Rétrospective des dix principaux incidents de sécurité dans le domaine du Web3 en 2024
Avec le développement continu de la technologie blockchain, l'industrie Web3 en 2024 fait face à des défis de sécurité de plus en plus sévères tout en innovant et en s'étendant. Selon les données de la plateforme de surveillance, à la fin de l'année, les pertes totales dans le domaine Web3 dues à des attaques de hackers, des escroqueries et des disparitions de projets atteignent 2,491 milliards de dollars.
Ces événements ont non seulement révélé des défauts techniques dans la gestion des clés privées, des contrats intelligents, etc., mais ont également mis en évidence les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article dressera un bilan des dix principaux événements de sécurité Web3 de 2024, afin d'aider l'industrie à en tirer des leçons et à mieux faire face aux menaces de sécurité futures.
1. Une importante attaque a frappé une bourse de cryptomonnaie japonaise
Montant de la perte : 304 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, une célèbre bourse de cryptomonnaie japonaise a subi une attaque historique. Des hackers ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars en Bitcoin, et ont rapidement dispersé les fonds volés sur plus de 10 adresses différentes. Cet incident a révélé de graves lacunes dans la gestion des clés privées et la protection de sécurité multi-niveaux de la bourse. Bien que la bourse ait tenté de suivre les hackers grâce à une surveillance on-chain et à un gel des fonds, les Bitcoins volés ont été dispersés et blanchis à l'aide d'outils de mixage, rendant le travail de suivi extrêmement difficile.
À la fin de l'année, la police japonaise a confirmé que cette attaque avait été réalisée par un groupe de hackers nord-coréen.
2. PlayDapp subit un coup dur
Montant de la perte : 290 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi une grave attaque. Les hackers ont volé des clés privées pour frapper 2 milliards de tokens PLA, d'une valeur initiale de 36,5 millions de dollars. En raison d'un échec des négociations avec les hackers, ces derniers ont ensuite frappé 15,9 milliards de tokens PLA, d'une valeur de 253,9 millions de dollars. Après que certains tokens aient été échangés sur des plateformes, PlayDapp a dû suspendre le contrat PLA et migrer vers un nouveau contrat de token. Cet incident met en lumière les insuffisances des projets blockchain en matière de protection des clés privées et de réponse d'urgence.
3. Un échange de cryptomonnaies indien victime d'une attaque ciblée
Montant de la perte : 235 millions de dollars
Méthodes d'attaque : attaques réseau et phishing
Le 18 juillet 2024, le portefeuille multi-signatures Safe Wallet de la plus grande bourse de cryptomonnaies en Inde a été ciblé par une attaque de hackers. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires du multi-signatures à signer une transaction de mise à niveau de contrat, puis ont profité des autorisations du contrat mis à niveau pour transférer tous les actifs du portefeuille. Cette affaire met en évidence les risques potentiels des portefeuilles multi-signatures en matière de configuration des autorisations et de transparence des opérations, et a également suscité une réflexion approfondie dans l'industrie sur les mécanismes de contrôle des risques internes et de sécurité des projets.
4. Gala Games subit une attaque d'émission de jetons
Montant de la perte : 216 millions de dollars
Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. Les attaquants ont utilisé la fonction mint dans le contrat de jetons pour frapper 5 milliards de jetons GALA en une seule fois. Les hackers ont ensuite échangé ces jetons en ETH par lots, entraînant une perte directe de 216 millions de dollars. L'équipe de Gala Games a rapidement activé la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré une partie des pertes par voie légale.
5. Le fondateur d'un projet de cryptomonnaie célèbre a subi une attaque de son portefeuille personnel
Montant de la perte : 112 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels d'un cofondateur d'un projet de cryptomonnaie bien connu ont été piratés, entraînant le vol de 112 millions de dollars de XRP. Ces portefeuilles sont devenus des cibles de l'attaque en raison d'un manque de protection par des dispositifs matériels de double authentification. Après l'incident, un grand échange a réussi à geler 4,2 millions de dollars de XRP et a aidé à suivre les actifs volés, mais la majeure partie des fonds a déjà été blanchie via des échanges décentralisés et des services de mixage.
6. Munchables fait face à une attaque par infiltration interne
Montant de la perte : 62,5 millions de dollars
Méthode d'attaque : attaque d'ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 basée sur Blast, Munchables, a subi une rare attaque d'infiltration interne. Les attaquants étaient des hackers déguisés en développeurs de blockchain, qui ont obtenu le code source et des clés sensibles après une longue période de surveillance. Bien que l'attaque ait causé des pertes énormes, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement met en lumière l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain qui dépendent de développeurs tiers.
7. Une plateforme d'échange de cryptomonnaies turque a subi une fuite de clés privées
Montant de la perte : 55 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande bourse de crypto-monnaies de Turquie a subi une attaque de fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une grande bourse, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a approfondi les inquiétudes du marché concernant la gestion des clés privées des bourses centralisées.
8. Le portefeuille multi-signatures de Radiant Capital attaqué
Montant de la perte : 53 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multisignature de Radiant Capital a été piraté. En raison de l'utilisation d'un mode de vérification de signature 3/11 à faible seuil, le pirate a réussi à obtenir les clés privées de 3 signataires pour initier une signature hors chaîne, transférant la propriété du contrat du portefeuille vers une adresse malveillante, entraînant finalement le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et les mécanismes de gouvernance des portefeuilles multisignatures.
Il est à noter que Radiant Capital avait déjà perdu 4,5 millions de dollars en raison d'une vulnérabilité dans son contrat avant cette attaque, avec plus de 1900 ETH volés. Cela rappelle encore une fois aux projets Web3 qu'ils doivent accorder une plus grande attention aux problèmes de sécurité.
9. Hedgey Finance subit une attaque par contrat multi-chaînes
Montant de la perte : 44,7 millions de dollars
Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour un montant total de pertes s'élevant à 44,7 millions de dollars. Cet événement souligne l'importance des audits de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. Un portefeuille chaud d'une plateforme d'échange de cryptomonnaies a été piraté
Montant de la perte : 44,7 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud d'un échange de cryptomonnaies a été piraté, impliquant des chaînes telles qu'Ethereum, BNB Chain, Tron et d'autres chaînes publiques. Bien que l'échange ait rapidement mis en place des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le haut niveau de risque associé à la gestion des portefeuilles chauds des échanges centralisés et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Conclusion
Les fréquentes attaques de sécurité en 2024 nous rappellent une fois de plus que le développement de l'industrie de la blockchain ne peut se faire sans une protection sécurisée. Des fuites de clés privées aux vulnérabilités des contrats, des négligences dans la gestion interne aux méthodes d'attaque externes de plus en plus sophistiquées, chaque incident apporte des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties prenantes de l'industrie doivent continuer à intensifier leurs investissements dans le développement technologique, la réglementation de la gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration de l'industrie et l'innovation technologique, nous établirons ensemble un écosystème blockchain plus sûr, offrant une protection plus fiable aux utilisateurs et aux investisseurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Top 10 incidents de sécurité dans l'industrie Web3 en 2024, avec des pertes totalisant 2,491 millions de dollars.
Rétrospective des dix principaux incidents de sécurité dans le domaine du Web3 en 2024
Avec le développement continu de la technologie blockchain, l'industrie Web3 en 2024 fait face à des défis de sécurité de plus en plus sévères tout en innovant et en s'étendant. Selon les données de la plateforme de surveillance, à la fin de l'année, les pertes totales dans le domaine Web3 dues à des attaques de hackers, des escroqueries et des disparitions de projets atteignent 2,491 milliards de dollars.
Ces événements ont non seulement révélé des défauts techniques dans la gestion des clés privées, des contrats intelligents, etc., mais ont également mis en évidence les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article dressera un bilan des dix principaux événements de sécurité Web3 de 2024, afin d'aider l'industrie à en tirer des leçons et à mieux faire face aux menaces de sécurité futures.
1. Une importante attaque a frappé une bourse de cryptomonnaie japonaise
Montant de la perte : 304 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, une célèbre bourse de cryptomonnaie japonaise a subi une attaque historique. Des hackers ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars en Bitcoin, et ont rapidement dispersé les fonds volés sur plus de 10 adresses différentes. Cet incident a révélé de graves lacunes dans la gestion des clés privées et la protection de sécurité multi-niveaux de la bourse. Bien que la bourse ait tenté de suivre les hackers grâce à une surveillance on-chain et à un gel des fonds, les Bitcoins volés ont été dispersés et blanchis à l'aide d'outils de mixage, rendant le travail de suivi extrêmement difficile.
À la fin de l'année, la police japonaise a confirmé que cette attaque avait été réalisée par un groupe de hackers nord-coréen.
2. PlayDapp subit un coup dur
Montant de la perte : 290 millions de dollars Méthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi une grave attaque. Les hackers ont volé des clés privées pour frapper 2 milliards de tokens PLA, d'une valeur initiale de 36,5 millions de dollars. En raison d'un échec des négociations avec les hackers, ces derniers ont ensuite frappé 15,9 milliards de tokens PLA, d'une valeur de 253,9 millions de dollars. Après que certains tokens aient été échangés sur des plateformes, PlayDapp a dû suspendre le contrat PLA et migrer vers un nouveau contrat de token. Cet incident met en lumière les insuffisances des projets blockchain en matière de protection des clés privées et de réponse d'urgence.
3. Un échange de cryptomonnaies indien victime d'une attaque ciblée
Montant de la perte : 235 millions de dollars Méthodes d'attaque : attaques réseau et phishing
Le 18 juillet 2024, le portefeuille multi-signatures Safe Wallet de la plus grande bourse de cryptomonnaies en Inde a été ciblé par une attaque de hackers. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires du multi-signatures à signer une transaction de mise à niveau de contrat, puis ont profité des autorisations du contrat mis à niveau pour transférer tous les actifs du portefeuille. Cette affaire met en évidence les risques potentiels des portefeuilles multi-signatures en matière de configuration des autorisations et de transparence des opérations, et a également suscité une réflexion approfondie dans l'industrie sur les mécanismes de contrôle des risques internes et de sécurité des projets.
4. Gala Games subit une attaque d'émission de jetons
Montant de la perte : 216 millions de dollars Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. Les attaquants ont utilisé la fonction mint dans le contrat de jetons pour frapper 5 milliards de jetons GALA en une seule fois. Les hackers ont ensuite échangé ces jetons en ETH par lots, entraînant une perte directe de 216 millions de dollars. L'équipe de Gala Games a rapidement activé la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré une partie des pertes par voie légale.
5. Le fondateur d'un projet de cryptomonnaie célèbre a subi une attaque de son portefeuille personnel
Montant de la perte : 112 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels d'un cofondateur d'un projet de cryptomonnaie bien connu ont été piratés, entraînant le vol de 112 millions de dollars de XRP. Ces portefeuilles sont devenus des cibles de l'attaque en raison d'un manque de protection par des dispositifs matériels de double authentification. Après l'incident, un grand échange a réussi à geler 4,2 millions de dollars de XRP et a aidé à suivre les actifs volés, mais la majeure partie des fonds a déjà été blanchie via des échanges décentralisés et des services de mixage.
6. Munchables fait face à une attaque par infiltration interne
Montant de la perte : 62,5 millions de dollars Méthode d'attaque : attaque d'ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 basée sur Blast, Munchables, a subi une rare attaque d'infiltration interne. Les attaquants étaient des hackers déguisés en développeurs de blockchain, qui ont obtenu le code source et des clés sensibles après une longue période de surveillance. Bien que l'attaque ait causé des pertes énormes, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement met en lumière l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain qui dépendent de développeurs tiers.
7. Une plateforme d'échange de cryptomonnaies turque a subi une fuite de clés privées
Montant de la perte : 55 millions de dollars Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande bourse de crypto-monnaies de Turquie a subi une attaque de fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une grande bourse, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a approfondi les inquiétudes du marché concernant la gestion des clés privées des bourses centralisées.
8. Le portefeuille multi-signatures de Radiant Capital attaqué
Montant de la perte : 53 millions de dollars Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multisignature de Radiant Capital a été piraté. En raison de l'utilisation d'un mode de vérification de signature 3/11 à faible seuil, le pirate a réussi à obtenir les clés privées de 3 signataires pour initier une signature hors chaîne, transférant la propriété du contrat du portefeuille vers une adresse malveillante, entraînant finalement le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et les mécanismes de gouvernance des portefeuilles multisignatures.
Il est à noter que Radiant Capital avait déjà perdu 4,5 millions de dollars en raison d'une vulnérabilité dans son contrat avant cette attaque, avec plus de 1900 ETH volés. Cela rappelle encore une fois aux projets Web3 qu'ils doivent accorder une plus grande attention aux problèmes de sécurité.
9. Hedgey Finance subit une attaque par contrat multi-chaînes
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour un montant total de pertes s'élevant à 44,7 millions de dollars. Cet événement souligne l'importance des audits de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. Un portefeuille chaud d'une plateforme d'échange de cryptomonnaies a été piraté
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud d'un échange de cryptomonnaies a été piraté, impliquant des chaînes telles qu'Ethereum, BNB Chain, Tron et d'autres chaînes publiques. Bien que l'échange ait rapidement mis en place des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le haut niveau de risque associé à la gestion des portefeuilles chauds des échanges centralisés et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Conclusion
Les fréquentes attaques de sécurité en 2024 nous rappellent une fois de plus que le développement de l'industrie de la blockchain ne peut se faire sans une protection sécurisée. Des fuites de clés privées aux vulnérabilités des contrats, des négligences dans la gestion interne aux méthodes d'attaque externes de plus en plus sophistiquées, chaque incident apporte des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties prenantes de l'industrie doivent continuer à intensifier leurs investissements dans le développement technologique, la réglementation de la gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration de l'industrie et l'innovation technologique, nous établirons ensemble un écosystème blockchain plus sûr, offrant une protection plus fiable aux utilisateurs et aux investisseurs.