La situation de la sécurité Web3 est grave : les attaques de vulnérabilités de contrat au premier semestre 2022 ont entraîné des pertes de 644 millions de dollars.
Analyse de la situation de sécurité Web3 : Analyse des méthodes d'attaque des hackers au premier semestre 2022
Au cours du premier semestre 2022, la situation de la sécurité dans le domaine du Web3 reste préoccupante. Grâce à une analyse complète des incidents de sécurité liés à la blockchain, nous pouvons mieux comprendre les méthodes d'attaque couramment utilisées par les hackers et comment prévenir efficacement ces menaces.
Aperçu des incidents de sécurité du premier semestre
Selon les données d'une plateforme de surveillance de la sécurité des blockchains, il y a eu 42 attaques majeures de vulnérabilités de contrats au cours du premier semestre 2022, représentant 53 % de toutes les méthodes d'attaque. Les pertes totales causées par ces attaques s'élèvent à 644 millions de dollars.
Parmi toutes les vulnérabilités exploitées, les erreurs de logique ou de conception de fonction sont le type de vulnérabilité le plus couramment exploité par les Hackers, suivies des problèmes de validation et des vulnérabilités de réentrance.
Analyse des cas de pertes majeures
Wormhole attaque de pont inter-chaînes
Le 3 février 2022, le projet de pont inter-chaînes Wormhole dans l'écosystème Solana a été attaqué par un Hacker, entraînant une perte d'environ 326 millions de dollars. L'attaquant a tiré parti d'une faille de vérification des signatures dans le contrat pour falsifier avec succès le compte système et mint une grande quantité de wETH.
Le protocole Fei a subi une attaque par réentrance
Le 30 avril 2022, le Rari Fuse Pool de Fei Protocol a subi une attaque combinée de prêt éclair et de réentrance, entraînant une perte de 80,34 millions de dollars. Cette attaque a porté un coup fatal au projet, qui a finalement annoncé sa fermeture officielle le 20 août.
Les principales étapes de l'attaquant incluent :
Prendre un prêt flash depuis Balancer
Attaque en exploitant la vulnérabilité de réentrance dans le contrat cEther de Rari Capital
Extraire tous les tokens du pool via une fonction d'attaque construite en rappel.
Rembourser le prêt éclair et transférer les gains de l'attaque
Types de vulnérabilités courantes
Les vulnérabilités les plus courantes lors du processus d'audit se répartissent principalement en quatre catégories :
Attaque par réentrance ERC721/ERC1155 : Lors de l'utilisation des fonctions de transfert sécurisé de ces standards, il est possible de déclencher un code malveillant dans le contrat du destinataire, entraînant une attaque par réentrance.
Failles logiques :
Manque de considération pour des scénarios spéciaux, comme faire un virement à soi-même
La conception des fonctionnalités n'est pas complète, comme le manque de mécanisme de retrait ou de règlement.
Absence d'authentification : des fonctions clés telles que le minting, la définition des rôles, etc. manquent de contrôle d'accès efficace.
Manipulation des prix :
Prix moyen pondéré par le temps non utilisé
Utiliser directement le ratio du solde des tokens dans le contrat comme prix
Conseils de prévention des vulnérabilités
Renforcer l'audit de code : Grâce à des plateformes de vérification de contrats intelligents professionnelles et à l'examen manuel par des experts en sécurité, il est possible de détecter la plupart des vulnérabilités potentielles avant le lancement du projet.
Suivre les normes de développement sécurisé : concevoir les fonctions métier selon le modèle vérification - activation - interaction, afin de réduire le risque d'attaques par réinsertion.
Améliorer la gestion des autorisations : mettre en place des signatures multiples ou un mécanisme de verrouillage temporel pour les opérations critiques.
Utiliser des oracles de prix fiables : adopter le prix moyen pondéré dans le temps pour éviter que les prix ne soient facilement manipulés.
Considérer des scénarios extrêmes : lors de la conception de la logique du contrat, tenir pleinement compte de diverses situations limites et scénarios spéciaux.
Audits de sécurité réguliers : même les projets déjà en ligne doivent faire l'objet d'évaluations de sécurité et de scans de vulnérabilités de manière régulière.
En prenant ces mesures, les projets Web3 peuvent considérablement améliorer leur sécurité et réduire le risque d'attaques de hackers. Cependant, avec l'évolution continue de la technologie, de nouveaux types de vulnérabilités peuvent apparaître, il est donc essentiel de rester vigilant et de continuer à apprendre.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
La situation de la sécurité Web3 est grave : les attaques de vulnérabilités de contrat au premier semestre 2022 ont entraîné des pertes de 644 millions de dollars.
Analyse de la situation de sécurité Web3 : Analyse des méthodes d'attaque des hackers au premier semestre 2022
Au cours du premier semestre 2022, la situation de la sécurité dans le domaine du Web3 reste préoccupante. Grâce à une analyse complète des incidents de sécurité liés à la blockchain, nous pouvons mieux comprendre les méthodes d'attaque couramment utilisées par les hackers et comment prévenir efficacement ces menaces.
Aperçu des incidents de sécurité du premier semestre
Selon les données d'une plateforme de surveillance de la sécurité des blockchains, il y a eu 42 attaques majeures de vulnérabilités de contrats au cours du premier semestre 2022, représentant 53 % de toutes les méthodes d'attaque. Les pertes totales causées par ces attaques s'élèvent à 644 millions de dollars.
Parmi toutes les vulnérabilités exploitées, les erreurs de logique ou de conception de fonction sont le type de vulnérabilité le plus couramment exploité par les Hackers, suivies des problèmes de validation et des vulnérabilités de réentrance.
Analyse des cas de pertes majeures
Wormhole attaque de pont inter-chaînes
Le 3 février 2022, le projet de pont inter-chaînes Wormhole dans l'écosystème Solana a été attaqué par un Hacker, entraînant une perte d'environ 326 millions de dollars. L'attaquant a tiré parti d'une faille de vérification des signatures dans le contrat pour falsifier avec succès le compte système et mint une grande quantité de wETH.
Le protocole Fei a subi une attaque par réentrance
Le 30 avril 2022, le Rari Fuse Pool de Fei Protocol a subi une attaque combinée de prêt éclair et de réentrance, entraînant une perte de 80,34 millions de dollars. Cette attaque a porté un coup fatal au projet, qui a finalement annoncé sa fermeture officielle le 20 août.
Les principales étapes de l'attaquant incluent :
Types de vulnérabilités courantes
Les vulnérabilités les plus courantes lors du processus d'audit se répartissent principalement en quatre catégories :
Conseils de prévention des vulnérabilités
Renforcer l'audit de code : Grâce à des plateformes de vérification de contrats intelligents professionnelles et à l'examen manuel par des experts en sécurité, il est possible de détecter la plupart des vulnérabilités potentielles avant le lancement du projet.
Suivre les normes de développement sécurisé : concevoir les fonctions métier selon le modèle vérification - activation - interaction, afin de réduire le risque d'attaques par réinsertion.
Améliorer la gestion des autorisations : mettre en place des signatures multiples ou un mécanisme de verrouillage temporel pour les opérations critiques.
Utiliser des oracles de prix fiables : adopter le prix moyen pondéré dans le temps pour éviter que les prix ne soient facilement manipulés.
Considérer des scénarios extrêmes : lors de la conception de la logique du contrat, tenir pleinement compte de diverses situations limites et scénarios spéciaux.
Audits de sécurité réguliers : même les projets déjà en ligne doivent faire l'objet d'évaluations de sécurité et de scans de vulnérabilités de manière régulière.
En prenant ces mesures, les projets Web3 peuvent considérablement améliorer leur sécurité et réduire le risque d'attaques de hackers. Cependant, avec l'évolution continue de la technologie, de nouveaux types de vulnérabilités peuvent apparaître, il est donc essentiel de rester vigilant et de continuer à apprendre.