Revue des événements de sécurité majeurs dans le domaine du Web3 en 2024
En 2024, l'industrie de la blockchain fait face à des défis de sécurité de plus en plus sévères tout en innovant technologiquement et en élargissant ses écosystèmes. Selon les données d'une plateforme de surveillance de la sécurité, les pertes totales dans le domaine du Web3 dues aux attaques de hackers, aux escroqueries par phishing et aux projets abandonnés atteignent 2,491 milliards de dollars à la fin de l'année.
Ces événements ont non seulement révélé des défauts techniques dans la gestion des clés privées, les contrats intelligents, etc., mais ont également mis en évidence les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article reviendra sur les dix principaux événements de sécurité Web3 de 2024, afin que l'industrie puisse tirer des leçons et mieux faire face aux menaces de sécurité à venir.
1. Une importante attaque est survenue sur une bourse japonaise
Montant de la perte : 304 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, une célèbre plateforme d'échange de cryptomonnaies japonaise a subi une attaque historique. Les attaquants ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars en Bitcoin et ont rapidement dispersé les fonds volés sur plusieurs adresses différentes. Cet incident a révélé de graves lacunes dans la gestion des clés privées et la sécurité multicouche de l'échange. Bien que l'échange ait tenté de suivre les hackers par le biais de la surveillance on-chain et du gel des fonds, les Bitcoins volés ont été dispersés et nettoyés à l'aide d'outils de mélange, ce qui a considérablement compliqué les efforts de traçage.
À la fin de l'année, la police locale a déterminé que l'incident était causé par un certain groupe de hackers international.
2. PlayDapp subit des pertes sévères
Montant de la perte : 290 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur lorsqu'un hacker a volé la clé privée pour frapper 2 milliards de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. En raison de l'échec des négociations entre l'équipe du projet et le hacker, ce dernier a frappé en peu de temps 15,9 milliards de jetons PLA, d'une valeur de 253,9 millions de dollars. Après que ces jetons ont partiellement afflué sur les échanges, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers le contrat de jeton PDA. Cet incident met en évidence les lacunes des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. La plus grande bourse de cryptomonnaies en Inde attaquée
Montant de la perte : 235 millions de dollars
Méthodes d'attaque : attaques par réseau et phishing
Le 18 juillet 2024, le portefeuille multi-signatures de la plus grande bourse de cryptomonnaies en Inde a été ciblé par une attaque de hackers. Les attaquants ont induit en erreur les signataires du multi-signature par le biais de l'ingénierie sociale pour qu'ils signent une transaction de mise à niveau de contrat, puis ont utilisé les droits d'accès du contrat mis à niveau pour vider les actifs du portefeuille. Cette affaire met en lumière les risques potentiels des portefeuilles multi-signatures en matière de gestion de la configuration des droits et de la transparence des opérations, et a également suscité une réflexion approfondie au sein de l'industrie sur les mécanismes de contrôle interne et de sécurité des projets.
4. Gala Games subit une attaque de l'augmentation de l'émission de tokens
Montant de la perte : 216 millions de dollars
Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée par un hacker, qui a réussi à frapper 5 milliards de jetons GALA en appelant la fonction mint dans le contrat de jetons. Par la suite, le hacker a échangé les jetons nouvellement émis en plusieurs lots pour obtenir des ETH, entraînant une perte directe de 216 millions de dollars. L'équipe de Gala Games a immédiatement activé la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré une partie des pertes par voie judiciaire.
5. Le portefeuille personnel du co-fondateur de Ripple a été attaqué
Montant de la perte : 112 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels de Chris Larsen, co-fondateur de Ripple, ont été piratés, entraînant le vol de 112 millions de dollars de XRP. Ces portefeuilles ont probablement été ciblés en raison du manque de protection à double facteur par des dispositifs matériels. Après l'incident, une certaine bourse a réussi à geler 4,2 millions de dollars de XRP et a aidé à tracer les actifs volés, mais la grande majorité des fonds a déjà été blanchie via des bourses décentralisées et des services de mixage.
6. Munchables fait face à une infiltration interne
Montant de la perte : 62,5 millions de dollars américains
Méthode d'attaque : attaque par ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une rare attaque d'infiltration interne. Les attaquants étaient des hackers déguisés en développeurs de blockchain, qui ont obtenu le code source et les clés sensibles après une longue infiltration. Bien que l'attaque ait causé d'énormes pertes, en raison de la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement met en lumière l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain dépendant de développeurs tiers.
7. Une grande bourse turque subit une fuite de clés privées
Montant de la perte : 55 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande bourse de cryptomonnaies en Turquie a subi une attaque de fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide de l'équipe d'une certaine bourse, 5,3 millions de dollars de fonds volés ont été réussis à être gelés, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a approfondi les inquiétudes du marché concernant la gestion des clés privées des bourses centralisées.
8. Le portefeuille multi-signatures de Radiant Capital a été piraté
Montant de la perte : 53 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de son mode de validation de signature 3/11 à faible seuil, le hacker a pu initier une signature hors chaîne en contrôlant les clés privées de 3 signataires, transférant la propriété du contrat de portefeuille à une adresse malveillante, ce qui a entraîné le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et les mécanismes de gouvernance des portefeuilles multi-signatures.
Il convient de noter que Radiant Capital a perdu 4,5 millions de dollars en raison d'une vulnérabilité de contrat avant cette attaque, avec plus de 1900 ETH volés. Cela souligne à nouveau que les projets Web3 doivent accorder une plus grande attention à la sécurité.
9. Hedgey Finance : les contrats multi-chaînes attaqués
Montant de la perte : 44,7 millions de dollars
Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour un montant total de pertes atteignant 44,7 millions de dollars. Cet incident souligne l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. Le portefeuille chaud d'un échange a été piraté
Montant de la perte : 44,7 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud d'une certaine bourse a été piraté, impliquant plusieurs chaînes, y compris Ethereum, BNB Chain, Tron et d'autres chaînes publiques. Bien que la bourse ait rapidement mis en place des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le haut niveau de risque associé à la gestion des portefeuilles chauds des bourses centralisées et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Conclusion
Les incidents de sécurité se multiplient en 2024, nous rappelant une fois de plus que le développement de l'industrie de la blockchain ne peut se faire sans une protection sécurisée. De la fuite de clés privées aux vulnérabilités des contrats, des négligences dans la gestion interne aux mises à jour des méthodes d'attaque externes, chaque incident a apporté des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties de l'industrie doivent continuer à renforcer leurs investissements dans la recherche et le développement technologique, les normes de gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration industrielle et l'innovation technologique, nous établirons ensemble un écosystème blockchain plus sûr, offrant une protection plus fiable aux utilisateurs et aux investisseurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
11 J'aime
Récompense
11
6
Reposter
Partager
Commentaire
0/400
NoodlesOrTokens
· Il y a 20h
C'est encore une course contre la montre.
Voir l'originalRépondre0
Ramen_Until_Rich
· 08-12 11:14
2,5 milliards de dollars ? prendre les gens pour des idiots.
Voir l'originalRépondre0
EntryPositionAnalyst
· 08-11 23:38
Comment garder ce portefeuille, c'est un peu absurde.
Voir l'originalRépondre0
BoredWatcher
· 08-11 23:28
Est-ce que cela fait encore un an de travail acharné pour rien?
Voir l'originalRépondre0
ShadowStaker
· 08-11 23:27
hmm... la même vieille histoire - une autre année de plateformes d'échange centralisées prouvant qu'elles ne sont que des pots de miel avec une interface fancy. la résilience du réseau ne signifie rien lorsque vos clés privées sont gérées par un stagiaire privé de sommeil, pour être honnête.
Voir l'originalRépondre0
CryptoNomics
· 08-11 23:16
*soupir* statistiquement prévisible... la corrélation entre une mauvaise gestion des clés et une perte catastrophique est précisément la raison pour laquelle j'ai plaidé en faveur de la computation multipartite depuis 2019
Rétrospective des événements de sécurité Web3 en 2024 : 10 cas ayant causé près de 2,5 milliards de dollars de pertes
Revue des événements de sécurité majeurs dans le domaine du Web3 en 2024
En 2024, l'industrie de la blockchain fait face à des défis de sécurité de plus en plus sévères tout en innovant technologiquement et en élargissant ses écosystèmes. Selon les données d'une plateforme de surveillance de la sécurité, les pertes totales dans le domaine du Web3 dues aux attaques de hackers, aux escroqueries par phishing et aux projets abandonnés atteignent 2,491 milliards de dollars à la fin de l'année.
Ces événements ont non seulement révélé des défauts techniques dans la gestion des clés privées, les contrats intelligents, etc., mais ont également mis en évidence les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article reviendra sur les dix principaux événements de sécurité Web3 de 2024, afin que l'industrie puisse tirer des leçons et mieux faire face aux menaces de sécurité à venir.
1. Une importante attaque est survenue sur une bourse japonaise
Montant de la perte : 304 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, une célèbre plateforme d'échange de cryptomonnaies japonaise a subi une attaque historique. Les attaquants ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars en Bitcoin et ont rapidement dispersé les fonds volés sur plusieurs adresses différentes. Cet incident a révélé de graves lacunes dans la gestion des clés privées et la sécurité multicouche de l'échange. Bien que l'échange ait tenté de suivre les hackers par le biais de la surveillance on-chain et du gel des fonds, les Bitcoins volés ont été dispersés et nettoyés à l'aide d'outils de mélange, ce qui a considérablement compliqué les efforts de traçage.
À la fin de l'année, la police locale a déterminé que l'incident était causé par un certain groupe de hackers international.
2. PlayDapp subit des pertes sévères
Montant de la perte : 290 millions de dollars Méthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur lorsqu'un hacker a volé la clé privée pour frapper 2 milliards de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. En raison de l'échec des négociations entre l'équipe du projet et le hacker, ce dernier a frappé en peu de temps 15,9 milliards de jetons PLA, d'une valeur de 253,9 millions de dollars. Après que ces jetons ont partiellement afflué sur les échanges, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers le contrat de jeton PDA. Cet incident met en évidence les lacunes des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. La plus grande bourse de cryptomonnaies en Inde attaquée
Montant de la perte : 235 millions de dollars Méthodes d'attaque : attaques par réseau et phishing
Le 18 juillet 2024, le portefeuille multi-signatures de la plus grande bourse de cryptomonnaies en Inde a été ciblé par une attaque de hackers. Les attaquants ont induit en erreur les signataires du multi-signature par le biais de l'ingénierie sociale pour qu'ils signent une transaction de mise à niveau de contrat, puis ont utilisé les droits d'accès du contrat mis à niveau pour vider les actifs du portefeuille. Cette affaire met en lumière les risques potentiels des portefeuilles multi-signatures en matière de gestion de la configuration des droits et de la transparence des opérations, et a également suscité une réflexion approfondie au sein de l'industrie sur les mécanismes de contrôle interne et de sécurité des projets.
4. Gala Games subit une attaque de l'augmentation de l'émission de tokens
Montant de la perte : 216 millions de dollars Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée par un hacker, qui a réussi à frapper 5 milliards de jetons GALA en appelant la fonction mint dans le contrat de jetons. Par la suite, le hacker a échangé les jetons nouvellement émis en plusieurs lots pour obtenir des ETH, entraînant une perte directe de 216 millions de dollars. L'équipe de Gala Games a immédiatement activé la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré une partie des pertes par voie judiciaire.
5. Le portefeuille personnel du co-fondateur de Ripple a été attaqué
Montant de la perte : 112 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels de Chris Larsen, co-fondateur de Ripple, ont été piratés, entraînant le vol de 112 millions de dollars de XRP. Ces portefeuilles ont probablement été ciblés en raison du manque de protection à double facteur par des dispositifs matériels. Après l'incident, une certaine bourse a réussi à geler 4,2 millions de dollars de XRP et a aidé à tracer les actifs volés, mais la grande majorité des fonds a déjà été blanchie via des bourses décentralisées et des services de mixage.
6. Munchables fait face à une infiltration interne
Montant de la perte : 62,5 millions de dollars américains Méthode d'attaque : attaque par ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une rare attaque d'infiltration interne. Les attaquants étaient des hackers déguisés en développeurs de blockchain, qui ont obtenu le code source et les clés sensibles après une longue infiltration. Bien que l'attaque ait causé d'énormes pertes, en raison de la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement met en lumière l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain dépendant de développeurs tiers.
7. Une grande bourse turque subit une fuite de clés privées
Montant de la perte : 55 millions de dollars Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande bourse de cryptomonnaies en Turquie a subi une attaque de fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide de l'équipe d'une certaine bourse, 5,3 millions de dollars de fonds volés ont été réussis à être gelés, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a approfondi les inquiétudes du marché concernant la gestion des clés privées des bourses centralisées.
8. Le portefeuille multi-signatures de Radiant Capital a été piraté
Montant de la perte : 53 millions de dollars Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de son mode de validation de signature 3/11 à faible seuil, le hacker a pu initier une signature hors chaîne en contrôlant les clés privées de 3 signataires, transférant la propriété du contrat de portefeuille à une adresse malveillante, ce qui a entraîné le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et les mécanismes de gouvernance des portefeuilles multi-signatures.
Il convient de noter que Radiant Capital a perdu 4,5 millions de dollars en raison d'une vulnérabilité de contrat avant cette attaque, avec plus de 1900 ETH volés. Cela souligne à nouveau que les projets Web3 doivent accorder une plus grande attention à la sécurité.
9. Hedgey Finance : les contrats multi-chaînes attaqués
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour un montant total de pertes atteignant 44,7 millions de dollars. Cet incident souligne l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. Le portefeuille chaud d'un échange a été piraté
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud d'une certaine bourse a été piraté, impliquant plusieurs chaînes, y compris Ethereum, BNB Chain, Tron et d'autres chaînes publiques. Bien que la bourse ait rapidement mis en place des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le haut niveau de risque associé à la gestion des portefeuilles chauds des bourses centralisées et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Conclusion
Les incidents de sécurité se multiplient en 2024, nous rappelant une fois de plus que le développement de l'industrie de la blockchain ne peut se faire sans une protection sécurisée. De la fuite de clés privées aux vulnérabilités des contrats, des négligences dans la gestion interne aux mises à jour des méthodes d'attaque externes, chaque incident a apporté des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties de l'industrie doivent continuer à renforcer leurs investissements dans la recherche et le développement technologique, les normes de gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration industrielle et l'innovation technologique, nous établirons ensemble un écosystème blockchain plus sûr, offrant une protection plus fiable aux utilisateurs et aux investisseurs.