Selon le rapport de sécurité Web3 de mi-année de la société de cybersécurité Cyvers, le volume total des fonds cryptographiques volés jusqu'à présent cette année approche les 1,4 milliard de dollars, alors que les échanges centralisés apparaissent comme le nouveau point zéro des exploits.
Au deuxième trimestre 2024, les pertes totales en cryptographie ont dépassé 600 millions de dollars, soit une augmentation de 100 % par rapport à la même période de l’année dernière. L'augmentation des fonds volés est principalement due à une augmentation de 900 % des pertes sur les bourses centralisées, selon le rapport.
"Ce trimestre a été témoin d'un changement significatif dans les vecteurs d'attaque, les échanges centralisés (CEX) étant les plus touchés par les incidents majeurs, tandis que les protocoles de finance décentralisée (DeFi) font preuve d'une résilience améliorée", indique le rapport. "Cette tendance peut être attribuée à la concentration des actifs sur des plateformes centralisées et aux mesures de sécurité potentiellement laxistes dans certaines bourses."
Les violations du contrôle d'accès, souvent sous la forme d'attaques de phishing, représentaient l'écrasante majorité des fonds volés, soit environ 490 millions de dollars rien qu'au deuxième trimestre, selon Cyvers. Ce chiffre éclipse les pertes liées aux exploits de contrats intelligents, qui ont coûté moins de 70 millions de dollars au cours de la même période.
L'action rapide des protocoles de finance décentralisée (DeFi) pour geler les contrats intelligents compromis a protégé les utilisateurs, mais Cyvers a averti que le risque d'exploitation reste répandu alors que les pirates découvrent de nouvelles vulnérabilités dans les contrats complexes. Les ponts inter-chaînes deviennent également un vecteur d'attaque important, note le rapport, citant l'exploit de XBridge de 1,44 million de dollars en avril.
La violation très médiatisée en mai de l'échange japonais de crypto-monnaie DMM a fortement impacté les données de Cyvers au deuxième trimestre. Le piratage, qui aurait été provoqué par une clé privée compromise, a coûté plus de 300 millions de dollars. Une autre valeur aberrante importante est la bourse turque de crypto-monnaie BtcTurk, qui a perdu environ 50 millions de dollars à cause des pirates informatiques en juin.
Le rapport note que les victimes explicites réussissent mieux qu'avant à récupérer les fonds perdus, le total des fonds récupérés ayant augmenté de 42 % au deuxième trimestre par rapport à la même période de l'année dernière. Pourtant, la grande majorité des fonds perdus – environ 76 % – n’ont pas été récupérés.
Les utilisateurs du Web3 doivent rester à l'affût des menaces émergentes posées par l'intelligence artificielle et l'informatique quantique, qui pourraient fournir aux pirates informatiques de nouveaux outils sophistiqués pour contourner les mesures de sécurité en chaîne, a déclaré Cyvers.
Magazine : Crypto-Sec : un escroc par phishing s'en prend aux utilisateurs d'Hedera, l'empoisonneur d'adresse reçoit 70 000 $