Bilan des dix principaux événements de sécurité Web3 en 2024
En 2024, l'industrie Web3 fait face à des défis de sécurité importants tout en innovant. Selon les statistiques, les pertes totales dues aux attaques de hackers, aux escroqueries et aux projets qui disparaissent s'élèvent cette année à 2,491 milliards de dollars. Ces événements révèlent des défauts techniques dans la gestion des clés privées et des contrats intelligents, tout en mettant en lumière les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article examinera les dix événements de sécurité les plus influents dans le domaine du Web3 en 2024, dans l'espoir d'en tirer des leçons pour mieux faire face aux menaces futures.
1. Événement DMM Bitcoin
Montant de la perte : 304 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 31 mai 2024, la célèbre bourse de cryptomonnaies japonaise DMM Bitcoin a subi une attaque majeure. Les hackers ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars en bitcoins, et ont rapidement dispersé les fonds volés à plusieurs adresses. Cet incident a révélé de graves défauts dans la gestion des clés privées et la sécurité multilayer de la bourse. Bien que la bourse ait tenté de traquer les hackers grâce à une surveillance sur la chaîne et à un gel des fonds, le suivi est confronté à des défis majeurs en raison de la dispersion des fonds et du nettoyage effectué via des outils de mélange.
À la fin de l'année, la police japonaise a confirmé que cette attaque avait été réalisée par le groupe de hackers nord-coréen Lazarus.
2. PlayDapp a été attaqué
Montant de la perte : 290 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur. Des hackers ont volé des clés privées pour frapper 2 milliards de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. En raison de l'échec des négociations avec les hackers, ceux-ci ont ensuite frappé 15,9 milliards de jetons PLA, d'une valeur de 253,9 millions de dollars. Une fois une partie des jetons échangés sur les plateformes, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jeton PDA. Cet événement met en lumière les lacunes des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. Un portefeuille multi-signature d'une bourse indienne a été piraté
Montant de la perte : 235 millions de dollarsMéthode d'attaque : attaque réseau et phishing
Le 18 juillet 2024, un grand échange de cryptomonnaies en Inde a subi une attaque ciblée sur son portefeuille multi-signatures Safe Wallet. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires multi-signatures à signer une transaction de mise à niveau de contrat, puis ont utilisé les droits d'accès du contrat mis à jour pour transférer tous les actifs du portefeuille. Cette affaire met en évidence les risques potentiels liés à la configuration des droits et à la transparence des opérations des portefeuilles multi-signatures, suscitant une réflexion approfondie au sein de l'industrie sur les mécanismes de contrôle interne et de sécurité des projets.
4. Gala Games fait face à une attaque d'augmentation de tokens
Montant de la perte : 216 millions de dollarsMéthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. L'attaquant a réussi à frapper 5 milliards de jetons GALA en appelant la fonction mint du contrat de jetons. Par la suite, ces jetons nouvellement émis ont été échangés par lots contre de l'ETH, entraînant une perte directe de 216 millions de dollars. L'équipe de Gala Games a immédiatement activé la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré une partie des pertes par des voies légales.
5. Le portefeuille personnel d'un célèbre fondateur de cryptomonnaie a été volé
Montant de la perte : 112 millions de dollarsMéthode d’attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels d'un co-fondateur d'un projet de cryptomonnaie bien connu ont été piratés, entraînant le vol de 112 millions de dollars de cryptomonnaies. Ces portefeuilles sont devenus des cibles d'attaque en raison du manque de protection par double authentification de matériel. Après l'incident, un grand échange a réussi à geler des actifs volés d'une valeur de 4,2 millions de dollars et a aidé à la traçabilité, mais la majeure partie des fonds a déjà été blanchie via des échanges décentralisés et des services de mélange.
6. Munchables fait face à une infiltration interne
Montant de la perte : 62,5 millions de dollarsMéthode d'attaque : attaque par ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 basée sur Blast, Munchables, a subi une rare attaque d'infiltration interne. Les attaquants se sont déguisés en développeurs de blockchain et ont obtenu le code source et des clés sensibles après une longue période de présence furtive. Bien que cela ait entraîné d'énormes pertes, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement met en lumière l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets de blockchain qui dépendent de développeurs tiers.
7. Une bourse turque a subi une fuite de clé privée
Montant de la perte : 55 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 22 juin 2024, une grande bourse de cryptomonnaie en Turquie a subi une attaque de fuite de clés privées, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'autres bourses, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a renforcé les inquiétudes du marché concernant la gestion des clés privées par les bourses centralisées.
8. Le portefeuille multi-signatures de Radiant Capital a été compromis
Montant de la perte : 53 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de l'utilisation d'un mode de vérification de signature à faible seuil de 3/11, le hacker a pu initier une signature hors chaîne en maîtrisant les clés privées de 3 signataires, transférant ainsi la propriété du contrat de portefeuille vers une adresse malveillante, ce qui a finalement conduit au vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multi-signatures.
Il est à noter que Radiant Capital avait déjà perdu 4,5 millions de dollars en raison d'une vulnérabilité de contrat avant cette attaque, avec plus de 1900 ETH volés. Cela souligne à nouveau l'importance pour les projets Web3 de renforcer leur sensibilisation à la sécurité.
9. Hedgey Finance fait face à une attaque par vulnérabilité de contrat.
Montant de la perte : 44,7 millions de dollarsMéthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats sur la chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans leur contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour une perte totale de 44,7 millions de dollars. Cet événement met en lumière l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. Le portefeuille chaud d'un échange a été compromis
Montant de la perte : 44,7 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 19 septembre 2024, un portefeuille chaud d'une plateforme d'échange de cryptomonnaies a été piraté, impliquant plusieurs chaînes publiques telles qu'Ethereum, BNB Chain et Tron. Bien que l'échange ait rapidement mis en place des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le risque élevé de gestion des portefeuilles chauds des échanges centralisés et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Les événements de sécurité fréquents en 2024 nous rappellent à nouveau que le développement de l'industrie de la blockchain ne peut se passer de garanties de sécurité. Des fuites de clés privées aux vulnérabilités des contrats, des négligences dans la gestion interne aux améliorations des méthodes d'attaque externes, chaque événement a apporté des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties de l'industrie doivent continuer à renforcer leurs investissements dans la recherche et le développement technologique, les normes de gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration de l'industrie et l'innovation technologique, nous pourrons construire un écosystème blockchain plus sécurisé, offrant une protection plus fiable aux utilisateurs et aux investisseurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
7 J'aime
Récompense
7
4
Partager
Commentaire
0/400
SybilSlayer
· Il y a 16h
Prendre les gens pour des idiots Se faire prendre pour des cons vraiment vite
Voir l'originalRépondre0
CryptoMom
· Il y a 16h
À peine un mois de fonctionnement et presque 3 milliards de personnes ont disparu.
Web3 : un avertissement de sécurité : les dix événements majeurs de 2024 entraînent près de 2,5 milliards de dollars de pertes
Bilan des dix principaux événements de sécurité Web3 en 2024
En 2024, l'industrie Web3 fait face à des défis de sécurité importants tout en innovant. Selon les statistiques, les pertes totales dues aux attaques de hackers, aux escroqueries et aux projets qui disparaissent s'élèvent cette année à 2,491 milliards de dollars. Ces événements révèlent des défauts techniques dans la gestion des clés privées et des contrats intelligents, tout en mettant en lumière les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article examinera les dix événements de sécurité les plus influents dans le domaine du Web3 en 2024, dans l'espoir d'en tirer des leçons pour mieux faire face aux menaces futures.
1. Événement DMM Bitcoin
Montant de la perte : 304 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, la célèbre bourse de cryptomonnaies japonaise DMM Bitcoin a subi une attaque majeure. Les hackers ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars en bitcoins, et ont rapidement dispersé les fonds volés à plusieurs adresses. Cet incident a révélé de graves défauts dans la gestion des clés privées et la sécurité multilayer de la bourse. Bien que la bourse ait tenté de traquer les hackers grâce à une surveillance sur la chaîne et à un gel des fonds, le suivi est confronté à des défis majeurs en raison de la dispersion des fonds et du nettoyage effectué via des outils de mélange.
À la fin de l'année, la police japonaise a confirmé que cette attaque avait été réalisée par le groupe de hackers nord-coréen Lazarus.
2. PlayDapp a été attaqué
Montant de la perte : 290 millions de dollars Méthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur. Des hackers ont volé des clés privées pour frapper 2 milliards de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. En raison de l'échec des négociations avec les hackers, ceux-ci ont ensuite frappé 15,9 milliards de jetons PLA, d'une valeur de 253,9 millions de dollars. Une fois une partie des jetons échangés sur les plateformes, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jeton PDA. Cet événement met en lumière les lacunes des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. Un portefeuille multi-signature d'une bourse indienne a été piraté
Montant de la perte : 235 millions de dollars Méthode d'attaque : attaque réseau et phishing
Le 18 juillet 2024, un grand échange de cryptomonnaies en Inde a subi une attaque ciblée sur son portefeuille multi-signatures Safe Wallet. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires multi-signatures à signer une transaction de mise à niveau de contrat, puis ont utilisé les droits d'accès du contrat mis à jour pour transférer tous les actifs du portefeuille. Cette affaire met en évidence les risques potentiels liés à la configuration des droits et à la transparence des opérations des portefeuilles multi-signatures, suscitant une réflexion approfondie au sein de l'industrie sur les mécanismes de contrôle interne et de sécurité des projets.
4. Gala Games fait face à une attaque d'augmentation de tokens
Montant de la perte : 216 millions de dollars Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. L'attaquant a réussi à frapper 5 milliards de jetons GALA en appelant la fonction mint du contrat de jetons. Par la suite, ces jetons nouvellement émis ont été échangés par lots contre de l'ETH, entraînant une perte directe de 216 millions de dollars. L'équipe de Gala Games a immédiatement activé la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré une partie des pertes par des voies légales.
5. Le portefeuille personnel d'un célèbre fondateur de cryptomonnaie a été volé
Montant de la perte : 112 millions de dollars Méthode d’attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels d'un co-fondateur d'un projet de cryptomonnaie bien connu ont été piratés, entraînant le vol de 112 millions de dollars de cryptomonnaies. Ces portefeuilles sont devenus des cibles d'attaque en raison du manque de protection par double authentification de matériel. Après l'incident, un grand échange a réussi à geler des actifs volés d'une valeur de 4,2 millions de dollars et a aidé à la traçabilité, mais la majeure partie des fonds a déjà été blanchie via des échanges décentralisés et des services de mélange.
6. Munchables fait face à une infiltration interne
Montant de la perte : 62,5 millions de dollars Méthode d'attaque : attaque par ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 basée sur Blast, Munchables, a subi une rare attaque d'infiltration interne. Les attaquants se sont déguisés en développeurs de blockchain et ont obtenu le code source et des clés sensibles après une longue période de présence furtive. Bien que cela ait entraîné d'énormes pertes, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement met en lumière l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets de blockchain qui dépendent de développeurs tiers.
7. Une bourse turque a subi une fuite de clé privée
Montant de la perte : 55 millions de dollars Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, une grande bourse de cryptomonnaie en Turquie a subi une attaque de fuite de clés privées, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'autres bourses, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a renforcé les inquiétudes du marché concernant la gestion des clés privées par les bourses centralisées.
8. Le portefeuille multi-signatures de Radiant Capital a été compromis
Montant de la perte : 53 millions de dollars Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de l'utilisation d'un mode de vérification de signature à faible seuil de 3/11, le hacker a pu initier une signature hors chaîne en maîtrisant les clés privées de 3 signataires, transférant ainsi la propriété du contrat de portefeuille vers une adresse malveillante, ce qui a finalement conduit au vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multi-signatures.
Il est à noter que Radiant Capital avait déjà perdu 4,5 millions de dollars en raison d'une vulnérabilité de contrat avant cette attaque, avec plus de 1900 ETH volés. Cela souligne à nouveau l'importance pour les projets Web3 de renforcer leur sensibilisation à la sécurité.
9. Hedgey Finance fait face à une attaque par vulnérabilité de contrat.
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats sur la chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans leur contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour une perte totale de 44,7 millions de dollars. Cet événement met en lumière l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. Le portefeuille chaud d'un échange a été compromis
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, un portefeuille chaud d'une plateforme d'échange de cryptomonnaies a été piraté, impliquant plusieurs chaînes publiques telles qu'Ethereum, BNB Chain et Tron. Bien que l'échange ait rapidement mis en place des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le risque élevé de gestion des portefeuilles chauds des échanges centralisés et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Les événements de sécurité fréquents en 2024 nous rappellent à nouveau que le développement de l'industrie de la blockchain ne peut se passer de garanties de sécurité. Des fuites de clés privées aux vulnérabilités des contrats, des négligences dans la gestion interne aux améliorations des méthodes d'attaque externes, chaque événement a apporté des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties de l'industrie doivent continuer à renforcer leurs investissements dans la recherche et le développement technologique, les normes de gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration de l'industrie et l'innovation technologique, nous pourrons construire un écosystème blockchain plus sécurisé, offrant une protection plus fiable aux utilisateurs et aux investisseurs.