Analyse des techniques d'attaque des hackers dans le domaine du Web3 au premier semestre 2022
Au cours du premier semestre 2022, le domaine du Web3 a été frappé par plusieurs incidents de sécurité majeurs. Cet article analysera en profondeur les méthodes courantes de cyberattaques durant cette période, dans le but de fournir des références pour la protection de la sécurité dans l'industrie.
Aperçu des pertes globales
Selon les données d'une plateforme de surveillance de la sécurité blockchain, 42 attaques majeures sur des contrats ont eu lieu au cours du premier semestre 2022, entraînant des pertes totales s'élevant à 644 millions de dollars. Parmi celles-ci, l'exploitation des vulnérabilités des contrats représente 53 % de toutes les méthodes d'attaque.
Parmi les différentes vulnérabilités exploitées, les défauts de logique ou de conception de fonction sont les cibles les plus souvent exploitées par les hackers, suivis des problèmes de validation et des vulnérabilités de réentrance.
Analyse des cas typiques
Événement d'attaque du pont inter-chaînes Wormhole
Le 3 février 2022, un projet de pont inter-chaînes a été attaqué par un Hacker, entraînant une perte d'environ 326 millions de dollars. Les attaquants ont exploité une vulnérabilité de vérification de signature dans le contrat pour falsifier avec succès des comptes système et miner une grande quantité de wETH.
Fei Protocol attaque
Le 30 avril 2022, un certain protocole de prêt a subi une attaque par prêt éclair combinée à une attaque de réentrance, entraînant des pertes allant jusqu'à 80,34 millions de dollars. Cette attaque a eu des conséquences dévastatrices pour le projet, qui a finalement annoncé sa fermeture le 20 août.
Les attaquants ont principalement exploité une vulnérabilité de réentrance dans le contrat cEther du protocole. Ils ont obtenu des fonds initiaux par le biais d'un prêt flash, puis ont effectué des opérations de prêt avec garantie dans le contrat cible. En raison de la vulnérabilité de réentrance, les attaquants ont pu appeler à plusieurs reprises la fonction de retrait, réussissant finalement à voler tous les tokens dans le pool.
Types de vulnérabilités courantes
Attaque par réentrance ERC721/ERC1155 : exploiter les fonctions de rappel dans les standards de jetons pour effectuer une attaque par réentrance.
Failles logiques :
Considérations incomplètes dans des scénarios spéciaux, comme un transfert interne entraînant une augmentation inexpliquée des actifs.
La conception fonctionnelle n'est pas complète, comme l'absence de la mise en œuvre d'opérations clés.
Contrôle d'accès manquant : des fonctionnalités clés telles que la frappe de jetons, la configuration des rôles, etc. manquent d'une authentification efficace.
Manipulation des prix :
Mauvaise utilisation de l'oracle, prix moyen pondéré par le temps non adopté.
Utiliser directement le ratio de solde de jetons internes au contrat comme référence de prix.
Audit et prévention
Selon les statistiques, les types de vulnérabilités découverts lors du processus d'audit correspondent étroitement aux vulnérabilités réellement exploitées. Parmi celles-ci, les vulnérabilités logiques des contrats restent la principale cible des attaques.
Grâce à des plateformes de vérification de contrats intelligents professionnelles et à l'examen manuel d'experts en sécurité, la plupart des vulnérabilités peuvent être détectées et corrigées avant le lancement du projet. Cela souligne l'importance d'un audit de sécurité complet au cours du processus de développement du projet.
Pour améliorer la sécurité des projets Web3, il est conseillé aux équipes de développement :
Utiliser des techniques avancées telles que la vérification formelle pour l'audit de code.
Accorder de l'importance aux tests de sécurité dans des scénarios particuliers.
Mettre en œuvre un mécanisme de gestion des autorisations strict.
Choisissez et utilisez prudemment des sources de données externes telles que les oracles.
Effectuer des évaluations de sécurité et des mises à jour régulières.
En se concentrant continuellement sur les problèmes de sécurité et en prenant des mesures de prévention actives, les projets Web3 peuvent réduire efficacement le risque d'attaques, offrant ainsi des services plus sûrs et fiables aux utilisateurs.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
11 J'aime
Récompense
11
6
Partager
Commentaire
0/400
WhaleWatcher
· Il y a 7h
Les méthodes pour se faire prendre pour des cons sont devenues plus sophistiquées.
Voir l'originalRépondre0
ConsensusDissenter
· 07-19 15:58
Encore une vague de pigeons prise pour des idiots se termine parfaitement.
Voir l'originalRépondre0
BearMarketLightning
· 07-19 15:58
Se faire prendre pour des cons au quotidien.
Voir l'originalRépondre0
UncleWhale
· 07-19 15:55
appartenant à ceux qui ne réussissent à rien, première place en attaque
Voir l'originalRépondre0
BearMarketSage
· 07-19 15:43
Encore pris pour un idiot, je suis fatigué.
Voir l'originalRépondre0
PoetryOnChain
· 07-19 15:34
L'argent a été volé par des hackers, c'est vraiment difficile à supporter.
Les attaques de hackers Web3 se multiplient, avec des pertes atteignant 644 millions de dollars au cours du premier semestre.
Analyse des techniques d'attaque des hackers dans le domaine du Web3 au premier semestre 2022
Au cours du premier semestre 2022, le domaine du Web3 a été frappé par plusieurs incidents de sécurité majeurs. Cet article analysera en profondeur les méthodes courantes de cyberattaques durant cette période, dans le but de fournir des références pour la protection de la sécurité dans l'industrie.
Aperçu des pertes globales
Selon les données d'une plateforme de surveillance de la sécurité blockchain, 42 attaques majeures sur des contrats ont eu lieu au cours du premier semestre 2022, entraînant des pertes totales s'élevant à 644 millions de dollars. Parmi celles-ci, l'exploitation des vulnérabilités des contrats représente 53 % de toutes les méthodes d'attaque.
Parmi les différentes vulnérabilités exploitées, les défauts de logique ou de conception de fonction sont les cibles les plus souvent exploitées par les hackers, suivis des problèmes de validation et des vulnérabilités de réentrance.
Analyse des cas typiques
Événement d'attaque du pont inter-chaînes Wormhole
Le 3 février 2022, un projet de pont inter-chaînes a été attaqué par un Hacker, entraînant une perte d'environ 326 millions de dollars. Les attaquants ont exploité une vulnérabilité de vérification de signature dans le contrat pour falsifier avec succès des comptes système et miner une grande quantité de wETH.
Fei Protocol attaque
Le 30 avril 2022, un certain protocole de prêt a subi une attaque par prêt éclair combinée à une attaque de réentrance, entraînant des pertes allant jusqu'à 80,34 millions de dollars. Cette attaque a eu des conséquences dévastatrices pour le projet, qui a finalement annoncé sa fermeture le 20 août.
Les attaquants ont principalement exploité une vulnérabilité de réentrance dans le contrat cEther du protocole. Ils ont obtenu des fonds initiaux par le biais d'un prêt flash, puis ont effectué des opérations de prêt avec garantie dans le contrat cible. En raison de la vulnérabilité de réentrance, les attaquants ont pu appeler à plusieurs reprises la fonction de retrait, réussissant finalement à voler tous les tokens dans le pool.
Types de vulnérabilités courantes
Audit et prévention
Selon les statistiques, les types de vulnérabilités découverts lors du processus d'audit correspondent étroitement aux vulnérabilités réellement exploitées. Parmi celles-ci, les vulnérabilités logiques des contrats restent la principale cible des attaques.
Grâce à des plateformes de vérification de contrats intelligents professionnelles et à l'examen manuel d'experts en sécurité, la plupart des vulnérabilités peuvent être détectées et corrigées avant le lancement du projet. Cela souligne l'importance d'un audit de sécurité complet au cours du processus de développement du projet.
Pour améliorer la sécurité des projets Web3, il est conseillé aux équipes de développement :
En se concentrant continuellement sur les problèmes de sécurité et en prenant des mesures de prévention actives, les projets Web3 peuvent réduire efficacement le risque d'attaques, offrant ainsi des services plus sûrs et fiables aux utilisateurs.