News

Rapport sur le paysage de la sécurité Web3 de Salus publié en 2023

janvier 2, 2024
am am

En comparaison avec 2022, les pertes financières globales liées au piratage dans l’industrie web3 ont diminué pour atteindre 1,7 milliard de dollars en 2023.

En effet, l’industrie web3 s’améliore en matière de cybersécurité et de prévention des cyberattaques. Cependant, le piratage reste lucratif pour les groupes de cybercriminels tels que Lazarus, des acteurs menaçants qui comptent sur des attaques sophistiquées.

En effet, la majorité des pertes combinées (estimées à 70%) peuvent être attribuées à des cyberattaques de grande envergure. Pensez à Multichain, Mixin Network ou Poloniex.

Salus, la société de cybersécurité spécialisée dans la cybersécurité de l’industrie web3 et la sécurité traditionnelle, a compilé son Rapport sur le paysage de la sécurité Web3 2023.

Le document met en évidence les 10 principales attaques, les pertes globales dues au piratage de la cryptographie, les vulnérabilités courantes à l’origine d’incidents de grande ampleur dans l’industrie et les mesures que les entreprises peuvent prendre pour réduire les risques de piratage.

Voici les points forts et les principales conclusions que les entreprises de l’espace web3 peuvent apprendre et appliquer à leur sécurité en 2024.

Vulnérabilités clés de Web3 observées en 2023

Le rapport de Salus indique que les faiblesses responsables de la plupart des piratages sont :

  • Problèmes de contrôle d’accès : à l’origine de 39,18% des cyberattaques

  • Attaques de prêt éclair : représentant 16% de la criminalité informatique

  • Arnaques à la sortie : responsables de 12% des pertes annuelles

  • Problèmes d’Oracle : déclenchant 6% de toutes les exploitations

  • Phishing : ingénierie sociale à l’origine de 4% de tous les incidents

  • Réentrance : responsable de 4% de la criminalité informatique

  • Autres : couvrant les 17% restants des piratages globaux

Les types d’attaques et de faiblesses les plus courants impliquent à la fois des menaces hautement techniques et sophistiquées ainsi que celles qui exploitent les erreurs et les biais humains.

Comment pouvons-nous les prévenir en 2024 ?

Passons en revue les menaces de piratage les plus courantes et les meilleures mesures préventives pour les éviter l’année suivante.

Problèmes de contrôle d’accès

La plupart des piratages (estimés à 39,18%) ont été rendus possibles en raison de problèmes associés au contrôle d’accès. Selon le rapport, 29 cas de piratage ont entraîné des pertes de 666 millions de dollars en 2023. Ils ont tous commencé par cette manœuvre – Atomic Wallet, Multichain et Poloniex inclus.

Les exploitations de contrôle d’accès font référence à une large gamme de failles que les pirates peuvent utiliser pour obtenir un accès illicite. Qu’il s’agisse d’équipements plus anciens, d’erreurs d’installation, de gestion d’accès inappropriée, de paramètres excessivement permissifs, de cartes-clés volées, d’incapacité à intégrer d’autres systèmes, etc.

Pour prévenir cette faille de sécurité courante, mettez en place une autorisation solide conforme au principe du privilège minimal. Mettez à jour régulièrement l’accès. Assurez-vous que ceux bénéficiant d’un accès plus élevé reçoivent une formation supplémentaire. Enfin, disposez d’une surveillance automatisée et approfondie qui vous aide à identifier et à atténuer les tentatives d’exploitation des accès dans toute l’infrastructure.

Attaques de prêt éclair

Les attaques de prêt éclair relèvent de la catégorie de la finance décentralisée (DeFi) car elles détournent et modifient les contrats intelligents. Dans cette attaque, les cybercriminels lancent un prêt éclair au sein de la plateforme DeFi et empruntent beaucoup de cryptomonnaie car cela ne nécessite pas de garantie.

De nombreuses entreprises dans l’espace de la cryptographie ont été victimes de cette arnaque. Elle était à l’origine de 37 incidents en 2023, causant des pertes de 274 millions de dollars. Certaines des entreprises qui ont subi cette attaque sont Euler Finance, KyberSwap et Yearn Finance.

Pour protéger vos actifs contre les attaques de prêt éclair, fixez une limite sur le montant qu’une personne peut emprunter en utilisant le contrat intelligent et instaurez une limite de temps.

Arnaques à la sortie

Cette arnaque est celle qui nuit le plus aux portefeuilles des investisseurs. Les développeurs de cryptomonnaies lancent le projet pour ensuite l’abandonner. Dans la plupart des cas, les arnaques à la sortie impliquent une opportunité lucrative à haut risque offerte par des cybercriminels opportunistes qui finissent par disparaître avec les fonds des investisseurs.

En 2023, 276 arnaques à la sortie ont été enregistrées dans l’espace de la cryptomonnaie et ont entraîné des pertes de 208 millions de dollars.

Cet incident n’implique pas de piratage hautement technique – ni de piratage du tout. Par conséquent, pour le prévenir, il est nécessaire de surveiller les signes les plus courants d’arnaques. Lorsqu’une opportunité qui semble trop belle pour être vraie apparaît, assurez-vous de bien rechercher les équipes impliquées dans ce projet particulier. Travaillez avec des entreprises de confiance bénéficiant d’un excellent bilan. Ensuite, évitez d’investir tout dans un seul endroit et soyez vigilant quant aux opportunités irréalistes.

Problèmes d’Oracle

Dans l’industrie de la cryptomonnaie, Oracle est utilisé comme source de cotation de prix pour certains protocoles de cryptomonnaie. Si les pirates trouvent une faille là-dedans, ils peuvent manipuler les prix. Dans le pire des cas, ils peuvent voler des fonds obtenus dans le cadre de l’attaque de prêt éclair.

Sept piratages causés par des erreurs au sein d’Oracle dans l’industrie web3 ont entraîné des pertes de 234 millions de dollars. BonqDAO a été l’une des victimes des exploitations d’Oracle en 2023. Les pirates ont utilisé les failles pour modifier les prix des jetons.

Pour prévenir les exploitations d’Oracle, vous devrez être spécialiste de la liquidité des jetons. Évitez d’évaluer les prix futurs en fonction des marchés qui présentent une liquidité faible. Interrogez-vous sur la pertinence de la liquidité pour vous et tenez compte de l’intégration d’Oracle avec votre plateforme existante.

De plus, utilisez le Time-Weighted Average Price (TWAP).

Phishing

Les tactiques d’ingénierie sociale telles que le phishing arrivent en tête de liste chaque année car elles peuvent être difficiles à repérer et à éliminer complètement. Elles évoluent chaque année et reposent sur des erreurs humaines.

D’après le rapport, 13 incidents ont impliqué un type de phishing et ont entraîné des pertes de 67,6 millions de dollars.

Le phishing se fait le plus souvent par e-mail, convaincant une personne d’effectuer une action. Il est souvent utilisé par les pirates pour entrer dans des systèmes par ailleurs bien protégés. Même des groupes de piratage connus tels que Lazarus ont eu recours au phishing pour leurs attaques en 2023.

Outre la sensibilisation de tous les employés à la lutte contre le phishing, les mesures recommandées pour les formes plus avancées de phishing incluent les tests de pénétration. Leur rôle est de détecter les éventuelles failles qui pourraient permettre le phishing à l’avant, avant que le pirate ait la possibilité de les exploiter.

Une autre prévention nécessaire est l’authentification multi-facteurs, la sécurité des domaines, la vérification des e-mails et l’utilisation de portefeuilles matériels.

Réentrance

Dans cette exploitation, un contrat intelligent est interrompu et ré-invoqué avant d’avoir terminé sa tâche. Cela permet à l’attaquant de manipuler l’état du contrat, principalement pour retirer les fonds.

En 2023, 15 attaques de piratage dans l’industrie web3 ont reposé sur l’exploitation de la réentrance et ont entraîné des pertes de 74 millions de dollars. Exactly Protocol a été l’une des victimes de la vulnérabilité de la réentrance. Elle a été causée par un bug Vyper.

Pour prévenir les tentatives de réentrance, utiliser la technologie d’audit des contrats intelligents, s’assurer que tous vos auditeurs sont fiables et expérimentés, s’appuyer sur le modèle Check-Effect-Interaction, et introduire une protection complète contre la réentrance pour protéger les opérations sensibles.

Les 5 principales cyberattaques dans l’industrie web3 en 2023

Les cinq pires cyberattaques dans l’espace web3 qui ont eu lieu en 2023 ont causé des dommages :

  1. Mixin Network – 200 millions de dollars perdus

  2. Euler Finance – 197 millions de dollars perdus

  3. Poloniex – 126 millions de dollars perdus

  4. Multichain – 125 millions de dollars perdus

  5. BonqDAO – 120 millions de dollars perdus

D’autres piratages de haut calibre qui ont été lucratifs pour les pirates incluaient Atomic Wallet, HECO Bridge, Curve, AlphaPo et CoinEx.

Ces dix incidents seuls représentaient 70% des pertes globales (qui ont dépassé 1,7 milliard de dollars en 2023).

Le groupe Lazarus, reconnu pour ses opérations en provenance de Corée du Nord, a été le plus lucratif. Ils sont responsables de nombreuses attaques de grande envergure survenues au cours des dernières années.

La majorité des pertes sont survenues en juillet, septembre et novembre. Rien que dans le mois de septembre, 360 millions de dollars ont été perdus en raison de cyber-attaques. Janvier, août, octobre et décembre ont marqué un fort déclin des pertes financières.

Passons en revue les cinq piratages les plus dommageables dans l’industrie web3 en 2023.

#1 Mixin Network

En septembre, Mixin Network a révélé une faille qui leur a coûté 200 millions de dollars, principalement sous forme de Bitcoin. Il s’agissait du plus grand vol d’actifs cryptographiques enregistré en 2023.

Tous les détails de l’attaque et de l’enquête qui a suivi n’ont pas été divulgués. Ce que nous savons, c’est que les pirates ont exploité des vulnérabilités dans la sécurité en nuage. Les cybercriminels ont exploité la base de données stockée sur le cloud tiers pour obtenir des actifs sur le mainnet.

Mixin Network est connu pour fournir des transferts inter-chaînes gratuits et plus rapides d’actifs numériques. Pour ce faire, ils s’appuient sur la base de données centralisée – offrant ainsi aux hackers un point faible majeur.

#2 Euler Finance

En mars, Euler Finance a subi une perte de 197 millions de dollars, désormais connue comme le deuxième pire piratage de cryptomonnaie de 2023. Le coupable de ce piratage était une faille dans leur système connue sous le nom de fonction donateToReserves.

Le criminel a utilisé un prêt éclair pour exploiter le protocole DeFi et voler des fonds. Ils l’ont utilisé pour déclencher une dette et une liquidation, entraînant une forte chute du Total Value Locked d’Euler Finance (qui représente l’ensemble de l’argent engagé dans leur système).

Fait inattendu, le pirate s’est excusé dans un message blockchain et a rendu les fonds volés.

Cependant, cet événement a souligné l’importance de vérifier et d’évaluer attentivement les risques des contrats intelligents utilisés dans la finance décentralisée.

#3 Multichain

En juin, Multichain a été victime d’un piratage qui a vidée des portefeuilles d’une valeur de 120 millions de dollars en cryptomonnaie. Auparavant, l’entreprise était connue sous le nom d’Anyswap.

En juin, il y a eu un transfert inattendu d’actifs bloqués vers une adresse inconnue, ce qui a suscité l’inquiétude des utilisateurs.

Lorsque l’entreprise a repris ses opérations en novembre, elle a subi une exploitation supplémentaire de 1 million de dollars.

L’incident impliquait des transferts anormaux, le vidage des actifs et des mouvements irréguliers des fonds d’utilisateurs vers des portefeuilles inconnus, mais les détails de l’attaque ne sont pas connus. Les pratiques de sécurité interne de l’entreprise sont aujourd’hui remises en question et les utilisateurs attendent toujours plus de réponses.

Avec le PDG et sa sœur en prison, les opérations de l’entreprise ont été suspendues et l’accès aux serveurs et aux fonds est actuellement sous la garde de la police en Chine.

#4 Poloniex

En novembre, Poloniex, une plateforme d’échange de cryptomonnaies, a subi une perte de 126 millions de dollars suite à un piratage perpétré par le groupe Lazarus – le groupe nord-coréen tristement célèbre pour son utilisation de phishing combinée à des attaques polyvalentes à l’aide de leur propre logiciel malveillant.

Les pirates ont exploité des clés privées compromises pour vider les fonds des portefeuilles chauds de l’échange. Avec l’accès aux clés privées, les cybercriminels ont pu envoyer de la cryptomonnaie vers les portefeuilles appartenant à Lazarus.

L’attaque présentait de nombreux signes typiques de Lazarus – y compris l’exploitation de différents types de jetons et leur envoi vers des adresses variées.

Cet incident est un rappel que s’appuyer sur des portefeuilles blockchain contrôlés par une seule clé privée peut être dang