La sécurité des actifs Blockchain suscite des suivis, des vols fréquents révèlent de multiples risques

Avec l'émergence de produits on-chain tels que la finance décentralisée et les jetons non fongibles, les actifs des utilisateurs se déplacent progressivement des canaux centralisés traditionnels vers des portefeuilles décentralisés, des ponts inter-chaînes et des plateformes de prêt. Cependant, les fréquents vols de projets et d'actifs des utilisateurs sur la chaîne ont suscité une large attention, au point que certains plaisantent en disant que le Blockchain est devenu le "distributeur automatique" des hackers.

Les raisons de ces incidents de sécurité sont variées, allant des vulnérabilités au niveau du code aux erreurs causées par des facteurs humains. Un cas typique est le vol de 160 millions de dollars subi par le market maker de cryptomonnaies Wintermute le 20 septembre.

Une erreur humaine a conduit à d'énormes pertes d'actifs

Le fondateur de Wintermute a déclaré après l'incident que les activités de finance centralisée et de négociation de gré à gré de l'entreprise n'avaient pas été affectées, et que la solvabilité était encore le double des capitaux propres restants. Il a rassuré les utilisateurs que si un accord de market making avait été conclu avec Wintermute, les fonds étaient en sécurité. Parmi les 90 actifs piratés, seulement deux avaient une valeur nominale supérieure à 1 million de dollars, il est donc peu probable qu'une vente massive ait lieu.

La société de sécurité Blockchain Salus Security a rapidement localisé l'adresse du hacker et a découvert que ses sources de fonds comprenaient un certain outil de mixage anonyme et des portefeuilles indépendants retirant de grandes quantités de fonds de certaines plateformes d'échange. Cette adresse est également liée à des adresses d'utilisateurs soupçonnés de Wintermute et a effectué des opérations de sortie de fonds avec un contrat officiel d'un certain échange connu.

Selon l'analyse des données on-chain, environ 73 % des 160 millions de dollars volés à Wintermute sont des stablecoins, 8 % sont des WBTC et 6 % sont des ETH. L'attaquant a déposé 114 millions de dollars dans un certain échange décentralisé pour fournir de la liquidité, devenant le troisième plus grand LP de la plateforme.

La société de sécurité Slow Mist analyse que la raison du vol pourrait être que Wintermute a utilisé un outil de génération de portefeuille de numéros élégants présentant des vulnérabilités. Le fondateur de Wintermute a ensuite confirmé que la société avait effectivement utilisé cet outil en juin pour créer des adresses de portefeuille, dans le but d'optimiser les frais de transaction plutôt que de créer des numéros élégants. Bien qu'il ait été décidé d'abandonner les anciennes clés après avoir appris la vulnérabilité de l'outil la semaine dernière, une erreur humaine interne a conduit à l'appel de la mauvaise fonction, ce qui a empêché la suppression rapide des droits de signature des adresses affectées.

Concernant le recouvrement des fonds volés, Wintermute a déclaré qu'il était prêt à offrir 10 % de récompense aux hackers, soit environ 16 millions de dollars. L'entreprise a souligné que cet incident n'affecterait pas son fonctionnement normal, qu'elle ne licenciera pas d'employés, qu'elle ne modifiera pas sa stratégie, qu'elle ne lèvera pas de fonds supplémentaires et qu'elle ne mettra pas fin à ses activités DeFi.

Cependant, les données on-chain montrent que Wintermute a actuellement plus de 200 millions de dollars de dette DeFi envers plusieurs contreparties, dont le plus gros montant est un prêt de 92 millions de dollars en USDT qui arrivera à échéance en octobre. Si les fonds volés ne peuvent pas être récupérés à temps, Wintermute pourrait faire face à un risque de crise de la dette.

Wintermute a subi des pertes en raison d'une erreur humaine

Il convient de noter que ce n'est pas la première fois que Wintermute subit des pertes en raison de facteurs humains. En juin de cette année, la société a perdu 20 millions de tokens en raison d'une erreur d'adresse lors de la fourniture de services de liquidité pour un projet Layer 2.

À l'époque, Wintermute a été invité à fournir de la liquidité pour ce projet, et la fondation lui a attribué un don temporaire de 20 millions de jetons. Cependant, l'adresse de réception fournie par Wintermute était une adresse multisignature sur le réseau principal Ethereum, et non une adresse sur le réseau Layer 2. Cela a conduit à l'incapacité de Wintermute d'accéder à ces jetons, les attaquants ayant pris les devants en déployant le contrat multisignature sur Layer 2 et en contrôlant ces jetons.

Heureusement, les hackers ont finalement restitué 17 millions de jetons, et Wintermute a promis de rembourser les 2 millions restants. Cet événement souligne à nouveau les graves conséquences pouvant découler d'une erreur humaine.

Comment les utilisateurs individuels peuvent éviter le risque de vol d'actifs

Étant donné que les institutions subissent fréquemment d'énormes pertes en raison d'erreurs humaines, les utilisateurs individuels doivent encore plus veiller à protéger la sécurité de leurs actifs. Voici quelques conseils :

1. Évitez d'utiliser des outils tiers pour créer un portefeuille : les outils tiers comportent des risques de surveillance des enregistrements des utilisateurs et de malveillance à faible coût, il est conseillé d'utiliser le portefeuille natif officiel.

2. Envisagez d'implémenter une signature multiple pour le portefeuille principal : bien que cela ne soit pas adapté pour le trading à haute fréquence, une signature multiple peut efficacement éviter le risque d'erreur humaine pour les utilisateurs ordinaires.

3. Ne copiez pas et ne collez pas votre clé privée : de nombreuses applications tierces sur les appareils ont le droit de lire le presse-papiers, et il y a un grand risque à copier et coller votre clé privée.

4. Vérifiez attentivement le contrat d'autorisation lors des opérations sur la blockchain : faites attention aux sites de phishing ou aux pages frontales compromises, et assurez-vous de la véracité du nom de domaine du site et de l'adresse du contrat intelligent.

5. Limiter le montant d'autorisation et révoquer rapidement les autorisations inutiles : éviter les autorisations illimitées, n'autoriser que le montant nécessaire et révoquer l'autorisation dès qu'elle n'est plus nécessaire.

La sécurité n'est pas une affaire triviale, surtout dans le domaine de la Blockchain, où les actifs volés sont difficiles à récupérer et souvent non protégés par la loi. Par conséquent, les utilisateurs doivent être particulièrement prudents lors des opérations en ligne et prendre toutes les mesures possibles pour protéger la sécurité de leurs actifs numériques.