Le dernier rapport sur la sécurité de l'industrie Web3 de Gate Research montre qu'en février, il y a eu 15 incidents de sécurité avec une perte totale de 1,676 milliard de dollars. Les types d'incidents étaient divers, les piratages de compte et les vulnérabilités des contrats étant les principales menaces, représentant 58,3% des pertes totales. Le rapport fournit une analyse détaillée des principaux incidents de sécurité, notamment le vol de portefeuille sur l'échange Bybit, l'absence de contrôles de permission stricts sur Infini et les vulnérabilités des contrats rencontrées par zkLend. Le piratage de compte et les vulnérabilités des contrats ont été identifiés comme les principaux risques de sécurité ce mois-ci, soulignant la nécessité pour l'industrie de renforcer continuellement les mesures de sécurité.

Abstrait

• En février 2025, l'industrie Web3 a connu 15 incidents de sécurité, entraînant des pertes totales de 1,676 milliard de dollars, une augmentation significative par rapport au mois précédent.
• Les incidents de sécurité de ce mois-ci ont principalement impliqué des vulnérabilités contractuelles et des piratages de compte, représentant 53,3 % des pertes totales dans l'industrie de la cryptographie.
• En examinant la répartition des incidents de sécurité sur différentes chaînes, trois projets ont subi des pertes sur la blockchain BSC.
• Les principaux incidents de ce mois-ci incluaient le vol de portefeuille de Bybit (perte de 1,5 milliard de dollars), le manque de contrôles stricts des autorisations chez Infini (perte de 50 millions de dollars) et l'attaque d'ingénierie sociale à laquelle ionic a été confronté (perte de 12,3 millions de dollars).

Aperçu de l'incident de sécurité

Selon les données de SlowMist, février 2025 a enregistré 15 incidents de sécurité avec des pertes de 1,676 milliard de dollars. Les attaques impliquaient principalement des vulnérabilités contractuelles, des piratages de compte et d'autres méthodes. Comparé à janvier 2025, le montant total des pertes a augmenté de 18 fois d'un mois sur l'autre. Les vulnérabilités contractuelles et les piratages de compte étaient les principales causes des attaques, avec 8 incidents de piratage connexes se produisant, représentant 53,3% du total. Les comptes X officiels sont restés les principales cibles des pirates informatiques.

La distribution ce mois-ci des incidents de sécurité sur les blockchains publiques montre que trois projets - BankX, Cashverse et Four.Meme - étaient tous au sein de l'écosystème BSC, avec des pertes cumulées dépassant 330 000 $. Cette série d'incidents indique que la sécurité des projets de l'écosystème de chaîne publique a un besoin urgent de renforcement. Face aux attaques et vulnérabilités fréquentes, BSC devrait accorder une plus grande importance à l'audit des contrats intelligents, aux mécanismes de contrôle des risques et aux mesures de surveillance on-chain pour améliorer les normes de sécurité globales.

Plusieurs projets blockchain ont été victimes de graves incidents de sécurité ce mois-ci, entraînant des pertes financières importantes. Les incidents notables incluent le vol de portefeuille de l'échange Bybit (perte de 1,5 milliard de dollars), le manque de contrôles de permission stricts d'Infini (perte de 50 millions de dollars) et les vulnérabilités des contrats de zkLend (perte de 9,6 millions de dollars).

Incidents de sécurité majeurs en février

Selon les divulgations officielles, les projets suivants ont subi des pertes dépassant 1,56 milliard de dollars en février. Le manque de contrôles de permission stricts et le vol de portefeuille étaient les deux principales menaces.

• Bybit a connu une sortie de fonds de 1,5 milliard de dollars, apparemment par le groupe de pirates nord-coréen Lazarus Group qui a manipulé le code frontend de Safe{Wallet} et a contrefait des interfaces de signature, contournant le mécanisme multi-signature de Bybit pour contrôler son portefeuille Ethereum à froid.
• Infini a subi une perte de 50 millions de dollars en raison de l’absence de contrôles stricts des autorisations. Les attaquants ont réussi à obtenir un portefeuille avec des privilèges d’administrateur et ont utilisé ces autorisations pour effectuer des opérations non autorisées.
• Ionic a perdu 12,3 millions de dollars lorsque des attaquants ont déployé des contrats de jeton contrefaits Lombard BTC (LBTC) et les ont utilisés comme garantie pour emprunter divers actifs sur la plateforme Ionic.

Bybit

Aperçu du projet :
Bybit, créé en mars 2018, est une plateforme d'échange de cryptomonnaies leader. Connu pour sa technologie innovante et son excellente expérience de trading, Bybit s'engage à devenir la plateforme d'échange la plus fiable sur le marché émergent des actifs numériques.

Aperçu de l'incident:
Le 21 février, Bybit a perdu 499 000 ETH (environ 1,5 milliard de dollars) en raison d'un vol de portefeuille, marquant le plus grand vol unique de l'histoire de l'industrie de la cryptographie. Les enquêtes indiquent que l'attaque a probablement été perpétrée par le groupe de pirates nord-coréens Lazarus Group. Leur méthode principale impliquait la manipulation du code source frontal de Safe{Wallet} et la falsification d'interfaces de signature, contournant le mécanisme de multi-signature de Bybit pour finalement contrôler leur portefeuille Ethereum froid et transférer des fonds importants vers des adresses anonymes.

Selon l'analyse de l'équipe de sécurité de SlowMist, les pirates ont d'abord déployé des contrats malveillants, puis ont infiltré le serveur Safe{Wallet}, ont altéré le code frontend et ont remplacé les fichiers JavaScript. Cela a amené les utilisateurs à signer involontairement des transactions contenant une logique malveillante intégrée lors de la construction de la transaction. Grâce à cette technique sophistiquée, les attaquants ont réussi à contourner le mécanisme de vérification multi-signatures de Bybit et ont effectué le vol.

Recommandations post-incident :

• Améliorer l'architecture de sécurité du portefeuille multi-signature : Mettre à niveau les contrats Safe vers la version 1.3.0 ou supérieure, activer des mécanismes de garde pour limiter strictement les permissions de transaction ; mettre en place des portefeuilles froids multi-signature+MPC+HSM pour stocker plus de 90 % des actifs, ajuster dynamiquement les limites du portefeuille chaud et combiner le sharding avec le stockage clé distribué géographiquement pour éviter que des points uniques de défaillance ne causent des pertes mondiales.
• Améliorer la sécurité du compte pour prévenir les accès non autorisés : Activer l'authentification à deux facteurs (2FA), mettre en place une liste blanche d'adresses, et intégrer la surveillance des comportements de transaction par l'IA pour prévenir les accès non autorisés des hackers au compte.
• Promouvoir des alliances de sécurité à l'échelle de l'industrie : Établir une base de données d'intelligence sur les attaques de pirates informatiques et promouvoir des alliances de sécurité entre les échanges, les sociétés d'analyse on-chain et les plateformes DeFi pour créer des mécanismes de réponse rapide et réduire les voies d'évasion des pirates informatiques.

L’infini

Aperçu du projet :
Infini est un nouveau type de banque stablecoin axée sur les cryptomonnaies. La société utilise des contrats intelligents et la technologie blockchain pour fournir aux utilisateurs des services financiers décentralisés, prenant en charge des fonctionnalités telles que les dépôts, les prêts et les paiements.

Vue d'ensemble de l'incident :
Le 24 février, en raison d'un manque de contrôles d'autorisation stricts, des attaquants ont réussi à obtenir un portefeuille avec des privilèges d'administrateur et ont utilisé ces autorisations pour effectuer des opérations non autorisées, volant près de 50 millions de dollars. Les principales vulnérabilités étaient le manque de gestion stricte des autorisations du contrat intelligent, ce qui a permis aux attaquants de contrôler directement les opérations critiques, et l'échec du compte administrateur à mettre en place des mesures de multi-signature ou d'isolation des autorisations suffisantes. Cela signifiait qu'une fois qu'un seul portefeuille était compromis, l'ensemble du système pouvait être contrôlé.

Recommandations post-incident :

• Renforcer la gestion des autorisations : Mettre en œuvre des exigences de multi-signature pour garantir que les transactions clés nécessitent l'approbation de plusieurs clés privées, plutôt que d'être contrôlées par un seul compte administrateur.
• Améliorez les mécanismes de sécurité : améliorez la sécurité des contrats intelligents et utilisez des mécanismes de gouvernance décentralisés pour réduire la dépendance à l’égard des comptes d’administrateur unique.
• Vérifications de code et systèmes de surveillance en temps réel : Engagez des sociétés professionnelles de sécurité blockchain (telles que CertiK, SlowMist) pour effectuer des audits complets des contrats intelligents et surveiller les mouvements de fonds anormaux, avec un gel automatique des fonds en cas d'activités suspectes.

ionique

Présentation du projet:
ionic est un protocole de prêt basé sur l'écosystème Mode, fournissant des marchés de liquidité sans permission qui permettent aux utilisateurs d'emprunter en utilisant divers actifs comme garantie. En tirant parti des faibles frais et des fonctionnalités évolutives de Mode, il a attiré de nombreux utilisateurs de DeFi.

Aperçu de l'incident :
Le 5 février, ionic a subi une attaque d’ingénierie sociale, entraînant des pertes d’environ 8,8 millions de dollars. Les attaquants ont déployé de faux contrats de jetons Lombard BTC (LBTC) et les ont utilisés comme garantie pour emprunter divers actifs sur la plateforme ionique, notamment MBTC, uniBTC, wrsETH, WETH et STONE. À partir de fonds initiaux de seulement 0,01 ETH, les attaquants ont illégalement acquis des actifs substantiels par cette méthode et les ont blanchis via Tornado Cash. [5]

Recommandations post-incident :

• Renforcer la vérification des actifs de garantie : Mettre en œuvre la certification des actifs sur chaîne pour tous les actifs de garantie non principaux, filtrer les jetons potentiellement frauduleux grâce à des mécanismes d'oracle et de notation de réputation.
• Ajouter des mécanismes de liste blanche aux contrats intelligents: Restreindre le collatéral aux actifs officiellement approuvés uniquement, et adopter un scoring de risque dynamique pour empêcher les contrats malveillants de falsifier les actifs de collatéral.
• Systèmes de surveillance et d’alerte précoce en temps réel : Établissez des mécanismes de surveillance en temps réel pour détecter rapidement les activités anormales et y réagir.

Résumé

En février 2025, plusieurs plateformes DeFi et CeFi ont été confrontées à des attaques de vulnérabilité de sécurité, entraînant des centaines de millions de dollars de pertes d’actifs. Parmi ces incidents, citons le piratage de la plateforme d’échange Bybit, l’absence de contrôles d’autorisation stricts d’Infini et le fait qu’ionic ait été victime d’une attaque d’ingénierie sociale. Les événements ont mis en évidence des risques critiques dans les plateformes de crypto-monnaies en matière de sécurité, d’audit du code des contrats intelligents et de gestion des risques. L’industrie a un besoin urgent de renforcer l’audit des contrats intelligents, de mettre en œuvre une surveillance en temps réel et d’introduire des mécanismes de protection à plusieurs niveaux pour améliorer la sécurité des plateformes et la confiance des utilisateurs. Gate.io rappelle aux utilisateurs de rester vigilants et de prendre les précautions nécessaires pour protéger leurs fonds.


Références:

1. Slowmist,https://hacked.slowmist.io/zh/statistics
2. X,https://x.com/benbybit/status/1894768736084885929
3. SlowMist,https://slowmist.medium.com/slowmist-hacker-techniques-and-questions-behind-bybits-nearly-1-5-billion-theft-09f0b59da2e2
4. X,https://x.com/0xinfini/status/1893973307596435871
5. X,https://x.com/wublockchain12/status/1886953752973992438

Recherche Gate.io
Gate Research est une plateforme de recherche exhaustive sur la blockchain et les cryptomonnaies qui propose un contenu approfondi. Cela inclut l'analyse technique, des aperçus sur les sujets d'actualité, des revues du marché, des recherches sectorielles, des prévisions de tendances et des analyses des politiques macroéconomiques.

Cliquer ici À visiter maintenant

Démenti
Investir sur le marché des cryptomonnaies comporte des risques élevés, et il est recommandé aux utilisateurs de mener des recherches indépendantes et de comprendre pleinement la nature des actifs et des produits qu'ils achètent avant de prendre toute décision d'investissement. Gate.io n'est pas responsable des pertes ou dommages causés par de telles décisions d'investissement.