Bilan des incidents de sécurité Web3 en 2024 : Dix attaques ayant causé près de 2,5 milliards de dollars de pertes
En 2024, le domaine du Web3 fait face à de graves défis en matière de sécurité. Selon les données surveillées par les plateformes, à ce jour, les pertes totales dues aux attaques de hackers, aux escroqueries par phishing et aux projets abandonnés s'élèvent à 2,491 milliards de dollars. Ces événements révèlent non seulement des défauts techniques, mais soulignent également les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article examinera les dix principaux événements de sécurité du Web3 en 2024, afin de tirer des leçons et de mieux faire face aux menaces de sécurité futures.
1. DMM Bitcoin
Montant de la perte : 304 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 31 mai 2024, la célèbre bourse de cryptomonnaies japonaise DMM Bitcoin a subi une attaque majeure. Les attaquants ont utilisé une clé privée divulguée pour transférer directement des bitcoins d'une valeur de plus de 300 millions de dollars, et ont rapidement dispersé les fonds volés à plusieurs adresses. Cet événement a révélé de graves lacunes dans la gestion des clés privées et la sécurité multicouche de la bourse. Bien que la bourse ait tenté de suivre les hackers grâce à la surveillance en chaîne et au gel des fonds, la dispersion des bitcoins volés et le nettoyage des fonds ont posé d'énormes défis à la traçabilité.
Le 24 décembre, la police japonaise a confirmé que cette attaque avait été menée par le groupe de hackers nord-coréen Lazarus.
2. PlayDapp
Montant des pertes : 290 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur. Des hackers ont volé des clés privées pour frapper 2 milliards de tokens PLA, d'une valeur initiale de 36,5 millions de dollars. En raison d'un échec des négociations avec les hackers, ces derniers ont ensuite frappé 15,9 milliards de tokens PLA, d'une valeur de 253,9 millions de dollars. Après que certains tokens aient été échangés sur les plateformes, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers le contrat de token PDA. Cet événement met en lumière les insuffisances des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. WazirX
Montant de la perte : 235 millions de dollarsMéthodes d'attaque : attaques en ligne et phishing
Le 18 juillet 2024, le portefeuille multi-signatures Safe Wallet de WazirX, la plus grande bourse de cryptomonnaies d'Inde, a été ciblé par une attaque précise. Les attaquants ont utilisé l'ingénierie sociale pour inciter les signataires multi-signatures à approuver une transaction de mise à niveau de contrat, puis ont utilisé les droits du contrat mis à niveau pour transférer tous les actifs du portefeuille. Cet incident met en lumière les risques potentiels des portefeuilles multi-signatures en matière de gestion des configurations de droits et de transparence des opérations, et a également suscité une réflexion approfondie dans l'industrie sur les mécanismes de contrôle interne et de sécurité des projets.
4. Gala Games
Montant de la perte : 216 millions de dollarsMéthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. L'attaquant a appelé la fonction mint dans le contrat de jetons pour frapper d'un coup 5 milliards de jetons GALA. Par la suite, le hacker a échangé par lots les jetons émis contre des ETH, entraînant directement une perte de 216 millions de dollars. L'équipe de Gala Games a immédiatement activé la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré les pertes par voie légale.
5. L'incident Chris Larsen
Montant de la perte : 112 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels de Chris Larsen, co-fondateur de Ripple, ont été piratés, entraînant le vol de 112 millions de dollars d'XRP. Ces portefeuilles sont devenus des cibles d'attaque en raison de l'absence de protection par double authentification avec des dispositifs matériels. Après l'incident, une plateforme d'échange a réussi à geler des XRP d'une valeur de 4,2 millions de dollars et a aidé à tracer les actifs volés, mais la majeure partie des fonds a été blanchie via des échanges décentralisés et des services de mixage.
6. Munchables
Montant de la perte : 62,5 millions de dollarsMéthode d’attaque : Attaque d’ingénierie sociale
Le 26 mars 2024, la plateforme de jeux Web3 Munchables, basée sur Blast, a été victime d'une rare attaque de pénétration interne. Les attaquants étaient des hackers nord-coréens déguisés en développeurs de blockchain, qui ont réussi à obtenir le code source et des clés sensibles après une longue période d'infiltration. Bien que cela ait causé d'énormes pertes, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet incident met en évidence l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain qui dépendent de développeurs tiers.
7. BtcTurk
Montant de la perte : 55 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande plateforme d'échange de cryptomonnaies de Turquie, BtcTurk, a subi une attaque de fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une certaine plateforme d'échange, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a intensifié les inquiétudes du marché concernant la gestion des clés privées par les échanges centralisés.
8. Radiant Capital
Montant de la perte : 53 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multisignature de Radiant Capital a été piraté. En raison de l'utilisation d'un mode de vérification de signature 3/11 à faible barrière d'entrée, le pirate a pu initier une signature hors chaîne en contrôlant les clés privées de 3 signataires, transférant la propriété du contrat du portefeuille à une adresse malveillante, ce qui a finalement conduit au vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multisignatures.
Il est à noter que Radiant Capital avait déjà perdu 4,5 millions de dollars en raison d'une faille dans son contrat avant cette attaque, avec plus de 1900 ETH volés. Cela met encore en évidence que les projets Web3 doivent accorder une plus grande attention à la sécurité.
9. Hedgey Finance
Montant de la perte : 44,7 millions de dollarsMéthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans leur contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour une perte totale de 44,7 millions de dollars. Cet événement souligne l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. BingX
Montant de la perte : 44,7 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud de l'échange BingX a été piraté, impliquant plusieurs blockchains publiques telles qu'Ethereum, BNB Chain, Tron, etc. Bien que l'échange ait rapidement mis en place des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le risque élevé de gestion des portefeuilles chauds des échanges centralisés et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sécurisées.
Les événements fréquents d'attaques de sécurité en 2024 nous rappellent à nouveau que le développement de l'industrie de la blockchain ne peut se faire sans garanties de sécurité. De la fuite de clés privées aux vulnérabilités des contrats, des lacunes dans la gestion interne aux méthodes d'attaque externes améliorées, chaque incident a apporté des leçons profondes. Pour faire face à des menaces d'attaques de plus en plus complexes, toutes les parties de l'industrie doivent continuer à renforcer leurs investissements dans la recherche technologique, les normes de gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration de l'industrie et l'innovation technologique, nous pourrons construire ensemble un écosystème blockchain plus sûr, offrant une protection plus fiable aux utilisateurs et aux investisseurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
21 J'aime
Récompense
21
3
Reposter
Partager
Commentaire
0/400
TokenCreatorOP
· 08-17 03:06
Je perds encore de l'argent tous les jours.
Voir l'originalRépondre0
GasFeeCrying
· 08-14 03:44
Encore une perte, c'est pénible.
Voir l'originalRépondre0
FastLeaver
· 08-14 03:24
Haha, encore une fuite de clé privée. Il y a beaucoup de ce genre de scénario chaque année.
Les dix principaux incidents de sécurité Web3 de 2024 ont causé des pertes de près de 2,5 milliards de dollars.
Bilan des incidents de sécurité Web3 en 2024 : Dix attaques ayant causé près de 2,5 milliards de dollars de pertes
En 2024, le domaine du Web3 fait face à de graves défis en matière de sécurité. Selon les données surveillées par les plateformes, à ce jour, les pertes totales dues aux attaques de hackers, aux escroqueries par phishing et aux projets abandonnés s'élèvent à 2,491 milliards de dollars. Ces événements révèlent non seulement des défauts techniques, mais soulignent également les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article examinera les dix principaux événements de sécurité du Web3 en 2024, afin de tirer des leçons et de mieux faire face aux menaces de sécurité futures.
1. DMM Bitcoin
Montant de la perte : 304 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, la célèbre bourse de cryptomonnaies japonaise DMM Bitcoin a subi une attaque majeure. Les attaquants ont utilisé une clé privée divulguée pour transférer directement des bitcoins d'une valeur de plus de 300 millions de dollars, et ont rapidement dispersé les fonds volés à plusieurs adresses. Cet événement a révélé de graves lacunes dans la gestion des clés privées et la sécurité multicouche de la bourse. Bien que la bourse ait tenté de suivre les hackers grâce à la surveillance en chaîne et au gel des fonds, la dispersion des bitcoins volés et le nettoyage des fonds ont posé d'énormes défis à la traçabilité.
Le 24 décembre, la police japonaise a confirmé que cette attaque avait été menée par le groupe de hackers nord-coréen Lazarus.
2. PlayDapp
Montant des pertes : 290 millions de dollars Méthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur. Des hackers ont volé des clés privées pour frapper 2 milliards de tokens PLA, d'une valeur initiale de 36,5 millions de dollars. En raison d'un échec des négociations avec les hackers, ces derniers ont ensuite frappé 15,9 milliards de tokens PLA, d'une valeur de 253,9 millions de dollars. Après que certains tokens aient été échangés sur les plateformes, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers le contrat de token PDA. Cet événement met en lumière les insuffisances des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. WazirX
Montant de la perte : 235 millions de dollars Méthodes d'attaque : attaques en ligne et phishing
Le 18 juillet 2024, le portefeuille multi-signatures Safe Wallet de WazirX, la plus grande bourse de cryptomonnaies d'Inde, a été ciblé par une attaque précise. Les attaquants ont utilisé l'ingénierie sociale pour inciter les signataires multi-signatures à approuver une transaction de mise à niveau de contrat, puis ont utilisé les droits du contrat mis à niveau pour transférer tous les actifs du portefeuille. Cet incident met en lumière les risques potentiels des portefeuilles multi-signatures en matière de gestion des configurations de droits et de transparence des opérations, et a également suscité une réflexion approfondie dans l'industrie sur les mécanismes de contrôle interne et de sécurité des projets.
4. Gala Games
Montant de la perte : 216 millions de dollars Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. L'attaquant a appelé la fonction mint dans le contrat de jetons pour frapper d'un coup 5 milliards de jetons GALA. Par la suite, le hacker a échangé par lots les jetons émis contre des ETH, entraînant directement une perte de 216 millions de dollars. L'équipe de Gala Games a immédiatement activé la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré les pertes par voie légale.
5. L'incident Chris Larsen
Montant de la perte : 112 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels de Chris Larsen, co-fondateur de Ripple, ont été piratés, entraînant le vol de 112 millions de dollars d'XRP. Ces portefeuilles sont devenus des cibles d'attaque en raison de l'absence de protection par double authentification avec des dispositifs matériels. Après l'incident, une plateforme d'échange a réussi à geler des XRP d'une valeur de 4,2 millions de dollars et a aidé à tracer les actifs volés, mais la majeure partie des fonds a été blanchie via des échanges décentralisés et des services de mixage.
6. Munchables
Montant de la perte : 62,5 millions de dollars Méthode d’attaque : Attaque d’ingénierie sociale
Le 26 mars 2024, la plateforme de jeux Web3 Munchables, basée sur Blast, a été victime d'une rare attaque de pénétration interne. Les attaquants étaient des hackers nord-coréens déguisés en développeurs de blockchain, qui ont réussi à obtenir le code source et des clés sensibles après une longue période d'infiltration. Bien que cela ait causé d'énormes pertes, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet incident met en évidence l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain qui dépendent de développeurs tiers.
7. BtcTurk
Montant de la perte : 55 millions de dollars Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande plateforme d'échange de cryptomonnaies de Turquie, BtcTurk, a subi une attaque de fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une certaine plateforme d'échange, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a intensifié les inquiétudes du marché concernant la gestion des clés privées par les échanges centralisés.
8. Radiant Capital
Montant de la perte : 53 millions de dollars Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multisignature de Radiant Capital a été piraté. En raison de l'utilisation d'un mode de vérification de signature 3/11 à faible barrière d'entrée, le pirate a pu initier une signature hors chaîne en contrôlant les clés privées de 3 signataires, transférant la propriété du contrat du portefeuille à une adresse malveillante, ce qui a finalement conduit au vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multisignatures.
Il est à noter que Radiant Capital avait déjà perdu 4,5 millions de dollars en raison d'une faille dans son contrat avant cette attaque, avec plus de 1900 ETH volés. Cela met encore en évidence que les projets Web3 doivent accorder une plus grande attention à la sécurité.
9. Hedgey Finance
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans leur contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour une perte totale de 44,7 millions de dollars. Cet événement souligne l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. BingX
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud de l'échange BingX a été piraté, impliquant plusieurs blockchains publiques telles qu'Ethereum, BNB Chain, Tron, etc. Bien que l'échange ait rapidement mis en place des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le risque élevé de gestion des portefeuilles chauds des échanges centralisés et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sécurisées.
Les événements fréquents d'attaques de sécurité en 2024 nous rappellent à nouveau que le développement de l'industrie de la blockchain ne peut se faire sans garanties de sécurité. De la fuite de clés privées aux vulnérabilités des contrats, des lacunes dans la gestion interne aux méthodes d'attaque externes améliorées, chaque incident a apporté des leçons profondes. Pour faire face à des menaces d'attaques de plus en plus complexes, toutes les parties de l'industrie doivent continuer à renforcer leurs investissements dans la recherche technologique, les normes de gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration de l'industrie et l'innovation technologique, nous pourrons construire ensemble un écosystème blockchain plus sûr, offrant une protection plus fiable aux utilisateurs et aux investisseurs.