Bilan des incidents de sécurité Web3 en août : pertes totales d'environ 316 millions de dollars
TechFlow SélectionTechFlow Sélection
Bilan des incidents de sécurité Web3 en août : pertes totales d'environ 316 millions de dollars
Il y a eu 28 incidents de piratage, entraînant des pertes d'environ 253 millions de dollars, dont 13,58 millions de dollars ont été récupérés. Les causes des incidents comprenaient des vulnérabilités dans les contrats, des comptes piratés et des attaques par interface frontale.
Dédié à des analyses Web3 approfondiesRédaction : SlowMist Technology
Aperçu général
En août 2024, les pertes totales dues aux incidents de sécurité dans l'écosystème Web3 s'élèvent à environ 316 millions de dollars américains. Selon les données de la base d'archives des piratages blockchain de SlowMist (https://hacked.slowmist.io), 28 attaques ont eu lieu ce mois-ci, entraînant des pertes d'environ 253 millions de dollars américains, dont 13,58 millions de dollars ont été restitués. Les causes incluent des vulnérabilités de contrats intelligents, des comptes piratés et des attaques front-end. En outre, selon le rapport du service anti-escroqueries Web3 Scam Sniffer, 9 145 utilisateurs ont été victimes de phishing en août, avec des pertes totales atteignant 62,93 millions de dollars américains.
(https://dune.com/scam-sniffer/august-scam-sniffer-2024-phishing-report)
Principaux incidents
Convergence Finance
Le 1er août 2024, Convergence Finance a été attaqué. L’attaquant a frappé puis vendu 58 millions de jetons CVG, représentant environ 210 000 dollars (soit la totalité des jetons alloués spécifiquement pour le staking). De plus, environ 2 000 dollars de récompenses non réclamées provenant de Convex ont également été volés. D'après le rapport d'analyse publié par Convergence Finance, la cause fondamentale réside dans le fait que la fonction claimMultipleStaking du contrat de distribution des récompenses ne valide pas correctement les entrées fournies par l'utilisateur.
(https://medium.com/@cvg_wireshark/post-mortem-08-01-2024-e80a49d108a0)
Ronin
Le 6 août 2024, la blockchain dédiée aux jeux vidéo Ronin a subi une attaque. Des retraits anormaux d'actifs inter-chaînes ont été détectés sur le projet Ronin Bridge. Selon l'analyse de l'équipe de sécurité de SlowMist, cette attaque est due à une modification inattendue des poids de validation, permettant ainsi de retirer des fonds sans passer par le seuil requis de signatures multiples. L’attaquant a retiré environ 4 000 ETH et 2 millions de USDC du pont, pour une valeur totale d’environ 12 millions de dollars. Au 7 août, les fonds (12 millions de dollars) ont été restitués par des « chapeaux blancs », qui ont reçu une prime de 500 000 dollars pour avoir signalé la vulnérabilité.
(https://x.com/slowmist_team/status/1820783952145355247?s=46&t=DLwbX9Nw4QECiyZQ0av-fg)
Nexera
Le 7 août 2024, un attaquant externe a obtenu les identifiants administrant les contrats intelligents de la plateforme Nexera Fundrs. À l’aide de ces identifiants, il a transféré des jetons NXRA depuis le contrat de staking Fundrs sur Ethereum, causant une perte d’environ 1,83 million de dollars. Sur les 47,24 millions de jetons NXRA volés, l’attaquant n’en a vendu que 14,75 millions (environ 449 000 dollars). Nexera a réussi à récupérer les 32,5 millions de jetons NXRA restants depuis le portefeuille de l’attaquant, évitant ainsi des pertes supplémentaires.
Vow
Le 13 août 2024, Vow a été victime d’une attaque exploitant une vulnérabilité de contrat, entraînant une perte d’environ 1,2 million de dollars. Selon VOW, l’équipe testait à ce moment-là la fonction de réglage du taux de change USD du contrat v$, afin de frapper des v$ pour de nouveaux pools de prêt et des fonctions d’oracle. L’attaquant a profité d’une courte fenêtre temporelle et des fluctuations du taux de change : en envoyant massivement des jetons VOW au contrat, il a généré près de 2 milliards de v$, qu’il a ensuite revendus sur le pool Uniswap pour réaliser un gain.
(https://x.com/Vowcurrency/status/1823407231658025300)
User
Le 19 août 2024, selon l’enquêteur blockchain ZachXBT, un transfert suspect de 4 064 BTC (environ 238 millions de dollars) pourrait provenir d’un utilisateur potentiellement victime. Les fonds ont rapidement été transférés vers ThorChain, eXch, Kucoin, ChangeNow, Railgun et Avalanche Bridge. Au 27 août, 205 000 dollars avaient déjà été récupérés.
(https://x.com/zachxbt/status/1825499490956231021)
User
Le 21 août 2024, selon la surveillance de Scam Sniffer, une victime a perdu 55,43 millions de dollars en DAI après avoir signé une transaction de phishing ciblant son proxy DeFi Saver. Selon l’analyse de MistTrack, les fonds ont été envoyés vers plusieurs adresses, puis majoritairement échangés contre de l’ETH.
(https://x.com/MistTrack_io/status/1826273448626356697)
Aave
Le 28 août 2024, un contrat périphérique du protocole de prêt DeFi Aave a été attaqué. L’attaquant a exploité une faille d’appel arbitraire, causant une perte d’environ 56 000 dollars. Le contrat affecté, ParaSwapRepayAdapter, ne fait pas partie du protocole central d’Aave. Il permet aux utilisateurs de rembourser leurs prêts en utilisant leurs collatéraux existants via des échanges d’actifs sur ParaSwap. Bien que ce contrat ne soit pas conçu pour détenir des fonds utilisateur, des écarts positifs lors des transactions ont progressivement accumulé des jetons résiduels. Les responsables d’Aave ont souligné que cet incident n’a mis en danger ni les fonds des utilisateurs ni la sécurité du protocole principal d’Aave.
(https://x.com/bgdlabs/status/1828736554262470792)
Synthèse
Ce mois-ci, la sécurité des comptes est devenue la principale zone à risque : les incidents de comptes piratés représentent 64,3 % du total des attaques. Il convient de noter que les cibles des pirates ne se limitent pas aux projets ou personnalités connues de la blockchain, mais incluent aussi des célébrités et des marques traditionnelles emblématiques telles que le footballeur Kylian Mbappé ou McDonald's. Après avoir pris le contrôle d’un compte célèbre, les pirates publient généralement des messages contenant des liens de phishing ou promeuvent certains jetons. L’équipe de sécurité de SlowMist rappelle à tous les utilisateurs de se méfier des attaques de phishing, de vérifier systématiquement l’authenticité des informations et d’investir avec prudence. La plupart des piratages de comptes ce mois-ci sont survenus sur Discord. Nous avions précédemment expliqué le mécanisme du token Discord dans notre article SlowMist : Révélation de comment les marque-pages malveillants du navigateur peuvent voler votre Token Discord. Cliquez sur le lien pour lire l'article complet.
Enfin, les incidents recensés dans cet article constituent les principaux événements de sécurité du mois. Pour consulter davantage d'incidents liés à la sécurité blockchain, rendez-vous sur la base d'archives des piratages blockchain de SlowMist (https://hacked.slowmist.io/). Cliquez sur « lire l'article original » pour accéder directement à la page.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@SlowMist_Team
