Beosin Blockbuster | Analyse du paysage de la sécurité de la blockchain Web3 au premier semestre 2025

Beosin Blockbuster | Analyse du paysage de la sécurité de la blockchain Web3 au premier semestre 2025
Odaily
Odaily
ETH-0,43 %
SUI-1,49 %
BNB-0,15 %
BTC-0,16 %
SOL-0,53 %
TON+7,05 %
TRX+0,05 %
XRP+1,86 %
DOGE0,00 %
USDT+0,03 %

*Ce rapport est produit conjointement par Beosin et Footprint Analytics

1. Vue d’ensemble du paysage de la sécurité de la blockchain Web3 au premier semestre 2025

Selon Beosin Alert, la perte totale causée par le piratage, les escroqueries par hameçonnage et le Rug Pull dans le domaine du Web3 au cours du premier semestre 2025 s’élèvera à environ 2,138 milliards de dollars. Parmi elles, il y a eu 90 attaques majeures, avec une perte totale d’environ 2,093 milliards de dollars ; Les pertes totales de Rug Pull se sont élevées à environ 3,2 millions de dollars ; La perte totale des escroqueries par hameçonnage s’est élevée à environ 41,38 millions de dollars.

Du point de vue des types de projets attaqués, les échanges sont devenus le type de projets avec le plus grand nombre de pertes. Les six attaques sur la plateforme d’échange ont causé un total de plus de 1,591 milliard de dollars de dommages, soit 74,4 % de toutes les pertes dues aux attaques.

En termes de montant des pertes de chaque chaîne, Ethereum est toujours la chaîne avec le montant de perte le plus élevé et le plus d’événements d’attaque. Les 81 attaques contre Ethereum ont causé 1,739 milliard de dollars de dommages, soit 81,3 % des pertes totales. Sui a perdu environ 224 millions de dollars en raison de l’incident du protocole Cetus, se classant deuxième.

En termes de méthodes d’attaque, le premier semestre a été marqué par les attaques les plus fréquentes qui ont exploité les vulnérabilités des contrats, avec un total de 63 attaques, entraînant des pertes de 408 millions de dollars. Bybit a été le type d’attaque avec le pourcentage le plus élevé de pertes en raison de 1,44 milliard de dollars volés en raison d’une faille dans l’infrastructure du portefeuille, représentant 67,4 % du total des pertes d’attaque.

En termes de flux de fonds, seule une petite partie (environ 238 millions de dollars) des fonds volés a été gelée ou récupérée au cours du premier semestre de l’année, et environ 71,2 % des fonds volés circulent toujours dans des portefeuilles on-chain et n’ont pas été versés dans les échanges ou les mélangeurs.

2. Aperçu des attaques du premier semestre 2025

Les 90 attaques majeures ont causé des dommages totalisant 2,093 milliards de dollars

Au cours du premier semestre 2025, Beosin Alert a détecté un total de 90 attaques majeures dans l’espace Web3, avec une perte totale de 2,093 milliards de dollars. Parmi ceux-ci, il y a eu 2 incidents de sécurité avec des pertes de plus de 100 millions de dollars, 7 incidents avec des pertes de l’ordre de 10 millions de dollars à 100 millions de dollars, et 18 incidents avec des pertes de l’ordre de 1 million de dollars à 10 millions de dollars.

Attaques ayant entraîné des pertes supérieures à 10 millions de dollars (par ordre alphabétique) :

● Bybit - 1,44 milliard de dollars

Méthode d’attaque : L’interface du portefeuille sécurisé est altérée Plateforme de la chaîne : Ethereum

Le 21 février, l’exchange de crypto-monnaies Bybit a été attaqué et environ 1,44 milliard de dollars de fonds ont été volés dans son portefeuille multisig Safe. En piratant les serveurs de Safe, les pirates ont implanté un code malveillant qui a remplacé les demandes de transaction normales, obligeant le signataire à signer la transaction falsifiée à son insu.

● Protocole Cetus - 224 millions de dollars

Méthode d’attaque : vulnérabilité contractuelle Plateforme de la chaîne : Sui

Le 22 mai, le protocole DEX Cetus sur l’écosystème Sui a été attaqué, et sa vulnérabilité provenait d’une erreur d’implémentation de l’opération shift-left dans le code de la bibliothèque open source. Par la suite, avec la coopération de la Fondation Sui et d’autres projets écologiques, 162 millions de dollars de fonds volés à Sui ont été gelés avec succès.

● Nobitex - 90 millions de dollars

Méthode d’attaque : pas encore claire Plateforme de la chaîne : multi-chaînes

Le 18 juin, Nobitex, la plus grande bourse de crypto-monnaies d’Iran, a annoncé qu’elle avait été piratée et avait perdu plus de 90 millions de dollars, impliquant une variété de crypto-monnaies telles que BTC, ETH, Doge, XRP, SOL, TRX et TON. Un groupe pro-israélien appelé « Gonjeshke Darande » a revendiqué la responsabilité de l’attaque et l’a qualifiée de frappe contre l’infrastructure crypto de l’Iran.

● Phemex - 70 millions de dollars

Méthode d’attaque : fuite de clé privée Plateforme de chaîne : multi-chaînes

Le 23 janvier, environ 70 millions de dollars d’actifs cryptographiques ont été volés dans le portefeuille chaud Phemex, une bourse de crypto-monnaie basée à Singapour, impliquant plusieurs actifs cryptographiques tels que ETH, SOL, BTC, BNB, USDT, etc.

● UPCX - 70 millions de dollars

Méthode d’attaque : vulnérabilité de contrôle d’accès Plateforme de la chaîne : Ethereum

Le 1er avril, UPCX a perdu environ 70 millions de dollars de jetons en raison d’un accès non autorisé. Les pirates ont mis à niveau le contrat ProxyAdmin d’UPCX et ont ensuite exécuté une fonctionnalité qui permettait aux administrateurs de retirer des fonds, ce qui entraînait le transfert de fonds à partir de trois comptes de gestion différents.

● Infini - 49,5 millions de dollars

Méthode d’attaque : vulnérabilité de gestion des autorisations Plateforme de la chaîne : Ethereum

Le 24 février, 49,5 millions de dollars ont été volés à Infini après qu’un développeur interne ait volé des fonds en améliorant le contrat en incitant l’équipe à conserver secrètement les privilèges de gestion des contrats.

● Abracadabra Finance - 13 millions de dollars

Méthode d’attaque : vulnérabilité contractuelle Plateforme de la chaîne : Ethereum

Le 25 mars, Abracadabra Finance, un protocole de prêt décentralisé, a perdu environ 13 millions de dollars en volant environ 6 262 ETH en raison d’une faille contractuelle.

● Protocole de Cork - 12 millions de dollars

Méthode d’attaque : vulnérabilité contractuelle Plateforme de la chaîne : Ethereum

Le 28 mai, le protocole Cork, un protocole d’actif d’ancrage sur la chaîne Ether, a été attaqué, et l’attaquant a réalisé un bénéfice de 12 millions de dollars grâce à une vulnérabilité logique dans le contrat du projet (les paramètres clés n’ont pas été vérifiés).

● BitoPro - 11,5 millions de dollars

Méthode d’attaque : fuite de clé privée Plateforme de chaîne : multi-chaînes

Le 2 juin, la bourse de crypto-monnaies BitoPro a publié une annonce confirmant l’attaque, affirmant que son portefeuille chaud avait été attaqué par des pirates lors de la récente mise à niveau du système de portefeuille et du transfert d’actifs cryptographiques, et que la sortie anormale de fonds de plusieurs portefeuilles chauds on-chain était d’environ 11,5 millions de dollars.

3. Le type de projet à attaquer

CEX est le type de projet avec le plus grand nombre de pertes

Le type de projet ayant subi les pertes les plus élevées au cours du premier semestre de l’année était celui des échanges centralisés, avec six attaques sur des échanges centralisés causant un total de plus de 1,591 milliard de dollars de pertes, dont la plus grande perte a été Bybit, avec une perte d’environ 1,44 milliard de dollars. Le reste des pertes les plus importantes a été Nobitex (environ 90 millions de dollars de pertes), Phemex (environ 70 millions de dollars de pertes), et Noones, BitoPro et Coinbase ont également été attaqués.

Le deuxième type le plus attaqué est la DeFi. Parmi eux, environ 224 millions de dollars ont été volés à Cetus Protocol, ce qui représente 69,1 % des fonds volés dans la DeFi, et le reste des projets DeFi avec des pertes plus importantes étaient Abracadabra Finance (13 millions de dollars), Cork Protocol (environ 12 millions de dollars), Resupply (environ 9,6 millions de dollars), zkLend (environ 9,5 millions de dollars), Ionic (environ 8,8 millions de dollars), Alex Protocole (environ 8,37 millions de dollars).

En outre, 2 incidents de sécurité se sont produits dans l’espace des paiements cryptographiques, avec une perte d’environ 120 millions de dollars, se classant au troisième rang parmi tous les types de projets. D’autres types de projets ont été attaqués, notamment : les navigateurs, les contrats de jetons, les ponts inter-chaînes, les rampes de lancement Memecoin, etc.

4. Le montant de la perte de chaque chaîne

Ethereum est la chaîne avec le plus grand nombre de pertes et le plus d’attaques

Comme les années précédentes, Ethereum est toujours la chaîne publique avec le plus grand nombre de pertes. Les 81 attaques contre Ethereum ont causé 1,739 milliard de dollars de dommages, soit 81,3 % des pertes totales.

La chaîne publique avec le deuxième plus grand nombre d’attaques est BNB Chain, avec 33 attaques causant une perte totale d’environ 42,53 millions de dollars. BNB Chain a un grand nombre d’attaques on-chain et des pertes relativement faibles, mais par rapport à la même période l’année dernière, le nombre d’attaques et le montant des pertes ont considérablement augmenté, et le montant des pertes a augmenté de 357 %.

Arbitrum et Base se sont classées troisième et quatrième, respectivement, avec des pertes de 21,2 millions de dollars et 13,05 millions de dollars, respectivement. Par rapport à la même période de l’année dernière, le nombre d’attaques sur la chaîne Arbitrum a augmenté, mais le montant des pertes a diminué de 71,8 % ; Le nombre d’attaques en chaîne de base et le montant des pertes ont considérablement augmenté, et le montant des pertes a augmenté de 294 %.

5. Analyse des méthodes d’attaque

70 % des attaques proviennent de vulnérabilités contractuelles

Au cours du premier semestre de l’année, il y a eu 63 attaques contre des vulnérabilités contractuelles, entraînant des pertes de 408 millions de dollars, le type d’attaque le plus important à l’exception du vol de Bybit en raison d’une faille dans l’infrastructure du portefeuille. Au cours du premier semestre de cette année, les pertes causées par la violation de clé privée ont été nettement inférieures à celles de la même période l’année dernière, mais les pertes totales étaient toujours supérieures à 102 millions de dollars.

Les trois principales vulnérabilités à l’origine des pertes sont les suivantes : les vulnérabilités de logique métier (356 millions de dollars), les défauts d’algorithme (21,37 millions de dollars) et les vulnérabilités de validation (12,7 millions de dollars). Les trois principales vulnérabilités contractuelles étaient les vulnérabilités de logique métier (45 fois), les vulnérabilités de contrôle d’accès (7 fois) et les défauts d’algorithme (5 fois).

6. Analyse des flux de fonds volés

Seuls 11,1 % des avoirs volés ont été gelés et récupérés

Selon l’analyse de la plateforme anti-blanchiment d’argent de Beosin KYT, environ 238 millions de dollars de fonds volés au cours du premier semestre 2025 ont été gelés ou récupérés, soit environ 11,1 %.

Environ 97,89 millions de dollars de fonds volés ont été transférés vers des bourses, ce qui représente environ 4,6 %. Au total, 278 millions de dollars (13,0 %) ont été versés au mélangeur : environ 19,46 millions de dollars ont été versés à Tornado Cash ; 259 millions de dollars ont été transférés à d’autres mélangeurs. Au cours du premier semestre 2025, il y a eu une augmentation significative des fonds volés par mélange de pièces et blanchiment par rapport à l’année dernière.

7. Résumé de la situation de la sécurité de la blockchain Web3 au premier semestre 2025

Par rapport au premier semestre 2024, les pertes totales causées par le piratage, les escroqueries par hameçonnage et le Rug Pull au cours du premier semestre de cette année ont considérablement augmenté, atteignant 2,138 milliards de dollars. Le nombre d’attaques et de pertes sur les exchanges et les écosystèmes de la chaîne publique grand public augmente dans l’ensemble, et la situation dans le domaine de la sécurité Web3 est toujours très grave.

L’attaque la plus dommageable du premier semestre de l’année a été le vol de Bybit, qui a représenté environ 67,4 % des pertes. Du point de vue des types de projets, les attaques sont partout dans le domaine du Web3 : échanges, DeFi, portefeuilles personnels, infrastructures, contrats de jetons, plateformes de paiement, navigateurs, plateformes de lancement de Memecoin, etc. Chaque propriétaire de projet Web3/utilisateur individuel doit être vigilant quant au stockage des clés privées hors ligne, à l’utilisation de plusieurs signatures, à l’utilisation de services tiers avec prudence et à la mise à jour régulière des autorisations et à la formation à la sécurité pour les employés privilégiés.

Seule une petite fraction des avoirs a été gelée ou recouvrée au cours du premier semestre de l’année, ce qui donne à penser que les efforts mondiaux de réglementation et de lutte contre le blanchiment de capitaux doivent encore être renforcés. Au cours du premier semestre de l’année, la proportion de fonds volés transférés par des pirates informatiques à la bourse a considérablement diminué, ce qui est lié au renforcement de la lutte contre le blanchiment d’argent, à l’identification rapide des comportements de piratage et à la coopération active avec les organismes d’application de la loi et les parties au projet pour geler les fonds et effectuer des vérifications. À l’heure actuelle, la coopération entre l’échange et les organismes d’application de la loi, les parties au projet et les équipes de sécurité a donné des résultats évidents, de sorte que les pirates sont plus susceptibles d’essayer de choisir une variété de mélangeurs de pièces pour le blanchiment de fonds.

Parmi les 90 attaques du premier semestre, 63 ont encore été exploitées par des vulnérabilités contractuelles, et il est recommandé que l’équipe du projet fasse appel à une société de sécurité professionnelle pour effectuer un audit avant de mettre en service. En tant que l’une des premières entreprises de sécurité blockchain au monde à se lancer dans la vérification formelle, Beosin se concentre sur l’activité écologique « sécurité + conformité » et a mis en place des succursales dans plus de 10 pays et régions du monde, couvrant des produits de conformité blockchain « à guichet unique » + des services de sécurité tels que l’audit de sécurité du code avant le lancement du projet, la surveillance des risques de sécurité et le blocage pendant l’exécution du projet, la récupération des vols, la lutte contre le blanchiment d’argent (AML) et l’évaluation de la conformité conformément aux exigences réglementaires locales.

Afficher l’original
Le contenu de cette page est fourni par des tiers. Sauf indication contraire, OKX n’est pas l’auteur du ou des articles cités et ne revendique aucun droit d’auteur sur le contenu. Le contenu est fourni à titre d’information uniquement et ne représente pas les opinions d’OKX. Il ne s’agit pas d’une approbation de quelque nature que ce soit et ne doit pas être considéré comme un conseil en investissement ou une sollicitation d’achat ou de vente d’actifs numériques. Dans la mesure où l’IA générative est utilisée pour fournir des résumés ou d’autres informations, ce contenu généré par IA peut être inexact ou incohérent. Veuillez lire l’article associé pour obtenir davantage de détails et d’informations. OKX n’est pas responsable du contenu hébergé sur des sites tiers. La détention d’actifs numériques, y compris les stablecoins et les NFT, implique un niveau de risque élevé et leur valeur peut considérablement fluctuer. Examinez soigneusement votre situation financière pour déterminer si le trading ou la détention d’actifs numériques vous convient.