*Ce rapport est produit conjointement par Beosin et Footprint Analytics.

Auteur de ce chapitre : Mario de l'équipe de recherche Beosin

1. Aperçu de la situation de la sécurité de la blockchain Web3 au premier semestre 2024

Selon la surveillance et l’alerte précoce de Beosin Alert, les pertes totales dans le domaine Web3 dues aux attaques de pirates informatiques, aux escroqueries par phishing et aux Rug Pulls des parties au projet au premier semestre 2024 ont atteint 1,54 milliard de dollars américains. Parmi eux, il y a eu 78 incidents d'attaque majeurs, avec une perte totale d'environ 1,193 milliard de dollars américains ; 64 incidents liés au projet Rug Pull, avec une perte totale d'environ 119 millions de dollars américains ; et des escroqueries par hameçonnage, avec une perte totale d'environ 232 millions de dollars américains.

Au cours du premier semestre 2024, trois incidents de sécurité au total se sont produits, entraînant des pertes supérieures à 100 millions de dollars. Les pertes totales en mai ont atteint 450 millions de dollars, le mois le plus coûteux du premier semestre 2024.

En termes de types de projets attaqués, le type de projet ayant entraîné les pertes les plus élevées était CEX. Les quatre attaques contre CEX ont causé une perte totale d'environ 392 millions de dollars, soit 32,8 % de toutes les pertes liées aux attaques.

À en juger par le montant des pertes de chaque chaîne, Ethereum reste la chaîne avec les pertes les plus élevées et le plus d’attaques. 32 attaques contre Ethereum ont causé des pertes de 470 millions de dollars, soit 39,4 % des pertes totales.

Du point de vue des méthodes d'attaque, un total de 22 fuites de clés privées se sont produites au cours du premier semestre, entraînant des pertes de 894 millions de dollars, soit environ 75 % des pertes totales des attaques, ce qui en fait la proportion la plus élevée de types d'attaques.

En ce qui concerne les flux de fonds, environ 470 millions de dollars (39,3 %) des fonds volés ont été gelés ou récupérés. Il s’agit d’une amélioration significative par rapport à 2023.
À en juger par la situation de l'audit, parmi les projets attaqués, la proportion de parties auditées a augmenté.

2. Les dix principales attaques du premier semestre 2024


78 attaques majeures entraînant une perte totale d'environ 1,193 milliard de dollars

Au premier semestre 2024, Beosin Alert a détecté un total de 78 attaques majeures dans le domaine Web3, avec une perte totale de 1,193 milliard de dollars. Il y a eu 3 incidents de sécurité entraînant des pertes supérieures à 100 millions de dollars américains, 15 incidents entraînant des pertes comprises entre 10 et 100 millions de dollars américains et 33 incidents entraînant des pertes comprises entre 1 et 10 millions de dollars américains.

Top 10 des incidents de piratage au cours du premier semestre 2024 (classés par montant de perte) :

● DMM Bitcoin - Méthode d'attaque de 300 millions de dollars : fuite de clé privée Plateforme de chaîne : BTC

Le 31 mai, l'échange japonais de crypto-monnaie DMM Bitcoin a été attaqué et environ 300 millions de dollars de Bitcoin ont été volés. Les pirates ont dispersé les fonds volés vers plus de 10 adresses.

● PlayDapp - Méthode d'attaque de 290 millions de dollars : fuite de clé privée Plateforme de chaîne : Ethereum

Le 9 février, la plateforme de jeux blockchain PlayDapp a été attaquée et le pirate informatique a frappé 200 millions de jetons pla d'une valeur de 36,5 millions de dollars. Les négociations entre PlayDapp et le pirate informatique ont échoué, et le pirate informatique a émis 1,59 milliard de jetons PLA supplémentaires d'une valeur de 253,9 millions de dollars le 12 février et a envoyé une partie des fonds à l'échange Gate.io. Par la suite, l'équipe du projet a suspendu le contrat PLA et migré les jetons PLA vers les jetons PDA.

● Chris Larsen (co-fondateur de Ripple) - 112 millions de dollars Méthode d'attaque : fuite de clé privée Plateforme de chaîne : XRP

Le 31 janvier, Chris Larsen, co-fondateur de Ripple, a déclaré que quatre de ses portefeuilles avaient été piratés et qu'un total d'environ 112 millions de dollars avait été volé. L'équipe Binance a réussi à geler 4,2 millions de dollars de XRP volés par des attaquants.

● Munchables - 62,3 millions de dollars Méthode d'attaque : ingénierie sociale Plateforme de chaîne : Blast

Le 26 mars, Munchables, une plateforme de jeu Web3 basée sur Blast, a subi une attaque, entraînant une perte d'environ 62,5 millions de dollars. On soupçonne que l'équipe du projet a été attaquée parce qu'elle avait embauché des pirates informatiques nord-coréens comme développeurs. Tous les fonds volés ont ensuite été restitués par les pirates.

● BTCTurk - Méthode d'attaque de 55 millions de dollars : fuite de clé privée Plateforme de chaîne : Avalanche

Le 22 juin, l'échange turc de crypto-monnaie BTCTurk a été attaqué, entraînant une perte d'environ 55 millions de dollars. Binance a aidé à geler plus de 5,3 millions de dollars de fonds volés.

● Hedgey Finance - 44,7 millions de dollars Méthode d'attaque : vulnérabilité du contrat Plateforme de chaîne : Arbitrum

Le 19 avril, Hedgey Finance a été piraté, entraînant une perte d'environ 44,7 millions de dollars.

● FixedFloat - 26,1 millions de dollars Méthode d'attaque : vulnérabilité de la structure de sécurité Plateforme de chaîne : Ethereum

Le 17 février, l'échange cryptographique FixeFloat a subi une attaque et a perdu environ 26,1 millions de dollars. Les pirates ont transféré la plupart des fonds volés vers l'échange eXch. Le 20 février, FixeFloat a déclaré que l'attaque "n'était pas l'œuvre de nos employés, mais une attaque externe provoquée par une vulnérabilité de notre structure de sécurité".

● Gala Games - 22,5 millions de dollars Méthode d'attaque : fuite de clé privée Plateforme de chaîne : Ethereum

Le 20 mai, la plateforme de jeux Gala Games a été attaquée. Des pirates ont frappé 5 milliards de jetons GALA, puis ont rapidement vendu 592 millions de jetons GALA. Les pirates ont ensuite restitué les 22,5 millions de dollars obtenus.

● Lykke - 22 millions de dollars Méthode d'attaque : fuite de clé privée Plateforme de chaîne : Ethereum, BTC

Le 4 juin, la bourse britannique de crypto-monnaie Lykke a subi un « accès non autorisé », entraînant une perte totale d'environ 22 millions de dollars.

● Sonne Finance - Méthode d'attaque de 20 millions de dollars : vulnérabilité du contrat Plateforme de chaîne : optimisme

Le 15 mai, Sonne Finance, un projet de branche composée sur la chaîne Optimism, a été attaqué en raison d'une vulnérabilité de contrat, entraînant une perte de 20 millions de dollars américains.

3. Type de projet attaqué

CEX est le type de projet avec le montant de perte le plus élevé

Au premier semestre 2024, le type de projet ayant enregistré les pertes les plus élevées était CEX. Quatre attaques contre CEX ont causé une perte totale d'environ 392 millions de dollars, soit 32,8 % de toutes les pertes liées aux attaques. Bien que le nombre d'incidents de sécurité CEX soit faible, le montant volé à chaque fois est énorme, ce qui met à rude épreuve la sécurité écologique de l'échange.

Le deuxième type de victime en termes de pertes était celui des plateformes de jeux. Huit incidents de piratage de plateformes de jeux ont entraîné des pertes de 389 millions de dollars américains, soit environ 32,6 %. Par rapport à 2023, les attaques contre la plateforme de jeu Web3 ont considérablement augmenté en 2024.


Sur les 78 attaques de pirates informatiques, 38 au total ont eu lieu dans le domaine DeFi, représentant environ 48,7 %, ce qui en fait le type de projet avec le plus d'attaques. Ces 38 attaques DeFi ont entraîné une perte totale de 157 millions de dollars, se classant au troisième rang parmi tous les types de projets.
D'autres types de projets attaqués incluent : DEX, infrastructure, portefeuilles personnels, NFT, etc.

4. Le montant des pertes dans chaque chaîne

Ethereum est la chaîne avec le plus grand nombre de pertes et le plus d'attaques

Comme en 2023, au premier semestre 2024, Ethereum reste la chaîne publique avec la perte la plus élevée. 32 attaques contre Ethereum ont causé des pertes de 470 millions de dollars, soit 39,4 % des pertes totales.

La chaîne publique ayant enregistré la deuxième plus grande perte était BTC, avec une perte totale de 326 millions de dollars, soit 27,3 % de la perte totale. Le montant des pertes BTC provenait principalement du vol de 300 millions de dollars américains sur la bourse japonaise DMM Bitcoin.

La troisième chaîne publique avec la perte la plus importante était XRP (112 millions de dollars), qui provenait d'un portefeuille volé du co-fondateur de Ripple, Chris Larsen.

Classés en fonction du nombre d'incidents de sécurité, les trois premiers sont Ethereum (32 fois), BNB Chain (10 fois) et Arbitrum (9 fois). Le nombre d'incidents de sécurité sur la chaîne Arbitrum a augmenté par rapport à 2023.

5. Analyse des techniques d'attaque

75 % des pertes proviennent de fuites de clés privées

Au cours du premier semestre 2024, un total de 22 fuites de clés privées se sont produites, entraînant des pertes atteignant 894 millions de dollars, soit environ 75 % des pertes totales liées aux attaques. Comme en 2023, les pertes causées par les fuites de clés privées restent au premier rang parmi tous les types d’attaques. Les fuites de clés privées qui ont entraîné des pertes importantes incluent : DMM Bitcoin (300 millions de dollars), PlayDapp (290 millions de dollars), Chris Larsen, co-fondateur de Ripple (112 millions de dollars) et BtcTurk (55 millions de dollars).

Parmi les 78 attaques, 43 provenaient de l'exploitation de vulnérabilités contractuelles, soit environ 55 %. Les exploits sous contrat arrivent en deuxième position avec une perte totale de 167 millions de dollars.

La troisième méthode d'attaque ayant entraîné le plus grand nombre de pertes était celle des attaques d'ingénierie sociale, avec trois attaques d'ingénierie sociale causant des pertes d'environ 65 millions de dollars.
Ventilées par vulnérabilités, les trois principales vulnérabilités causant des pertes sont : les vulnérabilités de logique métier (81,7 millions de dollars), les vulnérabilités de contrôle d'accès (25,65 millions de dollars) et les failles d'algorithme (24,05 millions de dollars). La vulnérabilité la plus fréquente est également une vulnérabilité de logique métier, 16 des 43 attaques de vulnérabilité contractuelle étant des vulnérabilités de logique métier.

6. Analyse et examen des incidents typiques de lutte contre le blanchiment d'argent

Analyse du blanchiment d'argent du groupe de hackers nord-coréen Lazarus Group

Selon une enquête menée par le détective de crypto-monnaie ZachXBT, le groupe nord-coréen Lazarus a blanchi 200 millions de dollars de crypto-monnaie en monnaie fiduciaire entre août 2020 et octobre 2023.

Ce qui suit présente la dynamique du hacker nord-coréen Lazarus Group au cours des dernières années, analyse et résume ses méthodes de blanchiment d'argent : Après que le groupe Lazarus ait volé des actifs cryptés, il masque essentiellement les fonds en les transférant d'une chaîne à l'autre, puis vers Trésorerie tornade. Après obscurcissement, Lazarus Group a retiré les actifs volés à l'adresse cible et les a envoyés à un groupe d'adresses fixes pour les opérations de retrait. Les actifs cryptographiques précédemment volés étaient essentiellement déposés à l’adresse de dépôt Paxful et à l’adresse de dépôt Noones, puis les actifs cryptographiques étaient échangés contre de la monnaie légale via les services OTC.​

Créer des attaques telles que CoinBerry

Le 24 août 2020, le portefeuille de l'échange canadien de crypto-monnaie CoinBerry a été volé.

Adresse du pirate informatique :

0xA06957c9C8871ff248326A1DA552213AB26A11AE 

Le 11 septembre 2020, en raison de la fuite de clés privées, des transferts non autorisés de 400 000 $ US ont eu lieu dans plusieurs portefeuilles contrôlés par l'équipe Unbright.

Adresse du pirate informatique :

0x6C6357F30FCc3517c2E7876BC609e6d7d5b0Df43

Le 6 octobre 2020, en raison d'une faille de sécurité, 750 000 $ d'actifs cryptographiques ont été transférés sans autorisation depuis le portefeuille chaud CoinMetro.

Adresse du pirate informatique :

0x044bf69ae74fcd8d1fc11da28adbad82bbb42351

Beosin KYT : organigramme des fonds volés

Début 2021, les fonds provenant de diverses attaques ont été acheminés vers les adresses suivantes :

0x0864b5ef4d8086cd0062306f39adea5da5bd2603.

Le 11 janvier 2021, l'adresse 0x0864b5 a déposé 3 000 ETH dans Tornado Cash, puis a déposé plus de 1 800 ETH dans Tornado Cash via l'adresse 0x1031ffaf5d00c6bc1ee0978eb7ec196b1d164129.​

Puis du 11 au 15 janvier, près de 4 500 ETH ont été retirés de Tornado Cash à l'adresse 0x05492cbc8fb228103744ecca0df62473b2858810.​

En 2023, après de nombreux transferts et échanges, l'attaquant a finalement rassemblé les fonds provenant d'autres incidents de sécurité à l'adresse où les fonds ont été collectés et retirés. Selon le tableau de suivi des fonds, on peut voir que l'attaquant a successivement envoyé les fonds volés à Noones. adresse de dépôt et adresse de dépôt Paxful.

Le fondateur de Nexus Mutual (Hugh Karp) piraté

Le 14 décembre 2020, le fondateur de Nexus Mutual, Hugh Karp, s'est fait voler 370 000 NXM (8,3 millions de dollars).

Beosin KYT : organigramme des fonds volés

Les fonds volés ont été transférés entre les adresses suivantes et échangés contre d'autres fonds.

0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1 

0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b 

0x09923e35f19687a524bbca7d42b92b6748534f25 

0x0784051d5136a5ccb47ddb3a15243890f5268482 

0x0adab45946372c2be1b94eead4b385210a8ebf0b 

Le Groupe Lazarus a utilisé ces adresses pour effectuer des opérations de confusion, de dispersion, de collecte et autres opérations de fonds. Par exemple, certains fonds sont transférés vers la chaîne Bitcoin via une chaîne croisée, puis vers la chaîne Ethereum via une série de transferts. Ensuite, les fonds sont mélangés via la plate-forme de mélange de devises, puis les fonds sont envoyés au retrait. plate-forme.

Du 16 au 20 décembre 2020, l'un des hackers adresses 0x078405 a envoyé plus de 2 500 ETH à Tornado Cash. Quelques heures plus tard, selon la corrélation caractéristique, on constate que l'adresse 0x78a9903af04c8e887df5290c91917f71ae028137 a commencé l'opération de retrait.​

Par transfert et échange, le pirate informatique a transféré une partie des fonds à l'adresse où les fonds impliqués dans l'incident précédent ont été collectés et retirés.

Plus tard, de mai à juillet 2021, l’attaquant a transféré 11 millions USDT à l’adresse de dépôt Bixin.​

De février à mars 2023, l'attaquant a envoyé 2,77 millions USDT à l'adresse de dépôt Paxful via l'adresse 0xcbf04b011eebc684d380db5f8e661685150e3a9e.

D'avril à juin 2023, l'attaquant a envoyé 8,4 millions USDT à l'adresse de dépôt Noones via l'adresse 0xcbf04b011eebc684d380db5f8e661685150e3a9e.

Hacks Steadefi et CoinShift

Beosin KYT : organigramme des fonds volés

Adresse de l'attaque suite à l'incident de Steadefi

0x9cf71f2ff126b9743319b60d2d873f0e508810dc 

Adresse d'attaque d'incident Coinshift

0x979ec2af1aa190143d294b0bfc7ec35d169d845c 

En août 2023, 624 ETH volés lors de l'incident de Steadefi ont été transférés à Tornado Cash. Le même mois, 900 ETH volés lors de l'incident de Coinshift ont été transférés à Tornado Cash.

Après avoir transféré l'ETH vers Tornado Cash, retirez immédiatement les fonds à l'adresse suivante :

0x9f8941cd7229aa3047f05a7ee25c7ce13cbb8c41

0x4e75c46c299ddc74bac808a34a778c863bb59a4e

0xc884cf2fb3420420ed1f3578eaecbde53468f32e

Le 12 octobre 2023, les fonds retirés de Tornado Cash à partir des trois adresses ci-dessus ont été envoyés à l'adresse 0x5d65aeb2bd903bee822b7069c1c52de838f11bf8.

En novembre 2023, l'adresse 0x5d65ae a commencé à transférer des fonds et a finalement envoyé les fonds à l'adresse de dépôt Paxful et à l'adresse de dépôt Noones par transfert et échange.​

7. Analyse des flux de capitaux des avoirs volés

39,3% des avoirs volés ont été gelés et récupérés

Selon l'analyse de la plateforme anti-blanchiment d'argent Beosin KYT, environ 470 millions de dollars américains (39,3 %) des fonds volés au premier semestre 2024 ont été gelés ou récupérés. Il s’agit d’une amélioration significative par rapport à 2023.

Environ 550 millions de dollars (46,3 %) des fonds volés restent aux adresses des pirates informatiques. Alors que les agences de régulation mondiales intensifient leurs efforts de lutte contre le blanchiment d'argent, il est devenu plus difficile pour les pirates informatiques de blanchir les fonds volés, c'est pourquoi un nombre considérable de pirates informatiques choisissent de conserver temporairement les fonds volés dans des adresses en chaîne.

Environ 107,5 millions de dollars de fonds volés ont été transférés vers les bourses, soit environ 9 %, ce qui est plus élevé qu'en 2023. Un total de 64,14 millions de dollars (5,4 %) ont été transférés aux mélangeurs : 52,43 millions de dollars ont été transférés à Tornado Cash ; 11,71 millions de dollars ont été transférés à d'autres mélangeurs. Par rapport à l’année dernière, le nombre de fonds volés nettoyés via des mélangeurs de pièces au premier semestre 2024 a considérablement diminué.

8. Analyse de l'état d'audit du projet

La proportion de parties au projet auditées a augmenté

Au premier semestre 2024, parmi les 78 incidents d'attaque, les parties au projet de 26 incidents n'ont pas été auditées et les parties au projet de 49 incidents ont été auditées. La proportion de parties au projet auditées est légèrement plus élevée qu'en 2023, ce qui indique que les parties au projet de l'industrie Web3 prennent la sécurité plus au sérieux.

Parmi les 26 projets non audités, les incidents de vulnérabilité contractuelle représentaient 15 cas (57,7 %). Parmi les 49 projets audités, les incidents de vulnérabilité des contrats représentaient 28 cas (57,1 %). Les proportions globales des deux sont à peu près les mêmes. Par rapport à 2023, la qualité globale des audits de sécurité a diminué en 2024.

9. Analyse de la traction du tapis

64 incidents de Rug Pull ont coûté 119 millions de dollars de pertes

Au cours du premier semestre 2024, un total de 64 incidents de Rug Pull par des parties au projet ont été détectés, pour un montant total de 119 millions de dollars américains.

Les cinq principaux incidents de tirage de tapis avec le plus grand montant de perte sont : Bitforex (56,5 millions de dollars), ZKasino (33 millions de dollars), Gemholic (3,4 millions de dollars), Hector Network (2,7 millions de dollars) et MangoFarm (2 millions de dollars). Ces cinq événements Rug Pull sont répartis sur quatre chaînes : Ethereum, ZKsync, Fantom et Solana.

Le montant total impliqué dans le Rug Pull sur la chaîne Ethereum a atteint 96,28 millions de dollars, soit 81 % des pertes totales. Le plus grand nombre d'événements Rug Pull ont eu lieu sur la chaîne BNB Chain, avec un total de 31 fois, représentant 48,4 % du nombre total d'événements.

10. Résumé de la situation de sécurité de la blockchain Web3 au premier semestre 2024

Par rapport à la même période en 2023, les pertes totales causées par les attaques de pirates informatiques, les escroqueries par phishing et les tirages de tapis des parties au projet au premier semestre 2024 ont considérablement augmenté, atteignant 1,54 milliard de dollars américains (le chiffre pour le premier semestre 2023 était de 670 dollars américains). million). La hausse des prix des devises au premier semestre 2024 aura un certain impact sur l'augmentation du montant total, mais dans l'ensemble, la situation dans le domaine de la sécurité Web3 n'est toujours pas optimiste.

Comme en 2023, le type d’attaque causant le plus de dégâts au premier semestre 2024 sera toujours la fuite de clé privée. Environ 75 % des pertes proviennent de fuites de clés privées. Du point de vue des types de projets, les fuites de clés privées se produisent dans divers domaines du Web3 : plateformes de jeux, DeFi, portefeuilles personnels, infrastructures, NFT, plateformes de paiement, plateformes de jeux d'argent, plateformes de stockage de données, etc. Toutes les parties au projet Web3/utilisateurs individuels doivent être plus vigilants, stocker les clés privées hors ligne, utiliser des signatures multiples, utiliser les services tiers avec prudence et organiser régulièrement des formations de sécurité pour les employés privilégiés.

Au premier semestre, 39,3 % des avoirs volés ont été gelés et récupérés, marquant l'amélioration du système réglementaire mondial et le renforcement des efforts de lutte contre le blanchiment d'argent. Au premier semestre, seuls 5,4 % des actifs volés ont été transférés à divers mélangeurs de pièces, et 46,3 % supplémentaires des actifs étaient encore conservés à l'adresse des pirates informatiques, ce qui illustre une fois de plus la difficulté croissante pour les pirates informatiques de blanchir les fonds volés. Au premier semestre, 9 % des fonds volés ont encore été transférés vers diverses bourses. Cela nécessite que les bourses identifient rapidement les comportements de piratage et coopèrent activement avec les forces de l'ordre et les parties au projet pour geler les fonds et procéder à des vérifications. À l'heure actuelle, la coopération entre les agences d'échange et d'application de la loi, les parties au projet et les équipes de sécurité a donné des résultats significatifs. On pense que davantage de fonds volés seront récupérés à l'avenir.

Parmi les 78 attaques survenues au premier semestre, 43 provenaient toujours de l'exploitation de vulnérabilités contractuelles. Il est recommandé à l'équipe du projet de faire appel à une entreprise de sécurité professionnelle pour effectuer un audit avant de se connecter. En tant que l'une des premières sociétés de sécurité blockchain au monde à s'engager dans la vérification formelle, Beosin se concentre sur les activités entièrement écologiques « sécurité + conformité ». Elle a établi des succursales dans plus de 10 pays et régions à travers le monde, et ses activités couvrent le code. audits de sécurité avant la mise en ligne des projets, produits de conformité blockchain « à guichet unique » + services de sécurité tels que la surveillance et le blocage des risques de sécurité pendant l'exploitation du projet, la récupération volée, la lutte contre le blanchiment d'argent (AML) des actifs virtuels et les évaluations de conformité qui répondent aux réglementations locales. exigences.