Analyse de la situation de sécurité Web3 : Analyse des méthodes d'attaque des hackers au premier semestre 2022
Au cours du premier semestre 2022, la situation de la sécurité dans le domaine du Web3 n'est pas réjouissante. Selon les données de surveillance de la sécurité blockchain, les vulnérabilités des contrats sont devenues le principal moyen d'attaque des hackers, entraînant d'importantes pertes financières. Cet article analysera en profondeur les méthodes d'attaque couramment utilisées par les hackers durant cette période, ainsi que les mesures de prévention associées.
Aperçu des incidents de sécurité du premier semestre
Les données montrent qu'au cours du premier semestre 2022, 42 cas majeurs d'attaques ont eu lieu, dont 53 % des méthodes d'attaque étaient des exploits de vulnérabilités de contrat. Ces événements d'attaque ont causé des pertes allant jusqu'à 644040000 dollars. Parmi toutes les vulnérabilités exploitées, les défauts de logique ou de conception de fonctions ont été les plus fréquemment exploités par les hackers, suivis des problèmes de validation et des vulnérabilités de réentrance.
Analyse des cas de pertes importantes
Incident d'attaque de Wormhole, un pont inter-chaînes
Le 3 février 2022, le projet de pont inter-chaînes Wormhole dans l'écosystème Solana a été attaqué, entraînant une perte d'environ 326 millions de dollars. Le Hacker a exploité une vulnérabilité de vérification de signature dans le contrat, réussissant à falsifier le compte sysvar pour procéder à la frappe illégale de wETH.
Incident d'attaque de Fei Protocol
Le 30 avril 2022, le Rari Fuse Pool sous Fei Protocol a subi une attaque combinée de prêt éclair et de réentrance, entraînant une perte de 80,34 millions de dollars. Cette attaque a porté un coup fatal au projet, qui a finalement annoncé sa fermeture le 20 août.
L'attaquant met en œuvre l'attaque par les étapes suivantes :
Effectuer un prêt flash depuis Balancer: Vault
Utiliser des fonds empruntés pour effectuer des prêts garantis sur Rari Capital
Utiliser le cEther de Rari Capital pour exploiter la vulnérabilité de réentrance dans le contrat
Extraire tous les tokens du pool à travers le rappel de la fonction d'attaque construite.
Remboursement du prêt éclair, transfert des gains de l'attaque
Types de vulnérabilités courantes
Lors du processus d'audit des contrats intelligents, les vulnérabilités les plus courantes peuvent être classées en quatre grandes catégories :
Attaque par réentrance ERC721/ERC1155 : Lors de l'utilisation des fonctions _safeMint(), _safeTransfer(), il est possible de déclencher une exécution de code malveillant par réentrance.
Vulnérabilité logique :
Considérations insuffisantes pour des scénarios spéciaux, tels que les transferts internes qui créent de la valeur à partir de rien.
La conception des fonctionnalités n'est pas complète, par exemple, il manque des fonctionnalités de retrait ou de règlement.
Authentification manquante : des fonctionnalités clés telles que la création de pièces, la configuration des rôles, etc., manquent d'un contrôle d'accès efficace.
Manipulation des prix :
Prix moyen pondéré du temps non utilisé
Utiliser directement le ratio du solde des tokens dans le contrat comme prix
Conseils de prévention des vulnérabilités
Suivre strictement le modèle de conception "Vérification - Mise en œuvre - Interaction"
Prendre en compte tous les cas limites et scénarios spéciaux.
Améliorer la conception des fonctionnalités des contrats pour s'assurer que les opérations clés disposent des fonctionnalités d'accompagnement appropriées.
Mettre en œuvre une gestion stricte des autorisations, avec une validation multiple pour les fonctions clés
Utilisez des oracles de prix fiables, évitez d'utiliser des sources de données de prix facilement manipulables.
Effectuer régulièrement des audits de contrats intelligents en combinant des outils automatisés et une révision manuelle par des équipes de sécurité professionnelles.
En prenant ces mesures de prévention, la sécurité des contrats intelligents peut être considérablement améliorée et le risque d'attaque réduit. Cependant, avec l'évolution constante des méthodes d'attaque, les équipes de projet doivent rester vigilantes, suivre de près les dernières tendances en matière de sécurité et mettre à jour leurs stratégies de protection en temps utile.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
11 J'aime
Récompense
11
4
Partager
Commentaire
0/400
FlashLoanLord
· 07-21 01:57
唉 projet de fête sont trop gonflés sur le papier
Voir l'originalRépondre0
SchroedingerGas
· 07-20 21:22
Un petit pigeon qui brûle de l'argent, sans réserve à Haicang.
Perte massive, tant pis, je l'accepte.
Voir l'originalRépondre0
ChainSherlockGirl
· 07-18 16:07
Les portefeuilles des grands investisseurs ne sont jamais en paix. D'après mon imagination, c'est encore une classique série de crimes.
Voir l'originalRépondre0
CryptoDouble-O-Seven
· 07-18 15:39
Encore une fois, le chiffre des pertes me fait mal au cœur.
Alerte de sécurité Web3 : analyse des méthodes d'attaque des hackers et stratégies de prévention pour le premier semestre
Analyse de la situation de sécurité Web3 : Analyse des méthodes d'attaque des hackers au premier semestre 2022
Au cours du premier semestre 2022, la situation de la sécurité dans le domaine du Web3 n'est pas réjouissante. Selon les données de surveillance de la sécurité blockchain, les vulnérabilités des contrats sont devenues le principal moyen d'attaque des hackers, entraînant d'importantes pertes financières. Cet article analysera en profondeur les méthodes d'attaque couramment utilisées par les hackers durant cette période, ainsi que les mesures de prévention associées.
Aperçu des incidents de sécurité du premier semestre
Les données montrent qu'au cours du premier semestre 2022, 42 cas majeurs d'attaques ont eu lieu, dont 53 % des méthodes d'attaque étaient des exploits de vulnérabilités de contrat. Ces événements d'attaque ont causé des pertes allant jusqu'à 644040000 dollars. Parmi toutes les vulnérabilités exploitées, les défauts de logique ou de conception de fonctions ont été les plus fréquemment exploités par les hackers, suivis des problèmes de validation et des vulnérabilités de réentrance.
Analyse des cas de pertes importantes
Incident d'attaque de Wormhole, un pont inter-chaînes
Le 3 février 2022, le projet de pont inter-chaînes Wormhole dans l'écosystème Solana a été attaqué, entraînant une perte d'environ 326 millions de dollars. Le Hacker a exploité une vulnérabilité de vérification de signature dans le contrat, réussissant à falsifier le compte sysvar pour procéder à la frappe illégale de wETH.
Incident d'attaque de Fei Protocol
Le 30 avril 2022, le Rari Fuse Pool sous Fei Protocol a subi une attaque combinée de prêt éclair et de réentrance, entraînant une perte de 80,34 millions de dollars. Cette attaque a porté un coup fatal au projet, qui a finalement annoncé sa fermeture le 20 août.
L'attaquant met en œuvre l'attaque par les étapes suivantes :
Types de vulnérabilités courantes
Lors du processus d'audit des contrats intelligents, les vulnérabilités les plus courantes peuvent être classées en quatre grandes catégories :
Conseils de prévention des vulnérabilités
En prenant ces mesures de prévention, la sécurité des contrats intelligents peut être considérablement améliorée et le risque d'attaque réduit. Cependant, avec l'évolution constante des méthodes d'attaque, les équipes de projet doivent rester vigilantes, suivre de près les dernières tendances en matière de sécurité et mettre à jour leurs stratégies de protection en temps utile.
Perte massive, tant pis, je l'accepte.