Ethereum perd plus de 1,1 milliard en hacks et exploits en 2024

L’année 2024 a été marquée par une vague sans précédent de hacks et d’exploits dans l’écosystème des cryptomonnaies, avec des pertes atteignant un total ahurissant de 2,3 milliards de dollars. Et au cœur de cette tempête cybernétique, Ethereum s’est distingué comme la blockchain la plus durement touchée, totalisant à elle seule plus de la moitié des fonds dérobés.

Ethereum, cible privilégiée des pirates

Selon le rapport “State of Web3 Security in 2024” publié par la société de cybersécurité Cyvers, 51% des 2,3 milliards de dollars volés provenaient de projets basés sur Ethereum. Cette vulnérabilité s’explique en grande partie par la position dominante d’Ethereum dans l’espace de la finance décentralisée (DeFi) et par l’importante liquidité qui y transite.

D’autres blockchains n’ont pas été épargnées pour autant. La BNB Chain arrive en deuxième position, comptant pour 24% des pertes, suivie de Bitcoin (5%), XRP (4%) et Arbitrum (3%). Mais c’est bien Ethereum qui détient la palme peu enviable de blockchain la plus exploitée.

Failles d’accès et vulnérabilités des smart contracts

Deux principales failles ont été exploitées par les hackers en 2024 :

• Les défaillances de contrôle d’accès, liées à des mécanismes d’authentification et de permission trop faibles, ont permis le vol de 81% des fonds.
• Les vulnérabilités des smart contracts, bien que ne représentant “que” 19% des pertes, ont permis aux pirates de siphonner les fonds en exploitant des failles dans le code.

Top 3 des plus gros hacks de 2024

Parmi les incidents les plus marquants de l’année, on retrouve :

1. L’exploit de 305 millions de dollars sur DMM Bitcoin
2. Le piratage de PlayDapp à hauteur de 290 millions de dollars
3. L’attaque de WazirX qui a coûté 235 millions de dollars

Chacun de ces hacks massifs a tiré parti de faiblesses dans les mécanismes de contrôle d’accès. Mais les incidents à plusieurs millions ne s’arrêtent pas là. Le projet Ethereum Muchables a par exemple perdu 97 millions de dollars suite à l’exploitation de vulnérabilités dans ses smart contracts par un développeur malveillant. Les attaques par empoisonnement d’adresses ont quant à elles engendré 68 millions de dollars de pertes.

Au fil de l’année, les pertes dues aux hacks n’ont cessé de s’accumuler, avec un pic au 3ème trimestre totalisant 669 millions de dollars. Une tendance qui contraste avec les efforts de récupération des fonds, qui ont connu une chute drastique en seconde partie d’année, passant de 562 millions récupérés au T2 à seulement 25 millions au T4.

Des solutions pour endiguer la menace

Face à ces défis grandissants, Cyvers appelle à une standardisation des pratiques de sécurité dans l’écosystème Web3. Cela passe notamment par :

• Une surveillance continue des protocoles
• Des tests de vulnérabilités en temps réel
• L’utilisation de mécanismes de détection assistés par l’IA

Des mesures indispensables pour tenter d’enrayer la spirale des hacks, qui n’ont cessé de s’intensifier au cours de l’année écoulée. Car comme le soulignait déjà PeckShield dans un précédent rapport, les hacks et arnaques liés aux cryptomonnaies ont bondi de plus de 15% en 2024, avec les protocoles de finance décentralisée comme cibles privilégiées des attaques.

Une réalité alarmante qui impose une prise de conscience et une action coordonnée de l’ensemble de l’écosystème pour renforcer la sécurité des actifs et regagner la confiance des utilisateurs. Car derrière ces chiffres vertigineux, ce sont bien les fondations même de la révolution décentralisée qui sont aujourd’hui menacées.