Top 10 événements de sécurité dans le domaine du Web3 en 2024
En 2024, l'industrie de la blockchain fait face à des défis de sécurité de plus en plus sévères tout en innovant technologiquement et en étendant son écosystème. Selon les données de la plateforme de surveillance, jusqu'à présent, les pertes totales dans le domaine du Web3 en 2024 dues aux attaques de hackers, aux escroqueries par phishing et aux projets qui s'envolent s'élèvent à 2,491 milliards de dollars.
Ces événements ont non seulement révélé des défauts techniques tels que la gestion des clés privées et des vulnérabilités des contrats intelligents, mais ont également mis en lumière les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article reviendra sur les dix principaux événements de sécurité Web3 de 2024, afin que l'industrie puisse tirer des leçons et mieux faire face aux menaces de sécurité futures.
1. DMM Bitcoin
Montant de la perte : 304 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 31 mai 2024, l'échange de cryptomonnaies japonais DMM Bitcoin a subi une attaque majeure. Des hackers ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars en bitcoins, et ont rapidement dispersé les fonds volés sur plus de 10 adresses différentes. Cet incident a révélé des lacunes graves dans la gestion des clés privées et la protection de sécurité à plusieurs niveaux de cet échange. Bien que l'échange ait tenté de suivre les hackers par la surveillance en chaîne et le gel des fonds, la dispersion des bitcoins volés et l'utilisation d'outils de mélange ont considérablement augmenté la difficulté de traçage.
Le 24 décembre, la police japonaise a confirmé que cette attaque avait été menée par le groupe de hackers nord-coréen Lazarus Group.
2. PlayDapp
Montant de la perte : 290 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur. Des hackers ont volé des clés privées pour frapper 2 milliards de tokens PLA, d'une valeur initiale de 36,5 millions de dollars. Après un échec des négociations entre l'équipe du projet et les hackers, ces derniers ont ensuite frappé 15,9 milliards de tokens PLA, d'une valeur de 253,9 millions de dollars. Une fois que certains tokens ont été échangés sur les bourses, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un contrat de token PDA. Cet événement met en lumière les lacunes des projets blockchain en matière de protection des clés privées et de gestion des situations d'urgence.
3. Une bourse indienne
Montant de la perte : 235 millions de dollarsMéthodes d'attaque : attaque par réseau et phishing
Le 18 juillet 2024, le portefeuille multi-signature Safe Wallet de la plus grande bourse de cryptomonnaies en Inde a été ciblé par une attaque précise. Les attaquants ont induit en erreur les signataires du multi-signature par des méthodes d'ingénierie sociale pour qu'ils signent une transaction de mise à jour de contrat, puis ont utilisé les droits d'accès du contrat mis à jour pour transférer tous les actifs du portefeuille. Cette affaire a mis en lumière les risques potentiels des portefeuilles multi-signatures en matière de configuration des droits de gestion et de transparence des opérations, et a suscité une réflexion approfondie dans l'industrie sur les mécanismes internes de contrôle des risques et de sécurité des projets.
4. Gala Games
Montant de la perte : 216 millions de dollarsMéthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. Les attaquants ont réussi à frapper 5 milliards de GALA tokens en appelant la fonction mint du contrat de token. Par la suite, les pirates ont échangé ces nouveaux tokens frappés par étapes contre des ETH, causant directement une perte de 216 millions de dollars. L'équipe de Gala Games a immédiatement activé la fonction de liste noire pour bloquer certains comptes de pirates et a récupéré une partie des pertes par voie légale.
5. Portefeuille personnel du co-fondateur de Ripple
Montant de la perte : 112 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels du cofondateur de Ripple ont été piratés, entraînant le vol de 112 millions de dollars en XRP. Ces portefeuilles ont pu devenir la cible de l'attaque en raison d'un manque de protection par double authentification avec des dispositifs matériels. Après l'incident, une plateforme d'échange a réussi à geler 4,2 millions de dollars en XRP et a aidé à retracer les actifs volés, mais la majorité des fonds ont déjà été blanchis via des échanges décentralisés et des services de mélange.
6. Munchables
Montant de la perte : 62,5 millions de dollarsMéthode d'attaque : attaque par ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une rare attaque d'infiltration interne. Les attaquants étaient des hackers déguisés en développeurs blockchain, qui, après une longue période de présence discrète, ont obtenu le code source et des clés sensibles. Bien que l'attaque ait causé des pertes considérables, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement souligne l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain qui dépendent de développeurs tiers.
7. Une bourse turque
Montant de la perte : 55 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande plateforme d'échange de crypto-monnaies en Turquie a subi une attaque par fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une certaine plateforme d'échange, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a accentué les inquiétudes du marché concernant la gestion des clés privées par les échanges centralisés.
8. Radiant Capital
Montant de la perte : 53 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté par des hackers. En raison de l'utilisation d'un modèle de vérification de signature 3/11 à faible seuil, les hackers ont réussi à obtenir les clés privées de 3 signataires pour initier une signature hors chaîne, transférant ainsi la propriété du contrat de portefeuille à une adresse malveillante, ce qui a finalement conduit au vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multi-signatures.
Il convient de noter que Radiant Capital a perdu 4,5 millions de dollars en raison d'une vulnérabilité de contrat avant cette attaque, avec plus de 1900 ETH volés. Cela souligne à nouveau que les équipes de projets Web3 doivent encore améliorer leur attention à la sécurité.
9. Hedgey Finance
Montant de la perte : 44,7 millions de dollarsMéthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une faille d'approbation dans leur contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour un montant total de 44,7 millions de dollars. Cet événement souligne l'importance des audits de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. Une bourse centralisée
Montant de la perte : 44,7 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud d'une certaine bourse a été piraté, impliquant des chaînes telles qu'Ethereum, BNB Chain, Tron et d'autres chaînes publiques. Bien que la bourse ait rapidement mis en place des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète à nouveau le risque élevé de la gestion des portefeuilles chauds des bourses centralisées et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Les récentes attaques de sécurité fréquentes en 2024 nous rappellent une fois de plus que le développement de l'industrie de la blockchain ne peut se passer d'une protection sécurisée. Des violations de clés privées aux failles de contrat, en passant par des négligences dans la gestion interne et des mises à niveau des techniques d'attaque externes, chaque incident a apporté des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties prenantes de l'industrie doivent continuer à renforcer leurs investissements dans la recherche et le développement technologique, les normes de gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration de l'industrie et l'innovation technologique, nous pourrons établir ensemble un écosystème blockchain plus sûr, offrant aux utilisateurs et aux investisseurs une protection plus fiable.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
20 J'aime
Récompense
20
9
Partager
Commentaire
0/400
AirdropHarvester
· 07-22 16:59
Encore pris pour un idiot deux fois
Voir l'originalRépondre0
TideReceder
· 07-21 13:56
pigeons prendre les gens pour des idiots une fois après l'autre...
Voir l'originalRépondre0
MetaverseMigrant
· 07-21 08:22
Encore une ronde de prise des gens pour des idiots terminée
Voir l'originalRépondre0
FOMOSapien
· 07-21 00:48
pigeons大同萌新本萌
Voir l'originalRépondre0
NftPhilanthropist
· 07-20 09:25
je suppose que nous avons besoin de plus d'audits de preuve d'impact pour être honnête...
Voir l'originalRépondre0
SadMoneyMeow
· 07-20 09:19
Je n'ai encore pas d'argent pour acheter des nouilles instantanées...
Voir l'originalRépondre0
LeverageAddict
· 07-20 09:16
Tous ces hackers ont gagné de l'argent.
Voir l'originalRépondre0
GasSavingMaster
· 07-20 09:10
La vitesse à laquelle je perds de l'argent rattrape celle à laquelle je le dépense.
Voir l'originalRépondre0
LiquidatedTwice
· 07-20 09:06
Encore une année à se faire prendre pour des cons...
Bilan des 10 principaux incidents de sécurité Web3 en 2024 : pertes de près de 2,5 milliards de dollars.
Top 10 événements de sécurité dans le domaine du Web3 en 2024
En 2024, l'industrie de la blockchain fait face à des défis de sécurité de plus en plus sévères tout en innovant technologiquement et en étendant son écosystème. Selon les données de la plateforme de surveillance, jusqu'à présent, les pertes totales dans le domaine du Web3 en 2024 dues aux attaques de hackers, aux escroqueries par phishing et aux projets qui s'envolent s'élèvent à 2,491 milliards de dollars.
Ces événements ont non seulement révélé des défauts techniques tels que la gestion des clés privées et des vulnérabilités des contrats intelligents, mais ont également mis en lumière les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article reviendra sur les dix principaux événements de sécurité Web3 de 2024, afin que l'industrie puisse tirer des leçons et mieux faire face aux menaces de sécurité futures.
1. DMM Bitcoin
Montant de la perte : 304 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, l'échange de cryptomonnaies japonais DMM Bitcoin a subi une attaque majeure. Des hackers ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars en bitcoins, et ont rapidement dispersé les fonds volés sur plus de 10 adresses différentes. Cet incident a révélé des lacunes graves dans la gestion des clés privées et la protection de sécurité à plusieurs niveaux de cet échange. Bien que l'échange ait tenté de suivre les hackers par la surveillance en chaîne et le gel des fonds, la dispersion des bitcoins volés et l'utilisation d'outils de mélange ont considérablement augmenté la difficulté de traçage.
Le 24 décembre, la police japonaise a confirmé que cette attaque avait été menée par le groupe de hackers nord-coréen Lazarus Group.
2. PlayDapp
Montant de la perte : 290 millions de dollars Méthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur. Des hackers ont volé des clés privées pour frapper 2 milliards de tokens PLA, d'une valeur initiale de 36,5 millions de dollars. Après un échec des négociations entre l'équipe du projet et les hackers, ces derniers ont ensuite frappé 15,9 milliards de tokens PLA, d'une valeur de 253,9 millions de dollars. Une fois que certains tokens ont été échangés sur les bourses, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un contrat de token PDA. Cet événement met en lumière les lacunes des projets blockchain en matière de protection des clés privées et de gestion des situations d'urgence.
3. Une bourse indienne
Montant de la perte : 235 millions de dollars Méthodes d'attaque : attaque par réseau et phishing
Le 18 juillet 2024, le portefeuille multi-signature Safe Wallet de la plus grande bourse de cryptomonnaies en Inde a été ciblé par une attaque précise. Les attaquants ont induit en erreur les signataires du multi-signature par des méthodes d'ingénierie sociale pour qu'ils signent une transaction de mise à jour de contrat, puis ont utilisé les droits d'accès du contrat mis à jour pour transférer tous les actifs du portefeuille. Cette affaire a mis en lumière les risques potentiels des portefeuilles multi-signatures en matière de configuration des droits de gestion et de transparence des opérations, et a suscité une réflexion approfondie dans l'industrie sur les mécanismes internes de contrôle des risques et de sécurité des projets.
4. Gala Games
Montant de la perte : 216 millions de dollars Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. Les attaquants ont réussi à frapper 5 milliards de GALA tokens en appelant la fonction mint du contrat de token. Par la suite, les pirates ont échangé ces nouveaux tokens frappés par étapes contre des ETH, causant directement une perte de 216 millions de dollars. L'équipe de Gala Games a immédiatement activé la fonction de liste noire pour bloquer certains comptes de pirates et a récupéré une partie des pertes par voie légale.
5. Portefeuille personnel du co-fondateur de Ripple
Montant de la perte : 112 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels du cofondateur de Ripple ont été piratés, entraînant le vol de 112 millions de dollars en XRP. Ces portefeuilles ont pu devenir la cible de l'attaque en raison d'un manque de protection par double authentification avec des dispositifs matériels. Après l'incident, une plateforme d'échange a réussi à geler 4,2 millions de dollars en XRP et a aidé à retracer les actifs volés, mais la majorité des fonds ont déjà été blanchis via des échanges décentralisés et des services de mélange.
6. Munchables
Montant de la perte : 62,5 millions de dollars Méthode d'attaque : attaque par ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une rare attaque d'infiltration interne. Les attaquants étaient des hackers déguisés en développeurs blockchain, qui, après une longue période de présence discrète, ont obtenu le code source et des clés sensibles. Bien que l'attaque ait causé des pertes considérables, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement souligne l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain qui dépendent de développeurs tiers.
7. Une bourse turque
Montant de la perte : 55 millions de dollars Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande plateforme d'échange de crypto-monnaies en Turquie a subi une attaque par fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une certaine plateforme d'échange, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a accentué les inquiétudes du marché concernant la gestion des clés privées par les échanges centralisés.
8. Radiant Capital
Montant de la perte : 53 millions de dollars Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté par des hackers. En raison de l'utilisation d'un modèle de vérification de signature 3/11 à faible seuil, les hackers ont réussi à obtenir les clés privées de 3 signataires pour initier une signature hors chaîne, transférant ainsi la propriété du contrat de portefeuille à une adresse malveillante, ce qui a finalement conduit au vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multi-signatures.
Il convient de noter que Radiant Capital a perdu 4,5 millions de dollars en raison d'une vulnérabilité de contrat avant cette attaque, avec plus de 1900 ETH volés. Cela souligne à nouveau que les équipes de projets Web3 doivent encore améliorer leur attention à la sécurité.
9. Hedgey Finance
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une faille d'approbation dans leur contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour un montant total de 44,7 millions de dollars. Cet événement souligne l'importance des audits de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. Une bourse centralisée
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud d'une certaine bourse a été piraté, impliquant des chaînes telles qu'Ethereum, BNB Chain, Tron et d'autres chaînes publiques. Bien que la bourse ait rapidement mis en place des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète à nouveau le risque élevé de la gestion des portefeuilles chauds des bourses centralisées et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Les récentes attaques de sécurité fréquentes en 2024 nous rappellent une fois de plus que le développement de l'industrie de la blockchain ne peut se passer d'une protection sécurisée. Des violations de clés privées aux failles de contrat, en passant par des négligences dans la gestion interne et des mises à niveau des techniques d'attaque externes, chaque incident a apporté des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties prenantes de l'industrie doivent continuer à renforcer leurs investissements dans la recherche et le développement technologique, les normes de gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration de l'industrie et l'innovation technologique, nous pourrons établir ensemble un écosystème blockchain plus sûr, offrant aux utilisateurs et aux investisseurs une protection plus fiable.