Beosin signale 36 incidents de sécurité majeurs en mai 2026, avec une perte totale dépassant 76 millions de dollars

icon MarsBit
Partager
This is the logo of the coin.
ETH
$1 617,10-3,06 %
AI summary iconRésumé

Écrit par Beosin

Selon les données recueillies par la plateforme Beosin Alert, en mai 2026, les pertes totales dues à divers événements de sécurité s'élèvent à environ 76,15 millions de dollars américains, avec un total de « 36 » importantes attaques par piratage. Les causes principales sont des vulnérabilités de contrat et des fuites de clés privées. Parmi celles-ci, 17 événements de sécurité sont dus à des vulnérabilités de contrat ou de réseau, et 10 sont liés à des fuites de clés privées. La sécurité du code et la sécurité opérationnelle de l'écosystème DeFi font face à des défis majeurs.

Pertes des 10 premiers protocoles en mai

Le pont cross-chain Verus-Ethereum Bridge, reliant la chaîne Verus L1 à Ethereum, a été attaqué en raison d'une vulnérabilité de contrat, entraînant la perte la plus importante de 11,58 millions de dollars. L'Echo Protocol a été attaqué après une fuite de clé privée, permettant à l'attaquant de créer 1 000 eBTC (valeur nominale d'environ 76,7 millions de dollars), mais en raison de contraintes de liquidité, le profit réel final s'est élevé à environ 5,13 millions de dollars.

Echo Protocol

Types de projets attaqués et pertes par chaîne

Les cibles de l'attaque incluent divers types tels que des ponts cross-chain, des échanges décentralisés, des protocoles de prêt, des marchés de prévision, des stablecoins et des utilisateurs ordinaires. Les ponts cross-chain ont subi la perte la plus élevée, atteignant 27,995 millions de dollars, et les projets liés à la DeFi ont été attaqués le plus souvent, avec un total de 14 incidents.

Echo Protocol

La chaîne ayant subi les pertes les plus importantes en mai est Ethereum, avec des pertes dépassant 48,76 millions de dollars, les incidents de sécurité concernant principalement des ponts cross-chain et la plupart des protocoles DeFi restant concentrés sur Ethereum. Viennent ensuite BNB Chain, Monad et TON. Des incidents de sécurité ont également été signalés sur Monero et Bitcoin, témoignant d'une tendance aux attaques multi-chaines.

Echo Protocol

Analyse des principaux événements de sécurité

1. Verus : Défaut de vérification des messages interchaînes

Le fonctionnement du pont Verus-Ethereum repose sur la soumission de preuves démontrant l'existence, sur la chaîne Verus, d'une sortie qualifiée certifiée. Une fois que le contrat pont vérifie ces preuves, les actifs sont libérés sur Ethereum. Toutefois, une vulnérabilité existe : bien que le contrat pont côté Ethereum vérifie les preuves provenant de la chaîne Verus, il ne vérifie pas si ces données correspondent à une sortie originale valide, permettant à un attaquant de créer une sortie falsifiée pour contourner la vérification et retirer des fonds bien supérieurs à son dépôt.

Section du code présentant une vulnérabilité :

Echo Protocol

La vulnérabilité de cet événement appartient à la même catégorie que celle survenue en 2022, qui a causé une perte de 320 millions de dollars pour Wormhole et de 190 millions de dollars pour Nomad : les ponts ont validé le message lui-même sans vérifier la valeur des fonds sous-jacents.

2. Volumes de confiance : défaut de paramètre de signature

L'attaquant a exploité une faille de conception dans le processus de demande de prix (RFQ) de TrustedVolumes, en utilisant des données de signature personnalisées lors du virement réel pour définir le contrat Resolver de TrustedVolumes comme émetteur du virement, contournant ainsi avec succès la vérification et transférant les actifs du contrat Resolver pour en tirer un profit.

Section du code présentant une vulnérabilité :

Echo Protocol

L'authentification fait référence à varg4, tandis que l'exécution du transfert de fonds fait référence à d'autres paramètres ; l'absence de vérification entraîne un désaccord entre le domaine du signataire autorisé et l'adresse de débit réelle.

L'attaquant doit simplement signer une commande avec une adresse de signataire enregistrée, où maker = Exploit (passant la vérification de la signature), tandis que les autres paramètres de signature (tokens, montant) peuvent être définis à n'importe quelle valeur, par exemple une commande fictive à 1:1, afin de passer le contrôle de prix de l'oracle de prix, puis retirer les actifs du contrat du protocole :

Echo Protocol

3. Incident de fuite de clé privée avec StablR comme exemple

En mai, plusieurs fuites de clés privées ont été signalées, entraînant des pertes totales dépassant 25 millions de dollars américains. Parmi celles-ci, StablR, en tant qu'émetteur de stablecoin conforme à la réglementation, est devenu un exemple typique en matière de gouvernance de la sécurité dans les secteurs des stablecoins et du DeFi.

StablR a lancé deux produits de stablecoins conformes : EURR et USDR, où le portefeuille multisig contrôlant la frappe de EURR est 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc ; le portefeuille multisig contrôlant la frappe de USDR est 0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3.

Étant donné que les transactions initiées par les deux portefeuilles multisig ci-dessus nécessitent uniquement une signature, l'attaquant, en contrôlant l'adresse owner 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d, a ajouté l'adresse 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 à ces deux portefeuilles multisig, lui permettant ainsi de prendre le contrôle des droits de frappe du projet :

Echo Protocol

Ces événements ne sont pas dus à des vulnérabilités de code, mais à des problèmes de sécurité opérationnelle de l'équipe du projet : la clé privée de l'adresse privilégiée n'a pas été correctement conservée, les opérations à haut risque ou à forte valeur n'ont pas utilisé de signature multirisque avec un seuil élevé, les opérations de frappe en gros n'ont pas été protégées par un verrouillage temporel, et aucun mécanisme de réponse d'urgence rapide n'a été mis en place.

Tendances des menaces à la sécurité Web3

La tendance la plus profonde présentée par la sécurité Web3 en 2026 est l'élargissement systématique de la surface d'attaque. Les vulnérabilités apparaissent simultanément dans le code, l'infrastructure, l'interopérabilité et les processus humains ; des audits de sécurité ponctuels ou des outils ne suffisent plus à couvrir la sécurité opérationnelle, les points d'accès des employés, l'infrastructure cloud et la chaîne d'approvisionnement logicielle. Cela impose des exigences plus élevées en matière de sécurité opérationnelle continue pour les projets Web3.

En outre, les contrats obsolètes ou abandonnés font l’objet d’attaques fréquentes, dont les vulnérabilités ou autorisations peuvent facilement être exploitées par les attaquants. Les développeurs ou opérateurs de contrats doivent réexaminer la sécurité des contrats précédents ; pour les contrats abandonnés, il est essentiel de traiter ou de transférer correctement les fonds restants, et de contacter les utilisateurs pour annuler les autorisations inutiles. Les utilisateurs doivent également vérifier régulièrement, à l’aide d’un navigateur blockchain ou d’un outil de révocation d’autorisation, et annuler les autorisations accordées à des contrats qu’ils n’utilisent plus.

Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.