Q3 2022 Blockchain Security Overview Un total de 37 exploits majeurs ont été surveillés, avec une perte totale d’environ 405 millions de dollars
1  ; Q3 2022 Blockchain Security Overview
(en anglais)
Un total de 37 exploits majeurs ont été surveillés, avec une perte totale d’environ 405 millions de dollars
Au troisième trimestre 2022, Beosin EagleEye a surveillé plus de 37 attaques majeures dans l’espace Web3, avec des pertes totales d’environ 405 millions de dollars, soit une baisse d’environ 43,6 % par rapport aux 718,34 millions de dollars du deuxième trimestre 2022 et une baisse de 59,6 % par rapport à la perte de 1 002,58 millions de dollars du troisième trimestre 2021.
De janvier à septembre 2022, les actifs perdus dans l’espace Web3 en raison d’attaques se sont élevés à 2 317,91 millions de dollars.
Croissances Q sur/on Q
Par rapport à chaque mois, le mois de juillet a connu une baisse significative des attaques, ce qui en fait le montant le moins élevé de pertes dues aux attaques depuis 2022. L’activité des pirates informatiques a augmenté de manière significative en août et en septembre.
En termes de types de projets, 92 % du montant perdu provenait des ponts cross-chain et des protocoles DeFi. 22 des 37 attaques ont eu lieu dans l’espace DeFi.
En termes de TVL, après une forte baisse de la TVL de mai à juin, la tendance de la TVL de chaque chaîne a eu tendance à être stable ce trimestre. La fin du mois de juillet et le début du mois d’août ont montré une légère tendance à la hausse de la TVL, qui a également été la période où le nombre d’attaques et le montant des pertes ont été les plus élevés au cours de ce trimestre.
En termes de chaînes, le montant des pertes sur Ethereum a atteint 374,28 millions de dollars ce trimestre, représentant 92 % du total des pertes. La chaîne la plus fréquemment attaquée est la chaîne BNB, qui a été attaquée 16 fois.
En termes de types d’attaques, 92 % des pertes ont été causées par des exploitations de vulnérabilité de contrat et des compromissions de clés privées.
En ce qui concerne les flux de fonds, environ 204,2 millions de dollars des fonds volés ont été versés dans Tornado Cash, ce qui représente environ 50,4 % des fonds volés au cours du trimestre. Seuls 4 % environ des fonds volés ont été récupérés au cours du trimestre.
En termes d’audits, seuls 40 % des projets rekt ont été audités.
2  ; Aperçu des exploits
Les attaques globales ont diminué au troisième trimestre par rapport au deuxième trimestre
Au troisième trimestre 2022, 37 attaques majeures ont été surveillées dans l’espace Web3, avec une perte totale d’environ 405 millions de dollars. Il y a eu deux attaques avec des pertes de 100 millions de dollars ou plus, trois attaques avec des pertes de 10 millions de dollars ou plus, et 14 attaques avec des pertes de 1 million de dollars ou plus. Les incidents de sécurité ayant entraîné des pertes supérieures à 100 millions de dollars sont Nomad Bridge (190 millions de dollars) et Wintermute (160 millions de dollars).
Montant des pertes du 3e trimestre par projet
Août 2022 a été le mois le plus actif pour les pirates informatiques au cours du trimestre, avec des pertes d’environ 210,62 millions de dollars. Les pertes totales dues aux attaques de juillet se sont élevées à 30,05 millions de dollars, ce qui en fait le montant le plus faible de pertes en un mois depuis 2022.
Q3 monthly loss amount & ; count
3  ; Types de projets rekt
Les ponts transversaux et les projets DeFi représentent 92% du montant des pertes
Q3 loss amount & ; count by category
Au troisième trimestre 2022, trois attaques de type cross-chain bridge ont entraîné une perte totale d’environ 190,25 millions de dollars ; 22 attaques dans l’espace DeFi ont entraîné une perte totale de 186,79 millions de dollars. Environ 92 % du montant des pertes dues aux attaques provenaient des protocoles cross-chain bridge et DeFi.
En septembre 2022, 10 incidents majeurs de sécurité liés aux ponts cross-chain ont eu lieu, entraînant des pertes de plus de 1,4 milliard de dollars. Les ponts inter-chaînes ont été la zone la plus touchée par les attaques en 2022.
Outre les ponts cross-chain et les protocoles DeFi, les autres types de projets attaqués ce trimestre comprenaient des NFT, des bourses, des DAO, des portefeuilles et des bots MEV, ce qui rend les types globaux plus diversifiés que le trimestre précédent.
4  ; Montant des pertes par chaîne
Les pertes sur l’Ethereum s’élèvent à 374,3 millions de dollars
Q3 loss amount & ; count by chain
12 attaques majeures ont eu lieu sur Ethereum ce trimestre, avec une perte totale de 374,28 millions de dollars, ce qui place la chaîne au premier rang. Solana a perdu 18,37 millions de dollars à cause de 3 exploits.
Les chaînes ayant subi des attaques majeures pendant deux trimestres consécutifs sont Ethereum, BNB Chain, Fantom et Avalanche.
BNB Chain a connu le plus grand nombre d’attaques, avec 16 exploits, et les projets correspondants ne sont pas audités. Les sommes d’argent impliquées dans ces 16 exploits sont relativement faibles, avec 14 incidents impliquant une perte unique de moins de 500 000 dollars.
Après avoir connu une forte baisse de la TVL entre mai et juin, la tendance de la TVL entre les chaînes s’est stabilisée ce trimestre. La TVL a affiché une légère tendance à la hausse entre fin juillet et début août, qui est également la période où le nombre d’attaques et le montant des pertes ont été les plus élevés ce trimestre. Le marché des crypto-monnaies a généralement évolué légèrement à la baisse en septembre. Après la fusion de l’Ethereum le 15 septembre, la TVL de l’Ethereum a connu une légère baisse continue.
Chain TVL
5  ; Analyse des types d’attaque
92% du montant perdu a été causé par des exploits de vulnérabilité de contrat et la compromission de clé privée
Q3 loss amount & ; count by attack type
Au troisième trimestre, les exploits de contrats sont restés le type d’attaque le plus courant. Une quinzaine d’attaques sont des exploitations de vulnérabilités contractuelles, soit 40,5 % du nombre total. Les pertes totales dues aux vulnérabilités contractuelles s’élèvent à 201,6 millions de dollars, soit 50,9 % des pertes totales.
Les quatre compromissions de clés privées de ce trimestre ont entraîné des pertes d’environ 167,24 millions de dollars, soit le deuxième montant le plus important après les exploitations de vulnérabilités contractuelles.
Par rapport au trimestre précédent, les types d’attaques de ce trimestre étaient plus variés. De nouveaux types d’attaques sont apparus ce trimestre, notamment le détournement de BGP, la mauvaise configuration et les attaques de la chaîne d’approvisionnement.
Q3 market share of loss amount by attack type
Part de marché du nombre de victimes par type d’attaque au 3ème trimestre
Selon les vulnérabilités contractuelles, les principales vulnérabilités exploitées ce trimestre sont les suivantes : problèmes de validation, réentrance, problèmes de permission, logique ou fonctions commerciales mal conçues et vulnérabilités de débordement. Ces vulnérabilités peuvent toutes être découvertes et corrigées au cours de la phase d’audit
Q3 loss amount & ; count by contract vulnerabilities
6  ; Récapitulatif d’un incident de sécurité typique
6.1  ; Incident de 190 millions de dollars pour le pont Nomad
Le 2 août, Nomad Bridge, une plateforme cross-chain qui prend en charge les transferts d’actifs sur Ethereum, Moonbeam, Avalanche, Evmos et Milkomeda, a subi un piratage massif qui a coûté 190 millions de dollars au projet.
6.2  ; Slope Wallet Incident sur Solana
Le 3 août, un incident à grande échelle de vol de portefeuille Slope s’est produit sur Solana, avec des pertes estimées à environ 6 millions de dollars.
6.3  ; Wintermute Private Key Compromise Incident
Le 20 septembre, le teneur de marché en crypto-monnaies Wintermute a été attaqué avec une perte de 160 millions de dollars en raison de la compromission d’une clé privée.
7  ; Analyse des flux de fonds
Approximativement 204,2 millions de dollars de fonds volés ont été versés à Tornado Cash
Le 8 août, l’Office of Foreign Assets Control (OFAC) du département du Trésor américain a sanctionné Tornado Cash, interdisant aux personnes ou organisations américaines d’interagir avec lui. Au troisième trimestre 2022, environ 204,2 millions de dollars de fonds volés ont encore transité par Tornado Cash, soit 50,4 % des fonds volés au cours de ce trimestre, ce qui est inférieur au deuxième trimestre.
Environ 182,3 millions de dollars des fonds volés sont restés dans l’adresse du pirate comme solde. Certains fonds volés ont été transférés à des adresses d’autres chaînes, et cette partie est toujours comptabilisée dans le solde de l’adresse du pirate.
Environ 16,6 millions de dollars d’actifs ont été récupérés par le biais de négociations sur la chaîne et de retours non sollicités de hackers white hat. Au troisième trimestre de 2022, seuls environ 4 % des fonds volés ont été récupérés, un pourcentage bien inférieur à celui du deuxième trimestre.
Environ 1,92 million de dollars d’actifs volés ont transité par des échanges tels que Binance et FixedFloat. Ces incidents concernent généralement un petit nombre d’actifs (généralement entre 10 000 et 100 000 dollars), et les pirates ont transféré les fonds volés vers les bourses immédiatement après l’attaque, de sorte que les projets n’ont pas réussi à contacter les bourses à temps pour geler les fonds.
Q3 fund flows
8  ; Analyse d’audit de projet
Seulement 40% des projets ont été audités
En 2022, le pourcentage de projets rekt qui ont été audités étaient : 70 % au premier trimestre, 52 % au deuxième trimestre et 40 % au troisième trimestre. Le pourcentage de projets de rekt non audités montre une tendance à la hausse trimestre après trimestre.
Si audité – compte
Si vérifié – montant
De tous les projets rekt, les projets audités ont perdu un total de 375,48 millions de dollars, et les projets non audités ont perdu environ 29,56 millions de dollars en attaques. À première vue, il pourrait sembler que les audits n’ont pas servi à protéger la sécurité du fonctionnement des projets. Cependant, une analyse plus approfondie montre que la plupart de ces projets audités ont été attaqués par des problèmes de niveau non contractuel tels que la compromission de clés privées, les attaques de la chaîne d’approvisionnement, les attaques DNS, le détournement BGP et la mauvaise configuration. Parmi les projets non audités, 85% ont été causés par des vulnérabilités contractuelles ou des attaques de type « flashloan ».
On peut constater que les audits professionnels sont toujours efficaces pour sécuriser le projet au niveau du contrat dans une certaine mesure. Cependant, le fonctionnement sûr d’un protocole exige également un bon travail de contrôle des risques hors ligne, la garde de la clé privée, la vigilance face aux attaques traditionnelles de sécurité du réseau et l’utilisation prudente de composants tiers. Bien sûr, dans ce trimestre, il y a aussi quelques vulnérabilités qui auraient dû être découvertes dans la phase d’audit mais qui n’ont pas été présentées dans le rapport d’audit, il est donc recommandé que le projet fasse appel à une société de sécurité professionnelle pour mener l’audit.
