Bilan des dix principaux événements de sécurité Web3 en 2024
En 2024, l'industrie de la blockchain fait face à des défis de sécurité de plus en plus graves, tout en innovant technologiquement et en étendant son écosystème. Selon des données pertinentes, jusqu'à présent, les pertes totales dans le domaine du Web3 en 2024 dues à des attaques de hackers, des escroqueries par hameçonnage et des disparitions de projets s'élèvent à 2,491 milliards de dollars.
Ces événements ont non seulement révélé des défauts techniques tels que la gestion des clés privées et des vulnérabilités dans les contrats intelligents, mais ont également mis en lumière les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Retrouvons ensemble les dix événements de sécurité les plus influents dans le domaine du Web3 en 2024, dans l'espoir d'en tirer des leçons pour mieux se préparer à faire face aux menaces de sécurité à l'avenir.
1. Un important attaqué a eu lieu sur une plateforme d'échange de cryptomonnaies au Japon
Montant de la perte : 304 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 31 mai 2024, un échange de cryptomonnaies japonais renommé a subi une attaque historique. Les attaquants ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars en Bitcoin, et ont rapidement dispersé les fonds volés sur plus de dix adresses différentes. Cette attaque a révélé de graves lacunes dans la gestion des clés privées et la sécurité multicouche de l'échange. Bien que l'échange ait tenté de suivre les hackers par le biais de la surveillance on-chain et du gel des fonds, les Bitcoins volés ont été transférés et lavés à l'aide d'outils de mixage, ce qui a posé un défi considérable pour le travail de suivi.
Le 24 décembre, la police japonaise a déterminé que l'incident de vol de cette bourse était l'œuvre d'un certain groupe de hackers international.
2. PlayDapp subit un coup dur
Montant de la perte : 290 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur, des hackers ont volé des clés privées pour frapper 2 milliards de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. En raison de l'échec des négociations entre l'équipe du projet et les hackers, ces derniers ont frappé en peu de temps 15,9 milliards de jetons PLA supplémentaires, d'une valeur de 253,9 millions de dollars. Après que ces jetons aient partiellement été échangés sur une plateforme, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers le contrat de jeton PDA. Cet incident met en lumière les lacunes des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. La plus grande plateforme d'échange de cryptomonnaies en Inde subit une attaque ciblée
Montant de la perte : 235 millions de dollars américainsMéthodes d'attaque : attaque réseau et phishing
Le 18 juillet 2024, le portefeuille multi-signatures Safe Wallet de la plus grande bourse de cryptomonnaies en Inde a été ciblé par une attaque précise de hackers. Les attaquants ont induit en erreur les signataires multi-signatures par des techniques d'ingénierie sociale pour qu'ils signent une transaction de mise à niveau de contrat, puis ont utilisé les droits de contrat mis à niveau pour transférer tous les actifs du portefeuille. Cette affaire met en lumière les risques potentiels liés à la gestion de la configuration des droits et à la transparence des opérations des portefeuilles multi-signatures, et suscite une réflexion approfondie au sein de l'industrie sur les mécanismes de contrôle interne et de sécurité des projets.
4. Gala Games subit une attaque par adresse privilégiée
Montant de la perte : 216 millions de dollarsMéthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. L'attaquant a utilisé la fonction mint dans le contrat de jetons pour frapper 5 milliards de jetons GALA en une seule fois. Par la suite, le hacker a échangé les jetons nouvellement émis en plusieurs fois contre de l'ETH, entraînant directement une perte de 216 millions de dollars. L'équipe de Gala Games a immédiatement activé la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré les pertes par voie judiciaire.
5. Le portefeuille personnel du co-fondateur de Ripple a été piraté.
Montant de la perte : 112 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels de Chris Larsen, co-fondateur de Ripple, ont été piratés, entraînant le vol de 112 millions de dollars de XRP. Ces portefeuilles ont probablement été ciblés en raison d'un manque de protection par double authentification matérielle. Après l'incident, une grande bourse a réussi à geler 4,2 millions de dollars de XRP et a aidé Larsen à tracer les actifs volés, mais la majorité des fonds avaient déjà été blanchis via des échanges décentralisés et des services de mixage.
6. Munchables subit une attaque par infiltration interne
Montant de la perte : 62,5 millions de dollars américainsMéthode d'attaque : attaque par ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une rare attaque d'infiltration interne. Les attaquants étaient des hackers déguisés en développeurs de blockchain, qui ont obtenu le code source et les clés sensibles après une longue période de présence discrète. Bien que l'attaque ait causé d'énormes pertes, en raison de la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement met en lumière l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets de blockchain qui dépendent de développeurs tiers.
7. La plus grande bourse de cryptomonnaies en Turquie attaquée
Montant de la perte : 55 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande bourse de cryptomonnaies de Turquie a subi une attaque par fuite de clés privées, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide de l'équipe d'une certaine bourse, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet incident a exacerbé les inquiétudes du marché concernant la gestion des clés privées des bourses centralisées.
8. Le portefeuille multi-signatures de Radiant Capital a été compromis
Montant de la perte : 53 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de son utilisation d'un mode de validation par signatures de 3/11 à faible seuil, le hacker a pu initier une signature hors chaîne en maîtrisant les clés privées de 3 signataires, transférant ainsi la propriété du contrat de portefeuille à une adresse malveillante, ce qui a finalement entraîné le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et les mécanismes de gouvernance des portefeuilles multi-signatures.
Il est à noter que Radiant Capital a perdu 4,5 millions de dollars en raison d'une vulnérabilité dans son contrat avant cette attaque, avec plus de 1900 ETH dérobés. Cela souligne le besoin d'améliorer l'attention portée à la sécurité par les projets Web3.
9. Hedgey Finance a subi une attaque de contrat multi-chaînes
Montant de la perte : 44,7 millions de dollarsMéthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des jetons sur les chaînes Ethereum et Arbitrum, pour un montant total de 44,7 millions de dollars. Cet événement souligne l'importance des audits de code, en particulier pour la vérification rigoureuse de la logique d'approbation des jetons.
10. Le portefeuille chaud d'un échange célèbre a été piraté
Montant de la perte : 44,7 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 19 septembre 2024, un portefeuille chaud d'un échange bien connu a été piraté, impliquant plusieurs chaînes publiques, y compris Ethereum, BNB Chain, Tron, etc. Bien que l'échange ait rapidement activé des mécanismes de transfert d'actifs et de gel des retraits, le hacker a réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le haut niveau de risque associé à la gestion des portefeuilles chauds des échanges centralisés et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Les incidents de sécurité en 2024 se multiplient, nous rappelant une fois de plus que le développement de l'industrie de la blockchain ne peut se faire sans une protection sécurisée. Des fuites de clés privées aux vulnérabilités des contrats, des lacunes dans la gestion interne aux mises à jour des méthodes d'attaque externes, chaque incident a apporté des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties de l'industrie doivent continuer à investir dans la recherche et le développement technologique, les normes de gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration de l'industrie et l'innovation technologique, nous pourrons établir un écosystème blockchain plus sûr, offrant aux utilisateurs et aux investisseurs une protection plus fiable.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Bilan des dix principaux incidents de sécurité Web3 en 2024 : pertes de près de 2,5 milliards de dollars
Bilan des dix principaux événements de sécurité Web3 en 2024
En 2024, l'industrie de la blockchain fait face à des défis de sécurité de plus en plus graves, tout en innovant technologiquement et en étendant son écosystème. Selon des données pertinentes, jusqu'à présent, les pertes totales dans le domaine du Web3 en 2024 dues à des attaques de hackers, des escroqueries par hameçonnage et des disparitions de projets s'élèvent à 2,491 milliards de dollars.
Ces événements ont non seulement révélé des défauts techniques tels que la gestion des clés privées et des vulnérabilités dans les contrats intelligents, mais ont également mis en lumière les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Retrouvons ensemble les dix événements de sécurité les plus influents dans le domaine du Web3 en 2024, dans l'espoir d'en tirer des leçons pour mieux se préparer à faire face aux menaces de sécurité à l'avenir.
1. Un important attaqué a eu lieu sur une plateforme d'échange de cryptomonnaies au Japon
Montant de la perte : 304 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, un échange de cryptomonnaies japonais renommé a subi une attaque historique. Les attaquants ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars en Bitcoin, et ont rapidement dispersé les fonds volés sur plus de dix adresses différentes. Cette attaque a révélé de graves lacunes dans la gestion des clés privées et la sécurité multicouche de l'échange. Bien que l'échange ait tenté de suivre les hackers par le biais de la surveillance on-chain et du gel des fonds, les Bitcoins volés ont été transférés et lavés à l'aide d'outils de mixage, ce qui a posé un défi considérable pour le travail de suivi.
Le 24 décembre, la police japonaise a déterminé que l'incident de vol de cette bourse était l'œuvre d'un certain groupe de hackers international.
2. PlayDapp subit un coup dur
Montant de la perte : 290 millions de dollars Méthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur, des hackers ont volé des clés privées pour frapper 2 milliards de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. En raison de l'échec des négociations entre l'équipe du projet et les hackers, ces derniers ont frappé en peu de temps 15,9 milliards de jetons PLA supplémentaires, d'une valeur de 253,9 millions de dollars. Après que ces jetons aient partiellement été échangés sur une plateforme, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers le contrat de jeton PDA. Cet incident met en lumière les lacunes des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. La plus grande plateforme d'échange de cryptomonnaies en Inde subit une attaque ciblée
Montant de la perte : 235 millions de dollars américains Méthodes d'attaque : attaque réseau et phishing
Le 18 juillet 2024, le portefeuille multi-signatures Safe Wallet de la plus grande bourse de cryptomonnaies en Inde a été ciblé par une attaque précise de hackers. Les attaquants ont induit en erreur les signataires multi-signatures par des techniques d'ingénierie sociale pour qu'ils signent une transaction de mise à niveau de contrat, puis ont utilisé les droits de contrat mis à niveau pour transférer tous les actifs du portefeuille. Cette affaire met en lumière les risques potentiels liés à la gestion de la configuration des droits et à la transparence des opérations des portefeuilles multi-signatures, et suscite une réflexion approfondie au sein de l'industrie sur les mécanismes de contrôle interne et de sécurité des projets.
4. Gala Games subit une attaque par adresse privilégiée
Montant de la perte : 216 millions de dollars Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. L'attaquant a utilisé la fonction mint dans le contrat de jetons pour frapper 5 milliards de jetons GALA en une seule fois. Par la suite, le hacker a échangé les jetons nouvellement émis en plusieurs fois contre de l'ETH, entraînant directement une perte de 216 millions de dollars. L'équipe de Gala Games a immédiatement activé la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré les pertes par voie judiciaire.
5. Le portefeuille personnel du co-fondateur de Ripple a été piraté.
Montant de la perte : 112 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels de Chris Larsen, co-fondateur de Ripple, ont été piratés, entraînant le vol de 112 millions de dollars de XRP. Ces portefeuilles ont probablement été ciblés en raison d'un manque de protection par double authentification matérielle. Après l'incident, une grande bourse a réussi à geler 4,2 millions de dollars de XRP et a aidé Larsen à tracer les actifs volés, mais la majorité des fonds avaient déjà été blanchis via des échanges décentralisés et des services de mixage.
6. Munchables subit une attaque par infiltration interne
Montant de la perte : 62,5 millions de dollars américains Méthode d'attaque : attaque par ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une rare attaque d'infiltration interne. Les attaquants étaient des hackers déguisés en développeurs de blockchain, qui ont obtenu le code source et les clés sensibles après une longue période de présence discrète. Bien que l'attaque ait causé d'énormes pertes, en raison de la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement met en lumière l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets de blockchain qui dépendent de développeurs tiers.
7. La plus grande bourse de cryptomonnaies en Turquie attaquée
Montant de la perte : 55 millions de dollars Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande bourse de cryptomonnaies de Turquie a subi une attaque par fuite de clés privées, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide de l'équipe d'une certaine bourse, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet incident a exacerbé les inquiétudes du marché concernant la gestion des clés privées des bourses centralisées.
8. Le portefeuille multi-signatures de Radiant Capital a été compromis
Montant de la perte : 53 millions de dollars Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de son utilisation d'un mode de validation par signatures de 3/11 à faible seuil, le hacker a pu initier une signature hors chaîne en maîtrisant les clés privées de 3 signataires, transférant ainsi la propriété du contrat de portefeuille à une adresse malveillante, ce qui a finalement entraîné le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et les mécanismes de gouvernance des portefeuilles multi-signatures.
Il est à noter que Radiant Capital a perdu 4,5 millions de dollars en raison d'une vulnérabilité dans son contrat avant cette attaque, avec plus de 1900 ETH dérobés. Cela souligne le besoin d'améliorer l'attention portée à la sécurité par les projets Web3.
9. Hedgey Finance a subi une attaque de contrat multi-chaînes
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des jetons sur les chaînes Ethereum et Arbitrum, pour un montant total de 44,7 millions de dollars. Cet événement souligne l'importance des audits de code, en particulier pour la vérification rigoureuse de la logique d'approbation des jetons.
10. Le portefeuille chaud d'un échange célèbre a été piraté
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, un portefeuille chaud d'un échange bien connu a été piraté, impliquant plusieurs chaînes publiques, y compris Ethereum, BNB Chain, Tron, etc. Bien que l'échange ait rapidement activé des mécanismes de transfert d'actifs et de gel des retraits, le hacker a réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le haut niveau de risque associé à la gestion des portefeuilles chauds des échanges centralisés et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Les incidents de sécurité en 2024 se multiplient, nous rappelant une fois de plus que le développement de l'industrie de la blockchain ne peut se faire sans une protection sécurisée. Des fuites de clés privées aux vulnérabilités des contrats, des lacunes dans la gestion interne aux mises à jour des méthodes d'attaque externes, chaque incident a apporté des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties de l'industrie doivent continuer à investir dans la recherche et le développement technologique, les normes de gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration de l'industrie et l'innovation technologique, nous pourrons établir un écosystème blockchain plus sûr, offrant aux utilisateurs et aux investisseurs une protection plus fiable.