de 2024 nous rappellent une fois de plus que le développement de l'industrie de la blockchain dépend d'une protection sécurisée. Des fuites de clés privées aux vulnérabilités des contrats, des négligences de gestion interne aux méthodes d'attaque externes en constante évolution, chaque incident a apporté des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties prenantes de l'industrie doivent continuer à renforcer leurs investissements dans la recherche et le développement technologique, les normes de gestion et le contrôle des risques. À l'avenir, nous espérons qu'à travers la collaboration sectorielle et l'innovation technologique, nous pourrons établir ensemble un écosystème blockchain plus sûr, offrant une protection plus fiable aux utilisateurs et aux investisseurs.