Bilan des dix principaux incidents de sécurité dans le domaine du Web3 en 2024
En 2024, l'industrie de la blockchain fait face à des défis de sécurité de plus en plus graves tout en innovant technologiquement et en élargissant son écosystème. Selon des données fiables, à ce jour, les pertes totales dans le domaine du Web3 en 2024 dues à des attaques de hackers, des arnaques par phishing et des projets abandonnés s'élèvent à 2,491 milliards de dollars.
Ces événements révèlent non seulement des défauts techniques tels que la gestion des clés privées et des vulnérabilités des contrats intelligents, mais mettent également en lumière les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article passera en revue les dix principaux événements de sécurité Web3 de 2024 afin d'aider l'industrie à tirer des leçons et à mieux faire face aux menaces de sécurité futures.
1. Une importante attaque subie par une bourse japonaise
Montant de la perte : 304 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 31 mai 2024, une célèbre bourse de cryptomonnaies japonaise a subi une attaque historique. Les attaquants ont utilisé des clés privées divulguées pour transférer directement des bitcoins d'une valeur de plus de 300 millions de dollars, dispersant rapidement les fonds volés à plusieurs adresses différentes. Cette attaque a révélé de graves lacunes dans la gestion des clés privées et la protection de sécurité multiclasse de la bourse. Bien que la bourse ait tenté de suivre les hackers par la surveillance en chaîne et le gel des fonds, les bitcoins volés ont été transférés de manière dispersée et nettoyés à l'aide d'outils de mixage, ce qui a posé un énorme défi pour le travail de suivi.
Le 24 décembre, la police japonaise a déterminé que l'incident de vol de cet échange était attribué à un groupe de hackers nord-coréens.
2. PlayDapp subit un coup dur
Montant de la perte : 290 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur, des hackers ont fabriqué 2 milliards de jetons PLA en volant des clés privées, d'une valeur initiale de 36,5 millions de dollars. En raison des négociations infructueuses entre l'équipe du projet et les hackers, ces derniers ont rapidement créé 15,9 milliards de jetons PLA supplémentaires, d'une valeur de 253,9 millions de dollars. Après que certains de ces jetons ont été introduits sur les échanges, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers le contrat de jetons PDA. Cet incident souligne les lacunes des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. Un portefeuille multi-signature d'un échange indien a été attaqué
Montant de la perte : 235 millions de dollarsMéthodes d'attaque : attaques en ligne et phishing
Le 18 juillet 2024, le portefeuille multi-signature Safe Wallet de la plus grande bourse de cryptomonnaies en Inde a été ciblé par une attaque précise de hackers. Les attaquants ont induit en erreur les signataires du multi-signature à signer une transaction de mise à jour de contrat par ingénierie sociale, puis ont utilisé les droits du contrat mis à jour pour transférer tous les actifs du portefeuille. Cette affaire met en évidence les risques potentiels des portefeuilles multi-signatures en termes de gestion des configurations de droits et de transparence des opérations, et a suscité une réflexion approfondie au sein de l'industrie sur les mécanismes de contrôle interne et de sécurité des projets.
4. Gala Games subit une attaque de frappe à grande échelle
Montant de la perte : 216 millions de dollarsMéthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée, et l'attaquant a appelé la fonction mint dans le contrat de jeton pour créer 5 milliards de jetons GALA en une seule fois. Par la suite, le hacker a échangé les jetons nouvellement émis contre de l'ETH par lots, entraînant une perte directe de 216 millions de dollars. L'équipe de Gala Games a rapidement activé la fonction de liste noire pour bloquer certains comptes de hackers après l'incident et a récupéré les pertes par voie judiciaire.
5. Le portefeuille personnel du co-fondateur de Ripple a été volé
Montant de la perte : 112 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels de Chris Larsen, cofondateur de Ripple, ont été piratés, entraînant le vol de 112 millions de dollars de XRP. Ces portefeuilles ont été ciblés en raison d'un manque de protection à double facteur matériel. Après l'incident, une certaine plateforme d'échange a réussi à geler des XRP d'une valeur de 4,2 millions de dollars et a aidé Larsen à retracer les actifs volés, mais la grande majorité des fonds ont déjà été blanchis via des échanges décentralisés et des services de mixage.
6. Munchables rencontre une infiltration interne
Montant de la perte : 62,5 millions de dollarsMéthode d'attaque : attaque par ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une attaque rare d'infiltration interne. Les attaquants étaient des hackers se faisant passer pour des développeurs de blockchain, ayant obtenu le code source et des clés sensibles après une longue période de dissimulation. Bien que l'attaque ait causé d'énormes pertes, en raison de la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement a mis en lumière l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain dépendant du développement par des tiers.
7. Fuite de la clé privée d'un échange en Turquie
Montant de la perte : 55 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande bourse de cryptomonnaies de Turquie a été victime d'une attaque de fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'autres plateformes, 5,3 millions de dollars de fonds volés ont été réussis à être gelés, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a approfondi les inquiétudes du marché concernant la gestion des clés privées par les bourses centralisées.
8. Le portefeuille multi-signatures de Radiant Capital a été compromis
Montant de la perte : 53 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de son mode de vérification de signature 3/11 à faible seuil, le hacker a pu, en maîtrisant les clés privées de 3 signataires, initier une signature hors chaîne, transférant ainsi la propriété du contrat de portefeuille à une adresse malveillante, ce qui a finalement entraîné le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multi-signatures.
Il est à noter que Radiant Capital a perdu 4,5 millions de dollars en raison d'un défaut de contrat avant cette attaque, avec plus de 1900 ETH volés. Cela rappelle une fois de plus aux projets Web3 qu'ils doivent accorder une plus grande importance aux problèmes de sécurité.
9. La vulnérabilité des contrats de Hedgey Finance exploitée
Montant de la perte : 44,7 millions de dollarsMéthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour un montant total de 44,7 millions de dollars. Cet événement met en évidence l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. Le portefeuille chaud d'une bourse a été compromis
Montant de la perte : 44,7 millions de dollarsMéthode d'attaque : fuite de clé privée
Le 19 septembre 2024, un portefeuille chaud d'une bourse bien connue a été piraté, impliquant plusieurs chaînes, y compris Ethereum, BNB Chain, Tron et d'autres blockchains publiques. Bien que la bourse ait rapidement activé le mécanisme de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le haut niveau de risque associé à la gestion des portefeuilles chauds des bourses centralisées et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sécurisées.
Les incidents de sécurité se multiplient en 2024, nous rappelant une fois de plus que le développement de l'industrie de la blockchain ne peut se faire sans une protection sécurisée. Des fuites de clés privées aux vulnérabilités des contrats, des négligences de gestion internes aux méthodes d'attaque externes de plus en plus sophistiquées, chaque incident a apporté des leçons profondes. Pour faire face aux menaces d'attaques de plus en plus complexes, toutes les parties de l'industrie doivent continuer à renforcer leurs investissements en recherche et développement technologique, en normes de gestion et en prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration de l'industrie et l'innovation technologique, nous pourrons établir ensemble un écosystème blockchain plus sécurisé, offrant une protection plus fiable aux utilisateurs et investisseurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
12 J'aime
Récompense
12
5
Partager
Commentaire
0/400
ImpermanentLossEnjoyer
· 07-24 23:00
Encore coupé, allongé en attendant l'année prochaine.
Voir l'originalRépondre0
SundayDegen
· 07-24 21:15
Je pensais que les investisseurs détaillants se faisaient prendre pour des cons, mais en fait c'est l'équipe qui prend les gens pour des idiots.
Voir l'originalRépondre0
ZKProofster
· 07-22 00:00
techniquement parlant... les mêmes vieux défauts, les mêmes vieilles pertes. je secoue la tête devant ces erreurs de débutants de la sec
Bilan des dix principaux incidents de sécurité Web3 en 2024 : pertes atteignant 2,491 milliards de dollars.
Bilan des dix principaux incidents de sécurité dans le domaine du Web3 en 2024
En 2024, l'industrie de la blockchain fait face à des défis de sécurité de plus en plus graves tout en innovant technologiquement et en élargissant son écosystème. Selon des données fiables, à ce jour, les pertes totales dans le domaine du Web3 en 2024 dues à des attaques de hackers, des arnaques par phishing et des projets abandonnés s'élèvent à 2,491 milliards de dollars.
Ces événements révèlent non seulement des défauts techniques tels que la gestion des clés privées et des vulnérabilités des contrats intelligents, mais mettent également en lumière les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article passera en revue les dix principaux événements de sécurité Web3 de 2024 afin d'aider l'industrie à tirer des leçons et à mieux faire face aux menaces de sécurité futures.
1. Une importante attaque subie par une bourse japonaise
Montant de la perte : 304 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 mai 2024, une célèbre bourse de cryptomonnaies japonaise a subi une attaque historique. Les attaquants ont utilisé des clés privées divulguées pour transférer directement des bitcoins d'une valeur de plus de 300 millions de dollars, dispersant rapidement les fonds volés à plusieurs adresses différentes. Cette attaque a révélé de graves lacunes dans la gestion des clés privées et la protection de sécurité multiclasse de la bourse. Bien que la bourse ait tenté de suivre les hackers par la surveillance en chaîne et le gel des fonds, les bitcoins volés ont été transférés de manière dispersée et nettoyés à l'aide d'outils de mixage, ce qui a posé un énorme défi pour le travail de suivi.
Le 24 décembre, la police japonaise a déterminé que l'incident de vol de cet échange était attribué à un groupe de hackers nord-coréens.
2. PlayDapp subit un coup dur
Montant de la perte : 290 millions de dollars Méthode d'attaque : fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup dur, des hackers ont fabriqué 2 milliards de jetons PLA en volant des clés privées, d'une valeur initiale de 36,5 millions de dollars. En raison des négociations infructueuses entre l'équipe du projet et les hackers, ces derniers ont rapidement créé 15,9 milliards de jetons PLA supplémentaires, d'une valeur de 253,9 millions de dollars. Après que certains de ces jetons ont été introduits sur les échanges, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers le contrat de jetons PDA. Cet incident souligne les lacunes des projets blockchain en matière de protection des clés privées et de gestion des urgences.
3. Un portefeuille multi-signature d'un échange indien a été attaqué
Montant de la perte : 235 millions de dollars Méthodes d'attaque : attaques en ligne et phishing
Le 18 juillet 2024, le portefeuille multi-signature Safe Wallet de la plus grande bourse de cryptomonnaies en Inde a été ciblé par une attaque précise de hackers. Les attaquants ont induit en erreur les signataires du multi-signature à signer une transaction de mise à jour de contrat par ingénierie sociale, puis ont utilisé les droits du contrat mis à jour pour transférer tous les actifs du portefeuille. Cette affaire met en évidence les risques potentiels des portefeuilles multi-signatures en termes de gestion des configurations de droits et de transparence des opérations, et a suscité une réflexion approfondie au sein de l'industrie sur les mécanismes de contrôle interne et de sécurité des projets.
4. Gala Games subit une attaque de frappe à grande échelle
Montant de la perte : 216 millions de dollars Méthode d'attaque : vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée, et l'attaquant a appelé la fonction mint dans le contrat de jeton pour créer 5 milliards de jetons GALA en une seule fois. Par la suite, le hacker a échangé les jetons nouvellement émis contre de l'ETH par lots, entraînant une perte directe de 216 millions de dollars. L'équipe de Gala Games a rapidement activé la fonction de liste noire pour bloquer certains comptes de hackers après l'incident et a récupéré les pertes par voie judiciaire.
5. Le portefeuille personnel du co-fondateur de Ripple a été volé
Montant de la perte : 112 millions de dollars Méthode d'attaque : fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels de Chris Larsen, cofondateur de Ripple, ont été piratés, entraînant le vol de 112 millions de dollars de XRP. Ces portefeuilles ont été ciblés en raison d'un manque de protection à double facteur matériel. Après l'incident, une certaine plateforme d'échange a réussi à geler des XRP d'une valeur de 4,2 millions de dollars et a aidé Larsen à retracer les actifs volés, mais la grande majorité des fonds ont déjà été blanchis via des échanges décentralisés et des services de mixage.
6. Munchables rencontre une infiltration interne
Montant de la perte : 62,5 millions de dollars Méthode d'attaque : attaque par ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une attaque rare d'infiltration interne. Les attaquants étaient des hackers se faisant passer pour des développeurs de blockchain, ayant obtenu le code source et des clés sensibles après une longue période de dissimulation. Bien que l'attaque ait causé d'énormes pertes, en raison de la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement a mis en lumière l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain dépendant du développement par des tiers.
7. Fuite de la clé privée d'un échange en Turquie
Montant de la perte : 55 millions de dollars Méthode d'attaque : fuite de clé privée
Le 22 juin 2024, la plus grande bourse de cryptomonnaies de Turquie a été victime d'une attaque de fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'autres plateformes, 5,3 millions de dollars de fonds volés ont été réussis à être gelés, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a approfondi les inquiétudes du marché concernant la gestion des clés privées par les bourses centralisées.
8. Le portefeuille multi-signatures de Radiant Capital a été compromis
Montant de la perte : 53 millions de dollars Méthode d'attaque : fuite de clé privée
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de son mode de vérification de signature 3/11 à faible seuil, le hacker a pu, en maîtrisant les clés privées de 3 signataires, initier une signature hors chaîne, transférant ainsi la propriété du contrat de portefeuille à une adresse malveillante, ce qui a finalement entraîné le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multi-signatures.
Il est à noter que Radiant Capital a perdu 4,5 millions de dollars en raison d'un défaut de contrat avant cette attaque, avec plus de 1900 ETH volés. Cela rappelle une fois de plus aux projets Web3 qu'ils doivent accorder une plus grande importance aux problèmes de sécurité.
9. La vulnérabilité des contrats de Hedgey Finance exploitée
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : vulnérabilité de contrat
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour un montant total de 44,7 millions de dollars. Cet événement met en évidence l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.
10. Le portefeuille chaud d'une bourse a été compromis
Montant de la perte : 44,7 millions de dollars Méthode d'attaque : fuite de clé privée
Le 19 septembre 2024, un portefeuille chaud d'une bourse bien connue a été piraté, impliquant plusieurs chaînes, y compris Ethereum, BNB Chain, Tron et d'autres blockchains publiques. Bien que la bourse ait rapidement activé le mécanisme de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète le haut niveau de risque associé à la gestion des portefeuilles chauds des bourses centralisées et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sécurisées.
Les incidents de sécurité se multiplient en 2024, nous rappelant une fois de plus que le développement de l'industrie de la blockchain ne peut se faire sans une protection sécurisée. Des fuites de clés privées aux vulnérabilités des contrats, des négligences de gestion internes aux méthodes d'attaque externes de plus en plus sophistiquées, chaque incident a apporté des leçons profondes. Pour faire face aux menaces d'attaques de plus en plus complexes, toutes les parties de l'industrie doivent continuer à renforcer leurs investissements en recherche et développement technologique, en normes de gestion et en prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration de l'industrie et l'innovation technologique, nous pourrons établir ensemble un écosystème blockchain plus sécurisé, offrant une protection plus fiable aux utilisateurs et investisseurs.