Rétrospective des événements de sécurité Web3 de 2024 : dix cas d'attaques et leurs enseignements

En 2024, l'industrie de la blockchain, tout en innovant technologiquement et en élargissant son écosystème, fait également face à des défis de sécurité de plus en plus sévères. Selon les données de surveillance, à la fin de l'année, les pertes totales dans le domaine du Web3 dues aux attaques de hackers, aux escroqueries par phishing et aux projets abandonnés s'élèvent à 2,491 milliards de dollars.

Ces événements ont non seulement révélé des vulnérabilités techniques dans la gestion des clés privées, les contrats intelligents, etc., mais ont également mis en évidence des risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article passera en revue les dix principaux événements de sécurité Web3 de 2024, dans l'espoir que l'industrie en tire des leçons pour mieux faire face aux menaces de sécurité à l'avenir.

1. DMM Bitcoin : une fuite de clé privée entraîne une perte de 304 millions de dollars.

Le 31 mai 2024, la célèbre plateforme d'échange de cryptomonnaies japonaise DMM Bitcoin a subi un grave incident de sécurité. Les attaquants ont utilisé des clés privées divulguées pour transférer directement des bitcoins d'une valeur de plus de 300 millions de dollars, et ont rapidement dispersé les fonds volés sur plusieurs adresses différentes. Cette attaque a révélé de graves lacunes dans la gestion des clés privées et les mesures de sécurité multilayer de cette plateforme.

Bien que l'échange essaie de traquer les hackers par le biais de la surveillance en chaîne et du gel des fonds, le suivi est confronté à d'énormes défis en raison de la dispersion et du nettoyage des Bitcoins volés à l'aide d'outils de mixage. À la fin de l'année, la police japonaise a confirmé que cet incident avait été orchestré par le groupe de hackers nord-coréen Lazarus Group.

2. PlayDapp : une perte de 290 millions de dollars due à la fuite de clés privées

Le 9 février 2024, PlayDapp a subi un coup dur. Des hackers ont volé des clés privées pour frapper 2 milliards de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. En raison de l'échec des négociations entre l'équipe du projet et les hackers, ces derniers ont rapidement frappé 15,9 milliards de jetons PLA supplémentaires, d'une valeur de 253,9 millions de dollars. Après que certains jetons ont afflué sur les échanges, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jetons. Cet événement met en lumière les insuffisances des projets blockchain en matière de protection des clés privées et de gestion des urgences.

3. Une bourse indienne : une attaque d'ingénierie sociale entraîne une perte de 235 millions de dollars

Le 18 juillet 2024, le portefeuille multi-signature Safe Wallet de la plus grande bourse de cryptomonnaies en Inde a été victime d'une attaque ciblée par des hackers. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires du multi-signature à signer une transaction de mise à niveau de contrat, puis ont utilisé les droits d'autorisation du contrat mis à jour pour transférer tous les actifs du portefeuille. Cette affaire a révélé les risques potentiels liés à la configuration des droits de gestion et à la transparence des opérations des portefeuilles multi-signatures, suscitant également une réflexion approfondie dans l'industrie sur les mécanismes de contrôle interne et de sécurité des projets.

4. Gala Games : Une vulnérabilité de contrôle d'accès a entraîné une perte de 216 millions de dollars

Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. Les attaquants ont réussi à appeler la fonction mint dans le contrat de jeton, mintant ainsi 5 milliards de jetons GALA en une seule fois. Par la suite, les pirates ont échangé ces jetons par lots contre de l'ETH, entraînant une perte directe de 216 millions de dollars. L'équipe de Gala Games a activé d'urgence la fonction de liste noire pour bloquer certains comptes de pirates après l'incident et a récupéré une partie des pertes par voie légale.

5. Co-fondateur de Ripple : la fuite de la clé privée a entraîné le vol de 112 millions de dollars XRP

Le 31 janvier 2024, quatre portefeuilles personnels du cofondateur de Ripple ont été piratés, entraînant le vol de 112 millions de dollars d'XRP. Ces portefeuilles sont devenus des cibles d'attaque en raison du manque de protection par double authentification avec des dispositifs matériels. Après l'incident, une certaine bourse a réussi à geler 4,2 millions de dollars d'XRP et a aidé à tracer les actifs volés, mais la majeure partie des fonds a déjà été blanchie via des échanges décentralisés et des services de mixage.

6. Munchables : une attaque par infiltration interne a entraîné une perte de 62,5 millions de dollars

Le 26 mars 2024, la plateforme de jeu Web3 basée sur Blast, Munchables, a subi une rare attaque d'infiltration interne. Les attaquants, des hackers déguisés en développeurs de blockchain, ont réussi à obtenir le code source et des clés sensibles après une longue période de surveillance. Bien que l'attaque ait causé d'énormes pertes, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement met en lumière l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain qui dépendent de développeurs tiers.

7. Un échange turc : une fuite de clé privée entraîne une perte de 55 millions de dollars

Le 22 juin 2024, la plus grande bourse de cryptomonnaies de Turquie a été victime d'une attaque de fuite de clés privées, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide de l'équipe d'une certaine bourse, 5,3 millions de dollars des fonds volés ont été réussis à être gelés, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a intensifié les inquiétudes du marché concernant la gestion des clés privées par les bourses centralisées.

8. Radiant Capital : Une violation de portefeuille multi-signature a entraîné une perte de 53 millions de dollars

Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de son utilisation d'un mode de vérification de signature 3/11 à faible seuil, le pirate a pu initier une signature hors chaîne en maîtrisant les clés privées de 3 signataires, transférant ainsi la propriété du contrat de portefeuille à une adresse malveillante, ce qui a finalement entraîné le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multi-signatures.

Il convient de noter que Radiant Capital avait déjà perdu 4,5 millions de dollars en raison d'une vulnérabilité de contrat avant cette attaque, avec plus de 1900 ETH volés. Cela prouve une fois de plus que les projets Web3 doivent encore améliorer leur attention à la sécurité.

9. Hedgey Finance : Perte de 44,7 millions de dollars due à une vulnérabilité de contrat

Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des jetons sur les chaînes Ethereum et Arbitrum, pour un montant total de pertes atteignant 44,7 millions de dollars. Cet incident souligne l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des jetons.

10. Une plateforme de trading : le portefeuille chaud a été piraté, entraînant une perte de 44,7 millions de dollars.

Le 19 septembre 2024, le portefeuille chaud d'une plateforme d'échange a été piraté, impliquant plusieurs chaînes publiques, y compris Ethereum, BNB Chain, Tron, etc. Bien que l'échange ait rapidement activé les mécanismes de transfert d'actifs et de gel des retraits, les pirates ont réussi à retirer des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le haut niveau de risque associé à la gestion des portefeuilles chauds des échanges centralisés et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sécurisées.

Conclusion

Les attaques de sécurité fréquentes en 2024 nous rappellent à nouveau que le développement de l'industrie de la blockchain ne peut se faire sans une protection sécurisée. De la fuite de clés privées aux vulnérabilités des contrats, des négligences dans la gestion interne aux méthodes d'attaque externes en évolution, chaque incident a apporté des leçons profondes. Pour faire face à la menace d'attaques de plus en plus complexes, toutes les parties prenantes de l'industrie doivent continuer à renforcer leurs investissements dans la recherche et le développement technologique, les normes de gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration de l'industrie et l'innovation technologique, nous pourrons établir ensemble un écosystème blockchain plus sûr, offrant ainsi une protection plus fiable pour les utilisateurs et les investisseurs.