Exploitation de la sécurité globale : Méthodes d'attaque de cœur lors de l'incident de 118 millions de dollars à la fin de l'année

2026-01-20 11:14:05

Les incidents de sécurité à la fin de l’année 2024 laissent des traces alarmantes : 118 millions de dollars perdus via des attaques cryptographiques rien que pour le mois de décembre. Ce chiffre dépasse les attentes de nombreux experts, reflétant la complexité croissante des stratégies d’attaque visant l’écosystème blockchain mondial. Un rapport de CertiK indique que le phishing reste l’outil principal des malfaiteurs, représentant 93,4 millions de dollars – soit 79 % des pertes totales – tandis que d’autres vulnérabilités technologiques continuent de créer des failles de sécurité que les utilisateurs ne détectent pas à temps.

Qu’est-ce qu’une vulnérabilité et pourquoi devient-elle la cible favorite des attaquants

Pour mieux comprendre les incidents de décembre, il faut connaître la notion de « vulnérabilité » – ce sont des failles dans le code source, les mécanismes de sécurité ou les processus de vérification que les attaquants peuvent exploiter. Ces vulnérabilités existent à plusieurs niveaux : du logiciel applicatif (tel que les applications de portefeuille), à l’infrastructure blockchain, jusqu’aux politiques de protection des données utilisateur.

Dans l’incident de décembre, les attaquants exploitent ces vulnérabilités de trois manières principales. Premièrement, ils utilisent des vulnérabilités sociales – création de sites web frauduleux, annonces d’airdrop non officielles et imitation des canaux de support officiels pour inciter les utilisateurs à révéler leur seed phrase ou leur clé privée. Deuxièmement, ils profitent de failles dans les contrats intelligents – erreurs de programmation permettant de retirer des fonds de manière non autorisée ou de manipuler les prix. Troisièmement, ils exploitent des processus de gestion des données faibles des protocoles, comme la fuite de clés d’authentification dans les processus de gouvernance.

Analyse détaillée : Les trois plus grosses exploitations et leurs méthodes d’attaque

Trust Wallet : vulnérabilité dans le modèle de mise à jour

Trust Wallet a perdu 8,5 millions de dollars lorsque des utilisateurs ont été dupés en installant une version falsifiée de l’extension de navigateur. Cette attaque exploite une vulnérabilité dans le processus de vérification d’identité de l’extension, permettant à une version malveillante de fonctionner comme la version officielle. Les attaquants ont lancé des campagnes publicitaires sur les réseaux sociaux pour distribuer des liens d’installation, puis l’extension falsifiée recueillait la seed phrase lorsque l’utilisateur la saisissait.

Flow : vulnérabilité dans le processus de gouvernance

La blockchain Flow a subi une perte de 3,9 millions de dollars en raison d’une vulnérabilité dans son mécanisme de gouvernance. Plus précisément, certains clés d’authentification des nœuds ont été divulguées lors d’un vote, permettant à des attaquants de se faire passer pour des nœuds légitimes et d’approuver des transactions non autorisées. Cet incident montre que même de grands protocoles ne disposent pas toujours de processus de sécurité complets pour leurs opérations de gestion.

Unleash Protocol : attaque par flash loan combinée à une manipulation de prix

Unleash Protocol a perdu 3,9 millions de dollars lors d’une attaque complexe. L’attaquant a utilisé un flash loan (pour emprunter rapidement une grande quantité de tokens sans fournir de garantie) pour manipuler le prix sur des échanges décentralisés, puis a exploité une faille dans la logique de tarification du protocole pour retirer plus que la valeur initiale. C’est une vulnérabilité très courante dans les nouveaux protocoles DeFi – dépendant du prix du marché sans mécanisme de vérification indépendant.

Le phishing en tête : 93,4 millions de dollars perdus via la technique sociale

Sur un total de 118 millions de dollars, 93,4 millions de dollars (79%) proviennent d’attaques de phishing – un chiffre qui reflète une tendance préoccupante. Les attaquants n’ont pas besoin d’exploiter des failles techniques complexes, ils profitent simplement de la psychologie humaine.

Les campagnes de phishing de décembre présentent plusieurs caractéristiques sophistiquées :

Attaques multi-chaînes : au lieu de cibler une seule blockchain, les attaquants déploient simultanément sur Ethereum, BNB Chain et Polygon. Cela leur permet de piéger des utilisateurs qui ne vérifient pas activement le réseau qu’ils utilisent.
Scripts de retrait automatique : après avoir pris le contrôle d’un portefeuille, des programmes automatisés sont déclenchés pour retirer tous les actifs – pas seulement un token, mais aussi des NFT, des récompenses de staking et autres actifs.
Ciblage de communautés spécifiques : au lieu d’envoyer des emails en masse, les attaquants utilisent des données publiques provenant de canaux Discord ou Telegram pour créer des annonces d’airdrop frauduleuses, très officielles en apparence.

Comparaison avec le passé récent : une tendance alarmante à la hausse

En regardant les chiffres des trois derniers mois de 2024, le tableau devient plus clair :

Octobre : 72 millions de dollars (de phishing, soit 68%)
Novembre : 86 millions de dollars (de phishing, soit 74%)
Décembre : 118 millions de dollars (de phishing, soit 79%)

Les données montrent deux tendances parallèles : une augmentation de 37 % des pertes par rapport à novembre (86 millions) et de 64 % par rapport à octobre (72 millions), tout en voyant la proportion de phishing dans les pertes totales continuer de croître. Cela signifie que les attaquants ne lancent pas seulement plus d’attaques, mais se concentrent aussi davantage sur des méthodes efficaces – la technique sociale.

Le nombre d’incidents majeurs a aussi augmenté, passant de 4 en octobre à 7 en décembre, mais la perte moyenne par incident a légèrement diminué (de 18 millions à environ 17 millions). Cela indique que l’étendue des attaques s’est élargie – elles ne ciblent pas uniquement les grands protocoles, mais aussi des projets plus petits.

Réaction de l’industrie : de la technique à l’éducation

CertiK et d’autres sociétés de sécurité ont formulé des recommandations concrètes :

Au niveau des protocoles :

Déployer des portefeuilles multisignatures (multisig) pour tous les fonds du système
Utiliser des transactions à verrouillage temporel (timelock) pour les transferts importants
Effectuer des audits de sécurité obligatoires avant le lancement mainnet
Mettre en place des oracles de prix provenant de sources indépendantes multiples plutôt qu’une seule

Au niveau des utilisateurs :

Activer la simulation de transaction (transaction simulation) pour prévisualiser les résultats
Utiliser un portefeuille matériel pour les montants importants
Vérifier chaque URL avant de connecter son portefeuille
Toujours confirmer les airdrops via les canaux officiels, ne jamais cliquer sur un lien dans un message privé

Les échanges décentralisés ont renforcé leurs interfaces d’alerte, les protocoles d’assurance étendent leur couverture, et des groupes de sécurité ont mis en place des processus de divulgation rapide des vulnérabilités. Cependant, tous ces efforts ne sont que des « soins » et non une « prévention totale » – car la nature ouverte et décentralisée de la blockchain implique que les vulnérabilités existeront toujours.

Perspectives 2025 : Les défis à venir

En entrant dans la nouvelle année, l’industrie doit faire face à des défis anticipés :

L’IA dans le phishing : les campagnes utilisant des modèles de langage avancés seront plus convaincantes, avec des emails et messages personnalisés basés sur des données publiques.
Interaction inter-chaînes : à mesure que les blockchains se connectent davantage, la surface d’attaque s’élargit – une faille sur une chaîne peut se propager à une autre.
Menaces quantiques : les standards cryptographiques actuels pourraient être brisés par des ordinateurs quantiques dans quelques années.

D’un autre côté, les outils de vérification formelle (formal verification) deviennent plus matures, et les réseaux de sécurité décentralisés (comme les groupes bug bounty dispersés) offrent de l’espoir. La course entre sécurité et attaque se poursuivra, mais avec de nouveaux outils des deux côtés.

Foire aux questions

Quelle proportion des pertes de décembre provient du phishing ?

Le phishing représente 79 % des pertes totales, soit 93,4 millions de dollars sur 118 millions selon le rapport de CertiK.

Quels projets ont subi les plus grosses pertes ?

Trust Wallet a perdu 8,5 millions de dollars, Flow 3,9 millions, et Unleash Protocol également 3,9 millions.

Les pertes ont-elles augmenté par rapport aux mois précédents ?

Oui, elles ont augmenté de 37 % par rapport à novembre (86 millions) et de 64 % par rapport à octobre 72 millions.

Comment éviter le phishing ?

Vérifier attentivement l’URL, activer la simulation de transaction, utiliser un portefeuille matériel pour les montants importants, ne pas cliquer sur des liens dans des messages privés, et confirmer les airdrops via les canaux officiels.

Le nombre d’incidents d’exploitation continue-t-il d’augmenter ?

Le nombre d’incidents majeurs est passé de 4 à 7 en trois mois, mais avec des améliorations en sécurité, certaines anciennes méthodes ont diminué – même si de nouvelles vulnérabilités apparaissent constamment.

FLOW-7,84%

ETH-6,61%

BNB-3,22%

Voir l'original

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.