Analyse des méthodes d'attaque couramment utilisées par les hackers Web3 : Interprétation de la situation de sécurité au premier semestre 2022
Au cours du premier semestre 2022, la situation de la sécurité dans le domaine du Web3 n'est pas réjouissante. Selon les données de surveillance de la plateforme de perception de la situation blockchain, 42 incidents majeurs d'attaques de vulnérabilités de contrats intelligents ont eu lieu, entraînant des pertes allant jusqu'à 644 millions de dollars. Parmi ces attaques, l'exploitation des vulnérabilités de contrats représente plus de la moitié, devenant ainsi le moyen préféré des Hackers.
Analyse des principaux types d'attaque
Parmi toutes les vulnérabilités exploitées, les défauts de logique ou de conception de fonction sont les cibles les plus fréquemment exploitées par les Hackers. Viennent ensuite les problèmes de validation et les vulnérabilités de réentrance. Ces vulnérabilités non seulement apparaissent fréquemment, mais entraînent également souvent d'énormes pertes.
Par exemple, en février 2022, le projet de pont inter-chaînes Wormhole dans l'écosystème Solana a été attaqué, avec des pertes atteignant 326 millions de dollars. L'attaquant a exploité une vulnérabilité de vérification de signature dans le contrat, réussissant à falsifier le compte système pour créer une grande quantité de wETH.
Un autre événement majeur s'est produit fin avril, lorsque le Rari Fuse Pool de Fei Protocol a subi une attaque combinant un prêt éclair et une attaque par réentrance, entraînant des pertes s'élevant à 80,34 millions de dollars. Cette attaque a porté un coup fatal au projet, qui a finalement annoncé sa fermeture en août.
Analyse approfondie des cas d'attaque du Protocole Fei
L'attaquant a d'abord obtenu un prêt flash de Balancer, puis a utilisé ces fonds pour faire du prêt collatérisé sur Rari Capital. En raison d'une vulnérabilité de réentrance dans le contrat d'implémentation de cEther de Rari Capital, l'attaquant a réussi à extraire tous les jetons du pool affecté grâce à une fonction de rappel soigneusement conçue.
Le processus d'attaque est généralement le suivant :
Obtenez un prêt éclair de Balancer
Utiliser des fonds empruntés pour opérer sur Rari Capital et déclencher une vulnérabilité de réentrance.
En attaquant des fonctions spécifiques dans le contrat, extraire de manière répétée des jetons du pool.
Rembourser le prêt flash, les bénéfices seront transférés au contrat désigné
Cette attaque a finalement conduit au vol de plus de 28380 ETH (environ 80,34 millions de dollars).
Types de vulnérabilités courantes
Lors du processus d'audit des contrats intelligents, les types de vulnérabilités les plus courants incluent principalement :
Attaque de réentrance ERC721/ERC1155 : implique l'exploitation malveillante des fonctions de rappel dans la norme.
Vulnérabilités logiques : inclut des considérations insuffisantes pour des scénarios spéciaux et un design fonctionnel incomplet.
Absence d'authentification : les fonctions clés manquent de contrôle d'accès efficace.
Manipulation des prix : utilisation incorrecte des oracles ou défauts dans le calcul des prix.
Ces vulnérabilités apparaissent non seulement fréquemment lors des audits, mais sont également les faiblesses les plus souvent exploitées lors des attaques réelles. Parmi elles, les vulnérabilités logiques des contrats restent les cibles d'attaque préférées des Hackers.
Conseils de prévention
Pour améliorer la sécurité des contrats intelligents, il est recommandé aux projets de prendre les mesures suivantes :
Effectuer une vérification formelle complète et un audit manuel
Prêter une attention particulière aux comportements contractuels dans des situations spéciales
Améliorer la conception des fonctionnalités des contrats, en particulier celles qui concernent les opérations financières.
Mise en œuvre stricte d'un mécanisme de contrôle des accès
Utilisez des oracles de prix fiables, évitez d'utiliser un simple rapport de solde comme base de prix.
Grâce à des plateformes d'audit de sécurité et de validation professionnelles, combinées à des inspections manuelles par des experts en sécurité, la plupart des vulnérabilités peuvent être détectées et corrigées avant le lancement du projet. Cela permet non seulement de réduire efficacement les risques liés aux projets, mais aussi de contribuer à la santé et au développement de l'écosystème Web3.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
12 J'aime
Récompense
12
3
Partager
Commentaire
0/400
MemeEchoer
· 07-24 15:53
Auditer un Rug Pull et c'est tout.
Voir l'originalRépondre0
AllInAlice
· 07-24 15:44
Encore un moment magique de se faire prendre pour des cons.
Voir l'originalRépondre0
MindsetExpander
· 07-24 15:40
Le projet de bull et de cheval coûte vraiment cher.
Alerte à la sécurité Web3 : 42 attaques au cours du premier semestre ont causé des pertes de 644 millions de dollars.
Analyse des méthodes d'attaque couramment utilisées par les hackers Web3 : Interprétation de la situation de sécurité au premier semestre 2022
Au cours du premier semestre 2022, la situation de la sécurité dans le domaine du Web3 n'est pas réjouissante. Selon les données de surveillance de la plateforme de perception de la situation blockchain, 42 incidents majeurs d'attaques de vulnérabilités de contrats intelligents ont eu lieu, entraînant des pertes allant jusqu'à 644 millions de dollars. Parmi ces attaques, l'exploitation des vulnérabilités de contrats représente plus de la moitié, devenant ainsi le moyen préféré des Hackers.
Analyse des principaux types d'attaque
Parmi toutes les vulnérabilités exploitées, les défauts de logique ou de conception de fonction sont les cibles les plus fréquemment exploitées par les Hackers. Viennent ensuite les problèmes de validation et les vulnérabilités de réentrance. Ces vulnérabilités non seulement apparaissent fréquemment, mais entraînent également souvent d'énormes pertes.
Par exemple, en février 2022, le projet de pont inter-chaînes Wormhole dans l'écosystème Solana a été attaqué, avec des pertes atteignant 326 millions de dollars. L'attaquant a exploité une vulnérabilité de vérification de signature dans le contrat, réussissant à falsifier le compte système pour créer une grande quantité de wETH.
Un autre événement majeur s'est produit fin avril, lorsque le Rari Fuse Pool de Fei Protocol a subi une attaque combinant un prêt éclair et une attaque par réentrance, entraînant des pertes s'élevant à 80,34 millions de dollars. Cette attaque a porté un coup fatal au projet, qui a finalement annoncé sa fermeture en août.
Analyse approfondie des cas d'attaque du Protocole Fei
L'attaquant a d'abord obtenu un prêt flash de Balancer, puis a utilisé ces fonds pour faire du prêt collatérisé sur Rari Capital. En raison d'une vulnérabilité de réentrance dans le contrat d'implémentation de cEther de Rari Capital, l'attaquant a réussi à extraire tous les jetons du pool affecté grâce à une fonction de rappel soigneusement conçue.
Le processus d'attaque est généralement le suivant :
Cette attaque a finalement conduit au vol de plus de 28380 ETH (environ 80,34 millions de dollars).
Types de vulnérabilités courantes
Lors du processus d'audit des contrats intelligents, les types de vulnérabilités les plus courants incluent principalement :
Ces vulnérabilités apparaissent non seulement fréquemment lors des audits, mais sont également les faiblesses les plus souvent exploitées lors des attaques réelles. Parmi elles, les vulnérabilités logiques des contrats restent les cibles d'attaque préférées des Hackers.
Conseils de prévention
Pour améliorer la sécurité des contrats intelligents, il est recommandé aux projets de prendre les mesures suivantes :
Grâce à des plateformes d'audit de sécurité et de validation professionnelles, combinées à des inspections manuelles par des experts en sécurité, la plupart des vulnérabilités peuvent être détectées et corrigées avant le lancement du projet. Cela permet non seulement de réduire efficacement les risques liés aux projets, mais aussi de contribuer à la santé et au développement de l'écosystème Web3.