
Analyse de la situation en matière de sécurité et de lutte contre le blanchiment d'argent dans le Web3 et la blockchain en 2023
TechFlow SélectionTechFlow Sélection

Analyse de la situation en matière de sécurité et de lutte contre le blanchiment d'argent dans le Web3 et la blockchain en 2023
En 2023, les attaques de pirates sur la blockchain, les escroqueries par hameçonnage et les incidents de type « Rug Pull » perpétrés par des équipes de projet ont tous nettement diminué par rapport à 2022.
Rédaction : Mario, Donny de l'équipe de recherche Beosin
Ce document constitue la première partie du rapport « Revue de la situation de sécurité Web3 Blockchain 2023, analyse contre le blanchiment d'argent et synthèse des politiques clés de régulation dans l'industrie cryptographique », présentant uniquement la section sur la situation de sécurité. Pour les contenus relatifs aux politiques de régulation, veuillez consulter « Observation des politiques et événements mondiaux concernant la régulation du secteur des actifs virtuels Web3 en 2023 ».
Préface
Ce rapport de recherche a été lancé par l'Alliance pour la Sécurité Blockchain et rédigé conjointement par ses membres Beosin, Web3 Xiaolü et Elven. Il vise à analyser de manière exhaustive la situation mondiale de la sécurité blockchain en 2023 ainsi que les principales politiques de régulation dans l'industrie cryptographique. À travers une analyse et une évaluation de l'état actuel de la sécurité blockchain mondiale, ce rapport mettra en lumière les défis et menaces sécuritaires auxquels on fait face aujourd'hui, tout en proposant des solutions et des meilleures pratiques. En outre, il examinera les positions et orientations réglementaires prises par les gouvernements et autorités de régulation vis-à-vis du secteur crypto, afin d'aider les lecteurs à comprendre les dynamiques changeantes de l'environnement réglementaire et leurs impacts potentiels.
Grâce à ce rapport, les lecteurs pourront mieux appréhender l’évolution dynamique de la situation de sécurité Web3 blockchain ainsi que les points essentiels des politiques réglementaires. Cela leur permettra d’évaluer et de faire face aux défis sécuritaires dans le domaine blockchain, tout en promouvant un développement durable du secteur conformément aux exigences réglementaires. De plus, ils pourront tirer des recommandations utiles sur les mesures de sécurité, les obligations de conformité et les tendances industrielles, afin de prendre des décisions et actions éclairées dans ce domaine émergent. La sécurité blockchain et la régulation constituent des questions cruciales pour le développement à l’ère Web3. Grâce à des recherches approfondies, nous pouvons mieux comprendre et relever ces défis, favorisant ainsi la sécurité et la durabilité du développement technologique blockchain.
1. Aperçu général de la situation de sécurité Web3 en 2023

Selon le suivi effectué par la plateforme EagleEye de Beosin, société spécialisée dans l'audit de sécurité blockchain, les pertes totales subies dans l'écosystème Web3 en 2023 à cause de piratages informatiques, d'arnaques par hameçonnage et de projets Rug Pull ont atteint 2,02 milliards de dollars américains. Parmi celles-ci, 191 incidents de piratage ont entraîné des pertes d’environ 1,397 milliard de dollars ; 267 cas de Rug Pull ont causé environ 388 millions de dollars de pertes ; les arnaques par hameçonnage ont généré environ 238 millions de dollars de pertes.

En 2023, les incidents de piratage, d’hameçonnage et de type Rug Pull ont tous nettement diminué par rapport à 2022, avec une baisse globale de 53,9 % en termes de montants perdus. La diminution est particulièrement marquée pour les attaques informatiques, passant de 3,6 milliards de dollars en 2022 à 1,397 milliard en 2023, soit une chute de 61,2 %. Les pertes dues à l'hameçonnage ont baissé de 33,2 % par rapport à 2022, tandis que celles liées aux Rug Pull ont reculé de 8,8 %.

En 2023, quatre attaques ont entraîné des pertes supérieures à 100 millions de dollars chacune, et 17 autres se sont situées entre 10 millions et 100 millions de dollars. Les dix principaux incidents de sécurité ont représenté environ 1 milliard de dollars de pertes cumulées, soit 71,5 % du total des pertes annuelles dues aux attaques.
Les types de projets attaqués en 2023 étaient plus variés qu’en 2022, incluant DeFi, CEX, DEX, blockchains publiques, ponts cross-chain, portefeuilles, plateformes de paiement, plateformes de jeux, courtiers crypto, infrastructures, gestionnaires de mots de passe, outils de développement, robots MEV, robots Telegram, etc. Le secteur DeFi reste celui ayant subi le plus grand nombre d'attaques et le montant de pertes le plus élevé, avec 130 attaques ayant causé environ 408 millions de dollars de pertes.
Les attaques touchant plusieurs blockchains publiques ont été plus fréquentes en 2023, avec plusieurs incidents affectant simultanément plusieurs chaînes. Ethereum reste la blockchain ayant subi les pertes les plus élevées : 71 attaques sur Ethereum ont causé 766 millions de dollars de pertes, soit 54,9 % du total des pertes annuelles.
Du point de vue des méthodes d’attaque, les fuites de clés privées ont causé environ 627 millions de dollars de pertes lors de 30 incidents, soit 44,9 % du total, devenant ainsi la méthode la plus coûteuse. L’exploitation de vulnérabilités de contrats intelligents reste la méthode la plus fréquente : sur 191 attaques, 99 (soit 51,8 %) provenaient d’une telle exploitation.
Environ 295 millions de dollars volés ont été récupérés au cours de l’année, soit environ 21,1 %, une amélioration significative par rapport à 2022. Environ 330 millions de dollars volés ont été transférés vers des mixers, soit 23,6 % des fonds volés.
Contrairement à la baisse notable des montants perdus dans les attaques en chaîne, fraudes par hameçonnage et Rug Pull, les activités criminelles hors chaîne dans le secteur crypto ont fortement augmenté en 2023. Le volume total des crimes dans l’industrie crypto mondiale a atteint un niveau stupéfiant de 65,688 milliards de dollars en 2023, en hausse de 377 % par rapport aux 13,76 milliards de dollars enregistrés en 2022. Les trois types de crimes impliquant les montants les plus élevés étaient les paris illégaux, le blanchiment d’argent et les escroqueries.

2. Les 10 principaux incidents de sécurité Web3 en 2023
Quatre incidents ayant entraîné des pertes supérieures à 100 millions de dollars ont eu lieu en 2023 : Mixin Network (200 millions), Euler Finance (197 millions), Poloniex (126 millions) et HTX & Heco Bridge (110 millions). Ces dix principaux incidents ont causé environ 1 milliard de dollars de pertes, soit 71,5 % du total des pertes annuelles dues aux attaques.
No.1 Mixin Network
Pertes : 200 millions de dollars
Méthode d’attaque : Attaque par compromission de base de données du fournisseur cloud
Dans la nuit du 23 septembre, la base de données du fournisseur cloud de Mixin Network a été compromise, provoquant la perte partielle d'actifs sur le réseau principal, pour environ 200 millions de dollars. Le 25 septembre, le fondateur de Mixin a expliqué publiquement lors d’un direct que les actifs principalement touchés étaient des bitcoins, tandis que les jetons BOX et XIN n’avaient pas été gravement affectés. Les détails précis de l’attaque n’ont pas encore été divulgués.
No.2 Euler Finance
Pertes : 197 millions de dollars
Méthode d’attaque : Vulnérabilité de contrat – Problème logique métier
Le 13 mars, le protocole DeFi Euler Finance a été attaqué, subissant une perte d’environ 197 millions de dollars. La cause principale était l’absence de vérification correcte par le contrat du solde réel de jetons détenu par l’utilisateur et de l’état de santé du compte après un don. Tous les fonds volés ont finalement été restitués par l’attaquant.
No.3 Poloniex
Pertes : 126 millions de dollars
Méthode d’attaque : Fuite de clé privée / Attaque APT
Le 10 novembre, de grands retraits ont été observés depuis des adresses associées à l’exchange Poloniex, appartenant à Sun Yuchen. Peu après, Sun Yuchen et Poloniex ont confirmé publiquement le piratage. Selon les statistiques de traçage de Beosin via Beosin Trace, les actifs volés s’élèvent à environ 126 millions de dollars.
No.4 HTX & Heco Bridge
Pertes : 110 millions de dollars
Méthode d’attaque : Fuite de clé privée
Le 22 novembre, l’exchange HTX et le pont cross-chain Heco Bridge, appartenant à Sun Yuchen, ont été piratés, entraînant une perte totale de 110 millions de dollars, dont 86,6 millions via Heco Bridge et 23,4 millions via HTX.
No.5 Curve/Vyper
Pertes : 73 millions de dollars
Méthode d’attaque : Vulnérabilité de contrat – Réentrance
Dans la nuit du 31 juillet, Vyper, langage de programmation Ethereum, a annoncé une faille dans les versions 0.2.15, 0.2.16 et 0.3.0 concernant le verrou de réentrance. Combinée au callback appelable pendant un transfert ETH natif, cette faille a permis des attaques par réentrance sur les pools LP combinant ETH. Curve a ensuite confirmé que plusieurs pools stables utilisant Vyper 0.2.15 (alETH/msETH/pETH) avaient été compromises. L’incident a coûté environ 73 millions de dollars.
No.6 CoinEx
Pertes : 70 millions de dollars
Méthode d’attaque : Fuite de clé privée / Attaque APT
Le 12 septembre, l’exchange CoinEx a annoncé que son système de contrôle des risques avait détecté de gros retraits suspects depuis son portefeuille chaud utilisé temporairement pour stocker les actifs. Une cellule spéciale a été immédiatement mise en place. Les actifs principalement affectés étaient ETH, TRON et Polygon, pour une perte totale estimée à 70 millions de dollars.
No.7 Atomic Wallet
Pertes : 67 millions de dollars
Méthode d’attaque : Fuite de clé privée / Attaque APT
La plateforme de surveillance EagleEye de Beosin a détecté qu’Atomic Wallet avait été attaquée début juin. Selon les estimations de l’équipe Beosin basées sur les rapports d’utilisateurs connus, les pertes ont dépassé 67 millions de dollars.
No.8 Alphapo
Pertes : 60 millions de dollars
Méthode d’attaque : Fuite de clé privée / Attaque APT
Le 23 juillet, le portefeuille chaud du fournisseur de services de paiement Alphapo a été piraté, entraînant une perte de 60 millions de dollars. Cet incident a été attribué au groupe nord-coréen de hackers Lazarus.
No.9 KyberSwap
Pertes : 54,7 millions de dollars
Méthode d’attaque : Vulnérabilité de contrat – Problème logique métier
Le 22 novembre, le projet DEX KyberSwap a été attaqué, causant environ 54,7 millions de dollars de pertes. Kyber Network a déclaré qu’il s’agissait de l’une des attaques les plus complexes de l’histoire DeFi, nécessitant une série d’opérations précises en chaîne pour exploiter la faille.
No.10 Stake.com
Pertes : 41,3 millions de dollars
Méthode d’attaque : Fuite de clé privée / Attaque APT
Le 4 septembre, la plateforme de jeux Stake.com a été victime d’un piratage. Après l’incident, Stake.com a indiqué que des transactions non autorisées avaient eu lieu sur ses portefeuilles chauds sur ETH et BSC. Une enquête était en cours, et les dépôts/retraits seraient rétablis dès que la sécurité serait garantie. L’attaque a été attribuée au groupe nord-coréen Lazarus.
3. Types de projets attaqués
Par rapport à 2022, les types de projets attaqués en 2023 étaient plus variés, et les pertes ne se concentraient plus sur quelques catégories seulement. Outre les types classiques comme DeFi, CEX, DEX, blockchains publiques, ponts cross-chain et portefeuilles, les attaques ont également touché des plateformes de paiement, de jeux, courtiers crypto, infrastructures, gestionnaires de mots de passe, outils de développement, robots MEV ou Telegram.

Sur les 191 attaques de 2023, les projets DeFi représentaient 130 incidents (environ 68 %), soit le type le plus ciblé. Les pertes totales dans le secteur DeFi ont atteint environ 408 millions de dollars, soit 29,2 % du total, ce qui en fait aussi la catégorie la plus touchée en valeur.
Les CEX (exchanges centralisés) arrivent en deuxième position avec 275 millions de dollars de pertes après 9 attaques. Par ailleurs, 16 attaques ont touché des DEX (exchanges décentralisés), entraînant environ 85,68 millions de dollars de pertes. Globalement, les exchanges ont été fortement exposés en 2023, la sécurité des exchanges étant le deuxième défi majeur après celle du DeFi.

Les blockchains publiques occupent la troisième place avec environ 208 millions de dollars de pertes, principalement dues à l’incident de Mixin Network (200 millions).
Les ponts cross-chain arrivent en quatrième position, avec environ 7 % des pertes totales. En 2022, 12 incidents sur ces ponts avaient causé environ 1,89 milliard de dollars de pertes, soit 52,5 % du total annuel. Le nombre d’incidents a donc nettement diminué en 2023.
Les plateformes de paiement crypto arrivent en cinquième position : deux incidents (Alphapo et CoinsPaid) ont causé environ 97,3 millions de dollars de pertes. Les deux attaques sont attribuées au groupe APT nord-coréen Lazarus.
4. Répartition des pertes par blockchain
Par rapport à 2022, les types de blockchains publiques touchées par des attaques en 2023 étaient plus diversifiés, principalement en raison des multiples fuites de clés privées sur des CEX affectant plusieurs chaînes. Par ordre décroissant des pertes : Ethereum, Mixin, HECO, BNB Chain, TRON. Par nombre d’incidents : BNB Chain, Ethereum, Arbitrum, Polygon, Optimism et Avalanche (ex æquo à la 5ᵉ place).

Comme en 2022, Ethereum reste la blockchain ayant subi les pertes les plus importantes. Soixante-onze attaques sur Ethereum ont causé 766 millions de dollars de pertes, soit 54,9 % du total annuel.
Mixin arrive en deuxième position avec un seul incident coûtant 200 millions de dollars. HECO suit avec environ 92,6 millions de dollars de pertes.

BNB Chain a connu 76 attaques (39,8 % du total), le plus élevé de toutes les blockchains. Les pertes totales s’élèvent à environ 70,81 millions de dollars, dont 88 % concernent des incidents inférieurs à 1 million de dollars.
5. Analyse des méthodes d’attaque
Par rapport à 2022, les méthodes d’attaque en 2023 étaient plus variées, intégrant davantage de techniques Web2 telles que l’attaque de bases de données, les attaques par la chaîne d’approvisionnement, les attaques de tiers, l’attaque de l’homme du milieu, les attaques DNS ou front-end.

En 2023, 30 fuites de clés privées ont causé 627 millions de dollars de pertes (44,9 % du total), devenant la méthode la plus coûteuse. Les principaux incidents incluent : Poloniex (126 M$), HTX & Heco Bridge (110 M$), CoinEx (70 M$), Atomic Wallet (67 M$), Alphapo (60 M$). La plupart de ces attaques sont liées au groupe APT nord-coréen Lazarus.

L’exploitation de vulnérabilités de contrats reste la méthode la plus fréquente : 99 attaques sur 191 (51,8 %). Ces attaques ont causé 430 millions de dollars de pertes, se classant deuxièmes en valeur.
En détail, les failles logiques métier sont les plus fréquentes et les plus coûteuses, représentant environ 72,7 % des pertes dues aux vulnérabilités de contrats, soit environ 313 millions de dollars. Viennent ensuite les attaques par réentrance, avec 13 incidents ayant causé 93,47 millions de dollars de pertes.

6. Analyse des méthodes d’attaque dans des cas emblématiques
6.1 Incident de sécurité Euler Finance
Résumé de l’incident
Le 13 mars, le protocole de prêt Euler Finance sur Ethereum a été victime d'une attaque par prêt flash, entraînant une perte de 197 millions de dollars.
Le 16 mars, la fondation Euler a offert une récompense de 1 million de dollars pour toute information aidant à l’arrestation du pirate ou au retour des fonds.
Le 17 mars, Michael Bentley, PDG d’Euler Labs, a affirmé que « Euler a toujours été un projet soucieux de la sécurité ». Entre mai 2021 et septembre 2022, Euler Finance a subi 10 audits auprès de six sociétés de sécurité blockchain : Halborn, Solidified, ZK Labs, Certora, Sherlock et Omnisica.
Entre le 18 mars et le 4 avril, l’attaquant a progressivement restitué les fonds, s’excusant via des messages en chaîne, disant avoir « bouleversé l’argent, le travail et la vie des gens » et demandant pardon.

Le 4 avril, Euler Labs a annoncé que, suite à des négociations réussies, l’attaquant avait restitué tous les fonds volés.
Analyse de la vulnérabilité
Durant l’attaque, la fonction donateToReserves du contrat Etoken n’a pas correctement vérifié le solde réel de jetons de l’utilisateur ni l’état de santé du compte après le don. L’attaquant a profité de cela pour donner 100 millions d’eDAI alors qu’il n’avait misé que 30 millions de DAI.
Après le don, le compte devenait liquidable. Pendant la liquidation, eDAI et dDAI étaient transférés au contrat de liquidation. En raison du volume important de créances irrécouvrables, un maximum de remise était appliqué. À la fin, le contrat de liquidation possédait 310,93 millions d’eDAI et 259,31 millions de dDAI.
À ce stade, l’état de santé du compte était restauré, permettant à l’utilisateur de retirer des fonds. Le montant retiré correspondait à la différence entre eDAI et dDAI. Toutefois, le pool ne contenait réellement que 38,9 millions de DAI, limitant ainsi le retrait.

6.2 Incident de sécurité Vyper/Curve
Résumé de l’incident
Le 31 juillet, Vyper a annoncé une faille de verrou de réentrance dans les versions 0.2.15, 0.2.16 et 0.3.0. Curve a indiqué que plusieurs pools stables utilisant Vyper 0.2.15 (CRV/alETH/msETH/pETH) avaient été attaqués, causant 73 millions de dollars de pertes, dont environ 52,3 millions ont été restitués par la suite.

Analyse de la vulnérabilité
L’attaque résultait de l’échec du verrou antiréentrance dans Vyper 0.2.15. Lorsque l’attaquant appelait remove_liquidity, il réutilisait add_liquidity par réentrance. Comme la mise à jour du solde intervenait avant l’appel à add_liquidity, le calcul du prix était erroné.


7. Analyse rétrospective d’incidents typiques de blanchiment d’argent
7.1 Vol de fonds d’Atomic Wallet
Selon la surveillance de la plateforme EagleEye de Beosin, Atomic Wallet a été attaquée début juin. D’après les données de l’équipe Beosin croisées avec les plaintes d’utilisateurs, les pertes s’élèvent à au moins 67 millions de dollars.
L’analyse de Beosin indique que cet incident touche 21 blockchains, notamment BTC, ETH et TRX. Les fonds volés sont principalement concentrés sur Ethereum :
Sur Ethereum : 16 262 ETH volés, d’une valeur d’environ 30 millions de dollars.
Sur TRON : 251 335 387,3208 TRX volés, d’une valeur d’environ 17 millions de dollars.
Sur BTC : 420,882 BTC volés, soit environ 12,6 millions de dollars.
Sur BSC :
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News










