Bilan des incidents de sécurité Web3 de 2024 : Dix cas d'attaques avertissent des risques pour l'industrie
En 2024, l'industrie de la blockchain, tout en se développant rapidement, fait également face à des défis de sécurité de plus en plus sévères. Selon les données d'une plateforme de surveillance de la sécurité, à ce jour, les pertes totales dans le domaine du Web3 en 2024, en raison des attaques de hackers, des escroqueries de phishing et des projets abandonnés, s'élèvent à 2,491 milliards de dollars.
Ces événements ont non seulement révélé des défauts techniques dans la gestion des clés privées et des contrats intelligents, mais ont également mis en évidence les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article passera en revue les dix principaux événements de sécurité Web3 de 2024, dans l'espoir que l'industrie puisse en tirer des leçons et mieux faire face aux menaces de sécurité à l'avenir.
1. Une importante attaque contre une bourse japonaise
Montant de la perte : 304 millions de dollarsMéthode d'attaque : divulgation de la clé privée
Le 31 mai 2024, une célèbre plateforme d'échange de cryptomonnaies japonaise a subi une attaque historique. Les attaquants ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars en Bitcoin, et ont rapidement dispersé les fonds volés sur plus de 10 adresses différentes. Cet incident a mis en lumière les graves lacunes de la plateforme en matière de gestion des clés privées et de protection de sécurité à plusieurs niveaux. Bien que la plateforme ait tenté de suivre les hackers par le biais de la surveillance on-chain et du gel des fonds, les Bitcoins volés ont été dispersés et blanchis via des outils de mixage, rendant le travail de suivi extrêmement difficile.
Le 24 décembre, la police japonaise a confirmé que l'incident était l'œuvre d'un certain groupe de hackers international.
2. PlayDapp subit une attaque de surmoulage de jetons
Montant de la perte : 290 millions de dollarsMéthode d’attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur, les hackers ayant volé des clés privées pour frapper 2 milliards de tokens PLA, d'une valeur initiale de 36,5 millions de dollars. En raison de l'échec des négociations entre l'équipe du projet et les hackers, ces derniers ont ensuite frappé 15,9 milliards de tokens PLA, d'une valeur de 253,9 millions de dollars. Une partie des tokens étant arrivée sur une certaine bourse, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de token. Cet incident met en évidence les lacunes des projets blockchain en matière de protection des clés privées et de réponse d'urgence.
3. La plus grande bourse de cryptomonnaies en Inde attaquée dans un portefeuille multi-signatures
Montant de la perte : 235 millions de dollarsMéthodes d'attaque : attaques réseau et phishing
Le 18 juillet 2024, le portefeuille multi-signature Safe Wallet de la plus grande bourse de crypto-monnaies en Inde a été ciblé par une attaque précise. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires multi-signatures à approuver une transaction de mise à niveau de contrat, puis ont utilisé les droits du contrat mis à niveau pour vider les actifs du portefeuille. Cette affaire a révélé les risques potentiels liés à la configuration des autorisations et à la transparence des opérations des portefeuilles multi-signatures, et a suscité une réflexion approfondie dans l'industrie sur les mécanismes de gestion des risques et de sécurité internes des projets.
4. L'adresse privilégiée de Gala Games a été compromises
Montant de la perte : 216 millions de dollarsMéthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. Les attaquants ont appelé la fonction mint dans le contrat de jetons, minant ainsi 5 milliards de jetons GALA en une seule fois. Par la suite, les hackers ont échangé ces nouveaux jetons en plusieurs fois contre des ETH, entraînant directement une perte de 216 millions de dollars. L'équipe de Gala Games a activé en urgence la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré une partie des pertes par voie légale.
5. Le portefeuille personnel du fondateur d'un célèbre projet de cryptomonnaie a été volé
Montant de la perte : 112 millions de dollars américainsMéthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels d'un cofondateur d'un projet de cryptomonnaie bien connu ont été piratés, entraînant le vol de 112 millions de dollars d'actifs numériques. Ces portefeuilles sont devenus des cibles d'attaque en raison d'un manque de protection par des dispositifs matériels pour la double authentification. Après l'incident, un grand échange a réussi à geler des actifs d'une valeur de 4,2 millions de dollars et a aidé à retracer les fonds volés, mais la plupart des fonds avaient déjà été blanchis via des échanges décentralisés et des services de mélange.
6. Munchables subit une infiltration interne
Montant de la perte : 62,5 millions de dollarsMéthode d'attaque : attaque par ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une rare attaque interne par infiltration. Les attaquants se sont déguisés en développeurs de blockchain et ont obtenu le code source et des clés sensibles après une longue période de furtivité. Bien que cela ait entraîné des pertes considérables, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement souligne l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain dépendant de développeurs tiers.
7. Une bourse turque fait face à une fuite de clé privée
Montant de la perte : 55 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 22 juin 2024, une importante bourse de cryptomonnaies en Turquie a subi une attaque de fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une grande bourse, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a renforcé les inquiétudes du marché concernant la capacité des bourses centralisées à gérer les clés privées.
8. Le portefeuille multi-signatures de Radiant Capital a été piraté
Montant de la perte : 53 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de l'utilisation d'un mode de vérification de signature 3/11 à seuil relativement bas, les pirates ont pu initier des signatures hors chaîne en contrôlant les clés privées de 3 signataires, transférant ainsi la propriété du contrat de portefeuille vers une adresse malveillante, ce qui a finalement conduit au vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multi-signatures.
Il convient de noter que Radiant Capital avait déjà perdu 4,5 millions de dollars en raison d'une vulnérabilité dans son contrat avant cette attaque, avec plus de 1900 ETH volés. Cela rappelle encore une fois aux projets Web3 qu'ils doivent accorder une plus grande attention aux problèmes de sécurité.
9. Hedgey Finance : les contrats multi-chaînes attaqués
Montant de la perte : 44,7 millions de dollarsMéthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'autorisation dans leur contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour une perte totale de 44,7 millions de dollars. Cet événement souligne l'importance des audits de code, en particulier la vérification rigoureuse de la logique d'autorisation des tokens.
10. Le portefeuille chaud d'un échange bien connu a été piraté
Montant de la perte : 44,7 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 19 septembre 2024, un portefeuille chaud d'un échange bien connu a été piraté, impliquant plusieurs blockchains publiques telles qu'Ethereum, BNB Chain et Tron. Bien que l'échange ait rapidement activé des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque a une fois de plus mis en évidence la haute risque de gestion des portefeuilles chauds des échanges centralisés, incitant le secteur à explorer des solutions de stockage d'actifs plus sûres.
Les événements de sécurité fréquents en 2024 nous rappellent à nouveau que le développement de l'industrie de la blockchain dépend de la sécurité. Des fuites de clés privées aux vulnérabilités des contrats, des négligences de gestion interne aux mises à niveau des méthodes d'attaque externes, chaque incident apporte des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties de l'industrie doivent continuer à renforcer leurs investissements dans la recherche et le développement technologique, les normes de gestion et la prévention des risques. À l'avenir, nous espérons, grâce à la collaboration de l'industrie et à l'innovation technologique, construire ensemble un écosystème blockchain plus sûr, offrant une protection plus fiable aux utilisateurs et aux investisseurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
15 J'aime
Récompense
15
4
Reposter
Partager
Commentaire
0/400
LightningPacketLoss
· Il y a 22h
Comment ça se fait que ça ait encore été volé ? Ça fait 24 ans et on fait encore cette erreur basique.
Voir l'originalRépondre0
ponzi_poet
· Il y a 22h
Encore une fois, le piège de se faire prendre pour des cons avec des changements sans véritable nouveauté.
Voir l'originalRépondre0
GasFeeCrier
· Il y a 22h
Encore noir et noir, pourquoi les smart contracts ne sont-ils pas encore améliorés ?
Voir l'originalRépondre0
SignatureAnxiety
· Il y a 22h
Encore une fuite de clé privée ? Qui oserait encore utiliser une plateforme d'échange japonaise ?
Revue des incidents de sécurité Web3 en 2024 : les dix attaques ayant causé des pertes de 2,5 milliards de dollars.
Bilan des incidents de sécurité Web3 de 2024 : Dix cas d'attaques avertissent des risques pour l'industrie
En 2024, l'industrie de la blockchain, tout en se développant rapidement, fait également face à des défis de sécurité de plus en plus sévères. Selon les données d'une plateforme de surveillance de la sécurité, à ce jour, les pertes totales dans le domaine du Web3 en 2024, en raison des attaques de hackers, des escroqueries de phishing et des projets abandonnés, s'élèvent à 2,491 milliards de dollars.
Ces événements ont non seulement révélé des défauts techniques dans la gestion des clés privées et des contrats intelligents, mais ont également mis en évidence les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article passera en revue les dix principaux événements de sécurité Web3 de 2024, dans l'espoir que l'industrie puisse en tirer des leçons et mieux faire face aux menaces de sécurité à l'avenir.
1. Une importante attaque contre une bourse japonaise
Montant de la perte : 304 millions de dollars Méthode d'attaque : divulgation de la clé privée
Le 31 mai 2024, une célèbre plateforme d'échange de cryptomonnaies japonaise a subi une attaque historique. Les attaquants ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars en Bitcoin, et ont rapidement dispersé les fonds volés sur plus de 10 adresses différentes. Cet incident a mis en lumière les graves lacunes de la plateforme en matière de gestion des clés privées et de protection de sécurité à plusieurs niveaux. Bien que la plateforme ait tenté de suivre les hackers par le biais de la surveillance on-chain et du gel des fonds, les Bitcoins volés ont été dispersés et blanchis via des outils de mixage, rendant le travail de suivi extrêmement difficile.
Le 24 décembre, la police japonaise a confirmé que l'incident était l'œuvre d'un certain groupe de hackers international.
2. PlayDapp subit une attaque de surmoulage de jetons
Montant de la perte : 290 millions de dollars Méthode d’attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur, les hackers ayant volé des clés privées pour frapper 2 milliards de tokens PLA, d'une valeur initiale de 36,5 millions de dollars. En raison de l'échec des négociations entre l'équipe du projet et les hackers, ces derniers ont ensuite frappé 15,9 milliards de tokens PLA, d'une valeur de 253,9 millions de dollars. Une partie des tokens étant arrivée sur une certaine bourse, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de token. Cet incident met en évidence les lacunes des projets blockchain en matière de protection des clés privées et de réponse d'urgence.
3. La plus grande bourse de cryptomonnaies en Inde attaquée dans un portefeuille multi-signatures
Montant de la perte : 235 millions de dollars Méthodes d'attaque : attaques réseau et phishing
Le 18 juillet 2024, le portefeuille multi-signature Safe Wallet de la plus grande bourse de crypto-monnaies en Inde a été ciblé par une attaque précise. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires multi-signatures à approuver une transaction de mise à niveau de contrat, puis ont utilisé les droits du contrat mis à niveau pour vider les actifs du portefeuille. Cette affaire a révélé les risques potentiels liés à la configuration des autorisations et à la transparence des opérations des portefeuilles multi-signatures, et a suscité une réflexion approfondie dans l'industrie sur les mécanismes de gestion des risques et de sécurité internes des projets.
4. L'adresse privilégiée de Gala Games a été compromises
Montant de la perte : 216 millions de dollars Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. Les attaquants ont appelé la fonction mint dans le contrat de jetons, minant ainsi 5 milliards de jetons GALA en une seule fois. Par la suite, les hackers ont échangé ces nouveaux jetons en plusieurs fois contre des ETH, entraînant directement une perte de 216 millions de dollars. L'équipe de Gala Games a activé en urgence la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré une partie des pertes par voie légale.
5. Le portefeuille personnel du fondateur d'un célèbre projet de cryptomonnaie a été volé
Montant de la perte : 112 millions de dollars américains Méthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels d'un cofondateur d'un projet de cryptomonnaie bien connu ont été piratés, entraînant le vol de 112 millions de dollars d'actifs numériques. Ces portefeuilles sont devenus des cibles d'attaque en raison d'un manque de protection par des dispositifs matériels pour la double authentification. Après l'incident, un grand échange a réussi à geler des actifs d'une valeur de 4,2 millions de dollars et a aidé à retracer les fonds volés, mais la plupart des fonds avaient déjà été blanchis via des échanges décentralisés et des services de mélange.
6. Munchables subit une infiltration interne
Montant de la perte : 62,5 millions de dollars Méthode d'attaque : attaque par ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une rare attaque interne par infiltration. Les attaquants se sont déguisés en développeurs de blockchain et ont obtenu le code source et des clés sensibles après une longue période de furtivité. Bien que cela ait entraîné des pertes considérables, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement souligne l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain dépendant de développeurs tiers.
7. Une bourse turque fait face à une fuite de clé privée
Montant de la perte : 55 millions de dollars Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, une importante bourse de cryptomonnaies en Turquie a subi une attaque de fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une grande bourse, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a renforcé les inquiétudes du marché concernant la capacité des bourses centralisées à gérer les clés privées.
8. Le portefeuille multi-signatures de Radiant Capital a été piraté
Montant de la perte : 53 millions de dollars Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de l'utilisation d'un mode de vérification de signature 3/11 à seuil relativement bas, les pirates ont pu initier des signatures hors chaîne en contrôlant les clés privées de 3 signataires, transférant ainsi la propriété du contrat de portefeuille vers une adresse malveillante, ce qui a finalement conduit au vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multi-signatures.
Il convient de noter que Radiant Capital avait déjà perdu 4,5 millions de dollars en raison d'une vulnérabilité dans son contrat avant cette attaque, avec plus de 1900 ETH volés. Cela rappelle encore une fois aux projets Web3 qu'ils doivent accorder une plus grande attention aux problèmes de sécurité.
9. Hedgey Finance : les contrats multi-chaînes attaqués
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'autorisation dans leur contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour une perte totale de 44,7 millions de dollars. Cet événement souligne l'importance des audits de code, en particulier la vérification rigoureuse de la logique d'autorisation des tokens.
10. Le portefeuille chaud d'un échange bien connu a été piraté
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, un portefeuille chaud d'un échange bien connu a été piraté, impliquant plusieurs blockchains publiques telles qu'Ethereum, BNB Chain et Tron. Bien que l'échange ait rapidement activé des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque a une fois de plus mis en évidence la haute risque de gestion des portefeuilles chauds des échanges centralisés, incitant le secteur à explorer des solutions de stockage d'actifs plus sûres.
Les événements de sécurité fréquents en 2024 nous rappellent à nouveau que le développement de l'industrie de la blockchain dépend de la sécurité. Des fuites de clés privées aux vulnérabilités des contrats, des négligences de gestion interne aux mises à niveau des méthodes d'attaque externes, chaque incident apporte des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties de l'industrie doivent continuer à renforcer leurs investissements dans la recherche et le développement technologique, les normes de gestion et la prévention des risques. À l'avenir, nous espérons, grâce à la collaboration de l'industrie et à l'innovation technologique, construire ensemble un écosystème blockchain plus sûr, offrant une protection plus fiable aux utilisateurs et aux investisseurs.