Bilan des dix principaux incidents de sécurité dans le domaine du Web3 en 2024
En 2024, l'industrie du Web3, tout en continuant d'innover, fait également face à des défis de sécurité de plus en plus sévères. Selon les statistiques, d'ici la fin de 2024, les pertes totales dans le domaine du Web3 dues à des attaques de hackers, des escroqueries et des disparitions de projets s'élèveront à 2,491 milliards de dollars. Ces événements ont mis en évidence des défauts techniques dans la gestion des clés privées et des contrats intelligents, tout en soulignant les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article reviendra sur les dix principaux incidents de sécurité dans le domaine du Web3 en 2024, dans le but d'aider l'industrie à tirer des leçons et à mieux faire face aux menaces de sécurité futures.
1. DMM Bitcoin a subi une attaque de 304 millions de dollars
Le 31 mai 2024, la célèbre plateforme d'échange de cryptomonnaies japonaise DMM Bitcoin a subi un grave incident de sécurité. Les attaquants ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars de Bitcoin, et ont rapidement dispersé les fonds volés vers plus de 10 adresses différentes. Cette attaque a révélé de graves insuffisances dans la gestion des clés privées et la sécurité multilayer de la plateforme. Bien que l'échange ait tenté de suivre les hackers par le biais de la surveillance en chaîne et du gel des fonds, les Bitcoins volés ont été dispersés et lavés à l'aide d'outils de mixage, rendant le travail de suivi extrêmement difficile.
Le 24 décembre, la police japonaise a confirmé que l'incident avait été perpétré par le groupe de hackers nord-coréen Lazarus.
2. PlayDapp a subi une attaque de 290 millions de dollars
Le 9 février 2024, PlayDapp a subi un coup dur, des hackers ayant volé une clé privée pour frapper 2 milliards de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. En raison d'un échec des négociations entre l'équipe du projet et les hackers, ces derniers ont ensuite frappé 15,9 milliards de jetons PLA, d'une valeur de 253,9 millions de dollars. Après qu'une partie des jetons ait été introduite sur les échanges, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jetons PDA. Cet événement met en évidence les lacunes des projets blockchain en matière de protection des clés privées et de gestion des situations d'urgence.
3. WazirX a subi une attaque de 235 millions de dollars
Le 18 juillet 2024, le plus grand échange de cryptomonnaies en Inde, WazirX, a subi une attaque ciblée sur son portefeuille multi-signatures. Les attaquants ont induit en erreur les signataires multi-signatures par des méthodes d'ingénierie sociale pour qu'ils signent une transaction de mise à niveau de contrat, puis ont utilisé les droits du contrat mis à niveau pour transférer tous les actifs du portefeuille. Cette affaire met en lumière les risques potentiels liés à la configuration des droits et à la transparence des opérations des portefeuilles multi-signatures, et suscite une réflexion approfondie au sein de l'industrie sur le contrôle interne des projets et les mécanismes de sécurité.
4. Gala Games subit une attaque de 216 millions de dollars
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. Les attaquants ont minté 5 milliards de jetons GALA en appelant la fonction mint du contrat de jetons. Par la suite, les hackers ont échangé ces jetons contre de l'ETH par lots, entraînant une perte directe de 216 millions de dollars. L'équipe de Gala Games a ensuite activé en urgence la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré une partie des pertes par voie légale.
5. Le cofondateur de Ripple, Chris Larsen, subit une attaque de 112 millions de dollars
Le 31 janvier 2024, quatre portefeuilles personnels de Chris Larsen, co-fondateur de Ripple, ont été piratés, entraînant le vol de 112 millions de dollars en XRP. Ces portefeuilles sont devenus des cibles d'attaque en raison d'un manque de protection à double facteur via des dispositifs matériels. Après l'incident, une plateforme d'échange a réussi à geler 4,2 millions de dollars en XRP et a aidé Larsen à tracer les actifs volés, mais la plupart des fonds avaient déjà été blanchis via des plateformes d'échange décentralisées et des services de mixage.
6. Munchables subit une attaque de 62,5 millions de dollars
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une rare attaque d'infiltration interne. Les attaquants étaient des hackers nord-coréens déguisés en développeurs de blockchain, qui ont réussi à obtenir le code source et des clés sensibles après une longue période de surveillance. Bien que l'attaque ait entraîné des pertes énormes, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement met en évidence l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain dépendant de développeurs tiers.
7. BtcTurk a subi une attaque de 55 millions de dollars
Le 22 juin 2024, la plus grande bourse de cryptomonnaies de Turquie, BtcTurk, a subi une attaque par fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une certaine plateforme d'échange, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a renforcé les inquiétudes du marché concernant la gestion des clés privées par les bourses centralisées.
8. Radiant Capital a subi une attaque de 53 millions de dollars
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de son utilisation d'un modèle de vérification par signature 3/11 à faible barrière, les hackers ont pu initier une signature hors chaîne en contrôlant les clés privées de 3 signataires, transférant ainsi la propriété du contrat du portefeuille vers une adresse malveillante, entraînant finalement le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multi-signatures.
Il est à noter que Radiant Capital avait déjà perdu 4,5 millions de dollars en raison d'une faille dans le contrat avant cette attaque, avec plus de 1900 ETH volés. Cela souligne à nouveau la nécessité pour les projets Web3 de prêter une plus grande attention aux problèmes de sécurité.
9. Hedgey Finance subit une attaque de 44,7 millions de dollars
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des jetons sur les chaînes Ethereum et Arbitrum, pour une perte totale de 44,7 millions de dollars. Cet événement souligne l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des jetons.
10. BingX subit une attaque de 44,7 millions de dollars
Le 19 septembre 2024, le portefeuille chaud de l'échange BingX a été piraté, impliquant plusieurs chaînes publiques telles qu'Ethereum, BNB Chain et Tron. Bien que l'échange ait rapidement mis en place des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète la haute risque de gestion des portefeuilles chauds des échanges centralisés et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sécurisées.
Les événements de sécurité fréquents en 2024 nous rappellent à nouveau que le développement de l'industrie de la blockchain ne peut se passer d'une sécurité adéquate. Des fuites de clés privées aux vulnérabilités des contrats, des négligences dans la gestion interne aux méthodes d'attaque externes en évolution, chaque incident a apporté des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties de l'industrie doivent continuer à renforcer leurs investissements en recherche technologique, en normes de gestion et en contrôle des risques. À l'avenir, nous espérons qu'à travers la collaboration industrielle et l'innovation technologique, nous pourrons construire ensemble un écosystème blockchain plus sûr, offrant une protection plus fiable aux utilisateurs et aux investisseurs.
Voir l'original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
17 J'aime
Récompense
17
6
Partager
Commentaire
0/400
VibesOverCharts
· Il y a 12h
Portefeuille encore dérobé.
Voir l'originalRépondre0
ZKProofster
· 07-03 07:17
cryptographe amateur. zéro confiance, maximum de confidentialité. si vous ne pouvez pas le prouver mathématiquement, je ne veux pas l'entendre.
juste un autre hack defi... quand vont-ils apprendre à bien gérer les clés smh
Voir l'originalRépondre0
StablecoinAnxiety
· 07-03 07:16
Encore une vague à prendre les gens pour des idiots.
Bilan des dix principaux événements de sécurité Web3 en 2024 : pertes de près de 2,5 milliards de dollars avertissent l'industrie
Bilan des dix principaux incidents de sécurité dans le domaine du Web3 en 2024
En 2024, l'industrie du Web3, tout en continuant d'innover, fait également face à des défis de sécurité de plus en plus sévères. Selon les statistiques, d'ici la fin de 2024, les pertes totales dans le domaine du Web3 dues à des attaques de hackers, des escroqueries et des disparitions de projets s'élèveront à 2,491 milliards de dollars. Ces événements ont mis en évidence des défauts techniques dans la gestion des clés privées et des contrats intelligents, tout en soulignant les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article reviendra sur les dix principaux incidents de sécurité dans le domaine du Web3 en 2024, dans le but d'aider l'industrie à tirer des leçons et à mieux faire face aux menaces de sécurité futures.
1. DMM Bitcoin a subi une attaque de 304 millions de dollars
Le 31 mai 2024, la célèbre plateforme d'échange de cryptomonnaies japonaise DMM Bitcoin a subi un grave incident de sécurité. Les attaquants ont utilisé des clés privées divulguées pour transférer directement plus de 300 millions de dollars de Bitcoin, et ont rapidement dispersé les fonds volés vers plus de 10 adresses différentes. Cette attaque a révélé de graves insuffisances dans la gestion des clés privées et la sécurité multilayer de la plateforme. Bien que l'échange ait tenté de suivre les hackers par le biais de la surveillance en chaîne et du gel des fonds, les Bitcoins volés ont été dispersés et lavés à l'aide d'outils de mixage, rendant le travail de suivi extrêmement difficile.
Le 24 décembre, la police japonaise a confirmé que l'incident avait été perpétré par le groupe de hackers nord-coréen Lazarus.
2. PlayDapp a subi une attaque de 290 millions de dollars
Le 9 février 2024, PlayDapp a subi un coup dur, des hackers ayant volé une clé privée pour frapper 2 milliards de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. En raison d'un échec des négociations entre l'équipe du projet et les hackers, ces derniers ont ensuite frappé 15,9 milliards de jetons PLA, d'une valeur de 253,9 millions de dollars. Après qu'une partie des jetons ait été introduite sur les échanges, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jetons PDA. Cet événement met en évidence les lacunes des projets blockchain en matière de protection des clés privées et de gestion des situations d'urgence.
3. WazirX a subi une attaque de 235 millions de dollars
Le 18 juillet 2024, le plus grand échange de cryptomonnaies en Inde, WazirX, a subi une attaque ciblée sur son portefeuille multi-signatures. Les attaquants ont induit en erreur les signataires multi-signatures par des méthodes d'ingénierie sociale pour qu'ils signent une transaction de mise à niveau de contrat, puis ont utilisé les droits du contrat mis à niveau pour transférer tous les actifs du portefeuille. Cette affaire met en lumière les risques potentiels liés à la configuration des droits et à la transparence des opérations des portefeuilles multi-signatures, et suscite une réflexion approfondie au sein de l'industrie sur le contrôle interne des projets et les mécanismes de sécurité.
4. Gala Games subit une attaque de 216 millions de dollars
Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. Les attaquants ont minté 5 milliards de jetons GALA en appelant la fonction mint du contrat de jetons. Par la suite, les hackers ont échangé ces jetons contre de l'ETH par lots, entraînant une perte directe de 216 millions de dollars. L'équipe de Gala Games a ensuite activé en urgence la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré une partie des pertes par voie légale.
5. Le cofondateur de Ripple, Chris Larsen, subit une attaque de 112 millions de dollars
Le 31 janvier 2024, quatre portefeuilles personnels de Chris Larsen, co-fondateur de Ripple, ont été piratés, entraînant le vol de 112 millions de dollars en XRP. Ces portefeuilles sont devenus des cibles d'attaque en raison d'un manque de protection à double facteur via des dispositifs matériels. Après l'incident, une plateforme d'échange a réussi à geler 4,2 millions de dollars en XRP et a aidé Larsen à tracer les actifs volés, mais la plupart des fonds avaient déjà été blanchis via des plateformes d'échange décentralisées et des services de mixage.
6. Munchables subit une attaque de 62,5 millions de dollars
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une rare attaque d'infiltration interne. Les attaquants étaient des hackers nord-coréens déguisés en développeurs de blockchain, qui ont réussi à obtenir le code source et des clés sensibles après une longue période de surveillance. Bien que l'attaque ait entraîné des pertes énormes, sous la pression de la communauté et de l'équipe, les hackers ont finalement restitué tous les fonds volés. Cet événement met en évidence l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets blockchain dépendant de développeurs tiers.
7. BtcTurk a subi une attaque de 55 millions de dollars
Le 22 juin 2024, la plus grande bourse de cryptomonnaies de Turquie, BtcTurk, a subi une attaque par fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une certaine plateforme d'échange, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet événement a renforcé les inquiétudes du marché concernant la gestion des clés privées par les bourses centralisées.
8. Radiant Capital a subi une attaque de 53 millions de dollars
Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de son utilisation d'un modèle de vérification par signature 3/11 à faible barrière, les hackers ont pu initier une signature hors chaîne en contrôlant les clés privées de 3 signataires, transférant ainsi la propriété du contrat du portefeuille vers une adresse malveillante, entraînant finalement le vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multi-signatures.
Il est à noter que Radiant Capital avait déjà perdu 4,5 millions de dollars en raison d'une faille dans le contrat avant cette attaque, avec plus de 1900 ETH volés. Cela souligne à nouveau la nécessité pour les projets Web3 de prêter une plus grande attention aux problèmes de sécurité.
9. Hedgey Finance subit une attaque de 44,7 millions de dollars
Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des jetons sur les chaînes Ethereum et Arbitrum, pour une perte totale de 44,7 millions de dollars. Cet événement souligne l'importance de l'audit de code, en particulier la vérification rigoureuse de la logique d'approbation des jetons.
10. BingX subit une attaque de 44,7 millions de dollars
Le 19 septembre 2024, le portefeuille chaud de l'échange BingX a été piraté, impliquant plusieurs chaînes publiques telles qu'Ethereum, BNB Chain et Tron. Bien que l'échange ait rapidement mis en place des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque reflète la haute risque de gestion des portefeuilles chauds des échanges centralisés et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sécurisées.
Les événements de sécurité fréquents en 2024 nous rappellent à nouveau que le développement de l'industrie de la blockchain ne peut se passer d'une sécurité adéquate. Des fuites de clés privées aux vulnérabilités des contrats, des négligences dans la gestion interne aux méthodes d'attaque externes en évolution, chaque incident a apporté des leçons profondes. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties de l'industrie doivent continuer à renforcer leurs investissements en recherche technologique, en normes de gestion et en contrôle des risques. À l'avenir, nous espérons qu'à travers la collaboration industrielle et l'innovation technologique, nous pourrons construire ensemble un écosystème blockchain plus sûr, offrant une protection plus fiable aux utilisateurs et aux investisseurs.
juste un autre hack defi... quand vont-ils apprendre à bien gérer les clés smh