Revue des dix principaux événements de sécurité dans le domaine du Web3 en 2024
En 2024, l'industrie de la blockchain fait face à des défis de sécurité de plus en plus graves, tout en innovant technologiquement et en élargissant ses écosystèmes. Selon la surveillance des plateformes de données, à ce jour, les pertes totales dans le domaine du Web3 causées par des attaques de hackers, des escroqueries de phishing et des projets abandonnés s'élèvent à 2,491 milliards de dollars.
Ces événements ont non seulement révélé des défauts techniques tels que la gestion des clés privées et les vulnérabilités des contrats intelligents, mais ont également mis en lumière les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article passera en revue les dix principaux événements de sécurité Web3 de 2024, dans l'espoir d'en tirer des leçons pour mieux faire face aux menaces de sécurité futures.
1. DMM Bitcoin
Montant de la perte : 304 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 31 mai 2024, l'échange de cryptomonnaies japonais DMM Bitcoin a subi un grave incident de sécurité. Les attaquants ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars de bitcoins, et ont rapidement dispersé les fonds volés sur plus de 10 adresses différentes. Cette attaque a révélé de graves lacunes dans la gestion des clés privées et la protection de sécurité multicouche de cet échange. Bien que l'échange ait tenté de suivre les hackers par le biais de la surveillance en chaîne et du gel des fonds, la dispersion des bitcoins volés et le lavage des pièces ont posé un énorme défi au travail de suivi.
Le 24 décembre, la police japonaise a confirmé que cet incident était causé par le groupe de hackers nord-coréen Lazarus Group.
2. PlayDapp
Montant de la perte : 290 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur. Des hackers ont forgé 2 milliards de jetons PLA en volant des clés privées, d'une valeur initiale de 36,5 millions de dollars. En raison de l'échec des négociations entre l'équipe du projet et les hackers, ces derniers ont rapidement forgé 15,9 milliards de jetons PLA supplémentaires, d'une valeur de 253,9 millions de dollars. Après que certaines des pièces ont été introduites sur les échanges, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jetons PDA. Cet incident met en évidence les lacunes des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. Une plateforme d'échange de cryptomonnaies en Inde
Montant de la perte : 235 millions de dollarsMéthodes d'attaque : attaques réseau et phishing
Le 18 juillet 2024, le portefeuille multi-signatures Safe Wallet de la plus grande bourse de cryptomonnaies en Inde a été ciblé par une attaque précise. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires multi-signatures à signer une transaction de mise à niveau de contrat, puis ont utilisé les autorisations du contrat mis à niveau pour transférer tous les actifs du portefeuille. Cet incident met en évidence les risques potentiels liés à la configuration des autorisations et à la transparence des opérations des portefeuilles multi-signatures, et a également suscité une réflexion approfondie dans l'industrie sur les mécanismes de contrôle interne et de sécurité des projets.
4. Gala Games
Montant de la perte : 216 millions de dollarsMéthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. Les attaquants ont appelé la fonction mint dans le contrat de jeton, créant ainsi 5 milliards de jetons GALA en une seule fois. Par la suite, les pirates ont échangé ces jetons par lots contre de l'ETH, entraînant directement une perte de 216 millions de dollars. L'équipe de Gala Games a activé d'urgence la fonction de liste noire pour bloquer certains comptes de pirates après l'incident et a récupéré une partie des pertes par voie légale.
5. Co-fondateur d'un projet de cryptomonnaie
Montant de la perte : 112 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels d'un co-fondateur d'un projet de cryptomonnaie bien connu ont été piratés, entraînant le vol de 112 millions de dollars en cryptomonnaies. Ces portefeuilles sont devenus des cibles d'attaque en raison du manque de protection à double facteur avec des dispositifs matériels. Après l'incident, une plateforme d'échange a réussi à geler des actifs volés d'une valeur de 4,2 millions de dollars et a aidé à la traçabilité, mais la plupart des fonds avaient déjà été blanchis via des échanges décentralisés et des services de mixage.
6. Munchables
Montant de la perte : 62,5 millions de dollarsMéthode d'attaque : attaque d'ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une rare attaque d'infiltration interne. Les attaquants étaient des hackers déguisés en développeurs de blockchain, qui ont réussi à obtenir le code source et des clés sensibles après une longue période de présence furtive. Bien que l'attaque ait entraîné d'énormes pertes, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement met en lumière l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain dépendant de développeurs tiers.
7. BtcTurk
Montant de la perte : 55 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande plateforme d'échange de cryptomonnaies de Turquie, BtcTurk, a subi une attaque de fuite de clés privées, entraînant la perte de plus de 55 millions de dollars d'actifs numériques. Avec l'aide de l'équipe d'une plateforme d'échange, 5,3 millions de dollars des fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet incident a renforcé les inquiétudes du marché concernant la gestion des clés privées par les plateformes d'échange centralisées.
8. Radiant Capital
Montant de la perte : 53 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de l'utilisation d'un mode de vérification des signatures 3/11 à faible seuil, le hacker a pu initié une signature hors chaîne en contrôlant les clés privées de 3 signataires, transférant ainsi la propriété du contrat du portefeuille à une adresse malveillante, entraînant finalement le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et les mécanismes de gouvernance des portefeuilles multi-signatures.
Il convient de noter que Radiant Capital a perdu 4,5 millions de dollars en raison d'une vulnérabilité de contrat avant cette attaque, avec plus de 1900 ETH volés. Cela montre que les projets Web3 doivent encore améliorer leur attention à la sécurité.
9. Hedgey Finance
Montant de la perte : 44,7 millions de dollarsMéthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque visant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour une perte totale s'élevant à 44,7 millions de dollars. Cet événement souligne l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. BingX
Montant de la perte : 44,7 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud de l'échange BingX a été piraté, impliquant plusieurs blockchains publiques telles qu'Ethereum, BNB Chain et Tron. Bien que l'échange ait rapidement mis en place des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le haut niveau de risque associé à la gestion des portefeuilles chauds des échanges centralisés et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sécurisées.
Résumé
Les incidents de sécurité en 2024 se multiplient, nous rappelant à nouveau que le développement de l'industrie de la blockchain ne peut se faire sans une protection sécurisée. Des fuites de clés privées aux vulnérabilités des contrats, des négligences dans la gestion interne à l'évolution des méthodes d'attaque externes, chaque incident a apporté des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties de l'industrie doivent continuer à investir dans la recherche et le développement technologique, la normalisation de la gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration de l'industrie et l'innovation technologique, nous pourrons construire un écosystème blockchain plus sûr, offrant une protection plus fiable aux utilisateurs et aux investisseurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
12 J'aime
Récompense
12
5
Partager
Commentaire
0/400
ShibaSunglasses
· 07-25 14:40
Portefeuille Clé privée perdue, c'est vraiment terrible...
En 2024, le domaine Web3 a enregistré des pertes de 2,491 milliards de dollars : récapitulatif des dix principaux événements de sécurité.
Revue des dix principaux événements de sécurité dans le domaine du Web3 en 2024
En 2024, l'industrie de la blockchain fait face à des défis de sécurité de plus en plus graves, tout en innovant technologiquement et en élargissant ses écosystèmes. Selon la surveillance des plateformes de données, à ce jour, les pertes totales dans le domaine du Web3 causées par des attaques de hackers, des escroqueries de phishing et des projets abandonnés s'élèvent à 2,491 milliards de dollars.
Ces événements ont non seulement révélé des défauts techniques tels que la gestion des clés privées et les vulnérabilités des contrats intelligents, mais ont également mis en lumière les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article passera en revue les dix principaux événements de sécurité Web3 de 2024, dans l'espoir d'en tirer des leçons pour mieux faire face aux menaces de sécurité futures.
1. DMM Bitcoin
Montant de la perte : 304 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, l'échange de cryptomonnaies japonais DMM Bitcoin a subi un grave incident de sécurité. Les attaquants ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars de bitcoins, et ont rapidement dispersé les fonds volés sur plus de 10 adresses différentes. Cette attaque a révélé de graves lacunes dans la gestion des clés privées et la protection de sécurité multicouche de cet échange. Bien que l'échange ait tenté de suivre les hackers par le biais de la surveillance en chaîne et du gel des fonds, la dispersion des bitcoins volés et le lavage des pièces ont posé un énorme défi au travail de suivi.
Le 24 décembre, la police japonaise a confirmé que cet incident était causé par le groupe de hackers nord-coréen Lazarus Group.
2. PlayDapp
Montant de la perte : 290 millions de dollars Méthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur. Des hackers ont forgé 2 milliards de jetons PLA en volant des clés privées, d'une valeur initiale de 36,5 millions de dollars. En raison de l'échec des négociations entre l'équipe du projet et les hackers, ces derniers ont rapidement forgé 15,9 milliards de jetons PLA supplémentaires, d'une valeur de 253,9 millions de dollars. Après que certaines des pièces ont été introduites sur les échanges, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jetons PDA. Cet incident met en évidence les lacunes des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. Une plateforme d'échange de cryptomonnaies en Inde
Montant de la perte : 235 millions de dollars Méthodes d'attaque : attaques réseau et phishing
Le 18 juillet 2024, le portefeuille multi-signatures Safe Wallet de la plus grande bourse de cryptomonnaies en Inde a été ciblé par une attaque précise. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires multi-signatures à signer une transaction de mise à niveau de contrat, puis ont utilisé les autorisations du contrat mis à niveau pour transférer tous les actifs du portefeuille. Cet incident met en évidence les risques potentiels liés à la configuration des autorisations et à la transparence des opérations des portefeuilles multi-signatures, et a également suscité une réflexion approfondie dans l'industrie sur les mécanismes de contrôle interne et de sécurité des projets.
4. Gala Games
Montant de la perte : 216 millions de dollars Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. Les attaquants ont appelé la fonction mint dans le contrat de jeton, créant ainsi 5 milliards de jetons GALA en une seule fois. Par la suite, les pirates ont échangé ces jetons par lots contre de l'ETH, entraînant directement une perte de 216 millions de dollars. L'équipe de Gala Games a activé d'urgence la fonction de liste noire pour bloquer certains comptes de pirates après l'incident et a récupéré une partie des pertes par voie légale.
5. Co-fondateur d'un projet de cryptomonnaie
Montant de la perte : 112 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels d'un co-fondateur d'un projet de cryptomonnaie bien connu ont été piratés, entraînant le vol de 112 millions de dollars en cryptomonnaies. Ces portefeuilles sont devenus des cibles d'attaque en raison du manque de protection à double facteur avec des dispositifs matériels. Après l'incident, une plateforme d'échange a réussi à geler des actifs volés d'une valeur de 4,2 millions de dollars et a aidé à la traçabilité, mais la plupart des fonds avaient déjà été blanchis via des échanges décentralisés et des services de mixage.
6. Munchables
Montant de la perte : 62,5 millions de dollars Méthode d'attaque : attaque d'ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une rare attaque d'infiltration interne. Les attaquants étaient des hackers déguisés en développeurs de blockchain, qui ont réussi à obtenir le code source et des clés sensibles après une longue période de présence furtive. Bien que l'attaque ait entraîné d'énormes pertes, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement met en lumière l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain dépendant de développeurs tiers.
7. BtcTurk
Montant de la perte : 55 millions de dollars Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande plateforme d'échange de cryptomonnaies de Turquie, BtcTurk, a subi une attaque de fuite de clés privées, entraînant la perte de plus de 55 millions de dollars d'actifs numériques. Avec l'aide de l'équipe d'une plateforme d'échange, 5,3 millions de dollars des fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet incident a renforcé les inquiétudes du marché concernant la gestion des clés privées par les plateformes d'échange centralisées.
8. Radiant Capital
Montant de la perte : 53 millions de dollars Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de l'utilisation d'un mode de vérification des signatures 3/11 à faible seuil, le hacker a pu initié une signature hors chaîne en contrôlant les clés privées de 3 signataires, transférant ainsi la propriété du contrat du portefeuille à une adresse malveillante, entraînant finalement le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et les mécanismes de gouvernance des portefeuilles multi-signatures.
Il convient de noter que Radiant Capital a perdu 4,5 millions de dollars en raison d'une vulnérabilité de contrat avant cette attaque, avec plus de 1900 ETH volés. Cela montre que les projets Web3 doivent encore améliorer leur attention à la sécurité.
9. Hedgey Finance
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque visant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour une perte totale s'élevant à 44,7 millions de dollars. Cet événement souligne l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. BingX
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud de l'échange BingX a été piraté, impliquant plusieurs blockchains publiques telles qu'Ethereum, BNB Chain et Tron. Bien que l'échange ait rapidement mis en place des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le haut niveau de risque associé à la gestion des portefeuilles chauds des échanges centralisés et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sécurisées.
Résumé
Les incidents de sécurité en 2024 se multiplient, nous rappelant à nouveau que le développement de l'industrie de la blockchain ne peut se faire sans une protection sécurisée. Des fuites de clés privées aux vulnérabilités des contrats, des négligences dans la gestion interne à l'évolution des méthodes d'attaque externes, chaque incident a apporté des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties de l'industrie doivent continuer à investir dans la recherche et le développement technologique, la normalisation de la gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration de l'industrie et l'innovation technologique, nous pourrons construire un écosystème blockchain plus sûr, offrant une protection plus fiable aux utilisateurs et aux investisseurs.