Analyse des techniques d'attaque couramment utilisées par les Hackers Web3 : Revue du premier semestre 2022
Au cours du premier semestre 2022, les incidents de sécurité dans le domaine du Web3 se sont multipliés, et les méthodes d'attaque des hackers sont variées. Cet article procédera à une analyse approfondie des méthodes d'attaque courantes durant cette période, dans le but de fournir des références utiles à l'industrie.
Aperçu des incidents de sécurité du premier semestre
Selon les données d'une plateforme de surveillance de la sécurité des blockchains, il y a eu 42 principaux incidents d'attaque dus à des vulnérabilités de contrats intelligents au cours du premier semestre 2022, représentant environ 53 % de tous les types d'attaques. Les pertes totales causées par ces incidents s'élèvent à 644 millions de dollars.
Parmi toutes les vulnérabilités exploitées, les défauts de conception logique ou de fonction sont les cibles les plus couramment exploitées par les Hackers, suivis des problèmes de validation et des vulnérabilités de réentrance.
Analyse des événements de pertes majeures
Wormhole pont inter-chaînes a été attaqué
Le 3 février 2022, le projet de pont inter-chaînes Wormhole de l'écosystème Solana a été attaqué par un Hacker, entraînant une perte d'environ 326 millions de dollars. L'attaquant a exploité une vulnérabilité de vérification de signature dans le contrat pour falsifier avec succès un compte système et créer une grande quantité de jetons wETH.
protocole Fei a été touché par une attaque de prêt flash
Le 30 avril 2022, le Rari Fuse Pool sous Fei Protocol a subi une attaque par prêt flash combinée à une attaque de réentrance, entraînant une perte de 80,34 millions de dollars. Cette attaque a porté un coup fatal au projet, menant finalement Fei Protocol à annoncer sa fermeture officielle le 20 août.
L'attaquant a mis en œuvre cette attaque en suivant les étapes suivantes :
Obtenir un prêt flash du protocole Balancer
Utiliser des fonds empruntés pour effectuer des prêts garantis sur Rari Capital
En raison de la vulnérabilité de réentrance dans le contrat cEther de Rari Capital, un Hacker a réussi à extraire tous les tokens du pool affecté en construisant une fonction de rappel.
Rembourser le prêt éclair, transférer les bénéfices au contrat désigné
Cette attaque a volé plus de 28 380 ETH, ce qui équivaut à environ 80,34 millions de dollars.
Vulnérabilités courantes lors du processus d'audit
Les vulnérabilités les plus couramment trouvées lors de l'audit des contrats intelligents se classent principalement en quatre catégories :
Attaque par réentrance ERC721/ERC1155 : Lors de l'utilisation de ces fonctions de transfert sécurisé, si le contrat de réception contient un code malveillant, cela peut entraîner une attaque par réentrance.
Failles logiques : incluent une prise en compte insuffisante des scénarios spéciaux (comme les transferts internes entraînant une création de valeur inexistante) et un design fonctionnel incomplet (comme l'absence de mécanismes de retrait ou de liquidation).
Contrôle d'accès manquant : Les fonctionnalités clés (comme le minage, la configuration des rôles, etc.) manquent de vérifications d'accès appropriées.
Risque de manipulation des prix : si le prix n'est pas basé sur le prix moyen pondéré par le temps ou si le rapport des soldes de jetons dans le contrat est utilisé directement comme référence de prix.
Exploitation des vulnérabilités dans les attaques réelles
Selon les données de surveillance, presque toutes les vulnérabilités découvertes lors des audits ont été exploitées par des hackers dans des scénarios réels, les vulnérabilités logiques des contrats restant l'objectif principal des attaques.
Il est à noter que grâce à une plateforme de vérification formelle des contrats intelligents professionnelle associée à une révision manuelle par des experts en sécurité, ces vulnérabilités peuvent être détectées lors de la phase d'audit. Les experts en sécurité peuvent également fournir des recommandations de correction appropriées après évaluation, offrant ainsi des références importantes aux parties prenantes du projet.
Conclusion
Avec le développement rapide de l'écosystème Web3, les problèmes de sécurité deviennent de plus en plus préoccupants. Les équipes de projet doivent accorder une attention particulière à l'audit de sécurité des contrats intelligents, en utilisant des outils de vérification avancés et en combinant l'examen manuel d'équipes professionnelles, afin de minimiser au maximum les risques de sécurité et de garantir la sécurité des actifs des utilisateurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Analyse des méthodes d'attaque des hackers Web3 : Revue et analyse des événements de sécurité du premier semestre 2022
Analyse des techniques d'attaque couramment utilisées par les Hackers Web3 : Revue du premier semestre 2022
Au cours du premier semestre 2022, les incidents de sécurité dans le domaine du Web3 se sont multipliés, et les méthodes d'attaque des hackers sont variées. Cet article procédera à une analyse approfondie des méthodes d'attaque courantes durant cette période, dans le but de fournir des références utiles à l'industrie.
Aperçu des incidents de sécurité du premier semestre
Selon les données d'une plateforme de surveillance de la sécurité des blockchains, il y a eu 42 principaux incidents d'attaque dus à des vulnérabilités de contrats intelligents au cours du premier semestre 2022, représentant environ 53 % de tous les types d'attaques. Les pertes totales causées par ces incidents s'élèvent à 644 millions de dollars.
Parmi toutes les vulnérabilités exploitées, les défauts de conception logique ou de fonction sont les cibles les plus couramment exploitées par les Hackers, suivis des problèmes de validation et des vulnérabilités de réentrance.
Analyse des événements de pertes majeures
Wormhole pont inter-chaînes a été attaqué
Le 3 février 2022, le projet de pont inter-chaînes Wormhole de l'écosystème Solana a été attaqué par un Hacker, entraînant une perte d'environ 326 millions de dollars. L'attaquant a exploité une vulnérabilité de vérification de signature dans le contrat pour falsifier avec succès un compte système et créer une grande quantité de jetons wETH.
protocole Fei a été touché par une attaque de prêt flash
Le 30 avril 2022, le Rari Fuse Pool sous Fei Protocol a subi une attaque par prêt flash combinée à une attaque de réentrance, entraînant une perte de 80,34 millions de dollars. Cette attaque a porté un coup fatal au projet, menant finalement Fei Protocol à annoncer sa fermeture officielle le 20 août.
L'attaquant a mis en œuvre cette attaque en suivant les étapes suivantes :
Cette attaque a volé plus de 28 380 ETH, ce qui équivaut à environ 80,34 millions de dollars.
Vulnérabilités courantes lors du processus d'audit
Les vulnérabilités les plus couramment trouvées lors de l'audit des contrats intelligents se classent principalement en quatre catégories :
Attaque par réentrance ERC721/ERC1155 : Lors de l'utilisation de ces fonctions de transfert sécurisé, si le contrat de réception contient un code malveillant, cela peut entraîner une attaque par réentrance.
Failles logiques : incluent une prise en compte insuffisante des scénarios spéciaux (comme les transferts internes entraînant une création de valeur inexistante) et un design fonctionnel incomplet (comme l'absence de mécanismes de retrait ou de liquidation).
Contrôle d'accès manquant : Les fonctionnalités clés (comme le minage, la configuration des rôles, etc.) manquent de vérifications d'accès appropriées.
Risque de manipulation des prix : si le prix n'est pas basé sur le prix moyen pondéré par le temps ou si le rapport des soldes de jetons dans le contrat est utilisé directement comme référence de prix.
Exploitation des vulnérabilités dans les attaques réelles
Selon les données de surveillance, presque toutes les vulnérabilités découvertes lors des audits ont été exploitées par des hackers dans des scénarios réels, les vulnérabilités logiques des contrats restant l'objectif principal des attaques.
Il est à noter que grâce à une plateforme de vérification formelle des contrats intelligents professionnelle associée à une révision manuelle par des experts en sécurité, ces vulnérabilités peuvent être détectées lors de la phase d'audit. Les experts en sécurité peuvent également fournir des recommandations de correction appropriées après évaluation, offrant ainsi des références importantes aux parties prenantes du projet.
Conclusion
Avec le développement rapide de l'écosystème Web3, les problèmes de sécurité deviennent de plus en plus préoccupants. Les équipes de projet doivent accorder une attention particulière à l'audit de sécurité des contrats intelligents, en utilisant des outils de vérification avancés et en combinant l'examen manuel d'équipes professionnelles, afin de minimiser au maximum les risques de sécurité et de garantir la sécurité des actifs des utilisateurs.