Avertissement sur les risques de sécurité Web3 : Les dix attaques les plus marquantes de l'année 2024
TechFlow SélectionTechFlow Sélection
Avertissement sur les risques de sécurité Web3 : Les dix attaques les plus marquantes de l'année 2024
Cet article dresse un bilan des dix principales incidents de sécurité Web3 survenus en 2024, afin d'aider le secteur à tirer des enseignements et à mieux faire face aux menaces futures.
Dédié à des analyses Web3 approfondiesRédaction : Beosin
En 2024, tout en connaissant des avancées technologiques et une expansion de son écosystème, l'industrie de la blockchain a dû faire face à des défis de sécurité de plus en plus sévères. Selon les données recueillies par la plateforme Alert de la société d'audit de sécurité Beosin, au moment de la publication, les pertes cumulées dans le domaine Web3 dues aux piratages informatiques, aux escroqueries par hameçonnage (phishing) et aux Rug Pulls perpétrés par des projets s'élevaient à 2,491 milliards de dollars américains.
Ces incidents ont non seulement mis en lumière des failles techniques telles que la gestion inadéquate des clés privées ou les vulnérabilités des contrats intelligents, mais aussi révélé des risques potentiels liés à l'ingénierie sociale et à la gestion interne. Cet article fait un bilan des dix principaux incidents de sécurité survenus dans l'univers Web3 en 2024, afin d'aider le secteur à tirer des enseignements utiles et mieux se préparer face aux menaces futures.
No.1 DMM Bitcoin
Montant perdu : 304 millions de dollars
Méthode d'attaque : Fuite de clé privée
Le 31 mai 2024, l’ancien échange japonais de cryptomonnaies DMM Bitcoin a subi une attaque historique. Les attaquants ont utilisé une clé privée divulguée pour transférer directement plus de 300 millions de dollars en bitcoins, puis ont rapidement dispersé les fonds volés vers plus de 10 adresses différentes. Cette attaque a révélé de graves lacunes dans la gestion des clés privées et les mécanismes de sécurité multicouches de DMM Bitcoin. Bien que l’échange ait tenté de suivre les pirates via une surveillance en chaîne et le gel de certains actifs, les bitcoins volés ont été fractionnés et blanchis à l’aide d’outils de mixage, rendant leur traçabilité extrêmement difficile.
Le 24 décembre, la police japonaise a identifié le groupe nord-coréen de hackers Lazarus Group comme étant responsable du piratage. Pour une analyse détaillée des attaques antérieures et des méthodes de blanchiment de ce groupe, voir « L’exposition du gang de vols de cryptomonnaies le plus audacieux de l’histoire : analyse du blanchiment du groupe Lazarus ».
No.2 PlayDapp
Montant perdu : 290 millions de dollars
Méthode d'attaque : Fuite de clé privée
Le 9 février 2024, PlayDapp a subi un coup sévère : des hackers ayant obtenu une clé privée ont frappé 2 milliards de jetons PLA, d'une valeur initiale de 36,5 millions de dollars. Faute d'accord entre l'équipe du projet et les pirates, ces derniers ont frappé 15,9 milliards de jetons supplémentaires en peu de temps, représentant une valeur de 253,9 millions de dollars. Une partie de ces jetons ayant été introduite sur l’exchange Gate, PlayDapp a été contraint de suspendre le contrat de jeton PLA et de migrer vers un nouveau contrat PDA. Cet incident met en évidence les faiblesses des projets blockchain en matière de protection des clés privées et de gestion d’urgence.
No.3 WazirX
Montant perdu : 235 millions de dollars
Méthode d'attaque : Attaque réseau et hameçonnage
Le 18 juillet 2024, le portefeuille multisignature Safe Wallet de WazirX, le plus grand exchange indien de cryptomonnaies, a été victime d’une attaque ciblée. Les attaquants ont utilisé l’ingénierie sociale pour inciter les signataires du portefeuille multisig à approuver une transaction de mise à jour de contrat, puis ont exploité les nouvelles permissions pour transférer tous les actifs du portefeuille. Ce cas illustre les risques potentiels liés à la configuration des droits de gestion et au manque de transparence dans les opérations des portefeuilles multisignatures, suscitant également une profonde réflexion au sein du secteur sur les contrôles internes et les mécanismes de sécurité.
Pour une analyse détaillée de cet événement et le suivi des fonds, lire « Beosin | Analyse de l’incident de vol de 235 millions de dollars à l’exchange indien WazirX ».
No.4 Gala Games
Montant perdu : 216 millions de dollars
Méthode d'attaque : Vulnérabilité de contrôle d’accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été compromise. L’attaquant a exploité la fonction mint du contrat de jeton pour créer 5 milliards de jetons GALA en une seule fois, puis a converti progressivement ces jetons supplémentaires en ETH, causant directement une perte de 216 millions de dollars. Après l’incident, l’équipe de Gala Games a activé d’urgence une fonction de liste noire pour bloquer certains comptes pirates et a lancé des démarches judiciaires afin de récupérer les fonds.
No.5 Chris Larsen (cofondateur de Ripple)
Montant perdu : 112 millions de dollars
Méthode d'attaque : Fuite de clé privée
Le 31 janvier 2024, quatre portefeuilles personnels du cofondateur de Ripple, Chris Larsen, ont été piratés, entraînant le vol de 112 millions de dollars en XRP. Ces portefeuilles auraient pu être visés précisément parce qu'ils n'étaient pas protégés par une double authentification matérielle. Après l’incident, Binance a réussi à geler 4,2 millions de dollars en XRP et a aidé Larsen à tracer les actifs volés, bien que la majeure partie des fonds ait déjà été blanchie via des exchanges décentralisés et des services de mixage.
No.6 Munchables
Montant perdu : 62,5 millions de dollars
Méthode d'attaque : Attaque par ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a subi une attaque rare par infiltration interne. L’attaquant, un hacker nord-coréen se faisant passer pour un développeur blockchain, avait infiltré l’équipe depuis longtemps et obtenu accès au code source central ainsi qu’à des clés sensibles. Malgré la perte importante, sous la pression de la communauté et de l’équipe du projet, le pirate a finalement restitué tous les fonds volés. Cet événement souligne l’importance cruciale de la sécurité de la chaîne d’approvisionnement, notamment pour les projets blockchain dépendant de développeurs tiers.
No.7 BtcTurk
Montant perdu : 55 millions de dollars
Méthode d'attaque : Fuite de clé privée
Le 22 juin 2024, le plus grand exchange turc de cryptomonnaies, BtcTurk, a subi une attaque par fuite de clé privée, perdant plus de 55 millions de dollars en actifs numériques. Avec l’aide de l’équipe de Binance, 5,3 millions de dollars ont pu être gelés, mais les autres fonds restent introuvables. Cet incident a accru les inquiétudes du marché quant à la gestion des clés privées par les exchanges centralisés.
Annonce officielle de BtcTurk concernant l’attaque subie
No.8 Radiant Capital
Montant perdu : 53 millions de dollars
Méthode d'attaque : Fuite de clé privée
Le 17 octobre 2024, le portefeuille multisignature de Radiant Capital a été compromis. En raison de l’utilisation d’un seuil de validation bas (3 signatures sur 11), les hackers ont réussi à obtenir les clés privées de trois signataires, à collecter leurs signatures hors chaîne, puis à transférer la propriété du contrat de portefeuille vers une adresse malveillante, provoquant ainsi le vol de 53 millions de dollars. Cette attaque a suscité une réflexion sectorielle sur la conception des portefeuilles multisig et leurs mécanismes de gouvernance.
Avant cet incident, Radiant Capital avait déjà perdu 4,5 millions de dollars à cause d’une vulnérabilité de contrat, avec plus de 1900 ETH volés. Le niveau d’attention accordé à la sécurité par les projets Web3 doit encore être renforcé.
No.9 Hedgey Finance
Montant perdu : 44,7 millions de dollars
Méthode d'attaque : Vulnérabilité du contrat
Le 19 avril 2024, Hedgey Finance a été victime d’une attaque ciblant plusieurs contrats sur chaîne. Les pirates ont exploité une faille d’approbation dans son contrat ClaimCampaigns, réussissant à extraire des jetons sur les chaînes Ethereum et Arbitrum, pour une perte totale de 44,7 millions de dollars. Cet incident montre l’importance cruciale de l’audit de code, en particulier la vérification rigoureuse de la logique d’approbation des jetons.
No.10 BingX
Montant perdu : 44,7 millions de dollars
Méthode d'attaque : Fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud de l’exchange BingX a été piraté, affectant plusieurs blockchains publiques telles qu’Ethereum, BNB Chain et Tron. Bien que l’exchange ait rapidement activé des mesures de transfert d’actifs et de suspension des retraits, les hackers avaient déjà retiré pour 44,7 millions de dollars d’actifs. Cette attaque illustre le haut niveau de risque associé à la gestion des portefeuilles chauds par les exchanges centralisés, poussant davantage le secteur à explorer des solutions de stockage plus sécurisées.
Les attaques de sécurité fréquentes en 2024 rappellent une fois de plus que le développement de l’industrie de la blockchain ne peut se passer d’une protection solide. Des fuites de clés privées aux vulnérabilités contractuelles, des négligences internes à l’évolution des méthodes d’attaques externes, chaque incident apporte des leçons profondes. Face à des menaces de plus en plus complexes, toutes les parties prenantes du secteur doivent intensifier leurs investissements dans la recherche technologique, les normes de gestion et les dispositifs de prévention des risques. À l’avenir, nous espérons que grâce à la collaboration industrielle et à l’innovation technologique, un écosystème blockchain plus sûr puisse être construit ensemble, offrant ainsi une meilleure protection aux utilisateurs et aux investisseurs.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@Beosin_com
