Analyse des méthodes d'attaque des hackers dans le domaine du Web3 au premier semestre 2022
Au cours du premier semestre 2022, le domaine du Web3 a été confronté à plusieurs incidents de sécurité majeurs, entraînant d'énormes pertes. Cet article se propose d'analyser en profondeur les techniques d'attaque couramment utilisées par les hackers durant cette période, dans le but de fournir des références pour la prévention des risques au sein de l'industrie.
Aperçu de l'exploitation des vulnérabilités
Selon les données d'une plateforme de surveillance de la sécurité blockchain, 42 attaques majeures sur des contrats intelligents ont eu lieu au premier semestre 2022, représentant 53 % de toutes les méthodes d'attaque. Ces attaques ont causé des pertes d'environ 644 millions de dollars.
Parmi toutes les vulnérabilités exploitées, les défauts de conception logique ou de fonction sont les cibles les plus souvent exploitées par les Hackers, suivis des problèmes de validation et des failles de réentrance.
Analyse des cas de pertes majeures
Incident d'attaque de pont inter-chaînes Wormhole
Le 3 février 2022, un projet de pont inter-chaînes a été attaqué, entraînant des pertes allant jusqu'à 326 millions de dollars. Le Hacker a exploité une vulnérabilité de vérification de signature dans le contrat du projet pour falsifier avec succès un compte système et émettre une grande quantité de jetons.
Fei Protocol a subi une attaque de prêt éclair
Le 30 avril 2022, le fonds d'un protocole de prêt a subi une attaque combinant un prêt éclair et une attaque de réentrance, entraînant une perte de 80,34 millions de dollars. Cette attaque a porté un coup fatal au projet, qui a finalement annoncé sa fermeture le 20 août.
L'attaquant a d'abord effectué un prêt flash à partir d'un certain pool de fonds, puis a exploité une vulnérabilité de réentrance présente sur la plateforme de prêt, en utilisant une fonction d'attaque construite pour rappeler, réussissant ainsi à extraire tous les tokens du pool de fonds affecté. Enfin, il a remboursé le prêt flash et transféré les bénéfices vers un contrat désigné.
Types de vulnérabilités courantes
Attaque par réentrance ERC721/ERC1155 : exploitation de la fonction de notification de transfert dans les standards de jetons pour réaliser une attaque par réentrance.
Vulnérabilité logique :
Considérations spéciales non prises en compte, comme le fait de se transférer de l'argent à soi-même, ce qui entraîne une création fictive.
Conception fonctionnelle incomplète, comme l'absence de mécanisme d'extraction ou de liquidation.
Défaillance de la gestion des autorisations : des fonctions clés comme la frappe de jetons, la configuration des rôles, etc., manquent d'un contrôle d'autorisation efficace.
Manipulation des prix :
Oracle de prix moyen pondéré par le temps non utilisé.
Utiliser directement le ratio de solde de jetons dans le contrat comme base de prix.
Prévention des audits
La plupart des vulnérabilités mentionnées ci-dessus peuvent être détectées avant le lancement du projet grâce à des plateformes de vérification formelle des contrats intelligents combinées à un examen manuel par des experts en sécurité. Il est recommandé aux équipes de projet de prendre au sérieux l'audit de sécurité et de réparer rapidement les risques potentiels selon les recommandations des experts.
En renforçant la conception logique des contrats, en améliorant la gestion des droits et en optimisant les mécanismes de prix, des mesures de sécurité peuvent être mises en place pour réduire efficacement le risque d'attaques. En outre, une surveillance de la sécurité continue et des corrections de vulnérabilités en temps opportun sont également essentielles pour assurer le fonctionnement sûr à long terme du projet.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
14 J'aime
Récompense
14
3
Partager
Commentaire
0/400
TokenAlchemist
· Il y a 10h
smh... encore un vecteur de transition d'état mal optimisé. 644m en exploits ? Les amateurs écrivant ces contrats doivent étudier les mécanismes MEV fr
Voir l'originalRépondre0
SmartMoneyWallet
· 08-02 16:12
Où va finalement l'argent perdu par ces investisseurs détaillants ? Et les 640 millions ?
Voir l'originalRépondre0
TokenomicsTrapper
· 08-02 16:09
je l'ai appelé - les bridges sont littéralement juste des pots de miel attendant d'être rekt... classique 2022 L tbh
Analyse des attaques de hackers dans le domaine du Web3 au premier semestre 2022 : les vulnérabilités des contrats comme principaux objectifs
Analyse des méthodes d'attaque des hackers dans le domaine du Web3 au premier semestre 2022
Au cours du premier semestre 2022, le domaine du Web3 a été confronté à plusieurs incidents de sécurité majeurs, entraînant d'énormes pertes. Cet article se propose d'analyser en profondeur les techniques d'attaque couramment utilisées par les hackers durant cette période, dans le but de fournir des références pour la prévention des risques au sein de l'industrie.
Aperçu de l'exploitation des vulnérabilités
Selon les données d'une plateforme de surveillance de la sécurité blockchain, 42 attaques majeures sur des contrats intelligents ont eu lieu au premier semestre 2022, représentant 53 % de toutes les méthodes d'attaque. Ces attaques ont causé des pertes d'environ 644 millions de dollars.
Parmi toutes les vulnérabilités exploitées, les défauts de conception logique ou de fonction sont les cibles les plus souvent exploitées par les Hackers, suivis des problèmes de validation et des failles de réentrance.
Analyse des cas de pertes majeures
Incident d'attaque de pont inter-chaînes Wormhole
Le 3 février 2022, un projet de pont inter-chaînes a été attaqué, entraînant des pertes allant jusqu'à 326 millions de dollars. Le Hacker a exploité une vulnérabilité de vérification de signature dans le contrat du projet pour falsifier avec succès un compte système et émettre une grande quantité de jetons.
Fei Protocol a subi une attaque de prêt éclair
Le 30 avril 2022, le fonds d'un protocole de prêt a subi une attaque combinant un prêt éclair et une attaque de réentrance, entraînant une perte de 80,34 millions de dollars. Cette attaque a porté un coup fatal au projet, qui a finalement annoncé sa fermeture le 20 août.
L'attaquant a d'abord effectué un prêt flash à partir d'un certain pool de fonds, puis a exploité une vulnérabilité de réentrance présente sur la plateforme de prêt, en utilisant une fonction d'attaque construite pour rappeler, réussissant ainsi à extraire tous les tokens du pool de fonds affecté. Enfin, il a remboursé le prêt flash et transféré les bénéfices vers un contrat désigné.
Types de vulnérabilités courantes
Prévention des audits
La plupart des vulnérabilités mentionnées ci-dessus peuvent être détectées avant le lancement du projet grâce à des plateformes de vérification formelle des contrats intelligents combinées à un examen manuel par des experts en sécurité. Il est recommandé aux équipes de projet de prendre au sérieux l'audit de sécurité et de réparer rapidement les risques potentiels selon les recommandations des experts.
En renforçant la conception logique des contrats, en améliorant la gestion des droits et en optimisant les mécanismes de prix, des mesures de sécurité peuvent être mises en place pour réduire efficacement le risque d'attaques. En outre, une surveillance de la sécurité continue et des corrections de vulnérabilités en temps opportun sont également essentielles pour assurer le fonctionnement sûr à long terme du projet.