Revue des événements de sécurité Web3 en 2024 : analyse des dix principaux cas d'attaque
En 2024, avec l'innovation continue de la technologie blockchain et l'expansion de l'écosystème, le domaine du Web3 fait face à des défis de sécurité de plus en plus graves. Selon les statistiques d'une plateforme de données, à la fin de l'année, les pertes totales dans l'industrie du Web3 dues aux attaques de hackers, aux escroqueries de phishing et aux retraits malveillants des projets s'élèvent à 2,491 milliards de dollars.
Ces événements ont non seulement révélé des vulnérabilités techniques telles que la gestion des clés privées et les contrats intelligents, mais ont également mis en lumière les risques potentiels liés aux attaques d'ingénierie sociale et à la gestion interne. Cet article passera en revue les dix événements de sécurité les plus influents dans le domaine du Web3 en 2024, dans l'espoir que l'industrie puisse en tirer des leçons et mieux faire face aux menaces de sécurité futures.
1. DMM Bitcoin : une fuite de clés privées entraîne une perte de 304 millions de dollars
Le 31 mai 2024, la célèbre plateforme d'échange de cryptomonnaies japonaise DMM Bitcoin a subi un grave incident de sécurité. Les attaquants ont utilisé une clé privée divulguée pour transférer directement plus de 300 millions de dollars en bitcoins, et ont rapidement dispersé les fonds volés sur plus de 10 adresses différentes. Cet événement a révélé de graves défauts dans la gestion des clés privées et la protection de sécurité multiple de cette plateforme.
Bien que les échanges aient essayé de suivre les hackers par le biais de la surveillance on-chain et du gel des fonds, le travail de récupération fait face à d'énormes défis, car les bitcoins volés ont été rapidement dispersés et blanchis à l'aide d'outils de mélange. À la fin de l'année, la police japonaise a déterminé que cet incident d'attaque était suspecté d'avoir été mené par le groupe de hackers nord-coréen Lazarus Group.
2. PlayDapp : fuite de clé privée entraînant une perte de 2,90 milliards de dollars
Le 9 février 2024, PlayDapp a été victime d'un grave incident de sécurité. Des hackers ont réussi à forger 2 milliards de jetons PLA en volant la clé privée, d'une valeur initiale de 36,5 millions de dollars. En raison de l'échec des négociations entre l'équipe du projet et les hackers, les attaquants ont forgé en peu de temps 15,9 milliards de jetons PLA supplémentaires, d'une valeur de 253,9 millions de dollars.
Après que certaines pièces volées aient afflué sur les plateformes d'échange, PlayDapp a été contraint de suspendre le fonctionnement du contrat PLA et de migrer les jetons vers un nouveau contrat PDA. Cet événement met en évidence les lacunes des projets blockchain en matière de protection des clés privées et de mécanismes de réponse d'urgence.
3. WazirX : Les attaques en ligne et le phishing entraînent une perte de 235 millions de dollars
Le 18 juillet 2024, le portefeuille multi-signatures Safe Wallet de WazirX, la plus grande bourse de cryptomonnaie en Inde, a été ciblé par une attaque de précision. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires multi-signatures à approuver une transaction de mise à niveau de contrat, puis ont utilisé les droits du contrat mis à niveau pour transférer tous les actifs du portefeuille.
Cette affaire a révélé les risques potentiels des portefeuilles multi-signatures en matière de gestion des droits d'accès et de transparence des opérations, tout en suscitant une réflexion approfondie dans l'industrie sur les mécanismes de contrôle des risques et de sécurité internes des projets.
4. Gala Games : Une vulnérabilité de contrôle d'accès entraîne une perte de 216 millions de dollars
Le 20 mai 2024, une adresse privilégiée de Gala Games a été compromise par des hackers. Les attaquants ont appelé la fonction mint dans le contrat de jeton, mintant 5 milliards de jetons GALA en une seule fois. Par la suite, les hackers ont échangé ces jetons nouvellement créés contre de l'ETH par plusieurs lots, entraînant une perte directe de 216 millions de dollars.
L'équipe de Gala Games a rapidement activé la fonction de liste noire après l'incident, bloquant certains comptes de hackers et récupérant une partie des pertes par des voies légales. Cet événement met en évidence l'importance de la gestion des autorisations de contrat.
5. Chris Larsen : Vol de 112 millions de dollars en XRP dû à la fuite de la clé privée
Le 31 janvier 2024, quatre portefeuilles personnels de Chris Larsen, cofondateur de Ripple, ont été piratés, entraînant le vol de 112 millions de dollars de XRP. Ces portefeuilles auraient été ciblés en raison du manque de protection par authentification à deux facteurs avec des dispositifs matériels.
Après l'incident, une plateforme de trading a réussi à geler des XRP d'une valeur de 4,2 millions de dollars et a aidé Larsen à suivre les actifs volés. Cependant, la plupart des fonds ont déjà été blanchis via des échanges décentralisés et des services de mélange, rendant leur récupération extrêmement difficile.
6. Munchables : les attaques d'ingénierie sociale entraînent une perte de 62,5 millions de dollars
Le 26 mars 2024, la plateforme de jeu Web3 Munchables basée sur Blast a subi une rare attaque d'infiltration interne. Les attaquants se sont déguisés en développeurs de blockchain et ont réussi à obtenir le code source et des clés sensibles grâce à une infiltration prolongée.
Bien que l'attaque ait causé d'énormes pertes, sous la pression de la communauté et de l'équipe, le hacker a finalement restitué tous les fonds volés. Cet événement souligne l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain qui dépendent de développeurs tiers.
7. BtcTurk : une fuite de clé privée a entraîné une perte de 55 millions de dollars
Le 22 juin 2024, la plus grande bourse de cryptomonnaies de Turquie, BtcTurk, a subi une attaque de fuite de clé privée, entraînant la perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une plateforme d'échange, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a encore approfondi les inquiétudes du marché concernant la capacité des bourses centralisées à gérer les clés privées.
8. Radiant Capital : Une vulnérabilité dans le portefeuille multi-signatures a entraîné une perte de 53 millions de dollars
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de l'utilisation d'un mode de vérification de signature 3/11 à seuil plus bas, les hackers ont réussi à initier une signature hors chaîne en maîtrisant les clés privées de 3 signataires, réussissant ainsi à transférer la propriété du contrat du portefeuille à une adresse malveillante, entraînant finalement le vol de 53 millions de dollars.
Il est à noter que Radiant Capital avait déjà perdu 4,5 millions de dollars en raison d'une faille dans le contrat avant cette attaque, avec plus de 1900 ETH volés. Cette série d'événements souligne la nécessité pour les projets Web3 d'améliorer leur sensibilisation à la sécurité et leurs capacités de protection.
9. Hedgey Finance : Une vulnérabilité de contrat entraîne une perte de 44,7 millions de dollars
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans leur contrat ClaimCampaigns, réussissant à retirer des jetons sur les chaînes Ethereum et Arbitrum, pour un montant total de pertes s'élevant à 44,7 millions de dollars.
Cet événement souligne à nouveau l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des jetons.
10. BingX : Une attaque sur le portefeuille chaud a causé une perte de 44,7 millions de dollars
Le 19 septembre 2024, le portefeuille chaud d'une plateforme d'échange a été piraté, impliquant plusieurs chaînes, y compris Ethereum, BNB Chain, Tron et d'autres blockchains publiques. Bien que l'échange ait rapidement activé le mécanisme de transfert d'actifs et de gel des retraits, les hackers ont tout de même réussi à extraire des actifs d'une valeur de 44,7 millions de dollars.
Cette attaque reflète à nouveau le risque élevé de gestion des portefeuilles chauds par les échanges centralisés, incitant l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Conclusion
Les événements de sécurité fréquents en 2024 nous rappellent une fois de plus que le développement sain de l'industrie de la blockchain ne peut se faire sans une solide garantie de sécurité. De la fuite de clés privées aux failles de contrat, en passant par les négligences de gestion interne et l'escalade des méthodes d'attaque externes, chaque incident a sonné l'alarme pour l'industrie.
Pour faire face à la menace d'attaques de plus en plus complexes, les différentes parties de l'industrie doivent continuer à investir dans la recherche et le développement technologique, la normalisation de la gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la coopération industrielle et l'innovation technologique, nous construirons ensemble un écosystème blockchain plus sûr et fiable, offrant une meilleure protection aux utilisateurs et aux investisseurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
18 J'aime
Récompense
18
6
Partager
Commentaire
0/400
DataOnlooker
· Il y a 15h
Cet argent est vraiment trop facile à gagner 8
Voir l'originalRépondre0
ImaginaryWhale
· 07-21 08:58
Aïe, les Hackers ont tous fait fortune.
Voir l'originalRépondre0
BridgeJumper
· 07-21 08:56
L'herbe a encore explosé une somme.
Voir l'originalRépondre0
GweiObserver
· 07-21 08:54
C'est le son des pigeons qui ont été pris pour des idiots~
Voir l'originalRépondre0
CryptoSourGrape
· 07-21 08:46
Encore une fois, on prend les gens pour des idiots ; les autres prennent les gens pour des idiots, moi je me prends pour un idiot.
Voir l'originalRépondre0
RiddleMaster
· 07-21 08:42
La paix dans le monde, c'est difficile de gagner de l'argent.
Analyse des dix principaux incidents de sécurité Web3 en 2024 : pertes de près de 2,5 milliards de dollars
Revue des événements de sécurité Web3 en 2024 : analyse des dix principaux cas d'attaque
En 2024, avec l'innovation continue de la technologie blockchain et l'expansion de l'écosystème, le domaine du Web3 fait face à des défis de sécurité de plus en plus graves. Selon les statistiques d'une plateforme de données, à la fin de l'année, les pertes totales dans l'industrie du Web3 dues aux attaques de hackers, aux escroqueries de phishing et aux retraits malveillants des projets s'élèvent à 2,491 milliards de dollars.
Ces événements ont non seulement révélé des vulnérabilités techniques telles que la gestion des clés privées et les contrats intelligents, mais ont également mis en lumière les risques potentiels liés aux attaques d'ingénierie sociale et à la gestion interne. Cet article passera en revue les dix événements de sécurité les plus influents dans le domaine du Web3 en 2024, dans l'espoir que l'industrie puisse en tirer des leçons et mieux faire face aux menaces de sécurité futures.
1. DMM Bitcoin : une fuite de clés privées entraîne une perte de 304 millions de dollars
Le 31 mai 2024, la célèbre plateforme d'échange de cryptomonnaies japonaise DMM Bitcoin a subi un grave incident de sécurité. Les attaquants ont utilisé une clé privée divulguée pour transférer directement plus de 300 millions de dollars en bitcoins, et ont rapidement dispersé les fonds volés sur plus de 10 adresses différentes. Cet événement a révélé de graves défauts dans la gestion des clés privées et la protection de sécurité multiple de cette plateforme.
Bien que les échanges aient essayé de suivre les hackers par le biais de la surveillance on-chain et du gel des fonds, le travail de récupération fait face à d'énormes défis, car les bitcoins volés ont été rapidement dispersés et blanchis à l'aide d'outils de mélange. À la fin de l'année, la police japonaise a déterminé que cet incident d'attaque était suspecté d'avoir été mené par le groupe de hackers nord-coréen Lazarus Group.
2. PlayDapp : fuite de clé privée entraînant une perte de 2,90 milliards de dollars
Le 9 février 2024, PlayDapp a été victime d'un grave incident de sécurité. Des hackers ont réussi à forger 2 milliards de jetons PLA en volant la clé privée, d'une valeur initiale de 36,5 millions de dollars. En raison de l'échec des négociations entre l'équipe du projet et les hackers, les attaquants ont forgé en peu de temps 15,9 milliards de jetons PLA supplémentaires, d'une valeur de 253,9 millions de dollars.
Après que certaines pièces volées aient afflué sur les plateformes d'échange, PlayDapp a été contraint de suspendre le fonctionnement du contrat PLA et de migrer les jetons vers un nouveau contrat PDA. Cet événement met en évidence les lacunes des projets blockchain en matière de protection des clés privées et de mécanismes de réponse d'urgence.
3. WazirX : Les attaques en ligne et le phishing entraînent une perte de 235 millions de dollars
Le 18 juillet 2024, le portefeuille multi-signatures Safe Wallet de WazirX, la plus grande bourse de cryptomonnaie en Inde, a été ciblé par une attaque de précision. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires multi-signatures à approuver une transaction de mise à niveau de contrat, puis ont utilisé les droits du contrat mis à niveau pour transférer tous les actifs du portefeuille.
Cette affaire a révélé les risques potentiels des portefeuilles multi-signatures en matière de gestion des droits d'accès et de transparence des opérations, tout en suscitant une réflexion approfondie dans l'industrie sur les mécanismes de contrôle des risques et de sécurité internes des projets.
4. Gala Games : Une vulnérabilité de contrôle d'accès entraîne une perte de 216 millions de dollars
Le 20 mai 2024, une adresse privilégiée de Gala Games a été compromise par des hackers. Les attaquants ont appelé la fonction mint dans le contrat de jeton, mintant 5 milliards de jetons GALA en une seule fois. Par la suite, les hackers ont échangé ces jetons nouvellement créés contre de l'ETH par plusieurs lots, entraînant une perte directe de 216 millions de dollars.
L'équipe de Gala Games a rapidement activé la fonction de liste noire après l'incident, bloquant certains comptes de hackers et récupérant une partie des pertes par des voies légales. Cet événement met en évidence l'importance de la gestion des autorisations de contrat.
5. Chris Larsen : Vol de 112 millions de dollars en XRP dû à la fuite de la clé privée
Le 31 janvier 2024, quatre portefeuilles personnels de Chris Larsen, cofondateur de Ripple, ont été piratés, entraînant le vol de 112 millions de dollars de XRP. Ces portefeuilles auraient été ciblés en raison du manque de protection par authentification à deux facteurs avec des dispositifs matériels.
Après l'incident, une plateforme de trading a réussi à geler des XRP d'une valeur de 4,2 millions de dollars et a aidé Larsen à suivre les actifs volés. Cependant, la plupart des fonds ont déjà été blanchis via des échanges décentralisés et des services de mélange, rendant leur récupération extrêmement difficile.
6. Munchables : les attaques d'ingénierie sociale entraînent une perte de 62,5 millions de dollars
Le 26 mars 2024, la plateforme de jeu Web3 Munchables basée sur Blast a subi une rare attaque d'infiltration interne. Les attaquants se sont déguisés en développeurs de blockchain et ont réussi à obtenir le code source et des clés sensibles grâce à une infiltration prolongée.
Bien que l'attaque ait causé d'énormes pertes, sous la pression de la communauté et de l'équipe, le hacker a finalement restitué tous les fonds volés. Cet événement souligne l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain qui dépendent de développeurs tiers.
7. BtcTurk : une fuite de clé privée a entraîné une perte de 55 millions de dollars
Le 22 juin 2024, la plus grande bourse de cryptomonnaies de Turquie, BtcTurk, a subi une attaque de fuite de clé privée, entraînant la perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une plateforme d'échange, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a encore approfondi les inquiétudes du marché concernant la capacité des bourses centralisées à gérer les clés privées.
8. Radiant Capital : Une vulnérabilité dans le portefeuille multi-signatures a entraîné une perte de 53 millions de dollars
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de l'utilisation d'un mode de vérification de signature 3/11 à seuil plus bas, les hackers ont réussi à initier une signature hors chaîne en maîtrisant les clés privées de 3 signataires, réussissant ainsi à transférer la propriété du contrat du portefeuille à une adresse malveillante, entraînant finalement le vol de 53 millions de dollars.
Il est à noter que Radiant Capital avait déjà perdu 4,5 millions de dollars en raison d'une faille dans le contrat avant cette attaque, avec plus de 1900 ETH volés. Cette série d'événements souligne la nécessité pour les projets Web3 d'améliorer leur sensibilisation à la sécurité et leurs capacités de protection.
9. Hedgey Finance : Une vulnérabilité de contrat entraîne une perte de 44,7 millions de dollars
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans leur contrat ClaimCampaigns, réussissant à retirer des jetons sur les chaînes Ethereum et Arbitrum, pour un montant total de pertes s'élevant à 44,7 millions de dollars.
Cet événement souligne à nouveau l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des jetons.
10. BingX : Une attaque sur le portefeuille chaud a causé une perte de 44,7 millions de dollars
Le 19 septembre 2024, le portefeuille chaud d'une plateforme d'échange a été piraté, impliquant plusieurs chaînes, y compris Ethereum, BNB Chain, Tron et d'autres blockchains publiques. Bien que l'échange ait rapidement activé le mécanisme de transfert d'actifs et de gel des retraits, les hackers ont tout de même réussi à extraire des actifs d'une valeur de 44,7 millions de dollars.
Cette attaque reflète à nouveau le risque élevé de gestion des portefeuilles chauds par les échanges centralisés, incitant l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Conclusion
Les événements de sécurité fréquents en 2024 nous rappellent une fois de plus que le développement sain de l'industrie de la blockchain ne peut se faire sans une solide garantie de sécurité. De la fuite de clés privées aux failles de contrat, en passant par les négligences de gestion interne et l'escalade des méthodes d'attaque externes, chaque incident a sonné l'alarme pour l'industrie.
Pour faire face à la menace d'attaques de plus en plus complexes, les différentes parties de l'industrie doivent continuer à investir dans la recherche et le développement technologique, la normalisation de la gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la coopération industrielle et l'innovation technologique, nous construirons ensemble un écosystème blockchain plus sûr et fiable, offrant une meilleure protection aux utilisateurs et aux investisseurs.