Revue des incidents de sécurité Web3 en 2024 : Analyse des dix principales attaques
En 2024, l'industrie de la blockchain fait face à des défis de sécurité de plus en plus sévères tout en innovant techniquement et en élargissant son écosystème. Selon les données d'une plateforme de surveillance de la sécurité, à la fin de l'année, les pertes totales dans le domaine du Web3 dues à des attaques de hackers, des escroqueries par phishing et des projets abandonnés s'élèvent à 2,491 milliards de dollars.
Ces événements révèlent non seulement des défauts techniques tels que la gestion des clés privées et les vulnérabilités des contrats intelligents, mais mettent également en lumière les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article dressera un bilan des dix principaux événements de sécurité Web3 de 2024, dans l'espoir d'en tirer des leçons pour fournir des références pour la sécurité future de l'industrie.
1. Événement DMM Bitcoin
Montant de la perte : 304 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, la célèbre plateforme d'échange de cryptomonnaies japonaise DMM Bitcoin a subi un grave incident de sécurité. Les attaquants ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars de Bitcoin, et ont rapidement dispersé les fonds volés sur plus de 10 adresses différentes. Cette attaque a révélé de graves vulnérabilités dans la gestion des clés privées et les mesures de sécurité à plusieurs niveaux de la plateforme.
Bien que la bourse ait tenté de suivre les hackers en surveillant la chaîne et en gelant les fonds, le travail de récupération fait face à de grands défis car le Bitcoin volé a été rapidement dispersé et lavé à l'aide d'outils de mixage. À la fin de l'année, les autorités locales ont déterminé que cette attaque avait été menée par un certain groupe de hackers international.
2. PlayDapp fait face à une surémission de jetons
Montant de la perte : 290 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 9 février 2024, le projet PlayDapp a subi un coup dur. Des hackers ont illégalement frappé 2 milliards de jetons PLA en obtenant la clé privée, d'une valeur initiale de 36,5 millions de dollars. En raison d'un échec des négociations entre l'équipe du projet et les hackers, les attaquants ont frappé en peu de temps 15,9 milliards de jetons PLA supplémentaires, portant la valeur totale à 253,9 millions de dollars. Après que certains jetons aient été échangés sur des plateformes, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jetons. Cet incident met en lumière les insuffisances des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. Une bourse indienne subit une attaque ciblée
Montant de la perte : 235 millions de dollars
Modes d'attaque : attaques en ligne et phishing
Le 18 juillet 2024, un grand échange de cryptomonnaies en Inde a été ciblé par une attaque précise sur son portefeuille multi-signatures. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires multi-signatures à approuver une transaction de mise à niveau de contrat, puis ont profité des autorisations du contrat mis à niveau pour transférer tous les actifs du portefeuille. Cette affaire révèle les risques potentiels liés à la configuration des autorisations et à la transparence des opérations des portefeuilles multi-signatures, et a suscité une réflexion approfondie sur les mécanismes de contrôle interne des projets au sein de l'industrie.
4. Vulnérabilité du contrat de jetons Gala Games
Montant de la perte : 216 millions de dollars
Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. Les attaquants ont appelé la fonction mint dans le contrat de jeton, créant instantanément 5 milliards de jetons GALA. Par la suite, ces jetons créés illégalement ont été échangés par lots contre de l'ETH, entraînant une perte directe de 216 millions de dollars. L'équipe de Gala Games a activé en urgence la fonction de blacklistage pour bloquer certains comptes de hackers et a récupéré une partie des pertes par voie judiciaire.
5. Le portefeuille personnel d'un fondateur d'une célèbre cryptomonnaie a été volé
Montant de la perte : 112 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels d'un cofondateur d'un projet de cryptomonnaie de renom ont été piratés, entraînant le vol de 112 millions de dollars en cryptomonnaies. Ces portefeuilles sont devenus des cibles d'attaque en raison de l'absence de protection par double authentification matérielle. Suite à cet incident, une grande bourse a réussi à geler des actifs volés d'une valeur de 4,2 millions de dollars et a aidé à traquer les fonds restants, mais la plupart des fonds ont déjà été blanchis via des bourses décentralisées et des services de mixing.
6. Munchables fait face à une infiltration interne
Montant de la perte : 62,5 millions de dollars
Méthode d'attaque : attaque d'ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 basée sur Blast, Munchables, a subi une rare attaque interne. Les attaquants se sont déguisés en développeurs de blockchain et ont réussi à accéder au code source et aux clés sensibles après une longue période de surveillance. Malgré les pertes considérables, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement souligne l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets de blockchain dépendant de développeurs tiers.
7. Fuite de clé privée d'un échange turc
Montant de la perte : 55 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, une grande bourse de cryptomonnaies en Turquie a subi une attaque de fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une bourse internationale, environ 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais le reste des actifs n'a pas encore été récupéré. Cet événement a exacerbé les inquiétudes du marché concernant la capacité des bourses centralisées à gérer les clés privées.
8. Le portefeuille multi-signatures de Radiant Capital a été piraté
Montant de la perte : 53 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de l'utilisation d'un mode de validation de signature 3/11 à seuil bas, les pirates ont obtenu les clés privées de 3 signataires pour initier une signature hors chaîne, transférant la propriété du contrat de portefeuille à une adresse malveillante, entraînant finalement le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et les mécanismes de gouvernance des portefeuilles multi-signatures.
Il est à noter que Radiant Capital avait auparavant perdu 4,5 millions de dollars en raison d'une faille de contrat, avec plus de 1900 ETH volés. Cela souligne à nouveau que les projets Web3 doivent encore améliorer leur niveau d'attention à la sécurité.
9. La vulnérabilité des contrats de Hedgey Finance exploitée
Montant de la perte : 44,7 millions de dollars
Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a été victime d'attaques visant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans leur contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour une perte totale de 44,7 millions de dollars. Cet événement souligne l'importance des audits de code, en particulier la validation rigoureuse de la logique d'approbation des tokens.
10. Intrusion dans le portefeuille chaud d'un échange international
Montant de la perte : 44,7 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, un portefeuille chaud d'une bourse internationale renommée a été piraté, impliquant plusieurs chaînes publiques telles qu'Ethereum, BNB Chain et Tron. Bien que la bourse ait rapidement mis en place des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont tout de même réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque met à nouveau en lumière le risque élevé de la gestion des portefeuilles chauds des bourses centralisées, incitant l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Conclusion
Les événements de sécurité fréquents en 2024 nous rappellent à nouveau que le développement sain de l'industrie de la blockchain dépend d'une sécurité adéquate. De la gestion des clés privées aux vulnérabilités des contrats, en passant par la gouvernance interne et l'évolution des méthodes d'attaque externes, chaque incident a sonné l'alarme pour l'industrie. Face à des menaces de sécurité de plus en plus complexes, le secteur doit continuer à renforcer ses investissements dans la recherche et le développement technologique, la normalisation de la gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration sectorielle et l'innovation technologique, nous pourrons construire un écosystème blockchain plus sûr et fiable, offrant une protection plus forte aux utilisateurs et aux investisseurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
15 J'aime
Récompense
15
6
Reposter
Partager
Commentaire
0/400
ETHReserveBank
· 08-08 05:34
2,5 milliards de dollars ont disparu comme ça ?
Voir l'originalRépondre0
ChainComedian
· 08-08 05:34
C'est difficile, trop difficile ! Vingt-cinq milliards viennent de s'envoler.
Voir l'originalRépondre0
SatoshiChallenger
· 08-08 05:34
Hacker année après année, pigeons ne savent pas vieillir, en fin de compte, il n'y a plus rien.
Voir l'originalRépondre0
ExpectationFarmer
· 08-08 05:31
Il faut dire que je cours vite.
Voir l'originalRépondre0
TideReceder
· 08-08 05:06
Quel bon Dieu, cette année on m'a pelé autant de plumes.
Voir l'originalRépondre0
SchrodingerWallet
· 08-08 05:06
L'argent que je dépense est plus que ce que je gagne.
Top 10 événements de sécurité Web3 : Les attaques de hackers en 2024 ont causé des pertes de 2,491 milliards de dollars.
Revue des incidents de sécurité Web3 en 2024 : Analyse des dix principales attaques
En 2024, l'industrie de la blockchain fait face à des défis de sécurité de plus en plus sévères tout en innovant techniquement et en élargissant son écosystème. Selon les données d'une plateforme de surveillance de la sécurité, à la fin de l'année, les pertes totales dans le domaine du Web3 dues à des attaques de hackers, des escroqueries par phishing et des projets abandonnés s'élèvent à 2,491 milliards de dollars.
Ces événements révèlent non seulement des défauts techniques tels que la gestion des clés privées et les vulnérabilités des contrats intelligents, mais mettent également en lumière les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article dressera un bilan des dix principaux événements de sécurité Web3 de 2024, dans l'espoir d'en tirer des leçons pour fournir des références pour la sécurité future de l'industrie.
1. Événement DMM Bitcoin
Montant de la perte : 304 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, la célèbre plateforme d'échange de cryptomonnaies japonaise DMM Bitcoin a subi un grave incident de sécurité. Les attaquants ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars de Bitcoin, et ont rapidement dispersé les fonds volés sur plus de 10 adresses différentes. Cette attaque a révélé de graves vulnérabilités dans la gestion des clés privées et les mesures de sécurité à plusieurs niveaux de la plateforme.
Bien que la bourse ait tenté de suivre les hackers en surveillant la chaîne et en gelant les fonds, le travail de récupération fait face à de grands défis car le Bitcoin volé a été rapidement dispersé et lavé à l'aide d'outils de mixage. À la fin de l'année, les autorités locales ont déterminé que cette attaque avait été menée par un certain groupe de hackers international.
2. PlayDapp fait face à une surémission de jetons
Montant de la perte : 290 millions de dollars Méthode d'attaque : fuite de clé privée
Le 9 février 2024, le projet PlayDapp a subi un coup dur. Des hackers ont illégalement frappé 2 milliards de jetons PLA en obtenant la clé privée, d'une valeur initiale de 36,5 millions de dollars. En raison d'un échec des négociations entre l'équipe du projet et les hackers, les attaquants ont frappé en peu de temps 15,9 milliards de jetons PLA supplémentaires, portant la valeur totale à 253,9 millions de dollars. Après que certains jetons aient été échangés sur des plateformes, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jetons. Cet incident met en lumière les insuffisances des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. Une bourse indienne subit une attaque ciblée
Montant de la perte : 235 millions de dollars Modes d'attaque : attaques en ligne et phishing
Le 18 juillet 2024, un grand échange de cryptomonnaies en Inde a été ciblé par une attaque précise sur son portefeuille multi-signatures. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires multi-signatures à approuver une transaction de mise à niveau de contrat, puis ont profité des autorisations du contrat mis à niveau pour transférer tous les actifs du portefeuille. Cette affaire révèle les risques potentiels liés à la configuration des autorisations et à la transparence des opérations des portefeuilles multi-signatures, et a suscité une réflexion approfondie sur les mécanismes de contrôle interne des projets au sein de l'industrie.
4. Vulnérabilité du contrat de jetons Gala Games
Montant de la perte : 216 millions de dollars Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. Les attaquants ont appelé la fonction mint dans le contrat de jeton, créant instantanément 5 milliards de jetons GALA. Par la suite, ces jetons créés illégalement ont été échangés par lots contre de l'ETH, entraînant une perte directe de 216 millions de dollars. L'équipe de Gala Games a activé en urgence la fonction de blacklistage pour bloquer certains comptes de hackers et a récupéré une partie des pertes par voie judiciaire.
5. Le portefeuille personnel d'un fondateur d'une célèbre cryptomonnaie a été volé
Montant de la perte : 112 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels d'un cofondateur d'un projet de cryptomonnaie de renom ont été piratés, entraînant le vol de 112 millions de dollars en cryptomonnaies. Ces portefeuilles sont devenus des cibles d'attaque en raison de l'absence de protection par double authentification matérielle. Suite à cet incident, une grande bourse a réussi à geler des actifs volés d'une valeur de 4,2 millions de dollars et a aidé à traquer les fonds restants, mais la plupart des fonds ont déjà été blanchis via des bourses décentralisées et des services de mixing.
6. Munchables fait face à une infiltration interne
Montant de la perte : 62,5 millions de dollars Méthode d'attaque : attaque d'ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 basée sur Blast, Munchables, a subi une rare attaque interne. Les attaquants se sont déguisés en développeurs de blockchain et ont réussi à accéder au code source et aux clés sensibles après une longue période de surveillance. Malgré les pertes considérables, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement souligne l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets de blockchain dépendant de développeurs tiers.
7. Fuite de clé privée d'un échange turc
Montant de la perte : 55 millions de dollars Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, une grande bourse de cryptomonnaies en Turquie a subi une attaque de fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une bourse internationale, environ 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais le reste des actifs n'a pas encore été récupéré. Cet événement a exacerbé les inquiétudes du marché concernant la capacité des bourses centralisées à gérer les clés privées.
8. Le portefeuille multi-signatures de Radiant Capital a été piraté
Montant de la perte : 53 millions de dollars Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de l'utilisation d'un mode de validation de signature 3/11 à seuil bas, les pirates ont obtenu les clés privées de 3 signataires pour initier une signature hors chaîne, transférant la propriété du contrat de portefeuille à une adresse malveillante, entraînant finalement le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et les mécanismes de gouvernance des portefeuilles multi-signatures.
Il est à noter que Radiant Capital avait auparavant perdu 4,5 millions de dollars en raison d'une faille de contrat, avec plus de 1900 ETH volés. Cela souligne à nouveau que les projets Web3 doivent encore améliorer leur niveau d'attention à la sécurité.
9. La vulnérabilité des contrats de Hedgey Finance exploitée
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a été victime d'attaques visant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans leur contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour une perte totale de 44,7 millions de dollars. Cet événement souligne l'importance des audits de code, en particulier la validation rigoureuse de la logique d'approbation des tokens.
10. Intrusion dans le portefeuille chaud d'un échange international
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, un portefeuille chaud d'une bourse internationale renommée a été piraté, impliquant plusieurs chaînes publiques telles qu'Ethereum, BNB Chain et Tron. Bien que la bourse ait rapidement mis en place des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont tout de même réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque met à nouveau en lumière le risque élevé de la gestion des portefeuilles chauds des bourses centralisées, incitant l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Conclusion
Les événements de sécurité fréquents en 2024 nous rappellent à nouveau que le développement sain de l'industrie de la blockchain dépend d'une sécurité adéquate. De la gestion des clés privées aux vulnérabilités des contrats, en passant par la gouvernance interne et l'évolution des méthodes d'attaque externes, chaque incident a sonné l'alarme pour l'industrie. Face à des menaces de sécurité de plus en plus complexes, le secteur doit continuer à renforcer ses investissements dans la recherche et le développement technologique, la normalisation de la gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration sectorielle et l'innovation technologique, nous pourrons construire un écosystème blockchain plus sûr et fiable, offrant une protection plus forte aux utilisateurs et aux investisseurs.