Récapitulatif des événements de sécurité Web3 en 2024 : dix cas qui alertent sur les risques du secteur
Avec l'innovation continue de la technologie blockchain et l'expansion de l'écosystème, le domaine Web3 fait face à des défis de sécurité sans précédent en 2024. Selon les données surveillées par la plateforme, à la fin de l'année, les pertes totales dans le domaine Web3 dues aux attaques de hackers, aux escroqueries par phishing et aux projets qui disparaissent atteindraient 2,491 milliards de dollars. Ces événements ont non seulement exposé des vulnérabilités techniques, telles que la mauvaise gestion des clés privées et les défauts des contrats intelligents, mais ont également mis en évidence la gravité des attaques d'ingénierie sociale et des risques de gestion interne.
Cet article passera en revue les dix événements de sécurité les plus influents dans le domaine du Web3 en 2024, dans le but d'aider l'industrie à tirer des leçons et à fournir des références pour la protection de la sécurité à l'avenir.
1. Événement DMM Bitcoin
Montant de la perte : 304 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, la célèbre plateforme d'échange de cryptomonnaies japonaise DMM Bitcoin a subi une violation de sécurité majeure. Les attaquants ont utilisé des clés privées divulguées pour transférer directement des bitcoins d'une valeur de plus de 300 millions de dollars, et ont rapidement dispersé les fonds volés sur une dizaine d'adresses différentes. Cet incident a mis en lumière les graves défauts de gestion des clés privées et de protection de sécurité multi-niveaux de la plateforme. Bien que l'échange ait ensuite pris des mesures telles que la surveillance en chaîne et le gel des fonds, le travail de suivi fait face à d'énormes défis en raison de l'utilisation d'outils de mélange de fonds par les pirates.
À la fin de l'année, la police japonaise a confirmé que cette attaque avait été réalisée par un groupe de hackers bien connu.
2. PlayDapp fait face à une surémission de jetons
Montant de la perte : 290 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 9 février 2024, le projet PlayDapp a subi un coup dur. Des hackers ont réussi à forger 2 milliards de jetons PLA en volant une clé privée, d'une valeur initiale de 36,5 millions de dollars. Suite à un échec des négociations entre les développeurs du projet et les hackers, ces derniers ont forgé en peu de temps 15,9 milliards de jetons PLA, d'une valeur de 253,9 millions de dollars. Après qu'une partie des jetons volés ait été introduite sur les échanges, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jetons PDA. Cet événement met en lumière les lacunes des projets blockchain en matière de protection des clés privées et de mécanismes de réponse d'urgence.
3. Le portefeuille multi-signatures de WazirX a été attaqué
Montant de la perte : 235 millions de dollars
Méthode d'attaque : Attaque réseau et phishing
Le 18 juillet 2024, le Safe Wallet multi-signatures de WazirX, le plus grand échange de cryptomonnaies en Inde, a été ciblé par une attaque précise. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires de la multi-signature à approuver une transaction de mise à niveau de contrat, puis ont utilisé les autorisations du contrat mis à niveau pour vider les actifs du portefeuille. Cette affaire a mis en lumière les risques potentiels liés à la gestion des autorisations et à la transparence des opérations des portefeuilles multi-signatures, suscitant une réflexion approfondie sur les mécanismes de contrôle interne des projets dans l'industrie.
4. Vulnérabilité d'émission supplémentaire de jetons Gala Games
Montant de la perte : 216 millions de dollars
Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. Les attaquants ont réussi à appeler la fonction mint dans le contrat de jetons, frappant ainsi 5 milliards de jetons GALA d'un coup. Par la suite, les pirates ont échangé ces nouveaux jetons par tranche contre de l'ETH, entraînant directement une perte de 216 millions de dollars. L'équipe de Gala Games a immédiatement activé la fonction de liste noire pour bloquer certains comptes des pirates et a récupéré une partie des pertes par voie judiciaire.
5. Le portefeuille personnel du co-fondateur de Ripple a été volé
Montant de la perte : 112 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels du co-fondateur de Ripple ont été piratés, entraînant le vol de 112 millions de dollars de XRP. Ces portefeuilles sont devenus des cibles d'attaque en raison d'un manque de protection à double niveau matériel. Après l'incident, une certaine bourse a réussi à geler des XRP d'une valeur de 4,2 millions de dollars et a aidé à tracer les actifs volés, mais la plupart des fonds ont été blanchis via des échanges décentralisés et des services de mixage.
6. Munchables fait face à une infiltration interne
Montant de la perte : 62,5 millions de dollars
Méthode d'attaque : attaque par ingénierie sociale
Le 26 mars 2024, la plateforme de jeux Web3 Munchables, basée sur Blast, a subi une rare attaque d'infiltration interne. Les attaquants se sont déguisés en développeurs blockchain et ont obtenu le code source et les clés sensibles après une longue période de présence discrète. Malgré des pertes énormes, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement met en lumière l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain qui dépendent de développeurs tiers.
7. Événement de fuite de clé privée BtcTurk
Montant de la perte : 55 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, BtcTurk, la plus grande plateforme d'échange de cryptomonnaies en Turquie, a été victime d'une attaque par fuite de clé privée, entraînant une perte de plus de 55 millions de dollars en actifs cryptographiques. Avec l'assistance d'une équipe d'une autre plateforme d'échange, 5,3 millions de dollars des fonds volés ont été réussis à être gelés, mais d'autres actifs restent non récupérés. Cet incident a amplifié les inquiétudes du marché concernant la capacité de gestion des clés privées des plateformes d'échange centralisées.
8. Le portefeuille multi-signatures de Radiant Capital a été compromis
Montant de la perte : 53 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de l'utilisation d'un mode de vérification par signature 3/11 à seuil relativement bas, les hackers ont pu lancer une signature hors chaîne en maîtrisant les clés privées de 3 signataires, transférant ainsi la propriété du contrat de portefeuille vers une adresse malveillante, ce qui a finalement entraîné le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et les mécanismes de gouvernance des portefeuilles multi-signatures.
Il convient de noter que Radiant Capital avait déjà perdu 4,5 millions de dollars en raison d'une vulnérabilité contractuelle avant cette attaque, avec plus de 1900 ETH volés. Cela souligne encore une fois l'importance pour les projets Web3 d'accroître leur sensibilisation à la sécurité.
9. La vulnérabilité des contrats de Hedgey Finance a été exploitée
Montant de la perte : 44,7 millions de dollars
Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour un montant total de 44,7 millions de dollars. Cet événement souligne l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. Le portefeuille chaud de BingX a été piraté
Montant de la perte : 44,7 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud d'un certain échange a été piraté, impliquant plusieurs blockchains publiques telles qu'Ethereum, BNB Chain et Tron. Bien que l'échange ait rapidement mis en place des mécanismes de transfert d'actifs et de gel des retraits, les pirates ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque a de nouveau révélé le risque élevé de la gestion des portefeuilles chauds des échanges centralisés, incitant l'industrie à explorer des solutions de stockage d'actifs plus sécurisées.
Les événements de sécurité fréquents en 2024 nous rappellent une fois de plus que le développement sain de l'industrie de la blockchain dépend d'une protection de sécurité solide. Des fuites de clés privées aux vulnérabilités des contrats, des négligences dans la gestion interne aux méthodes d'attaque externes en évolution, chaque événement a sonné l'alarme pour l'industrie. Pour faire face à des menaces d'attaque de plus en plus complexes, le secteur doit continuer à investir dans la recherche et développement technologique, les normes de gestion et la prévention des risques. À l'avenir, nous espérons, grâce à la collaboration sectorielle et à l'innovation technologique, construire ensemble un écosystème blockchain plus sûr et fiable, offrant une protection plus solide aux utilisateurs et aux investisseurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
18 J'aime
Récompense
18
9
Partager
Commentaire
0/400
retroactive_airdrop
· 07-19 19:47
J'ai entendu dire que les vieux pigeons ont beaucoup perdu, c'est difficile à supporter.
Voir l'originalRépondre0
Ramen_Until_Rich
· 07-19 07:26
Eh bien, les failles de sécurité existent chaque année, les pigeons sont pris pour des idiots puis encore pris pour des idiots.
Voir l'originalRépondre0
SmartContractPhobia
· 07-18 21:24
C'est vraiment effrayant, je n'ose même plus toucher aux contrats.
Voir l'originalRépondre0
0xInsomnia
· 07-17 17:13
Trop tragique, c'est encore l'histoire de sang et de larmes des pigeons.
Voir l'originalRépondre0
not_your_keys
· 07-16 21:06
L'industrie a une main dans la débandade.
Voir l'originalRépondre0
SchroedingersFrontrun
· 07-16 21:01
Eh, on est encore en train de se faire prendre pour des cons, soyons humains.
Voir l'originalRépondre0
AirdropworkerZhang
· 07-16 21:00
25 milliards de dollars, cela me suffirait pour vivre toute ma vie.
Voir l'originalRépondre0
AirdropDreamBreaker
· 07-16 20:58
Première ligne, regardez se faire prendre pour des cons.
Rétrospective des événements de sécurité Web3 en 2024 : dix cas ayant entraîné des pertes de près de 2,5 milliards de dollars.
Récapitulatif des événements de sécurité Web3 en 2024 : dix cas qui alertent sur les risques du secteur
Avec l'innovation continue de la technologie blockchain et l'expansion de l'écosystème, le domaine Web3 fait face à des défis de sécurité sans précédent en 2024. Selon les données surveillées par la plateforme, à la fin de l'année, les pertes totales dans le domaine Web3 dues aux attaques de hackers, aux escroqueries par phishing et aux projets qui disparaissent atteindraient 2,491 milliards de dollars. Ces événements ont non seulement exposé des vulnérabilités techniques, telles que la mauvaise gestion des clés privées et les défauts des contrats intelligents, mais ont également mis en évidence la gravité des attaques d'ingénierie sociale et des risques de gestion interne.
Cet article passera en revue les dix événements de sécurité les plus influents dans le domaine du Web3 en 2024, dans le but d'aider l'industrie à tirer des leçons et à fournir des références pour la protection de la sécurité à l'avenir.
1. Événement DMM Bitcoin
Montant de la perte : 304 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, la célèbre plateforme d'échange de cryptomonnaies japonaise DMM Bitcoin a subi une violation de sécurité majeure. Les attaquants ont utilisé des clés privées divulguées pour transférer directement des bitcoins d'une valeur de plus de 300 millions de dollars, et ont rapidement dispersé les fonds volés sur une dizaine d'adresses différentes. Cet incident a mis en lumière les graves défauts de gestion des clés privées et de protection de sécurité multi-niveaux de la plateforme. Bien que l'échange ait ensuite pris des mesures telles que la surveillance en chaîne et le gel des fonds, le travail de suivi fait face à d'énormes défis en raison de l'utilisation d'outils de mélange de fonds par les pirates.
À la fin de l'année, la police japonaise a confirmé que cette attaque avait été réalisée par un groupe de hackers bien connu.
2. PlayDapp fait face à une surémission de jetons
Montant de la perte : 290 millions de dollars Méthode d'attaque : fuite de clé privée
Le 9 février 2024, le projet PlayDapp a subi un coup dur. Des hackers ont réussi à forger 2 milliards de jetons PLA en volant une clé privée, d'une valeur initiale de 36,5 millions de dollars. Suite à un échec des négociations entre les développeurs du projet et les hackers, ces derniers ont forgé en peu de temps 15,9 milliards de jetons PLA, d'une valeur de 253,9 millions de dollars. Après qu'une partie des jetons volés ait été introduite sur les échanges, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jetons PDA. Cet événement met en lumière les lacunes des projets blockchain en matière de protection des clés privées et de mécanismes de réponse d'urgence.
3. Le portefeuille multi-signatures de WazirX a été attaqué
Montant de la perte : 235 millions de dollars Méthode d'attaque : Attaque réseau et phishing
Le 18 juillet 2024, le Safe Wallet multi-signatures de WazirX, le plus grand échange de cryptomonnaies en Inde, a été ciblé par une attaque précise. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires de la multi-signature à approuver une transaction de mise à niveau de contrat, puis ont utilisé les autorisations du contrat mis à niveau pour vider les actifs du portefeuille. Cette affaire a mis en lumière les risques potentiels liés à la gestion des autorisations et à la transparence des opérations des portefeuilles multi-signatures, suscitant une réflexion approfondie sur les mécanismes de contrôle interne des projets dans l'industrie.
4. Vulnérabilité d'émission supplémentaire de jetons Gala Games
Montant de la perte : 216 millions de dollars Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. Les attaquants ont réussi à appeler la fonction mint dans le contrat de jetons, frappant ainsi 5 milliards de jetons GALA d'un coup. Par la suite, les pirates ont échangé ces nouveaux jetons par tranche contre de l'ETH, entraînant directement une perte de 216 millions de dollars. L'équipe de Gala Games a immédiatement activé la fonction de liste noire pour bloquer certains comptes des pirates et a récupéré une partie des pertes par voie judiciaire.
5. Le portefeuille personnel du co-fondateur de Ripple a été volé
Montant de la perte : 112 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels du co-fondateur de Ripple ont été piratés, entraînant le vol de 112 millions de dollars de XRP. Ces portefeuilles sont devenus des cibles d'attaque en raison d'un manque de protection à double niveau matériel. Après l'incident, une certaine bourse a réussi à geler des XRP d'une valeur de 4,2 millions de dollars et a aidé à tracer les actifs volés, mais la plupart des fonds ont été blanchis via des échanges décentralisés et des services de mixage.
6. Munchables fait face à une infiltration interne
Montant de la perte : 62,5 millions de dollars Méthode d'attaque : attaque par ingénierie sociale
Le 26 mars 2024, la plateforme de jeux Web3 Munchables, basée sur Blast, a subi une rare attaque d'infiltration interne. Les attaquants se sont déguisés en développeurs blockchain et ont obtenu le code source et les clés sensibles après une longue période de présence discrète. Malgré des pertes énormes, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement met en lumière l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain qui dépendent de développeurs tiers.
7. Événement de fuite de clé privée BtcTurk
Montant de la perte : 55 millions de dollars Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, BtcTurk, la plus grande plateforme d'échange de cryptomonnaies en Turquie, a été victime d'une attaque par fuite de clé privée, entraînant une perte de plus de 55 millions de dollars en actifs cryptographiques. Avec l'assistance d'une équipe d'une autre plateforme d'échange, 5,3 millions de dollars des fonds volés ont été réussis à être gelés, mais d'autres actifs restent non récupérés. Cet incident a amplifié les inquiétudes du marché concernant la capacité de gestion des clés privées des plateformes d'échange centralisées.
8. Le portefeuille multi-signatures de Radiant Capital a été compromis
Montant de la perte : 53 millions de dollars Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de l'utilisation d'un mode de vérification par signature 3/11 à seuil relativement bas, les hackers ont pu lancer une signature hors chaîne en maîtrisant les clés privées de 3 signataires, transférant ainsi la propriété du contrat de portefeuille vers une adresse malveillante, ce qui a finalement entraîné le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et les mécanismes de gouvernance des portefeuilles multi-signatures.
Il convient de noter que Radiant Capital avait déjà perdu 4,5 millions de dollars en raison d'une vulnérabilité contractuelle avant cette attaque, avec plus de 1900 ETH volés. Cela souligne encore une fois l'importance pour les projets Web3 d'accroître leur sensibilisation à la sécurité.
9. La vulnérabilité des contrats de Hedgey Finance a été exploitée
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour un montant total de 44,7 millions de dollars. Cet événement souligne l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. Le portefeuille chaud de BingX a été piraté
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud d'un certain échange a été piraté, impliquant plusieurs blockchains publiques telles qu'Ethereum, BNB Chain et Tron. Bien que l'échange ait rapidement mis en place des mécanismes de transfert d'actifs et de gel des retraits, les pirates ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque a de nouveau révélé le risque élevé de la gestion des portefeuilles chauds des échanges centralisés, incitant l'industrie à explorer des solutions de stockage d'actifs plus sécurisées.
Les événements de sécurité fréquents en 2024 nous rappellent une fois de plus que le développement sain de l'industrie de la blockchain dépend d'une protection de sécurité solide. Des fuites de clés privées aux vulnérabilités des contrats, des négligences dans la gestion interne aux méthodes d'attaque externes en évolution, chaque événement a sonné l'alarme pour l'industrie. Pour faire face à des menaces d'attaque de plus en plus complexes, le secteur doit continuer à investir dans la recherche et développement technologique, les normes de gestion et la prévention des risques. À l'avenir, nous espérons, grâce à la collaboration sectorielle et à l'innovation technologique, construire ensemble un écosystème blockchain plus sûr et fiable, offrant une protection plus solide aux utilisateurs et aux investisseurs.