Selon le dernier rapport de sécurité de l'industrie Web3 de Gate Research, un total de 27 incidents de sécurité se sont produits en décembre, entraînant des pertes d'environ 4,11 millions de dollars. Les types d'incidents étaient divers, les vulnérabilités de contrat restant la menace principale, représentant 72% des pertes totales. Le rapport fournit également une analyse détaillée des événements de sécurité clés, notamment la vulnérabilité de FEG, la vulnérabilité de contrat Clober, la vulnérabilité de contrat de Clipper DEX et l'attaque de prêt flash HarryPotterObamaSonic10Inu. Les vulnérabilités de contrat et les piratages de compte ont été identifiés comme les principaux risques de sécurité du mois, soulignant le besoin continu pour l'industrie de renforcer ses mesures de sécurité.

Points clés

• En décembre 2024, l'industrie Web3 a connu 27 incidents de sécurité, entraînant des pertes d'environ 4,11 millions de dollars, une baisse significative par rapport au mois précédent.
• Les incidents de sécurité ce mois-ci concernaient principalement les vulnérabilités des contrats et les piratages de compte.
• Les vulnérabilités des contrats restent une menace majeure, représentant 72% des pertes totales dans les incidents de sécurité de l'industrie des cryptomonnaies.
• La plupart des pertes se sont produites sur les principales blockchains, y compris BSC, Ethereum, Cardano et Base.
• Les incidents clés de ce mois-ci ont inclus la vulnérabilité de sécurité de FEG (perte de 1 million de dollars), la vulnérabilité du contrat Clober (perte de 500 000 dollars), la vulnérabilité du contrat Vestra DAO (perte de 500 000 dollars), le piratage du compte Moonhacker (perte de 320 000 dollars) et l'attaque de prêt flash HarryPotterObamaSonic10Inu (perte de 243 000 dollars).

Aperçu des incidents de sécurité

Selon les données de Slowmist, le mois de décembre 2024 a vu un total de 27 incidents de piratage, entraînant des pertes de 4,11 millions de dollars. Les attaques impliquaient principalement des vulnérabilités de contrat, des piratages de compte et d'autres méthodes. Par rapport à novembre, le nombre d'incidents et les pertes totales ont connu une baisse significative, ce qui indique que les mesures de sécurité et la sensibilisation de l'industrie se sont améliorées. Les vulnérabilités des contrats restent la principale cause des attaques, avec neuf incidents représentant plus de 2,98 millions de dollars de pertes, soit 72% du total. Les comptes officiels X et les sites Web de projets de cryptomonnaie continuent d'être les principales cibles des pirates informatiques [1].

La distribution ce mois-ci des incidents de sécurité sur les blockchains publiques révèle que la plupart des pertes étaient concentrées sur plusieurs blockchains matures et populaires, en particulier Ethereum et Base, avec des pertes de 2,01 millions de dollars et 950 000 dollars, respectivement. Cela souligne que, malgré la sécurité fondamentale solide des blockchains publiques, les vulnérabilités au niveau de l'application et des contrats intelligents posent toujours des risques significatifs pour les fonds des utilisateurs.

Plusieurs projets de blockchain ont connu des incidents majeurs de sécurité ce mois-ci, entraînant d'importantes pertes financières. Les incidents notables incluent la vulnérabilité de sécurité FEG, qui a causé une perte d'un million de dollars ; la vulnérabilité du contrat Clober, qui a entraîné une perte de 500 000 dollars ; la vulnérabilité du contrat Vestra DAO, entraînant des pertes de 500 000 dollars ; et la vulnérabilité du contrat Clipper DEX, qui a causé une perte de 457 000 dollars.

Incidents de sécurité majeurs en décembre

Selon les divulgations officielles, les projets suivants ont subi des pertes dépassant 3,22 millions de dollars en décembre. Ces incidents soulignent que les vulnérabilités contractuelles continuent de constituer une menace importante.

• Les attaquants ont exploité une vulnérabilité dans le contrat intelligent utilisé par Clipper, en manipulant la fonction de dépôt/retrait d'actif unique. Cette opération a eu un impact sur les pools de liquidité sur les réseaux Optimism et Base, provoquant un déséquilibre dans les actifs du pool et permettant aux attaquants de retirer plus que le montant déposé. L'attaque a entraîné une perte d'environ 457 878 $.
• Vestra DAO a tweeté qu'un pirate a exploité une vulnérabilité dans le contrat de mise en jeu verrouillé, manipulant le mécanisme de récompense pour acquérir des récompenses excessives au-delà de ce qui était dû. L'incident a conduit au vol de 73 720 000 jetons VSTR. Les jetons volés ont été progressivement vendus sur Uniswap, entraînant une perte de liquidité d'environ 500 000 $ en ETH. Pour protéger l'économie des jetons VSTR et la stabilité du projet, les 755 631 188 jetons VSTR restants ont été définitivement retirés de la circulation.
• Le coffre-fort de liquidité sur Clober DEX, construit sur Base Network, a été attaqué, ce qui a entraîné une perte de 133,7 ETH (environ 501 000 $). L'équipe a également offert 20 % des fonds volés en tant que prime pour identifier la vulnérabilité, espérant récupérer les actifs restants. Cependant, les négociations n'ont pas abouti à un consensus.
• HarryPotterObamaSonic10Inu a été la cible d’une attaque de prêt flash sur Ethereum, impliquant une série de transactions d’exploitation ciblant le pool de liquidité du jeton HarryPotterObamaSonic10Inu 2.0. L’attaquant a réalisé un profit d’environ 243 000 $ et a déposé les fonds dans Tornado Cash.
• Le projet FEG a subi une attaque de vulnérabilité de sécurité, entraînant une perte d'environ 1 million de dollars. L'analyse suggère que la cause première était un problème de composabilité lors de l'intégration avec le pont inter-chaînes Wormhole sous-jacent, qui est utilisé pour la messagerie et les transferts de jetons inter-chaînes. L'équipe a suspendu toutes les transactions FEG sur les échanges centralisés et le protocole SmartDeFi a également été suspendu.

Clipper DEX

Aperçu du projet: Clipper est une bourse décentralisée (DEX) conçue pour offrir les meilleurs taux aux petits traders de cryptomonnaies (moins de 10 000 $). Elle y parvient en limitant la liquidité et en réduisant les pertes impermanentes.

Aperçu de l'incident : Selon un rapport d'analyse publié par Clipper, le 1er décembre 2024, des attaquants ont exploité une vulnérabilité dans le contrat intelligent utilisé par Clipper, en manipulant la fonction de dépôt/retrait d'actif unique. Cette opération a affecté les pools de liquidité sur les réseaux Optimism et Base, entraînant un déséquilibre dans les actifs du pool et permettant aux attaquants de retirer plus d'actifs qu'ils n'en avaient déposé. L'attaque a entraîné une perte d'environ 457 878 $.

Dans les heures qui ont suivi, AdmiralDAO a lancé un plan d'intervention d'urgence, prenant rapidement des mesures pour protéger les fonds restants dans le protocole et stopper l'attaque. Après l'intervention, aucun fonds supplémentaire n'a été affecté[2].

Recommandations post-incident :

• Élargir les vérifications invariantes : Mettre en œuvre une vérification sur la chaîne pour garantir que les invariants du pool restent cohérents lors des retraits d'actifs uniques, similaire aux vérifications appliquées par Clipper dans la dernière version de leur contrat d'échange.
• Élargir la vérification des prix Oracle: Intégrer les oracles de prix on-chain dans la validation de la valeur des actifs pour les dépôts et les retraits, tout comme Clipper l'a exécuté dans la dernière version de leur contrat pour l'échange.
• Considérez le verrouillage à court terme des dépôts : Si les nouveaux dépôts sont soumis à une période de verrouillage qui dépasse la validité de la signature du dépôt (par exemple, quelques minutes), cette attaque n'aurait pas été possible.

Vestra DAO

Aperçu du projet : VSTR est un jeton développé par la communauté NFT « CMLE » (Crypto Monster Limited Edition) qui offre des services semi-décentralisés hybrides Web2+Web3. Il fonctionne comme un projet d'organisation autonome décentralisée (DAO), fournissant des solutions DeFi.

Aperçu de l'incident : Le 4 décembre 2024, Vestra DAO a tweeté qu'un pirate informatique a exploité une vulnérabilité dans le contrat de mise en jeu verrouillé, manipulant le mécanisme de récompense pour obtenir des récompenses excessives au-delà de ce qui était dû. L'incident a conduit au vol d'un total de 73 720 000 jetons VSTR. Les jetons volés ont été progressivement vendus sur Uniswap, entraînant une perte d'environ 500 000 dollars de liquidité ETH.

L'équipe a rapidement identifié le problème et a pris des mesures immédiates en ajoutant le contrat de mise en jeu verrouillé à la liste noire, ce qui a désactivé toute interaction supplémentaire avec ces contrats. En conséquence, 755 631 188 jetons VSTR dans le pool de mise en jeu ont été retirés de la circulation et les fonds de ces contrats ne pouvaient plus être retirés. Le 6 décembre, l'équipe a annoncé que, pour protéger le modèle économique du jeton VSTR et la stabilité du projet, les 755 631 188 jetons VSTR restants seraient définitivement retirés de la circulation[3].

Recommandations post-incident :

• Effectuer des audits de sécurité et une optimisation complets des contrats
  Engagez un cabinet d'audit de sécurité tiers réputé pour examiner minutieusement tous les contrats intelligents, en particulier les contrats de mise en jeu et de verrouillage. L'accent doit être mis sur la gestion des autorisations, la gestion des conditions limites et la sécurité de la logique du code. Après l'audit, le code du contrat devrait être optimisé en fonction des recommandations, et le rapport d'audit devrait être rendu public pour renforcer la transparence et la confiance des utilisateurs.

• Déployer des mécanismes de protection multicouche et une surveillance en temps réel

• Implémenter la fonctionnalité de verrouillage temporel : Introduire des délais pour les opérations clés afin de s'assurer qu'il y a suffisamment de temps pour mettre en pause les opérations ou intervenir en cas d'anomalie.
• Introduire des systèmes de surveillance et d'alerte en temps réel : Utiliser l'analyse des données on-chain pour détecter les comportements de trading anormaux ou les interactions de contrat en temps réel, et mettre en place des systèmes d'alerte pour signaler toute activité suspecte, minimisant les pertes potentielles causées par les vulnérabilités.

Clober DEX

Aperçu du projet: Clober est un DEX entièrement sur chaîne qui permet la correspondance et le règlement des commandes sur chaîne sur les plateformes de contrats intelligents décentralisés. Avec Clober, les participants au marché peuvent placer des ordres limités et des ordres de marché entièrement décentralisés et sans confiance à des coûts gérables.

Aperçu de l'incident :
Le 10 décembre 2024, le coffre-fort de liquidité de Clober DEX sur le réseau de base a été attaqué, entraînant une perte de 133,7 ETH (environ 501 000 $). La cause principale de l'attaque était une vulnérabilité de réentrance dans la fonction _burn() au sein du contrat de rééquilibrage.

L'équipe a offert 20% des fonds volés en prime pour identifier la vulnérabilité de sécurité, à condition que les actifs restants puissent être restitués. De plus, l'équipe a assuré qu'aucune action en justice ne serait engagée si l'attaquant coopérait. Le 31 décembre 2024, l'équipe a déclaré que les négociations n'avaient pas abouti à un consensus et que l'attaquant avait transféré les actifs volés à Tornado Cash. L'équipe collabore avec les organismes d'application de la loi pour retracer l'origine de l'attaquant[4].

Recommandations après incident:

• Sécurité améliorée des contrats intelligents: L'équipe du projet doit renforcer l'examen de sécurité des contrats intelligents. Tout le code doit subir des audits rigoureux avant le déploiement, avec des analyses régulières des vulnérabilités pour réduire les risques d'attaque.
• Stratégies robustes de gestion de fonds : Mettez en œuvre des portefeuilles multi-signatures et des systèmes de stockage de fonds en couches pour prévenir une concentration excessive d'actifs dans un seul contrat, réduisant ainsi les pertes potentielles en cas d'attaque.
• Collaboration avec des organismes de sécurité : La collaboration rapide avec les équipes de sécurité blockchain et les organismes d'application de la loi peut permettre de contrôler efficacement les dommages et d'accélérer la récupération des actifs après un incident.

HarryPotterObamaSonic10Inu

Aperçu du projet : HarryPotterObamaSonic10Inu est la forme ultime d'actifs cryptographiques. Inspiré par BITCOIN, le projet encourage la création de contenu mème novateur et amusant. Avec une propriété abandonnée et une liquidité verrouillée, la communauté en plein essor a pris les devants. S'inspirant du légendaire mème Bitcoin, le projet développe un site Web unique, des marchandises exclusives et une plateforme de commerce électronique. L'objectif est de créer un écosystème où les membres actifs de la communauté peuvent interagir et collaborer.

Aperçu de l'incident:
Le 18 décembre 2024, une série de transactions d'exploitation ont ciblé le pool de liquidité du jeton HarryPotterObamaSonic10Inu 2.0 sur le réseau Ethereum. L'attaquant a réalisé un profit d'environ 243 000 $ et a transféré les fonds dans Tornado Cash.

Au cours des quatre prochains jours, le prix du jeton a connu une baisse significative d'environ -33,42 %, sa capitalisation boursière passant de 245 millions de dollars à 168 millions de dollars[5]. \

Recommandations post-incident :

• Améliorer les audits de sécurité et l'optimisation des contrats intelligents
  Engagez une organisation professionnelle tierce pour mener un audit de sécurité complet des contrats intelligents existants, en mettant l'accent sur la logique du pool de liquidité et le contrôle d'accès. Les vulnérabilités doivent être corrigées et le code du contrat doit être optimisé. Des mécanismes tels que les verrous temporels et la limitation du taux doivent être ajoutés pour prévenir les opérations malveillantes dans un court laps de temps.

• Intégrer les oracles de prix On-Chain
  Intégrez des oracles sur chaîne fiables pour vérifier les prix des actifs lors des transactions de dépôt et de retrait, en veillant à ce que les opérations soient conformes aux valeurs réelles du marché et en empêchant les fonds d'être manipulés par une manipulation des prix.

• Augmenter la transparence et la confiance de la communauté
  Publier les résultats de l'enquête sur l'incident et le plan de remédiation, garantir la transparence de l'information et renforcer la confiance au sein de la communauté des utilisateurs.

FEG

Le jeton FEG est un jeton de gouvernance déflationniste au sein de l'écosystème FEG, qui comprend un échange décentralisé et des mécanismes d'incitation aux revenus passifs. Son objectif est de remodeler le modèle opérationnel des réseaux de trading décentralisés. Le jeton est disponible sur les réseaux Ethereum et Binance Smart Chain.

Aperçu de l'incident:
Le 29 décembre 2024, le projet FEG a été visé par une attaque de vulnérabilité de sécurité, entraînant une perte d'environ 1 million de dollars. La cause profonde de l'incident semble être un problème de compossabilité lié à l'intégration du pont inter-chaînes sous-jacent Wormhole, qui facilite les messages et les transferts de jetons inter-chaînes. La Fondation Wormhole a ensuite clarifié qu'aucun problème n'avait été trouvé dans le protocole Wormhole et que l'attaque n'était pas liée à Wormhole.

Suite à l'incident, l'équipe a suspendu toutes les transactions FEG sur les échanges centralisés et a lancé une enquête approfondie. Bien que le code du contrat SmartDeFi n'ait pas été directement affecté, le protocole SmartDeFi a également été mis en pause par précaution. Cependant, tous les projets sur le protocole sont restés sécurisés jusqu'à présent[6].

Recommandations après l'incident :

• Effectuer une audit de sécurité complet : Engagez une organisation professionnelle tierce pour effectuer un audit de sécurité approfondi des contrats intelligents et du code de la plateforme, en mettant l'accent sur le contrôle d'accès, les erreurs de logique et les vulnérabilités du code. Sur la base des résultats de l'audit, traitez et corrigez rapidement tous les problèmes identifiés, et rendez le rapport d'audit public pour renforcer la confiance des utilisateurs.
• Établir un programme de divulgation des vulnérabilités et de récompenses : Lancer un programme de primes aux bogues continu pour encourager les chercheurs en sécurité et les pirates éthiques à identifier et signaler les vulnérabilités potentielles. Cela aidera à traiter rapidement les vulnérabilités afin de réduire les risques de sécurité futurs.
• Améliorer les mécanismes de protection des actifs et de compensation des utilisateurs : développer des systèmes de protection des actifs à plusieurs niveaux, tels que la surveillance en temps réel des transactions anormales, la mise en œuvre de fonctionnalités de verrouillage temporel et l'utilisation de portefeuilles à signatures multiples. Pour les utilisateurs concernés, établir un plan de compensation équitable et transparent afin de restaurer la confiance des utilisateurs et de minimiser les pertes financières.

Conclusion

En décembre 2024, plusieurs projets DeFi ont été ciblés par des vulnérabilités de sécurité, entraînant la perte de millions de dollars d'actifs. Ces incidents comprenaient l'attaque de la voûte de liquidité Clober DEX, une exploitation inter-chaîne causée par l'intégration de FEG avec Wormhole, la vulnérabilité de mise en jeu dans Vestra DAO, la manipulation de la fonction de retrait d'actifs unique de Clipper DEX, et une attaque de prêt éclair sur HarryPotterObamaSonic10Inu. Ces événements ont mis en évidence les risques critiques en matière de sécurité des contrats intelligents, de la composabilité des protocoles inter-chaînes et de la gestion des pools de liquidité. L'industrie a un besoin urgent de renforcer les audits des contrats intelligents, de mettre en œuvre une surveillance en temps réel et d'adopter des mécanismes de protection multicouches pour améliorer la sécurité de la plateforme et la confiance des utilisateurs. Gate.io rappelle aux utilisateurs de rester informés des développements en matière de sécurité, de choisir des plateformes fiables et de renforcer la protection de leurs actifs personnels.


Référence :

1. Slowmist,https://hacked.slowmist.io/zh/statistics
2. Clipper,https://blog.clipper.exchange/clipper-dec-24-exploit-post-mortem/
3. X,https://x.com/Vestra_DAO/status/1864677381459390781
4. X,https://x.com/CloberDEX/status/1874039225001377816
5. Gate.io,https://www.gate.io/zh-tw/post/status/8242569
6. X,https://x.com/FEGtoken/status/1873265905867866294

Gate Recherche
La recherche de Gate est une plateforme complète de recherche sur la blockchain et la cryptographie, fournissant aux lecteurs un contenu approfondi, y compris une analyse technique, des informations chaudes, des revues de marché, une recherche industrielle, des prévisions de tendances et une analyse des politiques macroéconomiques.

Cliquez sur le Lienen savoir plus

Clause de non-responsabilité
Investir dans le marché des cryptomonnaies comporte des risques élevés, il est recommandé aux utilisateurs de mener des recherches indépendantes et de bien comprendre la nature des actifs et des produits qu'ils.achatavant de prendre toute décision d'investissement.Gate.ion'est pas responsable des pertes ou dommages causés par de telles décisions d'investissement.