- Rubrique
17k Popularité
18k Popularité
61k Popularité
31k Popularité
3k Popularité
112k Popularité
28k Popularité
27k Popularité
7k Popularité
18k Popularité
- Épingler
17k Popularité
18k Popularité
61k Popularité
31k Popularité
3k Popularité
112k Popularité
28k Popularité
27k Popularité
7k Popularité
18k Popularité
Revue de la sécurité Web3 2024 : 10 événements ayant entraîné des pertes de près de 2,5 milliards de dollars
Rétrospective des dix principaux événements de sécurité dans le domaine du Web3 en 2024
En 2024, l'industrie de la blockchain fait face à des défis de sécurité de plus en plus graves tout en innovant et en se développant. Selon des statistiques d'une plateforme de données, à ce jour, les pertes totales dans le domaine du Web3 en 2024, dues aux attaques de hackers, aux escroqueries et aux disparitions de projets, s'élèvent à 2,491 milliards de dollars.
Ces événements ont non seulement révélé des vulnérabilités techniques dans la gestion des clés privées, les contrats intelligents, etc., mais ont également mis en lumière les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article dressera un bilan des dix principaux événements de sécurité dans le domaine du Web3 en 2024, afin que l'industrie puisse tirer des leçons et mieux faire face aux menaces de sécurité futures.
1. Un important échange de cryptomonnaie japonais a subi une attaque majeure
Montant de la perte : 304 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, une célèbre plateforme d'échange de cryptomonnaies japonaise a subi une attaque historique. Les attaquants ont utilisé des clés privées divulguées pour transférer directement des bitcoins d'une valeur de plus de 300 millions de dollars, et ont rapidement dispersé les fonds volés vers plus de 10 adresses différentes. Cet incident a révélé de graves insuffisances de la plateforme en matière de gestion des clés privées et de sécurité multicouche. Bien que la plateforme ait tenté de suivre les pirates via la surveillance sur la chaîne et le gel des fonds, le suivi s'est heurté à d'énormes défis en raison de la dispersion des bitcoins volés et de leur nettoyage à l'aide d'outils de mixage.
Le 24 décembre, la police japonaise a confirmé que l'incident était l'œuvre d'un certain groupe de hackers international.
2. PlayDapp subit un coup dur
Montant de la perte : 290 millions de dollars Méthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur, des hackers ont volé des clés privées pour frapper 2 milliards de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. Suite à un échec des négociations entre l'équipe du projet et les hackers, ces derniers ont frappé en peu de temps 15,9 milliards de jetons PLA, d'une valeur de 253,9 millions de dollars. Après que certains jetons aient été échangés sur des plateformes, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jetons. Cet incident met en lumière les insuffisances des projets blockchain en matière de protection des clés privées et de gestion d'urgence.
3. La plus grande bourse de cryptomonnaies en Inde subit une attaque
Montant de la perte : 235 millions de dollars Méthodes d'attaque : attaque réseau et phishing
Le 18 juillet 2024, le portefeuille multi-signatures Safe Wallet de la plus grande bourse de cryptomonnaies en Inde a été ciblé par une attaque précise. Les attaquants ont induit les signataires multi-signatures à signer une transaction de mise à niveau de contrat par des moyens d'ingénierie sociale, puis ont utilisé les droits du contrat mis à niveau pour transférer tous les actifs du portefeuille. Cette affaire a mis en lumière les risques potentiels des portefeuilles multi-signatures en matière de configuration des droits et de transparence des opérations, et a suscité une profonde réflexion au sein de l'industrie sur les mécanismes de contrôle interne et de sécurité des projets.
4. Gala Games subit une attaque à grande échelle
Montant de la perte : 216 millions de dollars Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. L'attaquant a appelé la fonction mint dans le contrat de jeton, émettant en une seule fois 5 milliards de jetons GALA. Par la suite, le hacker a échangé par lots les jetons nouvellement émis contre de l'ETH, entraînant une perte directe de 216 millions de dollars. L'équipe de Gala Games a rapidement activé la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré une partie des pertes par des voies légales.
5. Un co-fondateur d'un projet blockchain célèbre a été attaqué
Montant de la perte : 112 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels d'un des cofondateurs d'un célèbre projet blockchain ont été piratés, entraînant le vol de 112 millions de dollars en cryptomonnaies. Ces portefeuilles ont probablement été ciblés en raison du manque de double protection par des dispositifs matériels. Après l'incident, un grand échange a réussi à geler des actifs volés d'une valeur de 4,2 millions de dollars et a aidé à la traçabilité, mais la plupart des fonds ont déjà été blanchis via des échanges décentralisés et des services de mélange.
6. Munchables fait face à une infiltration interne
Montant de la perte : 62,5 millions de dollars Méthode d'attaque : attaque par ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une rare attaque d'infiltration interne. Les attaquants se sont déguisés en développeurs blockchain et ont réussi à obtenir le code source et les clés sensibles grâce à une longue période de furtivité. Bien que cela ait entraîné des pertes énormes, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement met en lumière l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain qui dépendent de développeurs tiers.
7. La bourse de cryptomonnaies en Turquie subit une attaque
Montant de la perte : 55 millions de dollars Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande bourse de crypto-monnaies de Turquie a été victime d'une attaque par fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide de l'équipe d'une grande bourse, 5,3 millions de dollars de fonds volés ont été réussis à être gelés, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a renforcé les inquiétudes du marché concernant la gestion des clés privées des bourses centralisées.
8. Le portefeuille multi-signatures de Radiant Capital attaqué
Montant de la perte : 53 millions de dollars Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de l'utilisation d'un mode de validation de signature à faible seuil de 3/11, les hackers ont réussi à obtenir les clés privées de 3 signataires pour lancer une signature hors chaîne, transférant ainsi la propriété du contrat du portefeuille à une adresse malveillante, entraînant finalement le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et les mécanismes de gouvernance des portefeuilles multi-signatures.
Il est à noter que Radiant Capital avait déjà perdu 4,5 millions de dollars en raison d'une vulnérabilité de contrat avant cette attaque, avec plus de 1900 ETH volés. Cela souligne à nouveau que le niveau d'attention des projets Web3 à la sécurité doit encore être amélioré.
9. Hedgey Finance a subi une attaque inter-chaînes
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : vulnérabilité du contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour un montant total de 44,7 millions de dollars. Cet événement met en évidence l'importance de l'audit de code, en particulier la vérification stricte de la logique d'approbation des tokens.
10. Le portefeuille chaud d'un échange de cryptomonnaie a été piraté
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud d'une certaine plateforme d'échange de cryptomonnaies a été piraté, impliquant plusieurs chaînes, y compris Ethereum, BNB Chain, Tron et d'autres blockchains publiques. Bien que la plateforme ait rapidement activé des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque a de nouveau mis en lumière la haute risque de gestion des portefeuilles chauds des plateformes d'échange centralisées, poussant l'industrie à explorer des solutions de stockage d'actifs plus sécurisées.
La fréquence des incidents de sécurité en 2024 nous rappelle une fois de plus que le développement de l'industrie de la blockchain ne peut se faire sans une protection sécurisée. Des fuites de clés privées aux vulnérabilités des contrats, des négligences de gestion interne aux mises à jour des méthodes d'attaque externes, chaque incident a apporté des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties de l'industrie doivent continuer à renforcer leurs investissements dans la recherche et le développement technologique, les normes de gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration industrielle et l'innovation technologique, nous pourrons construire ensemble un écosystème blockchain plus sûr, offrant aux utilisateurs et aux investisseurs des garanties plus fiables.