Source de l'article : Beosin
Source originale : Beosin
En 2024, l'industrie de la blockchain, tout en innovant technologiquement et en s'étendant écologiquement, fait face à des défis de sécurité de plus en plus graves. Selon la plateforme Alert de la société d'audit de sécurité Beosin, à la date de publication, les pertes totales dans le domaine Web3 en 2024 dues à des attaques de hackers, des escroqueries de phishing et des Rug Pulls par des projets s'élevaient à 2,491 milliards de dollars.
Ces événements ont non seulement mis en lumière les défauts techniques tels que la gestion des clés privées et les vulnérabilités des contrats intelligents, mais ont également souligné les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article récapitulera les dix principaux événements de sécurité Web3 de 2024, aidant l'industrie à en tirer des leçons pour mieux faire face aux menaces de sécurité futures.
N°1 DMM Bitcoin
Montant de la perte : 304 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, l'échange de crypto-monnaies japonais DMM Bitcoin a subi une attaque historique. Les attaquants ont utilisé des clés privées divulguées pour transférer directement des bitcoins d'une valeur de plus de 300 millions de dollars, et ont rapidement dispersé les fonds volés sur plus de 10 adresses différentes. Cette attaque a révélé les graves lacunes de DMM Bitcoin en matière de gestion des clés privées et de protection de sécurité multicouche. Bien que l'échange ait tenté de suivre les pirates à l'aide de surveillance on-chain et de gel des fonds, les bitcoins volés ont été dispersés et nettoyés à l'aide d'outils de mélange, posant un grand défi au travail de suivi.
Le 24 décembre, la police japonaise a conclu que le vol de DMM Bitcoin était l'œuvre du groupe de hackers nord-coréens Lazarus.
N°2 PlayDapp
Montant de la perte : 290 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur, les hackers ayant volé des clés privées pour frapper 2 milliards de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. Étant donné que les négociations entre le projet et les hackers n'ont pas abouti, les pirates ont rapidement frappé 15,9 milliards de jetons PLA supplémentaires, d'une valeur de 253,9 millions de dollars. Certains de ces jetons ont été échangés sur l'échange Gate, après quoi PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers le contrat de jeton PDA. Cet incident met en évidence les défauts des projets blockchain en matière de protection des clés privées et de gestion des urgences.
N°3 WazirX
Montant de la perte : 235 millions de dollars
Méthode d'attaque : attaque réseau et phishing
Le 18 juillet 2024, le portefeuille multisignature Safe Wallet de WazirX, le plus grand échange de crypto-monnaies en Inde, a été ciblé par des hackers. Les attaquants ont induit en erreur les signataires multisignatures pour qu'ils signent une transaction de mise à niveau de contrat, puis ont utilisé les droits d'autorité du contrat mis à jour pour transférer tous les actifs du portefeuille. Cette affaire met en lumière les risques potentiels de configuration des droits de gestion et de transparence des opérations des portefeuilles multisignatures, et a également suscité une réflexion approfondie sur les mécanismes de contrôle interne et de sécurité des projets dans l'industrie.
Pour une analyse détaillée de cet incident et le suivi des fonds, vous pouvez lire (Beosin | Analyse de l'incident de vol de 235 millions de dollars de l'échange indien WazirX).
N°4 Gala Games
Montant de la perte : 216 millions de dollars
Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée, et les attaquants ont appelé la fonction mint dans le contrat de jetons, créant d'un seul coup 5 milliards de jetons GALA. Ensuite, les pirates ont échangé les jetons nouvellement émis contre des ETH par lots, provoquant directement une perte de 216 millions de dollars. L'équipe de Gala Games a immédiatement activé la fonction de liste noire pour bloquer certains comptes de pirates, et a récupéré les pertes par voie judiciaire.
N°5 Chris Larsen (co-fondateur de Ripple)
Montant de la perte : 112 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels du co-fondateur de Ripple, Chris Larsen, ont été piratés, entraînant le vol de 112 millions de dollars de XRP. Ces portefeuilles semblent avoir été ciblés en raison de l'absence de protection par double authentification avec des dispositifs matériels. Après l'incident, Binance a réussi à geler 4,2 millions de dollars de XRP et a aidé Larsen à suivre les actifs volés, mais la grande majorité des fonds avaient déjà été nettoyés via des échanges décentralisés et des services de mélange.
N°6 Munchables
Montant de la perte : 62,5 millions de dollars
Méthode d'attaque : attaque d'ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une rare attaque d'infiltration interne. Les attaquants, des hackers nord-coréens se faisant passer pour des développeurs de blockchain, ont réussi à accéder au code source et aux clés sensibles après une longue période de camouflage. Bien que l'attaque ait causé d'énormes pertes, les pirates ont finalement restitué tous les fonds volés sous la pression de la communauté et de l'équipe. Cet incident souligne l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain dépendant de développeurs tiers.
N°7 BtcTurk
Montant de la perte : 55 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, le plus grand échange de crypto-monnaies de Turquie, BtcTurk, a subi une attaque par fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide de l'équipe de Binance, 5,3 millions de dollars des fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet incident a approfondi les préoccupations du marché concernant la gestion des clés privées des échanges centralisés.
Annonce officielle de l'attaque par BtcTurk
N°8 Radiant Capital
Montant de la perte : 53 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multisignature de Radiant Capital a été piraté. En raison de l'utilisation d'un modèle de vérification de signature 3/11 à faible seuil, les pirates ont pu obtenir les clés privées de 3 signataires pour initier une signature hors chaîne, transférant ainsi la propriété du contrat du portefeuille vers une adresse malveillante, entraînant finalement le vol de 53 millions de dollars. Cette attaque a suscité une réflexion au sein de l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multisignatures.
Radiant Capital avait déjà perdu 4,5 millions de dollars à cause d'une vulnérabilité de contrat avant cette attaque, avec plus de 1900 ETH volés. Les projets Web3 doivent encore améliorer leur attention à la sécurité.
N°9 Hedgey Finance
Montant de la perte : 44,7 millions de dollars
Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats sur la chaîne. Les pirates ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des jetons sur Ethereum et Arbitrum, pour un montant total de perte de 44,7 millions de dollars. Cet incident met en évidence l'importance de l'audit de code, en particulier pour la validation stricte de la logique d'approbation des jetons.
N°10 BingX
Montant de la perte : 44,7 millions de dollars
Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud de l'échange BingX a été piraté, impliquant plusieurs chaînes telles qu'Ethereum, BNB Chain, Tron et d'autres blockchains publiques. Bien que l'échange ait rapidement activé des mécanismes de transfert d'actifs et de gel des retraits, les pirates ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le haut risque de gestion des portefeuilles chauds des échanges centralisés et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Les événements de sécurité en 2024 se multiplient, nous rappelant une fois de plus que le développement de l'industrie de la blockchain ne peut se faire sans une protection sécurisée. Des fuites de clés privées aux vulnérabilités de contrat, des failles de gestion interne aux méthodes d'attaque externes en évolution, chaque incident a apporté des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties de l'industrie doivent continuer à renforcer leurs investissements en recherche technologique, en normes de gestion et en prévention des risques. À l'avenir, nous espérons établir, grâce à la collaboration sectorielle et à l'innovation technologique, un écosystème blockchain plus sécurisé, offrant une protection plus fiable aux utilisateurs et aux investisseurs.
