Rétrospective des 10 principaux incidents de sécurité Web3 de 2024
En 2024, l'industrie de la blockchain, tout en se développant rapidement, fait également face à de graves défis en matière de sécurité. Selon les données de la plateforme de surveillance, à la fin de l'année, les pertes totales dans le domaine du Web3 dues à des attaques de hackers, des escroqueries et des disparitions de projets s'élevaient à 2,491 milliards de dollars. Ces événements ont non seulement révélé des vulnérabilités techniques, mais ont également mis en lumière les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Revenons sur les dix incidents de sécurité les plus influents dans le domaine du Web3 en 2024, afin d'en tirer des leçons et de mieux faire face aux menaces de sécurité futures.
1. DMM Bitcoin : fuite de clé privée entraînant une perte de 304 millions de dollars
Le 31 mai 2024, la célèbre plateforme d'échange de cryptomonnaies japonaise DMM Bitcoin a subi un coup dur. Les attaquants ont utilisé des clés privées divulguées pour transférer plus de 300 millions de dollars en Bitcoin, dispersant rapidement les fonds sur plusieurs adresses. Cet incident a exposé de graves défauts dans la gestion des clés privées et la sécurité multicouche de la plateforme. Bien que l'échange ait essayé de suivre les hackers par le biais de surveillance sur la chaîne et de geler les fonds, les fonds volés ont été transférés en dispersant et en utilisant des outils de mixage, rendant considérablement plus difficile la récupération.
À la fin de l'année, la police japonaise a confirmé que cette attaque avait été réalisée par un certain groupe de hackers.
2. PlayDapp : perte de 290 millions de dollars due à la fuite de clés privées
Le 9 février 2024, PlayDapp a subi un grave incident de sécurité. Des hackers ont volé des clés privées pour frapper un grand nombre de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. Après un échec des négociations avec les hackers, les attaquants ont ensuite frappé encore plus de jetons, pour une valeur totale de 253,9 millions de dollars. Après que ces jetons ont partiellement afflué sur les échanges, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jetons. Cet événement met en lumière les lacunes des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. Une bourse indienne : attaques de réseau et phishing entraînant une perte de 235 millions de dollars
Le 18 juillet 2024, le portefeuille multi-signatures Safe Wallet de la plus grande bourse de cryptomonnaie en Inde a été ciblé par une attaque précise. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires multi-signatures à approuver une transaction de mise à niveau de contrat, puis ont utilisé les droits d'accès du contrat mis à jour pour transférer les actifs du portefeuille. Cette affaire a révélé les risques potentiels liés à la configuration des autorisations et à la transparence des opérations des portefeuilles multi-signatures, suscitant une réflexion approfondie dans l'industrie sur la gestion des risques internes des projets et les mécanismes de sécurité.
4. Gala Games : Une vulnérabilité de contrôle d'accès entraîne une perte de 216 millions de dollars.
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. Les attaquants ont appelé la fonction mint du contrat de jetons pour frapper 5 milliards de jetons GALA en une seule fois. Par la suite, ces jetons ont été échangés par lots contre de l'ETH, entraînant une perte de 216 millions de dollars. L'équipe de Gala Games a activé d'urgence la fonction de liste noire pour bloquer certains comptes des pirates et a récupéré une partie des pertes par des voies légales.
5. Co-fondateur d'une crypto-monnaie : La fuite de la clé privée a entraîné une perte de 112 millions de dollars.
Le 31 janvier 2024, quatre portefeuilles personnels d'un co-fondateur d'un projet de cryptomonnaie bien connu ont été piratés, entraînant le vol de 112 millions de dollars de jetons. Ces portefeuilles sont devenus la cible de l'attaque en raison du manque de protection par double authentification avec des dispositifs matériels. Par la suite, une bourse a réussi à geler des jetons d'une valeur de 4,2 millions de dollars, mais la plupart des fonds avaient déjà été blanchis via des échanges décentralisés et des services de mélange.
6. Munchables : Les attaques d'ingénierie sociale entraînent une perte de 62,5 millions de dollars
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une attaque de pénétration interne rare. Les attaquants se sont déguisés en développeurs de blockchain et ont obtenu le code source et des clés sensibles après une longue période d'infiltration. Bien que cela ait entraîné des pertes massives, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement souligne l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets de blockchain dépendant du développement de tiers.
7. Une bourse turque : La fuite de clés privées a entraîné une perte de 55 millions de dollars
Le 22 juin 2024, la plus grande bourse de cryptomonnaie en Turquie a subi une attaque de fuite de clés privées, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une équipe d'une autre bourse, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a approfondi les inquiétudes du marché concernant la gestion des clés privées par les bourses centralisées.
8. Radiant Capital : une fuite de clé privée entraîne une perte de 53 millions de dollars
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de l'utilisation d'un mode de vérification par signature 3/11, le hacker a pu lancer une signature hors chaîne en contrôlant les clés privées de 3 signataires, transférant la propriété du contrat de portefeuille à une adresse malveillante, ce qui a finalement conduit au vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multi-signatures.
Il est à noter que Radiant Capital a précédemment perdu 4,5 millions de dollars en raison d'une vulnérabilité dans un contrat, avec plus de 1900 ETH volés, ce qui montre que l'importance accordée à la sécurité par les projets Web3 doit encore être améliorée.
9. Hedgey Finance : Une vulnérabilité de contrat entraîne une perte de 44,7 millions de dollars
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation du contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour une perte totale de 44,7 millions de dollars. Cet événement souligne l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. Une plateforme d'échange de cryptomonnaies : une fuite de clés privées a entraîné une perte de 44,7 millions de dollars.
Le 19 septembre 2024, le portefeuille chaud d'un échange a été piraté, impliquant plusieurs chaînes publiques telles qu'Ethereum, BNB Chain et Tron. Bien que l'échange ait rapidement activé un mécanisme de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète à nouveau la haute risque de la gestion des portefeuilles chauds des échanges centralisés, poussant l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Les accidents de sécurité fréquents en 2024 nous rappellent une fois de plus que le développement de l'industrie de la blockchain repose sur la sécurité. De la gestion des clés privées aux vulnérabilités des contrats, des négligences dans la gestion interne aux mises à niveau des méthodes d'attaque externes, chaque incident a apporté des leçons profondes. Pour faire face à des menaces de sécurité de plus en plus complexes, toutes les parties prenantes de l'industrie doivent continuer à renforcer leurs investissements dans la recherche et le développement technologique, la réglementation de la gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration de l'industrie et l'innovation technologique, nous pourrons construire ensemble un écosystème blockchain plus sûr, offrant une protection plus fiable aux utilisateurs et aux investisseurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
13 J'aime
Récompense
13
6
Partager
Commentaire
0/400
ForkTongue
· Il y a 20h
Encore tombé dans le bear trap.
Voir l'originalRépondre0
AirdropChaser
· Il y a 20h
Les vieux pigeons restent en sécurité.
Voir l'originalRépondre0
CrashHotline
· Il y a 20h
Voir ça me fait mal au portefeuille
Voir l'originalRépondre0
WhaleWatcher
· Il y a 20h
Encore une année à prendre les gens pour des idiots.
Rétrospective des dix principaux incidents de sécurité Web3 en 2024 : près de 2,5 milliards de dollars de pertes avertissent l'industrie
Rétrospective des 10 principaux incidents de sécurité Web3 de 2024
En 2024, l'industrie de la blockchain, tout en se développant rapidement, fait également face à de graves défis en matière de sécurité. Selon les données de la plateforme de surveillance, à la fin de l'année, les pertes totales dans le domaine du Web3 dues à des attaques de hackers, des escroqueries et des disparitions de projets s'élevaient à 2,491 milliards de dollars. Ces événements ont non seulement révélé des vulnérabilités techniques, mais ont également mis en lumière les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Revenons sur les dix incidents de sécurité les plus influents dans le domaine du Web3 en 2024, afin d'en tirer des leçons et de mieux faire face aux menaces de sécurité futures.
1. DMM Bitcoin : fuite de clé privée entraînant une perte de 304 millions de dollars
Le 31 mai 2024, la célèbre plateforme d'échange de cryptomonnaies japonaise DMM Bitcoin a subi un coup dur. Les attaquants ont utilisé des clés privées divulguées pour transférer plus de 300 millions de dollars en Bitcoin, dispersant rapidement les fonds sur plusieurs adresses. Cet incident a exposé de graves défauts dans la gestion des clés privées et la sécurité multicouche de la plateforme. Bien que l'échange ait essayé de suivre les hackers par le biais de surveillance sur la chaîne et de geler les fonds, les fonds volés ont été transférés en dispersant et en utilisant des outils de mixage, rendant considérablement plus difficile la récupération.
À la fin de l'année, la police japonaise a confirmé que cette attaque avait été réalisée par un certain groupe de hackers.
2. PlayDapp : perte de 290 millions de dollars due à la fuite de clés privées
Le 9 février 2024, PlayDapp a subi un grave incident de sécurité. Des hackers ont volé des clés privées pour frapper un grand nombre de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. Après un échec des négociations avec les hackers, les attaquants ont ensuite frappé encore plus de jetons, pour une valeur totale de 253,9 millions de dollars. Après que ces jetons ont partiellement afflué sur les échanges, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jetons. Cet événement met en lumière les lacunes des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. Une bourse indienne : attaques de réseau et phishing entraînant une perte de 235 millions de dollars
Le 18 juillet 2024, le portefeuille multi-signatures Safe Wallet de la plus grande bourse de cryptomonnaie en Inde a été ciblé par une attaque précise. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires multi-signatures à approuver une transaction de mise à niveau de contrat, puis ont utilisé les droits d'accès du contrat mis à jour pour transférer les actifs du portefeuille. Cette affaire a révélé les risques potentiels liés à la configuration des autorisations et à la transparence des opérations des portefeuilles multi-signatures, suscitant une réflexion approfondie dans l'industrie sur la gestion des risques internes des projets et les mécanismes de sécurité.
4. Gala Games : Une vulnérabilité de contrôle d'accès entraîne une perte de 216 millions de dollars.
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. Les attaquants ont appelé la fonction mint du contrat de jetons pour frapper 5 milliards de jetons GALA en une seule fois. Par la suite, ces jetons ont été échangés par lots contre de l'ETH, entraînant une perte de 216 millions de dollars. L'équipe de Gala Games a activé d'urgence la fonction de liste noire pour bloquer certains comptes des pirates et a récupéré une partie des pertes par des voies légales.
5. Co-fondateur d'une crypto-monnaie : La fuite de la clé privée a entraîné une perte de 112 millions de dollars.
Le 31 janvier 2024, quatre portefeuilles personnels d'un co-fondateur d'un projet de cryptomonnaie bien connu ont été piratés, entraînant le vol de 112 millions de dollars de jetons. Ces portefeuilles sont devenus la cible de l'attaque en raison du manque de protection par double authentification avec des dispositifs matériels. Par la suite, une bourse a réussi à geler des jetons d'une valeur de 4,2 millions de dollars, mais la plupart des fonds avaient déjà été blanchis via des échanges décentralisés et des services de mélange.
6. Munchables : Les attaques d'ingénierie sociale entraînent une perte de 62,5 millions de dollars
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une attaque de pénétration interne rare. Les attaquants se sont déguisés en développeurs de blockchain et ont obtenu le code source et des clés sensibles après une longue période d'infiltration. Bien que cela ait entraîné des pertes massives, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement souligne l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets de blockchain dépendant du développement de tiers.
7. Une bourse turque : La fuite de clés privées a entraîné une perte de 55 millions de dollars
Le 22 juin 2024, la plus grande bourse de cryptomonnaie en Turquie a subi une attaque de fuite de clés privées, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une équipe d'une autre bourse, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a approfondi les inquiétudes du marché concernant la gestion des clés privées par les bourses centralisées.
8. Radiant Capital : une fuite de clé privée entraîne une perte de 53 millions de dollars
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de l'utilisation d'un mode de vérification par signature 3/11, le hacker a pu lancer une signature hors chaîne en contrôlant les clés privées de 3 signataires, transférant la propriété du contrat de portefeuille à une adresse malveillante, ce qui a finalement conduit au vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multi-signatures.
Il est à noter que Radiant Capital a précédemment perdu 4,5 millions de dollars en raison d'une vulnérabilité dans un contrat, avec plus de 1900 ETH volés, ce qui montre que l'importance accordée à la sécurité par les projets Web3 doit encore être améliorée.
9. Hedgey Finance : Une vulnérabilité de contrat entraîne une perte de 44,7 millions de dollars
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation du contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour une perte totale de 44,7 millions de dollars. Cet événement souligne l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. Une plateforme d'échange de cryptomonnaies : une fuite de clés privées a entraîné une perte de 44,7 millions de dollars.
Le 19 septembre 2024, le portefeuille chaud d'un échange a été piraté, impliquant plusieurs chaînes publiques telles qu'Ethereum, BNB Chain et Tron. Bien que l'échange ait rapidement activé un mécanisme de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète à nouveau la haute risque de la gestion des portefeuilles chauds des échanges centralisés, poussant l'industrie à explorer des solutions de stockage d'actifs plus sûres.
Les accidents de sécurité fréquents en 2024 nous rappellent une fois de plus que le développement de l'industrie de la blockchain repose sur la sécurité. De la gestion des clés privées aux vulnérabilités des contrats, des négligences dans la gestion interne aux mises à niveau des méthodes d'attaque externes, chaque incident a apporté des leçons profondes. Pour faire face à des menaces de sécurité de plus en plus complexes, toutes les parties prenantes de l'industrie doivent continuer à renforcer leurs investissements dans la recherche et le développement technologique, la réglementation de la gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration de l'industrie et l'innovation technologique, nous pourrons construire ensemble un écosystème blockchain plus sûr, offrant une protection plus fiable aux utilisateurs et aux investisseurs.