Top 10 des événements de sécurité dans le domaine du Web3 en 2024
En 2024, l'industrie Web3, tout en innovant et en se développant, fait également face à des défis de sécurité de plus en plus graves. Selon les statistiques, à la fin de l'année, les pertes totales dans le domaine du Web3 causées par des attaques de hackers, des escroqueries et des disparitions de projets s'élèvent à 2,491 milliards de dollars.
Ces incidents de sécurité révèlent non seulement des défauts techniques dans la gestion des clés privées et des contrats intelligents, mais mettent également en évidence les risques potentiels liés aux attaques par ingénierie sociale et à la gestion interne. Cet article passera en revue les dix principaux incidents de sécurité dans le domaine du Web3 en 2024, afin d'aider l'industrie à tirer des leçons et à mieux faire face aux menaces de sécurité futures.
1. Une importante attaque contre une bourse japonaise
Montant de la perte : 304 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, une célèbre bourse de cryptomonnaie japonaise a été victime d'une attaque historique. Des hackers ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars de bitcoins, et ont rapidement dispersé les fonds volés sur plus de 10 adresses différentes. Cet incident a révélé de graves lacunes dans la gestion des clés privées et la sécurité multicouche de la bourse. Bien que la bourse ait tenté de suivre les hackers par la surveillance on-chain et le gel des fonds, les bitcoins volés avaient déjà été transférés de manière dispersée et nettoyés à l'aide d'outils de mélange, ce qui a présenté un énorme défi pour les efforts de traçage.
À la fin de l'année, la police japonaise a déterminé que cette attaque avait été menée par le groupe de hackers nord-coréens Lazarus.
2. PlayDapp subit un coup dur
Montant de la perte : 290 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur, des hackers ont en effet volé des clés privées pour frapper 2 milliards de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. Étant donné que l'équipe du projet a échoué à négocier avec les hackers, ces derniers ont ensuite frappé 15,9 milliards de jetons PLA, d'une valeur de 253,9 millions de dollars. Après que certaines des pièces ont été échangées sur les bourses, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jetons. Cet incident met en évidence les lacunes des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. La plus grande bourse de cryptomonnaies en Inde attaquée
Montant de la perte : 235 millions de dollars
Modes d'attaque : attaques réseau et phishing
Le 18 juillet 2024, le portefeuille multi-signatures de la plus grande plateforme d'échange de cryptomonnaies en Inde a été ciblé par une attaque de hackers. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires du multi-signatures à signer une transaction de mise à niveau de contrat, puis ont profité des droits d'accès du contrat mis à niveau pour vider les actifs du portefeuille. Cette affaire met en évidence les risques potentiels liés à la gestion des droits d'accès et à la transparence des opérations des portefeuilles multi-signatures, et a également suscité une réflexion approfondie dans l'industrie sur les mécanismes de contrôle interne et de sécurité des projets.
4. Gala Games subit des pertes importantes
Montant de la perte : 216 millions de dollars
Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée, l'attaquant ayant appelé la fonction mint dans le contrat de jetons pour frapper 5 milliards de jetons GALA en une seule fois. Par la suite, le pirate a échangé les jetons nouvellement créés en plusieurs fois contre de l'ETH, entraînant une perte directe de 216 millions de dollars. L'équipe de Gala Games a immédiatement activé la fonction de liste noire pour bloquer certains comptes de pirates et a récupéré une partie des pertes par voie judiciaire.
5. Le portefeuille personnel du co-fondateur de Ripple a été piraté
Montant de la perte : 112 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels de Chris Larsen, co-fondateur de Ripple, ont été piratés, entraînant le vol de 112 millions de dollars d'XRP. Ces portefeuilles semblent avoir été ciblés en raison d'un manque de protection par double authentification matérielle. Après l'incident, un grand échange a réussi à geler 4,2 millions de dollars d'XRP et a aidé à tracer les actifs volés, mais la plupart des fonds ont déjà été blanchis via des échanges décentralisés et des services de mixage.
6. Munchables fait face à une attaque d'infiltration interne
Montant de la perte : 62,5 millions de dollars
Méthode d'attaque : attaque par ingénierie sociale
Le 26 mars 2024, la plateforme de jeux Web3 Munchables, basée sur Blast, a subi une rare attaque interne par infiltration. L'attaquant était un hacker déguisé en développeur blockchain, qui a obtenu le code source et des clés sensibles après une longue période de présence discrète. Bien que l'attaque ait causé des pertes énormes, sous pression de la communauté et de l'équipe, le hacker a finalement restitué tous les fonds volés. Cet événement met en lumière l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain qui dépendent du développement par des tiers.
7. La plus grande plateforme d'échange de cryptomonnaies en Turquie attaquée
Montant de la perte : 55 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande bourse de cryptomonnaies en Turquie a subi une attaque de fuite de clés privées, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Grâce à l'assistance de l'équipe d'une certaine bourse, 5,3 millions de dollars de fonds volés ont été congelés avec succès, mais d'autres actifs n'ont toujours pas été récupérés. Cet événement a approfondi les inquiétudes du marché concernant la gestion des clés privées par les bourses centralisées.
8. Le portefeuille multi-signatures de Radiant Capital a été compromis
Montant de la perte : 53 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multisignature de Radiant Capital a été piraté. En raison de son utilisation d'un mode de vérification par signature 3/11 à faible seuil, le pirate a pu initier une signature hors chaîne en contrôlant les clés privées de 3 signataires, transférant ainsi la propriété du contrat de portefeuille vers une adresse malveillante, ce qui a finalement entraîné le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et les mécanismes de gouvernance des portefeuilles multisignatures.
Il est à noter que Radiant Capital avait déjà perdu 4,5 millions de dollars en raison d'une vulnérabilité de contrat avant cette attaque, avec plus de 1900 ETH volés. Cela montre que les projets Web3 doivent encore améliorer leur attention à la sécurité.
9. Hedgey Finance a été attaqué
Montant de la perte : 44,7 millions de dollars
Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à retirer des tokens sur les chaînes Ethereum et Arbitrum, pour un montant total de 44,7 millions de dollars. Cet événement souligne l'importance des audits de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. Le portefeuille chaud d'un échange de cryptomonnaie a été piraté
Montant de la perte : 44,7 millions de dollars
Méthode d’attaque : fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud d'une bourse de cryptomonnaies a été piraté, impliquant plusieurs chaînes, y compris Ethereum, BNB Chain, Tron et d'autres chaînes publiques. Bien que la bourse ait rapidement mis en place un mécanisme de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le risque élevé de gestion des portefeuilles chauds des bourses centralisées et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Les événements d'attaques de sécurité fréquents en 2024 nous rappellent à nouveau que le développement de l'industrie de la blockchain ne peut se faire sans une protection sécurisée. Des fuites de clés privées aux failles de contrats, des négligences dans la gestion interne aux méthodes d'attaque externes de plus en plus sophistiquées, chaque incident a apporté des leçons profondes. Pour faire face à des menaces d'attaques de plus en plus complexes, toutes les parties prenantes de l'industrie doivent continuer à investir dans la recherche et le développement technologique, la normalisation de la gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration sectorielle et l'innovation technologique, nous pourrons ensemble établir un écosystème blockchain plus sûr, offrant aux utilisateurs et aux investisseurs une protection plus fiable.
Voir l'original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Bilan des dix principaux incidents de sécurité dans le domaine du Web3 en 2024, avec des pertes atteignant 24,91 milliards de dollars.
Top 10 des événements de sécurité dans le domaine du Web3 en 2024
En 2024, l'industrie Web3, tout en innovant et en se développant, fait également face à des défis de sécurité de plus en plus graves. Selon les statistiques, à la fin de l'année, les pertes totales dans le domaine du Web3 causées par des attaques de hackers, des escroqueries et des disparitions de projets s'élèvent à 2,491 milliards de dollars.
Ces incidents de sécurité révèlent non seulement des défauts techniques dans la gestion des clés privées et des contrats intelligents, mais mettent également en évidence les risques potentiels liés aux attaques par ingénierie sociale et à la gestion interne. Cet article passera en revue les dix principaux incidents de sécurité dans le domaine du Web3 en 2024, afin d'aider l'industrie à tirer des leçons et à mieux faire face aux menaces de sécurité futures.
1. Une importante attaque contre une bourse japonaise
Montant de la perte : 304 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, une célèbre bourse de cryptomonnaie japonaise a été victime d'une attaque historique. Des hackers ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars de bitcoins, et ont rapidement dispersé les fonds volés sur plus de 10 adresses différentes. Cet incident a révélé de graves lacunes dans la gestion des clés privées et la sécurité multicouche de la bourse. Bien que la bourse ait tenté de suivre les hackers par la surveillance on-chain et le gel des fonds, les bitcoins volés avaient déjà été transférés de manière dispersée et nettoyés à l'aide d'outils de mélange, ce qui a présenté un énorme défi pour les efforts de traçage.
À la fin de l'année, la police japonaise a déterminé que cette attaque avait été menée par le groupe de hackers nord-coréens Lazarus.
2. PlayDapp subit un coup dur
Montant de la perte : 290 millions de dollars Méthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur, des hackers ont en effet volé des clés privées pour frapper 2 milliards de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. Étant donné que l'équipe du projet a échoué à négocier avec les hackers, ces derniers ont ensuite frappé 15,9 milliards de jetons PLA, d'une valeur de 253,9 millions de dollars. Après que certaines des pièces ont été échangées sur les bourses, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jetons. Cet incident met en évidence les lacunes des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. La plus grande bourse de cryptomonnaies en Inde attaquée
Montant de la perte : 235 millions de dollars Modes d'attaque : attaques réseau et phishing
Le 18 juillet 2024, le portefeuille multi-signatures de la plus grande plateforme d'échange de cryptomonnaies en Inde a été ciblé par une attaque de hackers. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires du multi-signatures à signer une transaction de mise à niveau de contrat, puis ont profité des droits d'accès du contrat mis à niveau pour vider les actifs du portefeuille. Cette affaire met en évidence les risques potentiels liés à la gestion des droits d'accès et à la transparence des opérations des portefeuilles multi-signatures, et a également suscité une réflexion approfondie dans l'industrie sur les mécanismes de contrôle interne et de sécurité des projets.
4. Gala Games subit des pertes importantes
Montant de la perte : 216 millions de dollars Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée, l'attaquant ayant appelé la fonction mint dans le contrat de jetons pour frapper 5 milliards de jetons GALA en une seule fois. Par la suite, le pirate a échangé les jetons nouvellement créés en plusieurs fois contre de l'ETH, entraînant une perte directe de 216 millions de dollars. L'équipe de Gala Games a immédiatement activé la fonction de liste noire pour bloquer certains comptes de pirates et a récupéré une partie des pertes par voie judiciaire.
5. Le portefeuille personnel du co-fondateur de Ripple a été piraté
Montant de la perte : 112 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels de Chris Larsen, co-fondateur de Ripple, ont été piratés, entraînant le vol de 112 millions de dollars d'XRP. Ces portefeuilles semblent avoir été ciblés en raison d'un manque de protection par double authentification matérielle. Après l'incident, un grand échange a réussi à geler 4,2 millions de dollars d'XRP et a aidé à tracer les actifs volés, mais la plupart des fonds ont déjà été blanchis via des échanges décentralisés et des services de mixage.
6. Munchables fait face à une attaque d'infiltration interne
Montant de la perte : 62,5 millions de dollars Méthode d'attaque : attaque par ingénierie sociale
Le 26 mars 2024, la plateforme de jeux Web3 Munchables, basée sur Blast, a subi une rare attaque interne par infiltration. L'attaquant était un hacker déguisé en développeur blockchain, qui a obtenu le code source et des clés sensibles après une longue période de présence discrète. Bien que l'attaque ait causé des pertes énormes, sous pression de la communauté et de l'équipe, le hacker a finalement restitué tous les fonds volés. Cet événement met en lumière l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain qui dépendent du développement par des tiers.
7. La plus grande plateforme d'échange de cryptomonnaies en Turquie attaquée
Montant de la perte : 55 millions de dollars Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande bourse de cryptomonnaies en Turquie a subi une attaque de fuite de clés privées, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Grâce à l'assistance de l'équipe d'une certaine bourse, 5,3 millions de dollars de fonds volés ont été congelés avec succès, mais d'autres actifs n'ont toujours pas été récupérés. Cet événement a approfondi les inquiétudes du marché concernant la gestion des clés privées par les bourses centralisées.
8. Le portefeuille multi-signatures de Radiant Capital a été compromis
Montant de la perte : 53 millions de dollars Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multisignature de Radiant Capital a été piraté. En raison de son utilisation d'un mode de vérification par signature 3/11 à faible seuil, le pirate a pu initier une signature hors chaîne en contrôlant les clés privées de 3 signataires, transférant ainsi la propriété du contrat de portefeuille vers une adresse malveillante, ce qui a finalement entraîné le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et les mécanismes de gouvernance des portefeuilles multisignatures.
Il est à noter que Radiant Capital avait déjà perdu 4,5 millions de dollars en raison d'une vulnérabilité de contrat avant cette attaque, avec plus de 1900 ETH volés. Cela montre que les projets Web3 doivent encore améliorer leur attention à la sécurité.
9. Hedgey Finance a été attaqué
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à retirer des tokens sur les chaînes Ethereum et Arbitrum, pour un montant total de 44,7 millions de dollars. Cet événement souligne l'importance des audits de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. Le portefeuille chaud d'un échange de cryptomonnaie a été piraté
Montant de la perte : 44,7 millions de dollars Méthode d’attaque : fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud d'une bourse de cryptomonnaies a été piraté, impliquant plusieurs chaînes, y compris Ethereum, BNB Chain, Tron et d'autres chaînes publiques. Bien que la bourse ait rapidement mis en place un mécanisme de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le risque élevé de gestion des portefeuilles chauds des bourses centralisées et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Les événements d'attaques de sécurité fréquents en 2024 nous rappellent à nouveau que le développement de l'industrie de la blockchain ne peut se faire sans une protection sécurisée. Des fuites de clés privées aux failles de contrats, des négligences dans la gestion interne aux méthodes d'attaque externes de plus en plus sophistiquées, chaque incident a apporté des leçons profondes. Pour faire face à des menaces d'attaques de plus en plus complexes, toutes les parties prenantes de l'industrie doivent continuer à investir dans la recherche et le développement technologique, la normalisation de la gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration sectorielle et l'innovation technologique, nous pourrons ensemble établir un écosystème blockchain plus sûr, offrant aux utilisateurs et aux investisseurs une protection plus fiable.