CertiK (Hack3d : Rapport de sécurité 2024) a été publié, ce rapport analyse en profondeur l'état de la sécurité dans le domaine Web3.0 en 2024. Les pertes totales dépassent 2,3 milliards de dollars, avec une augmentation d'année en année de 31,61 % ; décembre a enregistré les pertes les plus faibles. Au cours de l'année écoulée, les attaques de phishing et les fuites de clés privées ont été fréquentes, devenant les méthodes d'attaque les plus significatives pour l'industrie.
Données clés
Pertes annuelles : En 2024, l'industrie Web3.0 a enregistré 760 incidents de sécurité sur la chaîne, avec une perte totale d'environ 2,363 milliards de dollars. Par rapport à 2023, la perte totale de 2024 a augmenté d'environ 31,61 %, le nombre d'incidents de sécurité ayant augmenté de 29.
Perte moyenne : En 2024, le montant moyen des pertes par incident de sécurité était d'environ 3,1089 millions de dollars (en hausse de 23,04 % par rapport à l'année précédente), avec une perte médiane d'environ 150 900 dollars (en hausse de 46,83 % par rapport à l'année précédente).
Données mensuelles : Mai a été le mois avec les pertes les plus élevées de l'année, avec 63 incidents enregistrés, pour une perte totale de 444 millions de dollars. Les pertes de décembre ont été les plus faibles, totalisant 26,7 millions de dollars.
Données trimestrielles : Comme au troisième trimestre 2023, le troisième trimestre 2024 a également été le plus sévèrement touché, avec 157 attaques, fraudes et incidents d'exploitation, entraînant des pertes totales d'environ 753 millions de dollars. Les pertes totales du quatrième trimestre ont diminué de 46,65 %.
Principales méthodes d'attaque : Les attaques de phishing sont devenues la méthode d'attaque la plus dommageable en 2024, avec 296 incidents enregistrés, entraînant une perte totale d'environ 1,05 milliard de dollars, dont 3 incidents ont causé des pertes individuelles de plus de 100 millions de dollars. Les pertes dues aux attaques de phishing représentent près de la moitié du montant total volé de l'année, et 39,1 % du total des incidents d'attaque. Cela indique qu'en moyenne, les pertes individuelles dues aux incidents de phishing sont bien supérieures à celles des autres vulnérabilités.
En deuxième position, les fuites de clés privées ont causé 65 incidents cette année, entraînant des pertes totales d'environ 855 millions de dollars. En 2024, les événements de phishing et de fuites de clés privées se sont produits fréquemment chaque trimestre.
Répartition des incidents de sécurité sur la chaîne : Ethereum est la blockchain la plus touchée par les incidents de sécurité, avec 403 attaques, fraudes et exploits, entraînant une perte totale d'environ 749 millions de dollars, soit une perte moyenne de 1,8578 million de dollars par incident. La chaîne Bitcoin et la chaîne Tron suivent de près, avec des pertes d'environ 567 millions de dollars et 136 millions de dollars respectivement. Un total de 39 incidents de sécurité impliquant plusieurs chaînes a été enregistré, entraînant des pertes de 435 millions de dollars.
Tendances de la sécurité
Le phishing est devenu la méthode d'attaque privilégiée des attaquants en raison de sa simplicité et de son efficacité : contrairement aux méthodes d'attaque qui dépendent de percées technologiques, le phishing exploite davantage les faiblesses de l'humanité. Les attaquants induisent les victimes à révéler activement des informations sensibles comme des mots de passe, des clés privées ou des adresses de portefeuille en falsifiant des e-mails, des sites Web ou des informations. Dans le domaine Web3.0, l'irréversibilité des transactions amplifie la destructivité du phishing : une fois que des fonds ont été transférés, ils sont presque impossibles à récupérer à moins que l'attaquant ne les restitue de son propre chef.
Cependant, si l'on exclut les pertes dues aux attaques de phishing, la sécurité de l'écosystème global s'est améliorée. Par exemple, en 2024, un seul incident de sécurité (WazirX, perte de 231 millions de dollars) a été classé parmi les 20 plus grands incidents depuis 2021. Cela signifie que les événements majeurs avec des pertes supérieures à 100 millions de dollars diminuent progressivement.
Tendances du secteur
En 2024, l'industrie Web3.0 a réalisé des progrès marquants, avec une acceptation et une intégration significatives dans le domaine financier traditionnel. Cependant, ce développement souligne également l'importance de renforcer les mesures de sécurité pour protéger le capital en constante augmentation.
Avec le rétablissement de la confiance du marché, le long hiver de Web3.0 a continué à se réchauffer tout au long de l'année. Le retour des investisseurs institutionnels a entraîné un afflux de capitaux, et cette croissance stable des capitaux a jeté les bases pour que le Bitcoin dépasse le seuil historique de 100 000 dollars. Cet événement s'est produit après l'élection présidentielle américaine de 2024, stimulant également une hausse simultanée des prix d'autres cryptomonnaies majeures comme Ethereum et Solana.
La réélection de Trump comme président est clairement devenue un tournant pour l'industrie Web3.0 aux États-Unis et pourrait influencer d'autres marchés mondiaux.
Bien que les différentes stratégies réglementaires mondiales aient des impacts variés sur l'industrie Web3.0, une chose reste constante : la sécurité est primordiale. Avec le développement continu du marché et son intégration progressive dans le système financier traditionnel, les risques de non-conformité, de fraudes et de vols d'actifs augmentent.
Revue annuelle
L'année 2024 est également une année marquante pour CertiK, ayant réalisé de nombreuses réalisations et continuant à contribuer à la sécurité de Web3.0 :
Percée technologique :
La vérification formelle du circuit zkWasm comprenant 144 instructions a été achevée, ce qui constitue le premier travail de vérification formelle entièrement achevé dans l'écosystème des preuves à connaissance nulle.
Des tests d'intrusion rigoureux ont été effectués sur le composant de portefeuille sans clé de Bybit, qui compte plus de 1 million d'utilisateurs.
Une évaluation de sécurité du premier SDK public de GalaChain a été effectuée, et des tests de performance ont été réalisés avec le SDK sur GalaChain, mettant en évidence certains problèmes d'efficacité du système, et aidant son équipe à optimiser la bibliothèque de code.
Découverte de vulnérabilités :
Découverte d'une vulnérabilité majeure dans CosmWasm, qui permet à des Wasm non fiables de s'exécuter sur plus de 20 chaînes d'application dans l'écosystème Cosmos.
A reçu des remerciements de la part de ByteDance pour avoir réussi à identifier et à réduire les risques de sécurité majeurs dans le système.
A signalé un risque potentiel dans le système d'Ant Group au Centre de réponse à la sécurité d'Ant, et a aidé à mettre en œuvre rapidement les mesures de sécurité nécessaires.
Pour avoir découvert une vulnérabilité dans la technologie de suivi oculaire Apple Vision Pro, CertiK a reçu la reconnaissance d'Apple pour la sixième fois.
Pour avoir découvert une vulnérabilité critique dans le Samsung Blockchain Keystore, CertiK a été remercié par Samsung pour la troisième fois.
Service client :
CertiK a mis à jour ses produits et services, lançant une solution de sécurité tout au long du cycle de vie, visant à couvrir toutes les étapes du projet, de la création à la réalisation d'un projet phare ; tout en lançant plusieurs outils de sécurité gratuits, à commencer par Token Scan et Wallet Scan, pour aider les utilisateurs à protéger la sécurité de leurs actifs.
CertiK Ventures a été lancé, annonçant son plan d'investissement de 45 millions de dollars.
Un nouveau slogan de marque a été proposé : "Élever votre parcours Web3 entier", illustrant notre engagement à fournir des produits et services innovants et tout au long du cycle.
Impact sur l'industrie :
Une étude approfondie des réseaux d'infrastructure physique décentralisée (DePIN) a été réalisée, aidant des projets comme APhone et Aethir à réduire les risques de sécurité, et partageant des expériences et des idées sur le domaine DePIN lors du Sommet de la sécurité des produits Qualcomm 2024.
Des services d'audit ont été fournis à 6 des 10 projets du classement des actifs numériques de Forbes pour le premier semestre 2024, y compris TON, Core DAO, PEPE, FLOKI, FET et Bitget.
Le professeur Gu Ronghui, co-fondateur et PDG de CertiK, a assisté au Festival des technologies financières de Singapour 2024 et a été interviewé par plusieurs médias internationaux, y compris Money FM, Lianhe Zaobao, Hong Kong Ming Pao, Hong Kong Xin Bao et Bloomberg Businessweek.
Le professeur Gu Ronghui a eu une discussion près du feu avec CZ (Zhao Changpeng), le fondateur de Binance, abordant des sujets clés tels que les défis de sécurité de Web3.0, l'innovation blockchain et la formation de l'avenir de l'écosystème.
Recommandations réglementaires :
Les recommandations pour le cadre des stablecoins de l'Autorité monétaire de Singapour (MAS) ont été reconnues.
Deux propositions de réglementation sur les stablecoins ont été soumises à l'Autorité monétaire de Hong Kong (HKMA) et au Secrétariat aux affaires financières et au Trésor de Hong Kong (FSTB), et ont toutes deux été approuvées.
Position sur le marché :
En juillet 2024, CertiK détient près de 50 % du marché mondial de l'audit Web3.0.
Classé premier sur la liste des fournisseurs de services de sécurité officielle de TON.
Conclusion
CertiK s'engage à suivre en permanence les tendances de sécurité dans le domaine Web3.0, ayant jusqu'à présent réalisé plus de 70 actions de "chapeaux blancs", signalé plus de 4000 incidents de sécurité, découvert plus de 115 000 vulnérabilités de code, protégeant plus de 510 milliards de dollars d'actifs numériques contre des pertes potentielles ; et fournissant des informations de sécurité clés à l'industrie par le biais de rapports de sécurité annuels et trimestriels. Dès leur publication, les rapports de sécurité ont reçu une attention considérable de l'industrie, étant rapidement rapportés et cités par des médias phares tels que CoinDesk et Cointelegraph dans le domaine Web3.0.
Le rapport annuel de CertiK analyse également en profondeur la relation entre les plateformes blockchain fréquemment attaquées en 2024, les montants volés et le volume total verrouillé (TVL), les événements de sécurité majeurs de l'année, les dynamiques clés du développement de l'industrie, ainsi que des recommandations sur les meilleures pratiques de sécurité pour les participants de Web3.0.
Tout le monde est le bienvenu pour copier et ouvrir le lien vers le document original à la fin pour lire l'intégralité du (Hack3d : Rapport de sécurité 2024), afin d'obtenir une analyse, des perspectives et des recommandations plus complètes.
Lien vers le document original : https://indd.adobe.com/view/ef25ad7c-8c1c-47b0-91f8-a9c18c49cfd3
