Top 10 des incidents de sécurité dans le domaine du Web3 en 2024

En 2024, l'industrie de la blockchain fait face à des défis de sécurité de plus en plus graves tout en innovant technologiquement et en élargissant son écosystème. Selon les données d'une plateforme de surveillance de la sécurité, à ce jour, les pertes totales dans le domaine du Web3 en 2024 dues à des attaques de hackers, des escroqueries de phishing et des projets abandonnés s'élèvent à 2,491 milliards de dollars.

Ces événements ont non seulement révélé des défauts techniques tels que la gestion des clés privées et les vulnérabilités des contrats intelligents, mais ont également mis en évidence les risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article passera en revue les dix principaux événements de sécurité Web3 de 2024, dans l'espoir que l'industrie puisse en tirer des leçons pour mieux faire face aux menaces de sécurité à l'avenir.

1. DMM Bitcoin : fuite de clé privée entraînant une perte de 304 millions de dollars

Le 31 mai 2024, l'échange de cryptomonnaies japonais DMM Bitcoin a subi un grave incident de sécurité. Les attaquants ont utilisé des clés privées divulguées pour transférer directement des bitcoins d'une valeur de plus de 300 millions de dollars, et ont rapidement dispersé les fonds volés sur plusieurs adresses. Cette attaque a révélé des vulnérabilités graves de l'échange en matière de gestion des clés privées et de protection de sécurité en plusieurs couches. Bien que l'échange ait tenté de suivre les hackers grâce à la surveillance on-chain et à la gel des fonds, la dispersion des bitcoins volés et les opérations de mixage ont posé de grands défis à la récupération.

Il convient de noter que le 24 décembre, la police japonaise a confirmé que cette attaque avait été réalisée par un certain groupe de hackers international.

2. PlayDapp : la fuite de clés privées entraîne une perte de 290 millions de dollars

Le 9 février 2024, PlayDapp a subi un grave incident de sécurité. Des hackers ont illégalement minté 2 milliards de jetons PLA en volant des clés privées, d'une valeur initiale de 36,5 millions de dollars. En raison de l'échec des négociations entre l'équipe du projet et les hackers, ces derniers ont ensuite minté 15,9 milliards de jetons PLA, d'une valeur de 253,9 millions de dollars. Après que certains des jetons volés ont été introduits sur les plateformes d'échange, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers un nouveau contrat de jetons. Cet événement met en évidence les insuffisances des projets blockchain en matière de protection des clés privées et de réponse d'urgence.

3. Une bourse indienne : attaques réseau et phishing causent des pertes de 235 millions de dollars

Le 18 juillet 2024, le portefeuille multi-signatures de la plus grande bourse de cryptomonnaies en Inde a été ciblé par une attaque précise. Les attaquants ont utilisé des techniques d'ingénierie sociale pour inciter les signataires multi-signatures à approuver une transaction de mise à niveau de contrat, puis ont utilisé les autorisations du contrat mis à niveau pour transférer tous les actifs du portefeuille. Cette affaire révèle les risques potentiels liés à la configuration des autorisations et à la transparence des opérations des portefeuilles multi-signatures, et suscite une réflexion approfondie au sein de l'industrie sur les mécanismes de contrôle et de sécurité internes des projets.

4. Gala Games : Une vulnérabilité de contrôle d'accès entraîne une perte de 216 millions de dollars.

Le 20 mai 2024, une adresse privilégiée de Gala Games a été piratée. Les attaquants ont appelé la fonction mint dans le contrat de jeton, émettant d'un coup 5 milliards de jetons GALA. Par la suite, ces jetons illégalement émis ont été échangés par lots contre de l'ETH, entraînant une perte directe de 216 millions de dollars. L'équipe de Gala Games a rapidement activé la fonction de liste noire pour bloquer certains comptes de hackers et a récupéré une partie des pertes par des voies légales.

5. Co-fondateur d'un projet de cryptomonnaie : la fuite de clés privées a entraîné une perte de 112 millions de dollars

Le 31 janvier 2024, quatre portefeuilles personnels d'un co-fondateur d'un projet de cryptomonnaie bien connu ont été piratés, entraînant le vol de 112 millions de dollars de cryptomonnaie. Ces portefeuilles ont probablement été ciblés en raison d'un manque de protection par double authentification à l'aide de dispositifs matériels. Suite à cet incident, un grand échange a réussi à geler des actifs volés d'une valeur de 4,2 millions de dollars et a aidé à la traçabilité, mais la plupart des fonds avaient déjà été blanchis via des échanges décentralisés et des services de mixage.

6. Munchables : Les attaques par ingénierie sociale entraînent une perte de 62,5 millions de dollars

Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une rare attaque d'infiltration interne. Les attaquants se sont fait passer pour des développeurs de blockchain et ont obtenu le code source et des clés sensibles après une longue période de furtivité. Bien que l'attaque ait entraîné des pertes massives, sous la pression de la communauté et de l'équipe, les pirates ont finalement restitué tous les fonds volés. Cet événement souligne l'importance de la sécurité de la chaîne d'approvisionnement, en particulier pour les projets de blockchain qui dépendent de développeurs tiers.

7. Une bourse turque : une fuite de clés privées entraîne une perte de 55 millions de dollars

Le 22 juin 2024, la plus grande bourse de cryptomonnaies de Turquie a subi une attaque de fuite de clé privée, entraînant une perte de plus de 55 millions de dollars d'actifs cryptographiques. Avec l'aide d'une grande bourse, 5,3 millions de dollars de fonds volés ont été gelés avec succès, mais d'autres actifs n'ont pas encore été récupérés. Cet incident a exacerbé les préoccupations du marché concernant la capacité des bourses centralisées à gérer les clés privées.

8. Radiant Capital : Une fuite de clé privée entraîne une perte de 53 millions de dollars

Le 17 octobre 2024, le portefeuille multi-signatures de Radiant Capital a été piraté. En raison de son mode de vérification de signature 3/11 à faible seuil, le hacker a pu lancer une signature hors chaîne en contrôlant les clés privées de 3 signataires, transférant ainsi la propriété du contrat de portefeuille à une adresse malveillante, ce qui a finalement conduit au vol de 53 millions de dollars. Cette attaque a suscité une réflexion dans l'industrie sur la conception et le mécanisme de gouvernance des portefeuilles multi-signatures.

Il est à noter que Radiant Capital avait déjà perdu 4,5 millions de dollars en raison d'une vulnérabilité de contrat avant cette attaque, avec plus de 1900 ETH volés. Cela souligne encore une fois que les projets Web3 doivent encore améliorer leur attention à la sécurité.

9. Hedgey Finance : Une vulnérabilité de contrat entraîne une perte de 44,7 millions de dollars

Le 19 avril 2024, Hedgey Finance a subi une attaque ciblant plusieurs contrats en chaîne. Les hackers ont exploité une vulnérabilité d'approbation dans son contrat ClaimCampaigns, réussissant à extraire des tokens sur les chaînes Ethereum et Arbitrum, pour un montant total de pertes atteignant 44,7 millions de dollars. Cet événement souligne l'importance des audits de code, en particulier la vérification rigoureuse de la logique d'approbation des tokens.

10. Une plateforme d'échange de cryptomonnaies : la fuite de clés privées entraîne une perte de 44,7 millions de dollars

Le 19 septembre 2024, un portefeuille chaud d'une célèbre plateforme d'échange de cryptomonnaies a été piraté, impliquant plusieurs blockchains, y compris Ethereum, BNB Chain et Tron. Bien que la plateforme ait rapidement activé des mécanismes de transfert d'actifs et de gel des retraits, les hackers ont réussi à extraire des actifs d'une valeur de 44,7 millions de dollars. Cette attaque met à nouveau en évidence le risque élevé de gestion des portefeuilles chauds des échanges centralisés et pousse davantage l'industrie à explorer des solutions de stockage d'actifs plus sécurisées.

Les événements d'attaques de sécurité fréquents en 2024 nous rappellent à nouveau que le développement de l'industrie de la blockchain ne peut se faire sans des garanties de sécurité. Des fuites de clés privées aux vulnérabilités des contrats, des négligences dans la gestion interne aux mises à niveau des méthodes d'attaque externes, chaque incident a apporté des leçons profondes à l'industrie. Pour faire face à des menaces d'attaque de plus en plus complexes, toutes les parties prenantes de l'industrie doivent continuer à investir dans la recherche et le développement technologique, la réglementation de la gestion et la prévention des risques. À l'avenir, nous espérons qu'à travers la collaboration dans l'industrie et l'innovation technologique, nous construirons ensemble un écosystème blockchain plus sûr et plus fiable, offrant une protection plus solide aux utilisateurs et aux investisseurs.