- Rubrique
88k Popularité
41k Popularité
14k Popularité
4k Popularité
5k Popularité
29k Popularité
16k Popularité
22k Popularité
13k Popularité
3k Popularité
- Épingler
88k Popularité
41k Popularité
14k Popularité
4k Popularité
5k Popularité
29k Popularité
16k Popularité
22k Popularité
13k Popularité
3k Popularité
Retour sur les dix principaux événements de sécurité Web3 en 2024 : pertes s'élevant à 2,491 milliards de dollars.
Récapitulatif des événements de sécurité Web3 en 2024 : Analyse des dix principales attaques
En 2024, l'industrie de la blockchain, tout en innovant technologiquement et en élargissant son écosystème, fait également face à des défis de sécurité de plus en plus sévères. Selon les statistiques, à la fin de l'année, les pertes totales dans le domaine du Web3 dues aux attaques de hackers, aux arnaques de phishing et aux projets qui disparaissent atteignent 2,491 milliards de dollars. Ces événements ont non seulement révélé des défauts techniques en matière de gestion des clés privées et de contrats intelligents, mais ont également mis en lumière les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article examinera les dix principaux événements de sécurité du Web3 en 2024, afin que l'industrie puisse tirer des leçons et mieux faire face aux menaces de sécurité à venir.
1. DMM Bitcoin
Montant de la perte : 304 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, la célèbre bourse de cryptomonnaies japonaise DMM Bitcoin a subi une attaque majeure. Des hackers ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars en bitcoins et ont rapidement dispersé les fonds volés sur plus d'une dizaine d'adresses différentes. Cet incident a révélé de graves failles dans la gestion des clés privées et les mesures de sécurité multilayer de l'échange. Bien que l'échange ait mis en place des mesures de surveillance en chaîne et de gel des fonds, le suivi s'est heurté à d'énormes défis en raison de l'utilisation d'outils de mélange par les hackers.
À la fin de l'année, la police japonaise a confirmé que cet incident avait été perpétré par le groupe de hackers nord-coréen Lazarus.
2. PlayDapp
Montant de la perte : 290 millions de dollars Méthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi une attaque sévère. Des hackers ont volé des clés privées pour frapper 2 milliards de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. En raison d'un échec des négociations entre l'équipe de projet et les hackers, ces derniers ont frappé en peu de temps 15,9 milliards de jetons PLA, d'une valeur de 253,9 millions de dollars. Après que certains jetons aient été échangés sur des plateformes, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jeton. Cet incident met en évidence les lacunes des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. Une plateforme d'échange de cryptomonnaies en Inde
Montant de la perte : 235 millions de dollars Méthodes d'attaque : attaques réseau et phishing
Le 18 juillet 2024, le portefeuille multi-signatures Safe Wallet de la plus grande bourse de cryptomonnaies en Inde a été la cible d'une attaque ciblée. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires multi-signatures à signer une transaction de mise à niveau de contrat, puis ont utilisé les droits du contrat mis à niveau pour transférer des actifs du portefeuille. Cette affaire met en lumière les risques potentiels des portefeuilles multi-signatures en matière de configuration de gestion des droits et de transparence des opérations, et suscite une réflexion approfondie sur les mécanismes internes de gestion des risques et de sécurité au sein de l'industrie.
4. Gala Games
Montant de la perte : 216 millions de dollars Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. L'attaquant a appelé la fonction mint dans le contrat de jeton, créant en une seule fois 5 milliards de jetons GALA. Par la suite, le hacker a échangé les jetons émis par phases contre de l'ETH, entraînant une perte directe de 216 millions de dollars. L'équipe de Gala Games a rapidement activé la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré une partie de ses pertes par voie légale.
5. Portefeuille personnel du co-fondateur de Ripple
Montant de la perte : 112 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels de Chris Larsen, cofondateur de Ripple, ont été piratés, entraînant le vol de 112 millions de dollars de XRP. Ces portefeuilles sont devenus des cibles d'attaque en raison du manque de protection par double authentification matérielle. Après l'incident, une plateforme d'échange a réussi à geler des XRP d'une valeur de 4,2 millions de dollars et a aidé à tracer les actifs volés, mais la plupart des fonds ont été blanchis via des échanges décentralisés et des services de mixage.
6. Munchables
Montant de la perte : 62,5 millions de dollars Méthode d'attaque : attaque par ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une rare attaque d'infiltration interne. Les attaquants se sont déguisés en développeurs de blockchain et ont obtenu le code source et des clés sensibles après une longue période de présence discrète. Bien que cela ait entraîné d'énormes pertes, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement met en lumière l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets de blockchain dépendant de développeurs tiers.
7. Une bourse de cryptomonnaies en Turquie
Montant de la perte : 55 millions de dollars américains Méthode d'attaque : fuite de la clé privée
Le 22 juin 2024, la plus grande bourse de cryptomonnaies de Turquie a été victime d'une attaque par fuite de clés privées, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une plateforme d'échange, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a renforcé les inquiétudes du marché concernant la gestion des clés privées par les bourses centralisées.
8. Radiant Capital
Montant de la perte : 53 millions de dollars Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de l'utilisation d'un modèle de validation de signature à faible seuil de 3/11, le pirate a réussi à initier une signature hors chaîne en contrôlant les clés privées de 3 signataires, transférant ainsi la propriété du contrat de portefeuille à une adresse malveillante, ce qui a finalement entraîné le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multi-signatures.
Il convient de noter que Radiant Capital a déjà perdu 4,5 millions de dollars en raison d'une vulnérabilité dans son contrat, avec plus de 1900 ETH volés, ce qui met en évidence le manque de diligence des développeurs en matière de sécurité.
9. Hedgey Finance
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a été victime d'attaques ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans leur contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour un montant total de pertes s'élevant à 44,7 millions de dollars. Cet événement souligne l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. Une plateforme d'échange de cryptomonnaies
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud d'une plateforme d'échange a été piraté, impliquant plusieurs blockchains publiques telles qu'Ethereum, BNB Chain et Tron. Bien que l'échange ait rapidement déclenché des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le haut niveau de risque associé à la gestion des portefeuilles chauds des échanges centralisés et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Les événements de sécurité fréquents en 2024 nous rappellent à nouveau que le développement de l'industrie de la blockchain ne peut se faire sans garanties de sécurité. Des fuites de clés privées aux vulnérabilités des contrats, des erreurs de gestion interne aux méthodes d'attaque externes de plus en plus sophistiquées, chaque incident apporte des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties de l'industrie doivent continuer à renforcer leurs investissements dans la recherche technique, les normes de gestion et le contrôle des risques. À l'avenir, nous espérons qu'à travers la collaboration sectorielle et l'innovation technologique, nous pourrons construire un écosystème blockchain plus sûr, offrant des garanties plus fiables aux utilisateurs et aux investisseurs.