Rapport 2023 sur le paysage de la sécurité Web3 et l’analyse de la lutte contre le blanchiment d’argent

Auteur(s) : Équipe de recherche Beosin Mario, Tian Daxia Donny

Cet article est la première partie de la « Situation de la sécurité de la blockchain Web3 2023, examen de l’analyse AML et résumé des principales politiques réglementaires dans l’industrie de la cryptographie », ne montrant que la partie du rapport sur la situation de la sécurité, et les politiques réglementaires et autres contenus peuvent être trouvés dans le « 2023 Global Web3 Virtual Asset Industry Regulatory Policies and Event Observation ».

Présentation

Initié par la Blockchain Security Alliance et co-créé par les membres de l’Alliance Beosin, Web3 Law et Elven, ce rapport de recherche vise à discuter de manière exhaustive du paysage mondial de la sécurité de la Blockchain et des principales politiques réglementaires de l’industrie de la cryptographie en 2023. Grâce à une analyse et à une évaluation de l’état actuel de la sécurité de la blockchain dans le monde, le rapport révélera les défis et les menaces de sécurité actuels et fournira des solutions et des meilleures pratiques. Dans le même temps, le rapport examinera également les positions et les orientations politiques des gouvernements et des régulateurs en matière de réglementation de l’industrie des crypto-monnaies afin d’aider les lecteurs à comprendre les changements dynamiques de l’environnement réglementaire et les impacts possibles.

Grâce à ce rapport, les lecteurs seront en mesure d’acquérir une compréhension plus complète de l’évolution dynamique du paysage de la sécurité de la Blockchain Web3 et des principaux points à retenir des politiques réglementaires. Cela aidera les lecteurs à évaluer et à relever les défis de sécurité auxquels est confronté l’espace Blockchain, et à promouvoir le développement durable de l’industrie tout en se conformant aux exigences réglementaires. En outre, les lecteurs peuvent également obtenir des conseils utiles du rapport sur les mesures de sécurité, les exigences de conformité et l’orientation de l’industrie pour les aider à prendre des décisions et des actions éclairées dans ce domaine émergent. La sécurité et la réglementation de la blockchain sont des questions clés dans le développement de l’ère Web3. Grâce à des recherches et des discussions approfondies, nous pouvons mieux comprendre et répondre à ces défis et promouvoir la sécurité et le développement durable de la technologie Blockchain.

1, Vue d’ensemble du paysage de la sécurité de la blockchain Web3 2023

Selon la plateforme EagleEye de la société d’audit de sécurité Blockchain Beosin, la perte totale dans le secteur du Web3 due aux attaques de pirates, aux escroqueries par hameçonnage et à Rug Pull a atteint 2,02 milliards de dollars en 2023. Parmi eux, il y a eu 191 attaques avec une perte totale d’environ 1,397 milliard de dollars, 267 incidents Rug Pull avec une perte totale d’environ 388 millions de dollars et une perte totale d’environ 238 millions de dollars due à des escroqueries par hameçonnage.

**En 2023, les attaques de pirates, les escroqueries par hameçonnage et les incidents de Rug Pull ont tous diminué de manière significative par rapport à 2022, avec une baisse totale de 53,9 %. **Parmi eux, les attaques de pirates informatiques ont le plus chuté, passant de 3,6 milliards de dollars en 2022 à 1,397 milliard de dollars en 2023, soit une baisse d’environ 61,2 %. Les pertes liées à la fraude par hameçonnage ont diminué de 33,2 % par rapport à 2022, et les pertes liées au Rug Pull ont diminué de 8,8 % par rapport à 2022.

En 2023, il y aura 4 attaques avec des pertes de plus de 100 millions de dollars américains, et 17 attaques avec des pertes de l’ordre de 10 millions de dollars américains à 100 millions de dollars américains. **Les 10 principaux incidents de sécurité ont représenté environ 1 milliard de dollars de pertes totales, soit 71,5 % du total des incidents d’attaque annuels. **

**Les types de projets attaqués en 2023 sont plus étendus qu’en 2022, notamment la finance décentralisée, le CEX, le DEX, les chaînes publiques, les ponts d’interaction inter-chaînes, les portefeuilles, les plateformes de paiement, les plateformes de jeux, les courtiers en cryptomonnaies, l’infrastructure, les gestionnaires de mots de passe, les outils de développement, les bots MEV, les bots TG et bien d’autres. **La finance décentralisée est le type de projet avec la plus grande fréquence d’attaques et le plus grand nombre de pertes, avec 130 attaques de finance décentralisée causant une perte totale d’environ 408 millions de dollars.

En 2023, les types de chaînes publiques avec des attaques seront plus fréquents, et il y aura de multiples incidents de sécurité volés sur plusieurs chaînes. Ethereum a continué d’être la chaîne publique la plus déficitaire, avec 71 attaques Ethereum causant 766 millions de dollars de pertes, soit 54,9 % des pertes totales de l’année.

Du point de vue des méthodes d’attaque, 30 fuites de clés privées ont causé un total d’environ 627 millions de dollars de pertes, ce qui représente 44,9 % des pertes totales, ce qui est la méthode d’attaque la plus coûteuse. L’exploitation des vulnérabilités contractuelles est la méthode d’attaque la plus fréquente, avec 99 incidents d’attaque sur 191 provenant de l’exploitation des vulnérabilités contractuelles, soit 51,8 %.

**Environ 295 millions de dollars de fonds volés ont été récupérés au cours de l’année, ce qui représente environ 21,1 %, ce qui représente une augmentation importante par rapport à 2022. **Environ 330 millions de dollars de fonds volés ont été transférés à des mélangeurs tout au long de l’année, ce qui représente 23,6 % du total des fonds volés.

Contrairement aux attaques de pirates informatiques on-chain, aux escroqueries par hameçonnage et à une baisse significative de la quantité de Rug Pull, les données sur la criminalité cryptographique hors chaîne augmenteront considérablement en 2023. En 2023, la criminalité mondiale dans l’industrie des cryptomonnaies a atteint le chiffre stupéfiant de 65,688 milliards de dollars, en hausse d’environ 377 % par rapport aux 13,76 milliards de dollars de 2022. **Les trois principaux types de crimes impliquant de l’argent sont les jeux d’argent en ligne, le blanchiment d’argent et la fraude. **

2. Top 10 des événements de sécurité dans l’écosystème Web3 en 2023

En 2023, quatre attaques ont perdu plus de 100 millions de dollars : Mixin Network (200 millions de dollars), Euler Finance (197 millions de dollars), Poloniex (126 millions de dollars) et HTX & Heco Bridge (110 millions de dollars). Les 10 principaux incidents de sécurité ont représenté environ 1 milliard de dollars de pertes totales, soit 71,5 % du total des incidents d’attaque annuels.

No.1MixinNetwork

Montant de la perte : 200 millions de dollars

Méthode d’attaque : attaque de la base de données du fournisseur de services cloud

Tôt le matin du 23 septembre, la base de données du fournisseur de services cloud Mixin Network a été piratée, entraînant la perte de certains actifs sur le réseau principal, impliquant environ 200 millions de dollars. Le 25 septembre, le fondateur de Mixin a expliqué publiquement l’incident lors d’une émission en direct, affirmant que les actifs endommagés étaient principalement des actifs de base en bitcoins, et que des actifs tels que BOX et XIN n’avaient pas été sérieusement volés, et que la situation spécifique de l’attaque ne pouvait pas être divulguée.

N°2****EulerFinance

Montant de la perte : 197 millions de dollars

Méthode d’attaque : vulnérabilité contractuelle - problème de logique métier

Le 13 mars, le protocole de prêt de la finance décentralisée Euler Finance a été attaqué, causant une perte d’environ 197 millions de dollars. La cause première de l’attaque est que le contrat ne vérifie pas correctement le nombre de jetons réellement détenus par l’utilisateur et l’état de santé du registre de l’utilisateur après le don. Tous les fonds volés lors de l’incident ont été restitués par les attaquants.

No.3****Poloniex

Montant de la perte : 126 millions de dollars

Méthode d’attaque : Fuite de clé privée / attaque APT

Le 10 novembre, l’adresse d’échange Poloniex de Justin Sun a continué de transférer d’importantes quantités d’actifs, soupçonnés d’avoir été volés. Immédiatement après, Sun Yuchen et Poloniex ont publié une annonce sur les plateformes sociales pour confirmer le vol. Selon le suivi de l’équipe de sécurité de Beosin à l’aide de Beosin Trace, environ 126 millions de dollars d’actifs volés à Poloniex ont été accumulés.

No.4****HTX&HecoBridge

Montant de la perte : 110 millions de dollars

Méthode d’attaque : Fuite de clé privée

Le 22 novembre, l’échange HTX de Justin Sun et le pont d’interaction inter-chaînes Heco Bridge ont été piratés, avec une perte totale de 110 millions de dollars, dont 86,6 millions de dollars pour Heco Bridge et environ 23,4 millions de dollars pour HTX.

No.5****Curve/Vyper

Montant de la perte : 73 millions de dollars

Méthode d’attaque : vulnérabilité contractuelle-rentrante

Tôt le matin du 31 juillet, le langage de programmation Ethereum Vyper a tweeté que les versions 0.2.15, 0.2.16 et 0.3.0 de Vyper comportaient des verrous et des vulnérabilités réentrants, et que le ETH natif peut ajuster le rappel lors du transfert, ce qui entraîne plusieurs pools de lp de ceux-ci et ETH groupes peuvent être des attaques de réentrée. Ensuite, le message Twitter officiel de Curve indiquait que de nombreux pools de Stable Coin (alETH/msETH/pETH) utilisant Vyper 0.2.15 avaient été attaqués en raison d’une défaillance du verrou rentrant. La perte de cet incident est d’environ 73 millions de dollars.

No.6CoinEx

Montant de la perte : 70 millions de dollars

Méthode d’attaque : Fuite de clé privée / attaque APT

Le 12 septembre, l’échange de crypto-monnaies CoinEX a publié une déclaration indiquant que le système de contrôle des risques avait détecté une activité de retrait importante suspecte dans le portefeuille chaud utilisé pour stocker temporairement les actifs de trading de la plateforme, et qu’une équipe spéciale avait été mise en place pour intervenir dans un premier temps, et que l’incident impliquait principalement des actifs symboliques tels que ETH, TRON et Polygon, avec un montant volé d’environ 70 millions de dollars.

No.7****AtomicWallet

Montant de la perte : 67 millions de dollars

Méthode d’attaque : Fuite de clé privée / attaque APT

Selon la plate-forme de surveillance des risques de sécurité, d’alerte précoce et de blocage EagleEye de Beosin, Atomic Wallet a été attaqué au début du mois de juin, et selon l’équipe de Beosin, les dommages causés par l’attaque étaient d’au moins environ 67 millions de dollars.

No.8Alphapo

Montant de la perte : 60 millions de dollars

Méthode d’attaque : Fuite de clé privée / attaque APT

Le 23 juillet, le fournisseur de services de paiement Crypto Assets Alphapo Hot Wallet a été volé, perdant un total de 60 millions de dollars. L’incident a été perpétré par Lazarus, un groupe de hackers nord-coréens.

No.9KyberSwap

Montant de la perte : 54,7 millions de dollars

Méthode d’attaque : vulnérabilité contractuelle - problème de logique métier

Le 22 novembre, le projet DEX KyberSwap a été attaqué, causant une perte totale d’environ 54,7 millions de dollars. Kyber Network a déclaré que l’attaque de piratage était l’une des plus sophistiquées de l’histoire de la finance décentralisée, et que les attaquants devraient effectuer une série d’opérations précises sur la chaîne pour exploiter la vulnérabilité.

No.10****Stake.com

Montant de la perte : 41,3 millions de dollars

Méthode d’attaque : Fuite de clé privée / attaque APT

Le 4 septembre, la plateforme de jeux d’argent crypto Stake.com a été touchée par une attaque de pirate informatique. À la suite de l’attaque, Stake.com a déclaré que des transactions non autorisées avaient eu lieu sur ses ETH et BSC, qu’une enquête était en cours et que les dépôts et les retraits reprendraient dès que possible après que le portefeuille ait été entièrement sécurisé. L’incident a été perpétré par Lazarus, un groupe de hackers nord-coréens.

3. Le type de projet à attaquer

Par rapport à 2022, les types de projets attaqués en 2023 sont plus importants, et le montant des pertes n’est plus concentré sur certains types de projets. En plus des types courants tels que la finance décentralisée, CEX, DEX, les chaînes publiques, les ponts d’interaction inter-chaînes, les portefeuilles, etc., les attaques de pirates informatiques en 2023 sont également apparues sur les plateformes de paiement, les plateformes de jeux d’argent, les courtiers en cryptomonnaies, les infrastructures, les gestionnaires de mots de passe, les outils de développement, les bots MEV, les bots TG et d’autres types de projets.

**Sur les 191 attaques en 2023, les projets de finance décentralisée représentaient 130 (environ 68 %), ce qui en fait le type de projet le plus attaqué. **Le montant total des pertes des attaques de finance décentralisée est d’environ 408 millions de dollars, ce qui représente 29,2 % de toutes les pertes, et c’est également le type de projet avec le plus grand nombre de pertes.

En deuxième position en termes de pertes, on trouve CEX (Centralized Exchange), avec un total de 275 millions de dollars de pertes dues à 9 attaques. EN OUTRE, 16 ATTAQUES ONT EU LIEU DANS LE TYPE DEX (DEX EXCHANGE), AVEC UNE PERTE TOTALE D’ENVIRON 85,68 MILLIONS DE DOLLARS. Dans l’ensemble, les types d’échange connaîtront des incidents de sécurité fréquents en 2023, et la sécurité des échanges est le deuxième plus grand défi après la sécurité de la finance décentralisée.

La troisième perte la plus importante a été la chaîne publique, avec une perte d’environ 208 millions de dollars, principalement due au vol de 200 millions de dollars de Mixin Network.

**En 2023, les pertes d’interaction inter-chaînes se classent au 4e rang, représentant environ 7 % de toutes les pertes. **En 2022, 12 incidents de sécurité d’interaction inter-chaînes ont causé environ 1,89 milliard de dollars de pertes, soit 52,5 % des pertes totales cette année-là. En 2023, il y aura une réduction significative des incidents de sécurité Cross-Chain Interaction.

En cinquième position se trouve la plate-forme de paiement cryptographique, avec une perte totale d’environ 97,3 millions de dollars dans 2 incidents de sécurité (Alphapo et CoinsPaid), que Hacker pointe tous deux vers l’organisation APT nord-coréenne Lazarus.

4. Le montant de la perte de chaque chaîne

**Par rapport à 2022, les types de chaînes publiques avec des attaques en 2023 sont également plus étendus, principalement en raison de multiples fuites de clés privées CEX en 2023, avec des pertes sur plusieurs chaînes. **Les cinq premiers en termes de dégâts sont Ethereum, Mixin, HECO, BNB Chain, TRON ; les cinq premiers en nombre d’attaques sont BNB Chain, Ethereum, Arbitrum, Polygon, Optimism et Avalanche (5e ex æquo).

Comme en 2022, Ethereum est toujours la chaîne publique avec le plus grand nombre de pertes. Les 71 attaques contre Ethereum ont causé 766 millions de dollars de dommages, soit 54,9 % des pertes totales de l’année.

La chaîne Mixin s’est classée deuxième en termes de pertes, avec une seule perte liée à un incident de sécurité de 200 millions de dollars. En troisième place se trouvait HECO, avec une perte d’environ 92,6 millions de dollars.

Il y a eu 76 attaques sur BNB Chain, ce qui représente 39,8 % du nombre total d’attaques, le plus grand nombre d’attaques de toutes les plateformes de chaînes. La perte totale sur BNB chaîne s’élevait à environ 70,81 millions de dollars, la grande majorité des incidents (88 %) étant concentrés en dessous de 1 million de dollars.

5. Analyse des méthodes d’attaque

Par rapport à 2022, les méthodes d’attaque en 2023 sont plus diversifiées, notamment en ajoutant une variété de méthodes d’attaque Web2, notamment : les attaques de bases de données, les attaques de la chaîne d’approvisionnement, les attaques de fournisseurs de services tiers, les attaques de l’homme du milieu, les attaques DNS, les attaques front-end, etc. **

En 2023, 30 violations de clés privées ont causé un total de 627 millions de dollars de pertes, soit 44,9 % des pertes totales, ce qui en fait les méthodes d’attaque les plus coûteuses. Les violations de clés privées qui ont causé des pertes importantes sont les suivantes : Poloniex (126 millions de dollars), HTX & Heco Bridge (110 millions de dollars), CoinEx (70 millions de dollars), Atomic Wallet (67 millions de dollars) et Alphapo (60 millions de dollars). **La plupart de ces événements sont liés à Lazarus, un groupe APT nord-coréen. **

L’exploitation des vulnérabilités contractuelles est la méthode d’attaque la plus fréquente, avec 99 incidents d’attaque sur 191 provenant de l’exploitation des vulnérabilités contractuelles, soit 51,8 %. La perte totale attribuable à la rupture du contrat s’est élevée à 430 millions de dollars, ce qui représente le deuxième montant de perte en importance.

Les vulnérabilités de la logique métier représentent environ 72,7 % des pertes causées par les vulnérabilités des contrats, ce qui représente une perte totale d’environ 313 millions de dollars. La deuxième plus grande vulnérabilité contractuelle était la réentrée, avec 13 vulnérabilités de réentrée causant des pertes d’environ 93,47 millions de dollars.

6. Analyse des méthodes d’attaque dans des cas typiques

6.1 Résumé de l’incident de sécurité d’EulerFinance

Le 13 mars, Euler Finance, un projet de prêt sur la chaîne Ethereum, a été attaqué par un flash loan, avec des pertes atteignant 197 millions de dollars.

Le 16 mars, la Fondation Euler a offert une récompense d’un million de dollars pour toute information susceptible d’aider à appréhender Hacker et à restituer les fonds volés.

Le 17 mars, Michael Bentley, PDG d’Euler Labs, a tweeté qu’Euler « a toujours été un projet soucieux de la sécurité ». De mai 2021 à septembre 2022, Euler Finance a été audité 10 fois par 6 sociétés de sécurité Blockchain, dont Halborn, Solidified, ZK Labs, Certora, Sherlock et Omnisica.

Du 18 mars au 4 avril, les assaillants ont commencé à restituer des fonds les uns après les autres. Au cours de cette période, l’agresseur s’est excusé par le biais de messages sur la chaîne, affirmant qu’il avait « gâché l’argent, le travail et la vie d’autres personnes » et a demandé pardon à tout le monde.

Le 4 avril, Euler Labs a tweeté que les attaquants avaient restitué tous les fonds volés après une négociation réussie.

Analyse des vulnérabilités

Dans cette attaque, la fonction donateToReserves du contrat Etoken n’a pas correctement vérifié le nombre de Tokens réellement détenus par l’utilisateur et l’état de santé du registre de l’utilisateur après le don. Un attaquant a exploité cette vulnérabilité et a fait don de 100 millions d’eDAI, alors qu’en réalité, l’attaquant n’a misé que 30 millions de DAI.

Étant donné que l’état de santé du grand livre de l’utilisateur remplit les conditions de liquidation après la donation, le contrat de prêt est déclenché pour liquider. Au cours du processus de liquidation, eDAI et dDAI sont transférés au contrat de liquidation. Cependant, en raison du montant très important des créances irrécouvrables, le contrat de liquidation appliquera l’escompte maximum pour la liquidation. À la fin de la liquidation, le contrat de liquidation compte 310,93 millions d’eDAI et 259,31 millions de dDAI.

À ce stade, l’état de santé du registre de l’utilisateur a été restauré et l’utilisateur peut retirer des fonds. Le montant qui peut être retiré correspond à la différence entre l’eDAI et le dDAI. Mais il n’y a en fait que 38,9 millions de DAI dans le pool, de sorte que les utilisateurs ne peuvent retirer que ce montant.

6.2Événements de sécurité Vyper/Curve

Résumé de l’événement

Le 31 juillet, le langage de programmation Ethereum Vyper a tweeté que les versions 0.2.15, 0.2.16 et 0.3.0 de Vyper présentaient des verrous et des vulnérabilités réentrants. Curve a déclaré que plusieurs pools de Stable Coin (CRV / alETH / msETH / pETH) utilisant Vyper 0.2.15 ont été attaqués, avec des pertes totales s’élevant à 73 millions de dollars, et environ 52,3 millions de dollars ont ensuite été retournés par Hacker.

Analyse des vulnérabilités

Cette attaque est principalement causée par l’échec du verrou anti-rentrant de Vyper 0.2.15, l’attaquant a ajouté la liquidité par la fonction de ré-entrée add_liquidity lors de l’appel de la fonction remove_liquidity du pool de liquidité concerné pour supprimer la liquidité, car la mise à jour du solde précède la fonction add_liquidity réentrante, ce qui entraîne une erreur dans le calcul du prix.

7. Analyse et examen des événements typiques de lutte contre le blanchiment d’argent

7.1 Étui volé pour le portefeuille AtomicWallet

Selon la plate-forme de surveillance des risques de sécurité, d’alerte précoce et de blocage EagleEye de Beosin, Atomic Wallet a été attaqué au début du mois de juin de cette année, et selon l’équipe de Beosin, les dommages causés par l’attaque étaient d’au moins environ 67 millions de dollars.

Selon l’analyse de l’équipe de Beosin, la chaîne impliquée dans le vol comprend jusqu’à présent un total de 21 chaînes, dont BTC, ETH et TRX. Les fonds volés sont principalement concentrés sur la chaîne Ethereum. Où:

La chaîne Ethereum a identifié 16 262 ETH d’argent virtuel, soit environ 30 millions de dollars.

TRON CHAINTRON CHAIN EST CONNU POUR AVOIR VOLÉ DES FONDS DANS 251335387.3208 TRX D’UNE VALEUR D’ARGENT VIRTUEL, ENVIRON 17 MILLIONS DE DOLLARS.

BTC Chaîne Les fonds volés connus de la chaîne BTC sont de 420,882 BTC d’argent virtuel, soit l’équivalent de 12,6 millions de dollars.

BSC Chain La chaîne BSC est connue pour avoir volé des fonds d’une valeur de 40,206266 BNB d’argent virtuel.

Le reste de la chaîne XRP : 1676015 XRP, environ 840 000 $ LTC : 2839.873689 LTC, environ 220 000 $ DOGE : 800575.67369797 DOGE, environ 50 000 $

Prenons un exemple de blanchiment d’argent sur la chaîne Ethereum

Dans l’opération du pirate sur l’argent volé, il existe deux façons principales pour Ethereum d’être attaqué :

Avalanche Cross-Chain InteractionBlanchiment d’argent après divergence par le biais de contrats

Selon l’analyse de l’équipe Beosin, le Hacker échangera d’abord les pièces de valeur du portefeuille contre la devise principale de la chaîne publique, puis les collectera par le biais de deux contrats.

Le package d’adresses de contrat ETH dans WETH par le biais d’un transit à deux couches, puis transfère WETH vers le contrat utilisé pour diverger ETH, et le transfère vers WalletAddress d’Avalanche pour Cross Bridge via jusqu’à cinq couches d’échange pour les opérations d’interaction inter-chaînes, l’interaction inter-chaînes qui n’est pas effectuée à l’aide d’un contrat et appartient au type de transaction de comptabilité interne d’Avalanche.

Le diagramme de liaison Ethereum est le suivant :

Contrat de convergence n° 1 :

0xe07e2153542eb4b768b4d73081143c90d25f1d58 Au total, 3357,0201 ETH ont été impliqués

Passez au WETH et passez au contrat 0x3c3ed2597b140f31241281523952e936037cbed3

La carte détaillée de l’itinéraire des biens volés est la suivante :

Le contrat de convergence 2 :0x7417b428f597648d1472945ff434c395cca73245 a porté sur un total de 3009,8874 ETH

Pirate converti en WETH et transféré en contrat 0x20deb1f8e842fb42e7af4c1e8e6ebfa9d6fde5a0

La carte détaillée de l’itinéraire des biens volés est la suivante :

Les deux contrats de convergence sont confirmés en se mettant d’accord sur la source des frais, et certains n’ont pas d’adresse de transaction cachée. Le chemin des frais est le suivant :

De plus, sur la chaîne Ethereum, Hacker blanchit également de l’argent par le biais de divers protocoles et échanges de ponts d’interaction inter-chaînes, et cette partie est actuellement comptée comme 9896 ETH, et cette partie sera collectée par le biais de plusieurs adresses d’agrégation.

Dans l’ensemble, il existe de nombreux canaux de blanchiment d’argent Hacker, principalement par le biais de divers comptes d’échange pour le blanchiment d’argent, et il y a également des entrées directes dans les contrats de pont d’interaction inter-chaînes.

8. Analyse des flux de fonds des avoirs volés

Environ 723 millions de dollars des fonds volés pour l’ensemble de l’année 2023 sont restés dans HackerAddress (y compris les transferts par interaction inter-chaînes et les dispersions à travers plusieurs adresses), ce qui représente 51,8 % du total des fonds volés. Cette année, Hacker est plus enclin à utiliser plusieurs interactions inter-chaînes pour le blanchiment d’argent et à répartir les fonds volés sur de nombreuses adresses que l’année dernière. L’augmentation du nombre d’adresses et la complexité des voies de blanchiment d’argent ont sans aucun doute accru la difficulté d’enquête pour les parties au projet et les régulateurs.

Environ 295 millions de dollars de fonds volés ont été récupérés, ce qui représente environ 21,1 %. En 2022, seuls 8 % des fonds ont été récupérés. Le recouvrement des fonds volés en 2023 est nettement meilleur qu’en 2022, la majorité provenant de rendements négociés on-chain.

Environ 330 millions de dollars de fonds volés ont été transférés à des mélangeurs tout au long de l’année (environ 71,16 millions de dollars à Tornado Cash et 259 millions de dollars à d’autres plateformes de mélange), ce qui représente 23,6 % du total des fonds volés. Il s’agit d’une baisse importante par rapport aux 38,7 % de l’an dernier. Depuis que l’OFAC américain a sanctionné Tornado Cash en août 2022, le montant des fonds volés transférés à Tornado Cash a considérablement diminué et a été remplacé par une augmentation de l’utilisation d’autres plateformes de mixage, telles que Sinbad, FixedFloat, etc. En novembre 2023, l’OFAC des États-Unis a ajouté Sinbad à sa liste de sanctions, le qualifiant de « principal véhicule de blanchiment d’argent de l’organisation nord-coréenne Lazarus ».

En outre, un petit nombre de fonds volés (12,79 millions de dollars) ont été transférés à la bourse, et un petit nombre de fonds volés (10,9 millions de dollars) ont été gelés.

9. Analyse de l’audit du projet

Sur les 191 attaques, 79 n’ont pas fait l’objet d’un audit et 101 l’ont été. La proportion de projets audités cette année est légèrement supérieure à celle de l’année dernière (la proportion de projets audités et non vérifiés l’an dernier était à peu près la même).

**Les vulnérabilités contractuelles représentaient 47 des 79 projets non audités (59,5 %). Cela suggère que les projets qui n’ont pas fait l’objet d’un audit sont plus susceptibles de présenter des risques potentiels pour la sécurité. **À titre de comparaison, 51 (50,5 %) des 101 projets audités présentaient des incidents de vulnérabilité contractuelle. Cela montre que les audits peuvent améliorer la sécurité du projet dans une certaine mesure.

Cependant, en raison de l’absence de normes normatives bien établies sur le marché du Web3, la qualité des audits a été inégale et les résultats finaux présentés sont loin d’être à la hauteur des attentes. Afin d’assurer efficacement la sécurité des actifs, il est recommandé de trouver une entreprise de sécurité professionnelle pour effectuer un audit avant le lancement du projet. **

10. Analyse RugPull

En 2023, la plateforme EagleEye de Beosin surveillera un total de 267 incidents Rug Pull dans l’écosystème Web3, pour un montant total d’environ 388 millions de dollars, soit une baisse d’environ 8,7 % par rapport à 2022.

En termes de valeur, 233 (87 %) des 267 incidents de Rug Pull étaient inférieurs à 1 million de dollars, ce qui est à peu près le même qu’en 2022. Au total, 4 projets d’un montant supérieur à 10 millions de dollars américains ont été impliqués, dont Multichain (210 millions de dollars américains), Fintoch (31,6 millions de dollars américains), BALD (23 millions de dollars américains) et PEPE (15,5 millions de dollars américains).

Les projets Rug Pull sur BNB Chain et Ethereum représentaient 92,3 % du total, avec respectivement 159 et 81. Un petit nombre d’événements Rug Pull se sont également produits sur d’autres chaînes publiques, notamment : Arbitrum, BASE, Sui, zkSync, etc.

11, 2023 Données mondiales sur la criminalité dans l’industrie de la cryptographie

En 2023, la criminalité mondiale dans l’industrie des cryptomonnaies a atteint le chiffre stupéfiant de 65,688 milliards de dollars, en hausse d’environ 377 % par rapport aux 13,76 milliards de dollars de 2022. Alors que le nombre d’attaques de piratage on-chain a considérablement diminué, la criminalité dans d’autres domaines des crypto-actifs a considérablement augmenté. La plus forte augmentation a été enregistrée par les jeux d’argent en ligne, avec 54,9 milliards de dollars. Viennent ensuite le blanchiment d’argent (environ 4 milliards de dollars), la fraude (environ 2,05 milliards de dollars), les systèmes pyramidaux (environ 1,43 milliard de dollars) et les attaques de pirates informatiques (environ 1,39 milliard de dollars).

Avec l’amélioration du système mondial de réglementation des crypto-monnaies et l’approfondissement de la répression des crimes liés aux crypto-actifs, la police mondiale résoudra un certain nombre d’affaires importantes impliquant des centaines de millions de dollars en 2023. Voici un aperçu de quelques cas typiques :

N°1En juillet 2023, la police chinoise du Hubei a résolu la « première affaire d’argent vituel » du pays, impliquant 400 milliards de yuans (environ 54,9 milliards de dollars américains). Plus de 50 000 personnes ont été impliquées dans cette affaire de jeux d’argent en ligne, le serveur était situé en dehors de la Chine et le principal coupable, Qiu Moumou, et d’autres ont été jugés conformément à la loi.

N°2 En août 2023, les autorités de Singapour ont enquêté sur la plus grande affaire de blanchiment d’argent jamais enregistrée, impliquant 2,8 milliards de dollars singapouriens, le blanchiment d’argent principalement par le biais de l’argent virtuel.

N°3 En mars 2023, la police du Jiangsu, en Chine, a engagé des poursuites contre l’escroquerie « Cryptocurrency Trading » d’Ubank, impliquant un système pyramidal avec un volume de transactions de plus de 10 milliards de yuans (environ 1,4 milliard de dollars américains).

No.4En décembre 2023, selon un communiqué du bureau du procureur des États-Unis pour le district Est de New York, le cofondateur de l’échange d’argent Vitual Bitzlato a plaidé coupable à des accusations de blanchiment d’argent de 700 millions de dollars.

N°5 En juillet 2023, la police fédérale brésilienne a démantelé deux gangs criminels de trafic de drogue, transférant un total de plus de 417 millions de dollars et fournissant des services de blanchiment d’argent par le biais de crypto-actifs.

No.6 En février 2023, le fondateur de Forsage a été inculpé pour 340 millions de dollars présumés de pyramide de Ponzi de finance décentralisée, selon un acte d’accusation de l’État américain de l’Oregon.

N°7 En novembre 2023, la police de l’Himachal Pradesh, en Inde, a arrêté 18 personnes dans le cadre d’une escroquerie aux crypto-actifs de 300 millions de dollars.

No.8 En août 2023, la police israélienne a accusé l’homme d’affaires Moshe Hogeg et ses partenaires d’avoir escroqué des investisseurs de 290 millions de dollars en crypto-actifs.

N°9 En juin 2023, la police thaïlandaise a résolu une affaire de fraude présumée à la crypto-monnaie, qui pourrait impliquer plus de 10 milliards de bahts (environ 288 millions de dollars).

N°10 En octobre 2023, JPEX, une plateforme de négociation d’actifs virtuels à Hong Kong, en Chine, a été soupçonnée de fraude, et la police a arrêté un total de 66 personnes, impliquant environ 1,6 milliard de dollars HK (environ 205 millions de dollars américains).

2023 est une année marquée par une recrudescence des affaires criminelles liées aux crypto-actifs. L’occurrence fréquente de fraudes et de systèmes pyramidaux signifie également que la probabilité que les utilisateurs ordinaires subissent des pertes d’actifs a considérablement augmenté. Par conséquent, il est urgent de renforcer la réglementation de l’industrie des crypto-actifs. Nous pouvons voir que les régulateurs mondiaux ont fait beaucoup d’efforts pour réglementer les crypto-actifs cette année, mais il reste encore un long chemin à parcourir pour parvenir à un écosystème complet, sûr et positif. **

12. Résumé du paysage de la sécurité de la blockchain Web3 en 2023

En 2023, les attaques de pirates informatiques on-chain, les escroqueries par hameçonnage et les incidents Rug Pull du côté des projets ont tous considérablement diminué par rapport à 2022. Les attaques de pirates informatiques ont perdu 61,3 % et le modus operandi d’attaque le plus coûteux est passé de l’exploit contractuel de l’année dernière à la fuite de clé privée de cette année. Les principales raisons de ce changement sont les suivantes :

1. Après l’activité rampante des pirates informatiques de l’année dernière, cette année, l’ensemble de l’écosystème Web3 a accordé plus d’attention à la sécurité, des parties du projet aux sociétés de sécurité qui ont fait des efforts dans divers aspects, tels que la surveillance en temps réel de la chaîne sur la chaîne, une plus grande attention aux audits de sécurité et l’apprentissage actif des incidents d’exploitation de vulnérabilité des contrats passés. Il est donc devenu plus difficile de voler des fonds par le biais d’échappatoires contractuelles que l’année dernière. **

2. Renforcer la réglementation mondiale et améliorer la technologie de lutte contre le blanchiment d’argent. On constate que 21,1 % des fonds volés ont été récupérés en 2023, ce qui est nettement mieux qu’en 2022. **Avec des plateformes de mélange telles que Tornado Cash, Sinbad et d’autres sanctionnées par les États-Unis, le chemin du blanchiment d’argent pour Hacker devient également compliqué. Dans le même temps, nous avons également appris que Hacker avait été arrêté par la police locale, ce qui a un certain effet dissuasif sur Hacker. **

3. L’impact du marché baissier des crypto-monnaies en début d’année. Les avantages attendus de la possibilité de voler des actifs des projets Web3 diminuent, ce qui affaiblit l’activité des pirates. Cela a également conduit Hacker à ne plus se limiter à attaquer des types tels que la finance décentralisée, l’interaction inter-chaînes, les échanges, etc., mais à se tourner vers les plateformes de paiement, les plateformes de jeux, les courtiers en crypto-monnaies, l’infrastructure, les gestionnaires de mots de passe, les outils de développement, les bots MEV, les bots TG et d’autres types.

Contrairement à la forte diminution de l’activité des pirates informatiques on-chain, les activités criminelles plus secrètes hors chaîne telles que les jeux d’argent en ligne, le blanchiment d’argent, les systèmes pyramidaux, etc. ont considérablement augmenté. En raison de l’anonymat des crypto-actifs, toutes sortes d’activités criminelles sont plus enclines à utiliser des crypto-actifs pour des transactions. Cependant, il serait unilatéral d’attribuer l’augmentation des cas de crimes liés à l’argent virtuel uniquement à l’anonymat et à une réglementation inadéquate des crypto-actifs. **La cause première est l’augmentation de l’activité criminelle mondiale, et Vitual Money fournit un canal de financement relativement caché et difficile à suivre pour ces activités criminelles. **En 2023, un ralentissement important de la croissance économique mondiale et un certain nombre d’incertitudes dans l’environnement politique ont contribué à l’augmentation de l’activité criminelle mondiale. **Compte tenu de ces prévisions économiques, l’activité criminelle mondiale devrait rester élevée en 2024, ce qui constituera un test sévère pour les organismes d’application de la loi et les organismes de réglementation du monde entier. **