Les piratages de WazirX et BingX sont en tête du troisième trimestre, représentant 69,5 % des pertes

À eux seuls, deux piratages ont été responsables de plus de 69 % des fonds perdus par les cybercriminels au troisième trimestre 2024, WazirX et BingX étant en tête.

La société de sécurité blockchain Immunefi a publié le 26 septembre son rapport sur les pertes en crypto-monnaies du troisième trimestre 2024, enregistrant une baisse de 40 % d'une année sur l'autre des pertes dues aux piratages et aux escroqueries.

L’année dernière, des pirates informatiques et des fraudeurs ont réussi à mettre la main sur plus de 685 millions de dollars d’actifs cryptographiques.

Bien que cela semble être une évolution positive à première vue, la gravité des piratages individuels sur les échanges centralisés reste préoccupante.

L'entreprise de sécurité a signalé un total de 34 incidents réussis et semi-réussis comprenant à la fois des piratages et des fraudes.

Les piratages informatiques restent la principale cause de pertes, représentant 99,25 %, tandis que les incidents impliquant des fraudes ne représentent que 0,75 %.

Les plateformes centralisées restent la cible privilégiée des acteurs malveillants, avec 74,8 % des fonds perdus ce trimestre provenant de ces entités. Cela représente également une augmentation de 66,4 % par rapport à l'année précédente.

Cependant, les attaques sur les plateformes décentralisées ont diminué d'environ 80 %, bien qu'elles représentent 31 des 34 incidents.

La gestion des clés privées, un problème pour les échanges centralisés

La victime la plus importante du troisième trimestre a été la bourse crypto indienne WazirX, qui a perdu environ 235 millions de dollars.

Le 18 juillet, des pirates informatiques inconnus ont piraté les portefeuilles chauds de la bourse et plus de 100 millions de dollars en Shiba Inu (SHIB) et 52 millions de dollars en Ether ont été siphonnés.

Le portefeuille compromis contenait 45 % du total des fonds des clients de la bourse et, par conséquent, l'attaque a gravement affecté la capacité de la bourse à maintenir un soutien aux actifs de 1:1.

Les experts ont émis l'hypothèse que l'attaque aurait probablement eu lieu en raison d'une clé privée compromise, qui a permis à l'attaquant de manipuler un contrat intelligent et de transférer le contrôle du portefeuille chaud.

De même, BingX, basé à Singapour, a perdu environ 52 millions de dollars sur son portefeuille chaud le 20 septembre.

La bourse a réussi à geler 10 millions de dollars des fonds volés et à limiter certains dégâts, mais le pirate a réussi à s'enfuir avec le reste.

Ces deux incidents ont à eux seuls représenté 69,5 % des pertes du troisième trimestre, avec environ 287 millions de dollars de pertes combinées.

Parmi les trois incidents visant les CEX, l'indonésien Indodax a été le moins touché, perdant 22 millions de dollars de son portefeuille chaud.

Le fondateur d'Immunefi, Mitchell Amadour, a averti que la gestion des clés privées reste un « problème d'infrastructure » clé, ajoutant que les plateformes centralisées ne parviennent souvent pas à mettre en œuvre des audits de sécurité et des plans d'urgence appropriés pour la gestion des clés privées, essentiels pour maintenir l'auto-garde des actifs cryptographiques.

Pertes par chaîne

Ethereum a été le réseau blockchain le plus ciblé, avec 15 incidents signalés, suivi de BNB Chain, soutenu par Binance, avec huit incidents.

Ensemble, les deux réseaux ont représenté plus de 50 % de toutes les attaques, principalement en raison de leur taille et de leur popularité.

Il est intéressant de noter que Solana, classé troisième en termes de valeur totale verrouillée, n'a eu qu'un seul incident signalé, tandis que la plus petite chaîne Base, développée par Coinbase, en a enregistré deux.