Rapport annuel sur la situation de la sécurité de la blockchain Web3 en 2024
TechFlow SélectionTechFlow Sélection
Rapport annuel sur la situation de la sécurité de la blockchain Web3 en 2024
Comprendre pleinement l'évolution dynamique du paysage de la sécurité des blockchains Web3.
Dédié à des analyses Web3 approfondiesRédaction : Beosin
Préambule
Ce rapport de recherche a été lancé par l'Alliance pour la sécurité des blockchains et rédigé conjointement par ses membres Beosin et Footprint Analytics, dans le but d'analyser de manière exhaustive l'évolution de la situation mondiale de la sécurité blockchain en 2024. À travers une analyse et une évaluation de l'état actuel de la sécurité blockchain à l'échelle mondiale, ce rapport mettra en lumière les défis et menaces sécuritaires auxquels on est confronté, tout en proposant des solutions et des meilleures pratiques.
Ce rapport permettra aux lecteurs de mieux comprendre l'évolution dynamique de la situation sécuritaire du Web3. Il leur aidera ainsi à évaluer et faire face aux défis sécuritaires dans le domaine de la blockchain. En outre, les lecteurs pourront tirer des recommandations utiles concernant les mesures de sécurité et les orientations sectorielles afin de prendre des décisions et actions éclairées dans ce domaine émergent. La sécurité et la régulation des blockchains constituent des enjeux clés pour le développement à l'ère du Web3. Grâce à une étude approfondie, nous pouvons mieux comprendre ces défis et y répondre efficacement, favorisant ainsi la sécurité et la durabilité du développement technologique de la blockchain.
1. Aperçu général de la situation sécuritaire du Web3 en 2024
Selon la plateforme d'alerte d'Alerte de Beosin, société spécialisée en audit de sécurité, les pertes totales subies dans le domaine du Web3 en 2024 à cause de piratages informatiques, d'arnaques par hameçonnage (phishing) et d'escroqueries Rug Pull ont atteint 2,513 milliards de dollars américains. Parmi celles-ci, 131 incidents majeurs de piratage ont entraîné environ 1,792 milliard de dollars de pertes ; 68 cas de Rug Pull ont causé environ 148 millions de dollars de pertes ; les arnaques par phishing ont entraîné environ 574 millions de dollars de pertes.
En 2024, les montants perdus à cause de piratages et d'hameçonnage ont nettement augmenté par rapport à 2023, notamment les pertes dues au phishing qui ont bondi de 140,66 % par rapport à 2023. Les pertes liées aux escroqueries Rug Pull ont fortement diminué, baissant d’environ 61,94 %.
Les types de projets attaqués en 2024 incluent DeFi, CEX, DEX, blockchains publiques, ponts cross-chain, portefeuilles, plateformes de paiement, plateformes de jeux, courtiers cryptos, infrastructures, gestionnaires de mots de passe, outils de développement, robots MEV, robots Telegram (TG), et bien d'autres. Les projets DeFi ont été les plus fréquemment ciblés, avec 75 attaques ayant entraîné des pertes d’environ 390 millions de dollars. Les CEX sont les projets ayant subi les plus grosses pertes financières, avec 10 attaques causant environ 724 millions de dollars de pertes.
En 2024, un plus grand nombre de types de blockchains publiques ont été attaqués, plusieurs incidents de vol ayant eu lieu simultanément sur plusieurs chaînes. Ethereum reste la blockchain publique ayant subi les plus grosses pertes, avec 66 incidents ayant causé environ 844 millions de dollars de pertes, soit 33,57 % des pertes annuelles totales.
En termes de méthodes d’attaque, 35 incidents de fuite de clés privées ont entraîné environ 1,306 milliard de dollars de pertes, représentant 51,96 % des pertes totales, ce qui en fait la méthode la plus coûteuse.
L'exploitation de vulnérabilités contractuelles est la méthode d'attaque la plus fréquente : sur les 131 incidents, 76 ont résulté d'une telle exploitation, soit 58,02 % du total.
Environ 531 millions de dollars de fonds volés ont été récupérés, soit environ 21,13 % du total. Environ 109 millions de dollars ont été transférés vers des mixers (services de brouillage des transactions), soit 4,34 % des fonds volés, une baisse d'environ 66,97 % par rapport à 2023.
2. Les 10 principaux incidents sécuritaires du Web3 en 2024
En 2024, cinq incidents de piratage ont entraîné des pertes dépassant 100 millions de dollars : DMM Bitcoin (304 millions), PlayDapp (290 millions), WazirX (235 millions), Gala Games (216 millions) et le vol chez Chris Larsen (112 millions). Les 10 principaux incidents sécuritaires ont causé environ 1,417 milliard de dollars de pertes, soit environ 79,07 % du montant total perdu lors des attaques de l'année.
No.1 DMM Bitcoin
Pertes : 304 millions de dollars
Méthode d'attaque : Fuite de clé privée
Le 31 mai 2024, l’échange japonais de cryptomonnaies DMM Bitcoin a été piraté, entraînant le vol de plus de 300 millions de dollars en bitcoins. Les pirates ont dispersé les fonds volés vers plus d'une dizaine d’adresses pour blanchir l’argent.
No.2 PlayDapp
Pertes : 290 millions de dollars
Méthode d'attaque : Fuite de clé privée
Le 9 février 2024, la plateforme de jeu blockchain PlayDapp a été attaquée. Les pirates ont frappé 2 milliards de jetons PLA, d’une valeur de 36,5 millions de dollars. Après un échec de négociation avec PlayDapp, le 12 février, ils ont frappé 15,9 milliards de jetons supplémentaires, d’une valeur de 253,9 millions de dollars, et envoyé une partie des fonds vers l’échange Gate. L’équipe de PlayDapp a ensuite suspendu le contrat de PLA et migré les jetons PLA vers des jetons PDA.
No.3 WazirX
Pertes : 235 millions de dollars
Méthode d'attaque : Attaque réseau et hameçonnage
Le 18 juillet 2024, un portefeuille multisignature de l’échange indien WazirX a été piraté, entraînant la perte de plus de 230 millions de dollars. Ce portefeuille multisig était un portefeuille intelligent Safe Wallet. Les attaquants ont trompé les signataires du multisig pour qu'ils approuvent une transaction de mise à jour du contrat. Grâce à cette mise à jour, les pirates ont directement transféré tous les actifs du portefeuille, soit plus de 230 millions de dollars.
No.4 Gala Games
Pertes : 216 millions de dollars
Méthode d'attaque : Vulnérabilité de contrôle d'accès
Le 20 mai 2024, une adresse privilégiée de Gala Games a été compromise. Les attaquants ont utilisé cette adresse pour invoquer directement la fonction mint du jeton, créant 5 milliards de jetons GALA, d’une valeur d’environ 216 millions de dollars, puis les ont échangés contre de l’ETH par lots. Par la suite, l’équipe de Gala Games a utilisé sa fonction de liste noire pour bloquer les pirates et récupérer les pertes.
No.5 Chris Larsen (co-fondateur de Ripple)
Pertes : 112 millions de dollars
Méthode d'attaque : Fuite de clé privée
Le 31 janvier 2024, Chris Larsen, co-fondateur de Ripple, a annoncé que quatre de ses portefeuilles avaient été piratés, entraînant une perte totale d’environ 112 millions de dollars. L’équipe de Binance a réussi à geler 4,2 millions de dollars de jetons XRP volés.
No.6 Munchables
Pertes : 62,5 millions de dollars
Méthode d'attaque : Attaque par ingénierie sociale
Le 26 mars 2024, la plateforme de jeu Web3 Munchables, basée sur Blast, a été attaquée, perdant environ 62,5 millions de dollars. L’attaque s’est produite parce que l’équipe avait embauché un pirate nord-coréen comme développeur. Tous les fonds volés ont finalement été restitués par le pirate.
No.7 BTCTurk
Pertes : 55 millions de dollars
Méthode d'attaque : Fuite de clé privée
Le 22 juin 2024, l’échange turc BTCTurk a été attaqué, entraînant une perte d’environ 55 millions de dollars. Binance a aidé à geler plus de 5,3 millions de dollars de fonds volés.
No.8 Radiant Capital
Pertes : 53 millions de dollars
Méthode d'attaque : Fuite de clé privée
Le 17 octobre 2024, le protocole de prêt multichaîne Radiant Capital a été attaqué. Les pirates ont illégalement obtenu les droits d’accès de trois des onze signataires du portefeuille multisig. Comme le portefeuille utilisait un schéma de validation 3/11, les attaquants ont utilisé ces trois clés privées pour signer hors chaîne, puis ont lancé une transaction sur chaîne transférant la propriété du contrat Radiant Capital à un contrat malveillant sous leur contrôle, causant une perte de plus de 53 millions de dollars.
No.9 Hedgey Finance
Pertes : 44,7 millions de dollars
Méthode d'attaque : Vulnérabilité du contrat
Le 19 avril 2024, Hedgey Finance a subi plusieurs attaques. Les pirates ont exploité une vulnérabilité d'approbation de jeton pour dérober de nombreux jetons du contrat ClaimCampaigns. Sur Ethereum, les jetons volés valaient plus de 2,1 millions de dollars ; sur Arbitrum, la perte s’élevait à environ 42,6 millions de dollars.
No.10 BingX
Pertes : 44,7 millions de dollars
Méthode d'attaque : Fuite de clé privée
Le 19 septembre 2024, le portefeuille chaud de l’échange BingX a été piraté. Bien que BingX ait activé son plan d’urgence, comprenant le transfert d’urgence des actifs et la suspension des retraits, selon Beosin, les sorties anormales de ce portefeuille chaud ont entraîné une perte totale de 44,7 millions de dollars. Les actifs volés concernaient plusieurs blockchains : Ethereum, BNB Chain, Tron, Polygon, Avalanche, Base, etc.
3. Types de projets attaqués
Outre les types courants comme DeFi, CEX, DEX, blockchains publiques, ponts cross-chain et portefeuilles, les attaques en 2024 ont également touché des plateformes de paiement, de jeux, courtiers cryptos, infrastructures, gestionnaires de mots de passe, outils de développement, robots MEV et robots TG.
En 2024, 75 attaques ont visé des projets DeFi, soit environ 50,70 % du total, ce qui en fait le type de projet le plus attaqué. Les pertes totales pour les projets DeFi s’élèvent à environ 390 millions de dollars, soit 15,50 % des pertes globales, plaçant ce type au quatrième rang en termes de montant perdu.
Les CEX (exchanges centralisés) arrivent en tête des pertes financières, avec 10 attaques entraînant environ 724 millions de dollars de pertes, ce qui en fait le type de projet le plus coûteux. Globalement, les exchanges ont connu de nombreux incidents sécuritaires en 2024, et leur sécurité reste le plus grand défi du Web3.
Les portefeuilles personnels occupent la deuxième place en termes de pertes, avec environ 445 millions de dollars. Douze attaques ciblant des grandes fortunes cryptos, combinées à de nombreuses tentatives de phishing et d'ingénierie sociale contre les utilisateurs ordinaires, ont fait grimper les pertes pour les portefeuilles individuels de 464,72 % par rapport à 2023, en faisant le deuxième défi majeur après celui des exchanges.
4. Répartition des pertes par blockchain
Par rapport à 2023, les types de blockchains publiques victimes d'attaques en 2024 sont encore plus nombreux. Les cinq blockchains ayant subi les plus grosses pertes sont, par ordre décroissant : Ethereum, Bitcoin, Arbitrum, Ripple et Blast :
Les six blockchains les plus touchées en nombre d'incidents sont : Ethereum, BNB Chain, Arbitrum, Others, Base et Solana :
Comme en 2023, Ethereum reste la blockchain publique ayant subi les plus grosses pertes. Ses 66 incidents ont causé environ 844 millions de dollars de pertes, soit 33,59 % du total annuel.
Note : Ce total ne comprend pas les pertes dues au phishing sur chaîne ni certaines pertes de portefeuilles chauds de CEX
Bitcoin arrive en deuxième position avec un seul incident coûtant 238 millions de dollars. Arbitrum suit avec des pertes totales d’environ 114 millions de dollars.
5. Analyse des méthodes d'attaque
Les méthodes d’attaque en 2024 étaient très variées. Outre les attaques par vulnérabilités contractuelles, on a aussi observé : attaques par compromission de la chaîne d'approvisionnement, attaques via des fournisseurs tiers, attaques de l'homme du milieu (MITM), attaques DNS, attaques front-end, etc.
En 2024, 35 incidents de fuite de clés privées ont entraîné 1,306 milliard de dollars de pertes, soit 51,96 % du total, devenant ainsi la méthode la plus coûteuse. Parmi les cas notables : DMM Bitcoin (304 millions), PlayDapp (290 millions), Chris Larsen (co-fondateur de Ripple, 112 millions), BTCTurk (55 millions), Radiant Capital (53 millions), BingX (44,7 millions), DEXX (21 millions).
L'exploitation de vulnérabilités contractuelles est la méthode la plus fréquente : sur 131 attaques, 76 ont résulté de cette méthode, soit 58,02 %. Le montant total perdu par cette voie s’élève à environ 321 millions de dollars, troisième poste en termes de pertes.
En détail, les vulnérabilités logiques métier sont les plus fréquentes et les plus coûteuses : elles représentent environ 53,95 % des pertes liées aux vulnérabilités contractuelles, soit environ 158 millions de dollars.
6. Analyse d'incidents typiques de lutte contre le blanchiment
6.1 Incident sécuritaire Polter Finance
Résumé de l'incident
Le 17 novembre 2024, la plateforme d’alerte Beosin Alert a détecté une attaque contre le protocole de prêt Polter Finance sur la blockchain FTM. L’attaquant a manipulé le prix du jeton dans le contrat du projet via un prêt flash.
Analyse de la vulnérabilité et des fonds
Le contrat LendingPool attaqué (0xd47ae558623638f676c1e38dad71b53054f54273) utilise comme oracle l’adresse 0x6808b5ce79d44e89883c5393b487c4296abb69fe, qui repose sur un contrat de prix récemment déployé (0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe). Ce contrat de prix utilise les réserves de jetons du contrat uniswapV2_pair (0xEc71), manipulable via prêt flash, pour calculer le prix, rendant donc le système vulnérable à une manipulation de prix.
L’attaquant a utilisé un prêt flash pour artificiellement gonfler la valeur du jeton $BOO, puis emprunté d’autres actifs cryptos. Ensuite, les fonds volés ont été convertis en FTM, transférés vers Ethereum, puis tous stockés sur cette chaîne. Voici un schéma illustrant le flux de fonds sur Arbitrum et Ethereum :
Le 20 novembre, l’attaquant a continué à transférer plus de 2625 ETH vers Tornado Cash, comme illustré ci-dessous :
6.2 Incident sécuritaire BitForex
Résumé de l'incident
Le 23 février 2024, le célèbre détective blockchain ZachXBT a révélé via ses outils d’analyse que le portefeuille chaud de BitForex avait perdu environ 56,5 millions de dollars, pendant que la plateforme suspendait temporairement les retraits.
Analyse des fonds
L’équipe de sécurité Beosin a effectué un suivi approfondi de l’incident BitForex via Trace :
Ethereum
Le 24 février 2024 à 6h11 (UTC+8), Bitforex a commencé à transférer progressivement 40 771 USDT, 258 700 USDC, 148,01 ETH et 471 405 TRB vers une adresse de fuite sur Ethereum (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f).
Ensuite, le 9 août (heure de Pékin), cette adresse a renvoyé à BitForex (compte 0xcce7300829f49b8f2e4aee6123b12da64662a8b8) tous les jetons sauf les TRB (soit 147,9 ETH, 40 771 USDT et 258 700 USDC).
Entre le 9 et le 10 novembre (heure de Pékin), l’adresse de fuite a transféré 355 000 TRB en sept transactions vers quatre adresses distinctes d’utilisateurs OKX :
0x274c481bf400c2abfd2b5e648a0056ef34970b0a
0x45798ca76a589647acc21040c50562dcc33cf6bf
0x712d2fd67fe65510c5fad49d5a9181514d94183d
0xe8ec263ad9ee6947bf773837a2c86dff3a737bba
Ensuite, l’adresse de fuite a transféré les 116 414,93 TRB restants vers une adresse intermédiaire (0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e), qui les a divisés en deux transactions vers deux comptes distincts sur Binance :
0x431c916ef45e660dae7cd7184e3226a72fa50c0c
0xe7b1fb77baaa3bba9326af2af3cd5857256519df
BNB Chain
Le 24 février, Bitforex a retiré 166 ETH, 46 905 USDT et 57 810 USDC vers une adresse BNB Chain (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f), où les fonds sont toujours présents.
Polygon
Le 24 février (heure de Pékin), Bitforex a transféré 99 000 MATIC, 20 300 USDT et 1 700 USDC vers une adresse Polygon : 0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f.
Les 99 000 MATIC ont été transférés le 9 août vers l’adresse 0xcce7300829f49b8f2e4aee6123b12da64662a8b8 et sont toujours là. Les USDT et USDC restent sur l’adresse initiale.
TRON
Le 24 février, Bitforex a transféré 44 000 TRX et 657 698 USDT vers l’adresse TRON : TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o. Le 9 août, tous ces jetons ont été retournés au compte BitForex : TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo.
Bitcoin
Dès le 24 février, 16 adresses Bitforex ont progressivement transféré un total de 5,7 BTC vers l’adresse BTC 3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2. Le 9 août, cette adresse a renvoyé les 5,7 BTC à l’adresse BitForex : 11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz.
En résumé, le 24 février, BitForex a transféré : 40 771 USDT, 258 700 USDC, 148,01 ETH et 471 405 TRB vers Ethereum ; 44 000 TRX et 657 698 USDT vers TRON ; 5,7 BTC vers Bitcoin ; 166 ETH, 46 905 USDT et 57 810 USDC vers BNB Chain ; 99 000 MATIC, 20 300 USDT et 1 700 USDC vers Polygon. Le 9 août, tous les jetons sur Bitcoin, TRON et tous sauf les TRB sur Ethereum ont été restitués à BitForex. Entre le 9 et 10 novembre, les 471 405 TRB ont été transférés vers 4 comptes OKX et 2 comptes Binance. Tous les jetons sur Ethereum, TRON et Bitcoin ont donc été entièrement transférés, tandis que 166 ETH, 46 905 USDT et 57 810 USDC restent sur BSC, et 99 000 MATIC, 20 300 USDT et 1 700 USDC sur POL.
Adresses de dépôt TRB sur les exchanges :
7. Analyse des flux des actifs volés
En 2024, environ 1,312 milliard de dollars des fonds volés sont restés dans les adresses des pirates (y compris après transferts cross-chain et dispersion vers de multiples adresses), soit 52,20 % du total. Contrairement à l’an dernier, les pirates préfèrent désormais multiplier les transferts inter-chaînes et disperser les fonds sur de nombreuses adresses plutôt que d'utiliser directement des mixers. Cette complexification des adresses et des chemins de blanchiment rend l’enquête plus difficile pour les projets et les autorités de régulation.
Environ 531 millions de dollars de fonds volés ont été récupérés, soit environ 21,13 %. En 2023, ce montant s’élevait à environ 295 millions de dollars.
Environ 109 millions de dollars ont été envoyés vers des mixers, soit 4,34 % du total. Depuis l’interdiction de Tornado Cash par le bureau américain OFAC en août 2022, les transferts vers ce service ont fortement chuté.
8. Analyse des audits de projets
Sur les 131 incidents, 42 impliquaient des projets non audités, 78 des projets audités, et 11 cas restaient indéterminés.
Sur les 42 projets non audités, 30 (soit 71,43 %) ont souffert de vulnérabilités contractuelles. Cela montre que les projets non audités sont plus exposés à des risques sécuritaires potentiels. En comparaison, parmi les 78 projets audités, 49 (soit 62,82 %) ont connu des failles contractuelles. Cela indique que l’audit améliore dans une certaine mesure la sécurité.
Cependant, en raison du manque de normes claires sur le marché Web3, la qualité des audits varie fortement, et les résultats restent loin des attentes. Pour garantir efficacement la sécurité des actifs, il est fortement recommandé aux projets de faire appel à des entreprises de sécurité professionnelles avant leur lancement.
9. Analyse des Rug Pull
En 2024, la plateforme Beosin Alert a recensé 68 principaux incidents de Rug Pull dans l’écosystème Web3, pour un montant total d’environ 148 millions de dollars, en forte baisse par rapport aux 388 millions de dollars en 2023.
En valeur, 9 des 68 Rug Pull ont impliqué plus d’un million de dollars : Essence Finance (20 millions), Shido Global (2,4 millions), ETHTrustFund (2,2 millions), Nexera (1,8 million), Grand Base (1,7 million), SAGA Token (1,6 million), OrdiZK (1,4 million), MangoFarmSOL (1,29 million) et RiskOnBlast (1,25 million), totalisant 33,64 millions de dollars, soit 22,73 % du total.
Les projets Rug Pull sur Ethereum et BNB Chain représentaient 82,35 % du total, respectivement 24 et 32 cas. Un Rug Pull de plus de 20 millions a eu lieu sur Scroll. D’autres blockchains ont vu quelques cas isolés, notamment Polygon, BASE et Solana.
10. Bilan de la situation sécuritaire du Web3 en 2024
En 2024, bien que le nombre d'attaques sur chaîne et d'escroqueries Rug Pull ait nettement diminué par rapport à 2023, les pertes financières continuent d'augmenter, et les attaques par hameçonnage sont devenues plus virulentes. La méthode d’attaque la plus coûteuse reste la fuite de clés privées. Cette évolution s’explique par plusieurs facteurs :
Après une année marquée par une forte activité de piratage, l’écosystème Web3 a davantage mis l’accent sur la sécurité en 2024. Projets et sociétés de sécurité ont renforcé leurs efforts : surveillance en temps réel sur chaîne, audits plus rigoureux, apprentissage des erreurs passées liées aux vulnérabilités contractuelles, rendant plus difficile pour les hackers de voler des fonds via des failles de code. Toutefois, les projets doivent encore renforcer leur vigilance quant à la protection des clés privées et à la sécurité opérationnelle.
Avec la convergence croissante entre marchés traditionnels et cryptos, les hackers ne se limitent plus aux DeFi, ponts cross-chain ou exchanges, mais ciblent désormais des plateformes de paiement, de jeux, courtiers cryptos, infrastructures, gestionnaires de mots de passe, outils de développement, robots MEV et robots Telegram.
Entre 2024 et 2025, le marché cryptographique entre dans un cycle haussier, rendant les fonds sur chaîne plus actifs, ce qui pourrait attirer davantage d’attaques. Par ailleurs, les réglementations locales autour des actifs cryptos se renforcent progressivement pour lutter contre les crimes associés. Dans ce contexte, les attaques devraient rester élevées en 2025, et les autorités judiciaires et réglementaires mondiales continueront de faire face à des défis sévères.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@Beosin_com
