Retour sur les dix principaux incidents de sécurité dans le domaine du Web3 en 2024
En 2024, l'industrie du Web3, tout en se développant rapidement, fait également face à des défis de sécurité de plus en plus sévères. Selon les données de surveillance, à la fin de l'année, les pertes totales dans le domaine du Web3 dues à des attaques de hackers, des escroqueries et des projets qui disparaissent s'élèvent à 2,491 milliards de dollars. Ces événements révèlent non seulement des vulnérabilités au niveau technologique, mais mettent également en lumière des risques liés à l'ingénierie sociale et à la gestion interne. Revenons sur les dix événements de sécurité les plus marquants du Web3 en 2024 pour tirer des leçons et mieux faire face aux menaces de sécurité futures.
1. DMM Bitcoin : fuite de clés privées entraînant une perte de 304 millions de dollars
Le 31 mai 2024, la célèbre plateforme d'échange de cryptomonnaies japonaise DMM Bitcoin a subi une attaque majeure. Les hackers ont utilisé une clé privée divulguée pour transférer directement des bitcoins d'une valeur de plus de 300 millions de dollars, et ont rapidement dispersé les fonds volés vers plusieurs adresses. Cet incident a révélé de graves défauts dans la gestion des clés privées et la protection de sécurité multicouche de la plateforme. Bien que l'échange ait tenté de tracer les hackers à travers la surveillance sur la chaîne et le gel des fonds, la difficulté de récupérer les fonds était énorme en raison de leur dispersion et de l'utilisation d'outils de mélange pour les blanchir. À la fin de l'année, la police japonaise a confirmé que cet incident avait été perpétré par un groupe de hackers nord-coréens.
2. PlayDapp : perte de 2,90 milliards de dollars due à la fuite de clés privées
Le 9 février 2024, PlayDapp a subi une attaque grave. Des hackers ont volé des clés privées pour frapper une grande quantité de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. En raison de l'échec des négociations entre l'équipe du projet et les hackers, ces derniers ont frappé des jetons d'une valeur de 253,9 millions de dollars. Après que ces jetons ont partiellement afflué sur les échanges, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jetons. Cet événement met en lumière les lacunes des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. Une bourse indienne : attaques en ligne et phishing entraînant une perte de 235 millions de dollars
Le 18 juillet 2024, le portefeuille multi-signatures de la plus grande plateforme d'échange de cryptomonnaies en Inde a été ciblé par une attaque précise. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires du multi-signature à approuver une transaction de mise à niveau de contrat, puis ont exploité les permissions du contrat mis à niveau pour transférer des actifs du portefeuille. Cette affaire met en lumière les risques potentiels liés à la configuration des permissions et à la transparence des opérations des portefeuilles multi-signatures, suscitant une réflexion approfondie sur les mécanismes de contrôle interne et de sécurité des projets au sein de l'industrie.
4. Gala Games : Une vulnérabilité de contrôle d'accès entraîne une perte de 216 millions de dollars
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. Les attaquants ont appelé la fonction mint du contrat de token pour frapper en une seule fois 5 milliards de tokens GALA. Par la suite, ces tokens ont été échangés par lots contre de l'ETH, entraînant une perte directe de 216 millions de dollars. L'équipe du projet a d'urgence activé la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré une partie des pertes par des voies légales.
5. Fondateur d'un projet de cryptomonnaie : la fuite de la clé privée a entraîné une perte de 112 millions de dollars
Le 31 janvier 2024, quatre portefeuilles personnels d'un cofondateur d'un projet de cryptomonnaie bien connu ont été piratés, entraînant le vol de 112 millions de dollars en XRP. Ces portefeuilles sont devenus la cible de l'attaque en raison du manque de double protection par des dispositifs matériels. Bien qu'un échange ait réussi à geler 4,2 millions de dollars en XRP, la majeure partie des fonds a déjà été blanchie via des échanges décentralisés et des services de mélange.
6. Munchables : attaques d'ingénierie sociale causant des pertes de 62,5 millions de dollars
Le 26 mars 2024, la plateforme de jeu Web3 Munchables basée sur Blast a subi une rare attaque d'infiltration interne. Les attaquants se sont déguisés en développeurs de blockchain et ont obtenu le code source et des clés sensibles après une longue période de présence discrète. Malgré les pertes énormes causées, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement souligne l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain dépendant de développeurs tiers.
7. Une bourse turque : la fuite de clés privées entraîne une perte de 55 millions de dollars
Le 22 juin 2024, la plus grande bourse de cryptomonnaies de Turquie a été victime d'une attaque par fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une grande bourse, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet incident a accru les inquiétudes du marché concernant la gestion des clés privées par les bourses centralisées.
8. Radiant Capital : Une fuite de clé privée a entraîné une perte de 53 millions de dollars.
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté par des hackers. En raison de l'utilisation d'un modèle de vérification par signatures à faible seuil de 3/11, les hackers ont pu initier une signature hors chaîne en contrôlant les clés privées de 3 signataires, transférant ainsi la propriété du contrat de portefeuille vers une adresse malveillante, entraînant finalement le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multi-signatures. Il convient de noter que, avant cette attaque, Radiant Capital avait déjà perdu 4,5 millions de dollars en raison d'une vulnérabilité de contrat, soulignant encore une fois le manque d'attention accordée à la sécurité par l'équipe du projet.
9. Hedgey Finance : Une faille de contrat a entraîné une perte de 44,7 millions de dollars.
Le 19 avril 2024, Hedgey Finance a subi des attaques ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans leur contrat ClaimCampaigns, réussissant à extraire des jetons sur les chaînes Ethereum et Arbitrum, pour une perte totale de 44,7 millions de dollars. Cet événement souligne l'importance de l'audit de code, en particulier la vérification stricte de la logique d'approbation des jetons.
10. Une plateforme d'échange : La fuite de la clé privée entraîne une perte de 44,7 millions de dollars.
Le 19 septembre 2024, le portefeuille chaud d'un certain échange a été piraté, impliquant plusieurs chaînes publiques telles qu'Ethereum, BNB Chain, et Tron. Bien que l'échange ait rapidement activé les mécanismes de transfert d'actifs et de gel des retraits, les pirates ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le risque élevé de gestion des portefeuilles chauds des échanges centralisés, poussant l'industrie à explorer des solutions de stockage d'actifs plus sécurisées.
Les événements de sécurité fréquents en 2024 nous rappellent une fois de plus que le développement de l'industrie de la blockchain ne peut se passer de garanties de sécurité. De la fuite de clés privées aux failles de contrat, des négligences dans la gestion interne à l'évolution des méthodes d'attaque externes, chaque incident a apporté des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties de l'industrie doivent continuer à renforcer leurs investissements dans la recherche et le développement technologique, les normes de gestion et la prévention des risques. À l'avenir, nous espérons, grâce à la collaboration de l'industrie et à l'innovation technologique, construire ensemble un écosystème blockchain plus sûr, offrant aux utilisateurs et aux investisseurs des garanties plus fiables.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
14 J'aime
Récompense
14
7
Partager
Commentaire
0/400
ChainDoctor
· 08-04 08:00
Cet argent a été arraché...
Voir l'originalRépondre0
MidnightSnapHunter
· 08-03 20:50
La robustesse ne vaut pas la peine d'être mentionnée.
Voir l'originalRépondre0
just_another_wallet
· 08-03 20:47
Année après année, on prend les gens pour des idiots, année après année, on est piraté, je regarde froidement.
Voir l'originalRépondre0
token_therapist
· 08-03 20:40
Avancez jusqu'à l'effondrement de la nouvelle cex l'année prochaine.
Voir l'originalRépondre0
ApyWhisperer
· 08-03 20:39
Avec autant d'argent, je me demande vraiment si c'est une mise en scène.
Les dix principaux incidents de sécurité dans le domaine du Web3 en 2024 ont entraîné des pertes de 2,491 milliards de dollars.
Retour sur les dix principaux incidents de sécurité dans le domaine du Web3 en 2024
En 2024, l'industrie du Web3, tout en se développant rapidement, fait également face à des défis de sécurité de plus en plus sévères. Selon les données de surveillance, à la fin de l'année, les pertes totales dans le domaine du Web3 dues à des attaques de hackers, des escroqueries et des projets qui disparaissent s'élèvent à 2,491 milliards de dollars. Ces événements révèlent non seulement des vulnérabilités au niveau technologique, mais mettent également en lumière des risques liés à l'ingénierie sociale et à la gestion interne. Revenons sur les dix événements de sécurité les plus marquants du Web3 en 2024 pour tirer des leçons et mieux faire face aux menaces de sécurité futures.
1. DMM Bitcoin : fuite de clés privées entraînant une perte de 304 millions de dollars
Le 31 mai 2024, la célèbre plateforme d'échange de cryptomonnaies japonaise DMM Bitcoin a subi une attaque majeure. Les hackers ont utilisé une clé privée divulguée pour transférer directement des bitcoins d'une valeur de plus de 300 millions de dollars, et ont rapidement dispersé les fonds volés vers plusieurs adresses. Cet incident a révélé de graves défauts dans la gestion des clés privées et la protection de sécurité multicouche de la plateforme. Bien que l'échange ait tenté de tracer les hackers à travers la surveillance sur la chaîne et le gel des fonds, la difficulté de récupérer les fonds était énorme en raison de leur dispersion et de l'utilisation d'outils de mélange pour les blanchir. À la fin de l'année, la police japonaise a confirmé que cet incident avait été perpétré par un groupe de hackers nord-coréens.
2. PlayDapp : perte de 2,90 milliards de dollars due à la fuite de clés privées
Le 9 février 2024, PlayDapp a subi une attaque grave. Des hackers ont volé des clés privées pour frapper une grande quantité de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. En raison de l'échec des négociations entre l'équipe du projet et les hackers, ces derniers ont frappé des jetons d'une valeur de 253,9 millions de dollars. Après que ces jetons ont partiellement afflué sur les échanges, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jetons. Cet événement met en lumière les lacunes des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. Une bourse indienne : attaques en ligne et phishing entraînant une perte de 235 millions de dollars
Le 18 juillet 2024, le portefeuille multi-signatures de la plus grande plateforme d'échange de cryptomonnaies en Inde a été ciblé par une attaque précise. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires du multi-signature à approuver une transaction de mise à niveau de contrat, puis ont exploité les permissions du contrat mis à niveau pour transférer des actifs du portefeuille. Cette affaire met en lumière les risques potentiels liés à la configuration des permissions et à la transparence des opérations des portefeuilles multi-signatures, suscitant une réflexion approfondie sur les mécanismes de contrôle interne et de sécurité des projets au sein de l'industrie.
4. Gala Games : Une vulnérabilité de contrôle d'accès entraîne une perte de 216 millions de dollars
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. Les attaquants ont appelé la fonction mint du contrat de token pour frapper en une seule fois 5 milliards de tokens GALA. Par la suite, ces tokens ont été échangés par lots contre de l'ETH, entraînant une perte directe de 216 millions de dollars. L'équipe du projet a d'urgence activé la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré une partie des pertes par des voies légales.
5. Fondateur d'un projet de cryptomonnaie : la fuite de la clé privée a entraîné une perte de 112 millions de dollars
Le 31 janvier 2024, quatre portefeuilles personnels d'un cofondateur d'un projet de cryptomonnaie bien connu ont été piratés, entraînant le vol de 112 millions de dollars en XRP. Ces portefeuilles sont devenus la cible de l'attaque en raison du manque de double protection par des dispositifs matériels. Bien qu'un échange ait réussi à geler 4,2 millions de dollars en XRP, la majeure partie des fonds a déjà été blanchie via des échanges décentralisés et des services de mélange.
6. Munchables : attaques d'ingénierie sociale causant des pertes de 62,5 millions de dollars
Le 26 mars 2024, la plateforme de jeu Web3 Munchables basée sur Blast a subi une rare attaque d'infiltration interne. Les attaquants se sont déguisés en développeurs de blockchain et ont obtenu le code source et des clés sensibles après une longue période de présence discrète. Malgré les pertes énormes causées, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement souligne l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain dépendant de développeurs tiers.
7. Une bourse turque : la fuite de clés privées entraîne une perte de 55 millions de dollars
Le 22 juin 2024, la plus grande bourse de cryptomonnaies de Turquie a été victime d'une attaque par fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une grande bourse, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet incident a accru les inquiétudes du marché concernant la gestion des clés privées par les bourses centralisées.
8. Radiant Capital : Une fuite de clé privée a entraîné une perte de 53 millions de dollars.
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté par des hackers. En raison de l'utilisation d'un modèle de vérification par signatures à faible seuil de 3/11, les hackers ont pu initier une signature hors chaîne en contrôlant les clés privées de 3 signataires, transférant ainsi la propriété du contrat de portefeuille vers une adresse malveillante, entraînant finalement le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multi-signatures. Il convient de noter que, avant cette attaque, Radiant Capital avait déjà perdu 4,5 millions de dollars en raison d'une vulnérabilité de contrat, soulignant encore une fois le manque d'attention accordée à la sécurité par l'équipe du projet.
9. Hedgey Finance : Une faille de contrat a entraîné une perte de 44,7 millions de dollars.
Le 19 avril 2024, Hedgey Finance a subi des attaques ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans leur contrat ClaimCampaigns, réussissant à extraire des jetons sur les chaînes Ethereum et Arbitrum, pour une perte totale de 44,7 millions de dollars. Cet événement souligne l'importance de l'audit de code, en particulier la vérification stricte de la logique d'approbation des jetons.
10. Une plateforme d'échange : La fuite de la clé privée entraîne une perte de 44,7 millions de dollars.
Le 19 septembre 2024, le portefeuille chaud d'un certain échange a été piraté, impliquant plusieurs chaînes publiques telles qu'Ethereum, BNB Chain, et Tron. Bien que l'échange ait rapidement activé les mécanismes de transfert d'actifs et de gel des retraits, les pirates ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le risque élevé de gestion des portefeuilles chauds des échanges centralisés, poussant l'industrie à explorer des solutions de stockage d'actifs plus sécurisées.
Les événements de sécurité fréquents en 2024 nous rappellent une fois de plus que le développement de l'industrie de la blockchain ne peut se passer de garanties de sécurité. De la fuite de clés privées aux failles de contrat, des négligences dans la gestion interne à l'évolution des méthodes d'attaque externes, chaque incident a apporté des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties de l'industrie doivent continuer à renforcer leurs investissements dans la recherche et le développement technologique, les normes de gestion et la prévention des risques. À l'avenir, nous espérons, grâce à la collaboration de l'industrie et à l'innovation technologique, construire ensemble un écosystème blockchain plus sûr, offrant aux utilisateurs et aux investisseurs des garanties plus fiables.