Top 10 des incidents de sécurité Web3 de 2024 : un examen par Beosin

En 2024, l’industrie de la blockchain est confrontée à des défis de sécurité de plus en plus graves tout en innovant technologiquement et en élargissant son écosystème.

Despite the rapid technological advancements and expanding ecosystem in the blockchain industry, 2024 has witnessed a surge in severe security challenges. According to the Alert platform of security audit company Beosin, Web3-related losses due to hacker attacks, phishing scams, and project party "Rug Pulls" have reached an alarming total of US$2.491 billion by press time.

Malgré les progrès technologiques rapides et l’expansion de l’écosystème de l’industrie de la blockchain, 2024 a été témoin d’une recrudescence de graves problèmes de sécurité. Selon la plateforme Alert de la société d'audit de sécurité Beosin, les pertes liées au Web3 dues aux attaques de pirates informatiques, aux escroqueries par phishing et aux projets « Rug Pulls » ont atteint un total alarmant de 2,491 milliards de dollars au moment de la publication.

These incidents not only highlighted technical vulnerabilities such as private key mismanagement and smart contract flaws but also brought to light the potential risks posed by social engineering and internal management. In this article, we will delve into the top ten Web3 security

Ces incidents ont non seulement mis en évidence des vulnérabilités techniques telles qu’une mauvaise gestion des clés privées et des failles dans les contrats intelligents, mais ont également mis en lumière les risques potentiels posés par l’ingénierie sociale et la gestion interne. Dans cet article, nous examinerons les dix principales sécurités Web3

incidents of 2024 to help the industry learn from past experiences and better prepare for future threats.

incidents de 2024 pour aider l’industrie à tirer les leçons des expériences passées et à mieux se préparer aux menaces futures.

No.1 DMM Bitcoin

Bitcoin DMM n°1

Amount of Loss: $304 million

Montant de la perte : 304 millions de dollars

Attack Method: Private key leakage

Méthode d'attaque : fuite de clé privée

On May 31, 2024, a long-established cryptocurrency exchange in Japan, DMM Bitcoin, fell victim to a massive attack. The attacker, having obtained the leaked private key, directly transferred Bitcoin valued at over $300 million and swiftly dispersed the stolen funds across 10 different addresses.

Le 31 mai 2024, un échange de crypto-monnaie établi de longue date au Japon, DMM Bitcoin, a été victime d'une attaque massive. L’attaquant, après avoir obtenu la clé privée divulguée, a directement transféré des Bitcoins d’une valeur de plus de 300 millions de dollars et a rapidement dispersé les fonds volés sur 10 adresses différentes.

This attack exposed DMM Bitcoin's critical deficiencies in private key management and multi-layer security protection. Despite the exchange's attempt to track the stolen Bitcoin on-chain and freeze the funds, the attacker's use of mixing tools to disperse and clean the funds posed a significant challenge.

Cette attaque a révélé les lacunes critiques de DMM Bitcoin en matière de gestion des clés privées et de protection de sécurité multicouche. Malgré la tentative de la bourse de suivre le Bitcoin volé sur la chaîne et de geler les fonds, l'utilisation par l'attaquant d'outils de mixage pour disperser et nettoyer les fonds a posé un défi important.

On December 24, Japanese police concluded that the DMM Bitcoin theft was perpetrated by the North Korean hacker organization Lazarus Group.

Le 24 décembre, la police japonaise a conclu que le vol de DMM Bitcoin avait été perpétré par l'organisation de hackers nord-coréenne Lazarus Group.

No.2 PlayDapp

PlayDapp n°2

Amount of Loss: $290 million

Montant de la perte : 290 millions de dollars

Attack Method: Private key leakage

Méthode d'attaque : fuite de clé privée

A devastating blow was dealt to PlayDapp on February 9, 2024, when hackers stole the project's private keys and minted 2 billion PLA tokens, initially valued at $36.5 million. Following failed negotiations between the project and the hackers, the attackers minted an additional 15.9 billion PLA tokens, valued at $253.9 million, in a short span of time.

Un coup dévastateur a été porté à PlayDapp le 9 février 2024, lorsque des pirates ont volé les clés privées du projet et frappé 2 milliards de jetons PLA, initialement évalués à 36,5 millions de dollars. Suite à l'échec des négociations entre le projet et les pirates informatiques, les attaquants ont créé 15,9 milliards de jetons PLA supplémentaires, d'une valeur de 253,9 millions de dollars, en peu de temps.

After some of these tokens entered the Gate exchange, PlayDapp was compelled to suspend the PLA contract and migrate to the PDA token contract. This incident underscored the shortcomings in private key protection and incident emergency response among blockchain projects.

Après que certains de ces jetons soient entrés dans l'échange Gate, PlayDapp a été contraint de suspendre le contrat PLA et de migrer vers le contrat de jetons PDA. Cet incident a souligné les lacunes en matière de protection des clés privées et de réponse d’urgence aux incidents parmi les projets blockchain.

No.3 WazirX

N°3 WazirX

Amount of Loss: $235 million

Montant de la perte : 235 millions de dollars

Attack Methods: Cyberattack, phishing

Méthodes d'attaque : cyberattaque, phishing

On July 18, 2024, the Safe Wallet multi-signature wallet of WazirX, India's largest cryptocurrency exchange, was precisely targeted by hackers. The attacker employed social engineering tactics to manipulate a multi-signature signer into approving a contract upgrade transaction, which was then exploited to siphon off all the assets in the wallet.

Le 18 juillet 2024, le portefeuille multi-signature Safe Wallet de WazirX, la plus grande plateforme d'échange de cryptomonnaies en Inde, a été précisément ciblé par des pirates. L'attaquant a utilisé des tactiques d'ingénierie sociale pour manipuler un signataire multi-signature afin qu'il approuve une transaction de mise à niveau de contrat, qui a ensuite été exploitée pour siphonner tous les actifs du portefeuille.

This case highlighted the potential risks associated with multi-signature wallets in terms of management authority configuration and operational transparency. It also sparked industry-wide introspection on the internal risk control and security mechanisms of the project.

Ce cas a mis en évidence les risques potentiels associés aux portefeuilles multi-signatures en termes de configuration des autorités de gestion et de transparence opérationnelle. Cela a également déclenché une introspection à l’échelle de l’industrie sur les mécanismes internes de contrôle des risques et de sécurité du projet.

For an in-depth analysis of the incident and fund tracking, please refer to "Beosin | Analysis of the $235 million theft from Indian exchange WazirX".

Pour une analyse approfondie de l'incident et du suivi des fonds, veuillez vous référer à « Beosin | Analyse du vol de 235 millions de dollars sur la bourse indienne WazirX ».

No.4 Gala Games

Jeux de gala n°4

Amount of Loss: $216 million

Montant de la perte : 216 millions de dollars

Attack Method: Access control vulnerability

Méthode d'attaque : vulnérabilité du contrôle d'accès

A privileged address of Gala Games was compromised on May 20, 2024. The attacker exploited a vulnerability in the token contract's mint function to generate 5 billion GALA tokens at once. Subsequently, the attacker exchanged the additional tokens for ETH in batches, directly leading to a loss of 216 million US dollars.

Une adresse privilégiée de Gala Games a été compromise le 20 mai 2024. L'attaquant a exploité une vulnérabilité dans la fonction mint du contrat de token pour générer 5 milliards de tokens GALA d'un coup. Par la suite, l’attaquant a échangé les jetons supplémentaires contre des ETH par lots, entraînant directement une perte de 216 millions de dollars américains.

In the aftermath of the incident, the Gala Games team promptly activated the blacklist function to block several hacker accounts and recovered the losses through legal channels.

À la suite de l'incident, l'équipe de Gala Games a rapidement activé la fonction de liste noire pour bloquer plusieurs comptes de pirates informatiques et a récupéré les pertes par les voies légales.

No.5 Chris Larsen (Ripple's co-founder)

N°5 Chris Larsen (co-fondateur de Ripple)

Amount of Loss: $112 million

Montant de la perte : 112 millions de dollars

Attack Method: Private key leakage

Méthode d'attaque : fuite de clé privée

Four personal wallets belonging to Chris Larsen, co-founder of Ripple, were hacked on January 31, 2024, resulting in the theft of $112 million in XRP. These wallets are suspected to have become targets of attack due to the lack of dual protection for hardware devices.

Quatre portefeuilles personnels appartenant à Chris Larsen, co-fondateur de Ripple, ont été piratés le 31 janvier 2024, entraînant le vol de 112 millions de dollars en XRP. Ces portefeuilles sont soupçonnés d'être devenus des cibles d'attaques en raison du manque de double protection pour les appareils matériels.

Binance successfully froze XRP valued at $4.2 million and assisted Larsen in tracking the stolen assets, but the majority of the funds had already been laundered through decentralized exchanges and currency mixing services.

Binance a réussi à geler le XRP d'une valeur de 4,2 millions de dollars et a aidé Larsen à suivre les actifs volés, mais la majorité des fonds avaient déjà été blanchis via des échanges décentralisés et des services de mélange de devises.

No.6 Munchables

N°6 Munchables

Amount of Loss: $62.5 million

Montant de la perte : 62,5 millions de dollars

Attack Method: Social engineering attack

Méthode d'attaque : attaque d'ingénierie sociale

On March 26, 2024, Munchables, a Web3 game platform built on Blast, encountered a rare internal penetration attack. The attacker, a North Korean hacker, posed as a blockchain developer and managed to obtain the core code and sensitive keys through a prolonged period of lurking.

Le 26 mars 2024, Munchables, une plateforme de jeu Web3 construite sur Blast, a été confrontée à une rare attaque de pénétration interne. L'attaquant, un pirate informatique nord-coréen, s'est fait passer pour un développeur de blockchain et a réussi à obtenir le code principal et les clés sensibles au cours d'une période de dissimulation prolongée.

Despite the attack causing substantial

Malgré l'attaque qui a causé d'importantes