Selon un rapport de la société de cybersécurité Hacken, le troisième trimestre a été le plus faible de l'histoire du secteur en matière de pertes dues aux piratages informatiques au cours des trois dernières années. Environ 460 millions de dollars ont été volés au cours de 28 incidents. Pourtant, le taux de récupération a été le plus bas de ces dernières années, soit seulement 5 %. Hacken décompose ces données ainsi que l'état général de la sécurité du Web3 au troisième trimestre. Il aborde également les principaux types d'attaques, les catégories de projets les plus touchées et les stratégies d'atténuation.
Téléchargez gratuitement une version complète du rapport ici
Les attaques de contrôle d'accès restent les plus préjudiciables
Les exploits des mécanismes de contrôle d'accès ont représenté 316 millions de dollars, soit près de 70 % du total des fonds volés lors des piratages de crypto-monnaies au troisième trimestre. Les auteurs de telles attaques prennent le contrôle des clés qui contrôlent les contrats intelligents. Une fois en contrôle des clés, ils peuvent retirer des fonds du contrat vers leurs propres portefeuilles ou mettre à niveau l'implémentation du contrat proxy pour activer la fonction de retrait.
Pertes dues à différents types d'attaques en 2024. Source : Hacken
Les vulnérabilités des contrats intelligents sont arrivées en deuxième position en termes de pertes au troisième trimestre. Les contrats intelligents sont parfois vulnérables aux attaques de réentrance, qui impliquent l'appel de la fonction de retrait plusieurs fois alors que l'état du contrat ne parvient pas à se mettre à jour correctement avant qu'un retrait de fonds ne soit exécuté. Ce type d'attaque est particulièrement préjudiciable pour les protocoles dotés de pools de liquidités, car ils peuvent être épuisés par une série de multiples appels récursifs au cours d'une seule transaction. Minterest a subi l'une des trois attaques de réentrance au troisième trimestre, subissant une perte de 1,46 million de dollars. L'exécution du piratage est décrite en détail dans le rapport.
Téléchargez gratuitement une version complète du rapport ici
Les échanges centralisés ont subi les plus grosses pertes
Les bourses centralisées sont les projets les plus exploités en termes de montant de fonds. Le piratage le plus important a eu lieu contre WazirX India le 18 juillet, lorsque son portefeuille multisig Ethereum a été compromis. Le pirate a manipulé le portefeuille multisig de la bourse en obtenant trois signatures d'employés et une de Liminal, un fournisseur de garde d'actifs numériques. Avec quatre signatures sur six, l'acteur a pu drainer plus de 230 millions de dollars. Les fonds volés n'ont pas encore été récupérés. La bourse et Liminal ont effectué des audits indépendants mais n'ont trouvé aucune faille de sécurité, ce qui a suscité un débat sur un éventuel travail interne.
En raison de l'ampleur du piratage de WazirX, les exploits des échanges centralisés ont enregistré les pertes les plus élevées au troisième trimestre. Les piratages des agrégateurs de rendement et des ponts inter-chaînes viennent ensuite dans les statistiques. Pourtant, les ponts n'ont été compromis qu'à trois reprises. L'une des victimes était Ronin Bridge, mais heureusement pour ses utilisateurs, un bot MEV white hat a exécuté la transaction malveillante et a restitué les fonds peu de temps après.
Pertes dues aux piratages de cryptomonnaies sur différents types de projets : Source : Hacken
Les protocoles de prêt et d'emprunt ont été privés de 19,6 millions de dollars au troisième trimestre. Même le leader du secteur Aave a été victime d'un exploit d'un contrat périphérique, qui a entraîné une perte de 56 000 dollars. L'attaque contre Aave a été exécutée en une seule transaction, ce qui signifie qu'elle n'a pas pu être repérée ou arrêtée. La majorité des exploits de la finance décentralisée (DeFi) impliquent plusieurs transactions, telles qu'une mise à jour de proxy malveillante ou des retraits consécutifs d'un pool. Les conséquences de tels exploits peuvent être atténuées si l'état des contrats intelligents est constamment surveillé et que des mesures sont prises immédiatement.
Le système de stratégie de réponse automatisée aux incidents développé par Hacken peut être personnalisé pour fournir de telles protections. Il peut être déclenché pour suspendre un contrat intelligent si certaines conditions sont remplies ou pour geler les fonds retirés lors d'une transaction suspecte. Selon Hacken, environ 28,7 % des pertes dues aux piratages DeFi auraient pu être évitées si les entreprises ciblées avaient utilisé des systèmes de surveillance et de rapport d'incidents automatisés.
Téléchargez gratuitement une version complète du rapport ici
L'exploit de Nexera — une étude de cas
Un escroc a exploité le protocole DeFi Nexera et a drainé 47,2 millions de NXRA, le jeton natif de la plateforme. Il a réussi à échanger 15 millions de NXRA avant que l'équipe ne puisse suspendre le contrat. L'attaque a entraîné une perte de 1,5 million de dollars.
Avec la stratégie de réponse automatique aux incidents de Hacken, la fonction de pause aurait pu être programmée pour s'activer immédiatement lors de la mise à niveau du proxy. Dès que la fonction de pause est activée, aucun jeton ne peut être transféré, ce qui signifie que les fonds volés ne peuvent pas être échangés. Cinq autres cas de ce type dans lesquels la stratégie de réponse automatique aux incidents aurait fonctionné sont évoqués dans le rapport. Il s'agit notamment d'une attaque de réentrée sur Penpie causant 27 millions de dollars de pertes et d'un exploit de pont Ronin entraînant le détournement de 12 millions de dollars du protocole.
Des piratages qui auraient pu être évités grâce à la stratégie de réponse automatisée aux incidents. Source : Hacken
Les opinions exprimées dans cet article sont fournies à titre informatif uniquement. Elles ne visent pas à fournir des conseils ou des recommandations spécifiques à une personne ou à un produit de placement ou de sécurité en particulier.
