- Rubrique
79k Popularité
33k Popularité
10k Popularité
4k Popularité
4k Popularité
30k Popularité
16k Popularité
23k Popularité
12k Popularité
2k Popularité
- Épingler
79k Popularité
33k Popularité
10k Popularité
4k Popularité
4k Popularité
30k Popularité
16k Popularité
23k Popularité
12k Popularité
2k Popularité
Les pertes dues aux événements de sécurité Web3 en 2024 s'élèvent à près de 2,5 milliards de dollars : analyse approfondie des dix principaux cas.
Rétrospective des dix principaux événements de sécurité dans le domaine du Web3 en 2024
En 2024, l'industrie de la blockchain continue d'innover tout en faisant face à des défis de sécurité de plus en plus sévères. Selon les données recueillies par la plateforme de surveillance, à ce jour, les pertes totales dans le domaine du Web3 en 2024 dues aux attaques de hackers, aux escroqueries par phishing et aux projets abandonnés s'élèvent à 2,491 milliards de dollars.
Ces événements ont non seulement révélé des défauts techniques dans la gestion des clés privées, des contrats intelligents, etc., mais ont également mis en évidence les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Revenons sur les dix principaux événements de sécurité de Web3 en 2024, afin d'en tirer des leçons et de mieux faire face aux menaces sécuritaires futures.
1. Une importante attaque contre une bourse japonaise
Montant de la perte : 304 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, une célèbre plateforme d'échange de cryptomonnaies japonaise a subi une attaque historique. Les attaquants ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars de bitcoins, et ont rapidement dispersé les fonds volés sur plus de 10 adresses différentes. Cet incident a révélé les graves lacunes de la gestion des clés privées et de la sécurité multilayer de la plateforme. Bien que l'échange ait tenté de suivre les hackers grâce à une surveillance en chaîne et au gel des fonds, les bitcoins volés ont été transférés de manière dispersée et nettoyés à l'aide d'outils de mixage, ce qui a posé un énorme défi pour le travail de suivi.
Le 24 décembre, la police japonaise a déterminé que cet incident de vol était l'œuvre d'un certain groupe de hackers international.
2. PlayDapp subit un coup dur
Montant de la perte : 290 millions de dollars Méthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un grave incident de sécurité. Des hackers ont volé des clés privées pour frapper 2 milliards de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. En raison de l'échec des négociations entre l'équipe du projet et les hackers, ces derniers ont ensuite frappé 15,9 milliards de jetons PLA, d'une valeur de 253,9 millions de dollars. Après que certains jetons ont été échangés sur une plateforme, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jetons. Cet événement met en évidence les lacunes des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. La plus grande bourse de cryptomonnaies en Inde subit une attaque ciblée
Montant de la perte : 235 millions de dollars Méthodes d'attaque : attaque en ligne et phishing
Le 18 juillet 2024, le portefeuille multi-signatures de la plus grande bourse de cryptomonnaies en Inde a été ciblé par une attaque précise de hackers. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires multi-signatures à signer une transaction de mise à niveau de contrat, puis ont utilisé les droits du contrat mis à niveau pour vider les actifs du portefeuille. Cette affaire met en évidence les risques potentiels des portefeuilles multi-signatures en matière de gestion des configurations de droits et de transparence des opérations, et suscite une réflexion approfondie dans l'industrie sur le contrôle interne des projets et les mécanismes de sécurité.
4. Gala Games subit une attaque de surémission de jetons
Montant de la perte : 216 millions de dollars Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. Les attaquants ont utilisé la fonction mint dans le contrat de token pour frapper en une seule fois 5 milliards de tokens GALA. Par la suite, les pirates ont échangé en plusieurs fois les tokens émis contre de l'ETH, entraînant une perte directe de 216 millions de dollars. L'équipe de Gala Games a activé en urgence la fonction de liste noire pour bloquer certains comptes des hackers et a récupéré une partie des pertes par la voie judiciaire.
5. Le portefeuille personnel d'un fondateur de cryptomonnaie célèbre a été attaqué
Montant de la perte : 112 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels d'un cofondateur d'un célèbre projet de cryptomonnaie ont été piratés, entraînant le vol de 112 millions de dollars en cryptomonnaies. Ces portefeuilles ont probablement été ciblés en raison du manque de protection par double authentification via des dispositifs matériels. Suite à cet incident, un grand échange a réussi à geler des actifs volés d'une valeur de 4,2 millions de dollars et a aidé à la traçabilité, mais la majeure partie des fonds a déjà été blanchie via des échanges décentralisés et des services de mixage.
6. Munchables a été victime d'une attaque de pénétration interne
Montant de la perte : 62,5 millions de dollars Méthode d'attaque : Attaque par ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 Munchables basée sur Blast a subi une rare attaque d'infiltration interne. Les attaquants se sont déguisés en développeurs de blockchain et ont obtenu le code source et les clés sensibles en s'immisçant pendant une longue période. Bien que l'attaque ait causé d'énormes pertes, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet incident met en évidence l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets de blockchain dépendant de développeurs tiers.
7. La plus grande plateforme d'échange de cryptomonnaies en Turquie attaquée
Montant de la perte : 55 millions de dollars Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande plateforme d'échange de cryptomonnaies de Turquie a été victime d'une attaque par fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une grande bourse, 5,3 millions de dollars de fonds volés ont été réussis à geler, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a approfondi les inquiétudes du marché concernant la gestion des clés privées par les plateformes d'échange centralisées.
8. Le portefeuille multisignature de Radiant Capital a été piraté
Montant de la perte : 53 millions de dollars Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de l'utilisation d'un modèle de vérification par signature 3/11 à faible seuil, le pirate a pu initier une signature hors chaîne en contrôlant les clés privées de 3 signataires, transférant ainsi la propriété du contrat du portefeuille à une adresse malveillante, entraînant finalement le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et les mécanismes de gouvernance des portefeuilles multi-signatures.
Il est à noter que Radiant Capital avait déjà subi une perte de 4,5 millions de dollars en raison de vulnérabilités dans son contrat avant cette attaque, avec plus de 1900 ETH volés. Cela souligne à nouveau que les projets Web3 doivent encore améliorer leur attention à la sécurité.
9. Hedgey Finance : des contrats multi-chaînes attaqués
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour un montant total de pertes atteignant 44,7 millions de dollars. Cet événement souligne l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. Le portefeuille chaud d'un échange a été piraté
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud d'un certain échange a été piraté, impliquant plusieurs chaînes, notamment Ethereum, BNB Chain, Tron et d'autres blockchains publiques. Bien que l'échange ait rapidement activé le mécanisme de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète à nouveau le haut risque de gestion des portefeuilles chauds des échanges centralisés et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sécurisées.
Les incidents de sécurité fréquents en 2024 nous rappellent à nouveau que le développement de l'industrie de la blockchain dépend d'une protection sécurisée. Des fuites de clés privées aux vulnérabilités des contrats, des négligences dans la gestion interne à l'escalade des méthodes d'attaque externes, chaque incident a apporté des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties de l'industrie doivent continuer à renforcer leurs investissements en recherche et développement technologique, en normes de gestion et en prévention des risques. À l'avenir, nous espérons qu'à travers la coopération sectorielle et l'innovation technologique, nous établirons ensemble un écosystème blockchain plus sûr, offrant une protection plus fiable aux utilisateurs et aux investisseurs.