Analyse des méthodes d'attaque courantes des hackers Web3 : Rapport sur la situation de sécurité pour le premier semestre 2022

Au cours du premier semestre 2022, les incidents de sécurité dans le domaine du Web3 ont été fréquents, avec des techniques d'attaque de hackers en constante évolution. Selon le dernier rapport de recherche sur la situation de la sécurité publié, nous avons effectué une analyse approfondie des principales méthodes d'attaque durant cette période, dans le but de fournir des références et des avertissements à l'industrie.

Aperçu des attaques par vulnérabilité

Les données montrent qu'au premier semestre 2022, 42 attaques majeures liées aux vulnérabilités des contrats ont eu lieu, entraînant des pertes totales de 644 millions de dollars. Parmi toutes les techniques d'attaque, l'exploitation des vulnérabilités des contrats représente 53 %. Parmi celles-ci, les erreurs de logique ou de conception des fonctions sont le type de vulnérabilité le plus fréquemment exploité par les Hackers, suivi des problèmes de validation et des vulnérabilités de réentrance.

Analyse des cas de pertes importantes

1. Le pont inter-chaînes Wormhole attaqué : le 3 février 2022, un Hacker a exploité une vulnérabilité de vérification de signature pour falsifier des comptes et frapper du wETH, entraînant des pertes d'environ 326 millions de dollars.

2. Fei Protocol a été attaqué : le 30 avril 2022, le Rari Fuse Pool a subi une attaque par emprunt éclair et réentrance, entraînant une perte de 80,34 millions de dollars. Cet événement a finalement conduit le projet à annoncer sa fermeture le 20 août.

Détails de l'attaque du Fei Protocol

L'attaquant a exploité la vulnérabilité de réentrance présente dans le contrat cEther de Rari Capital en suivant les étapes suivantes :

1. Effectuer un prêt flash depuis Balancer: Vault
2. Utiliser des fonds empruntés pour effectuer des prêts et emprunts sur Rari Capital
3. En attaquant la fonction de rappel dans le contrat, extraire tous les jetons du pool affecté.
4. Rembourser le prêt éclair et transférer les gains de l'attaque vers le contrat désigné

Types de vulnérabilités courantes

Dans le processus d'audit des contrats intelligents, les types de vulnérabilités les plus courants incluent :

1. Attaque de réentrance ERC721/ERC1155
2. Vulnérabilités logiques (comme l'absence de prise en compte de scénarios particuliers, conception de fonctionnalités incomplètes)
3. Authentification manquante
4. Problèmes de manipulation des prix

Exploitation de vulnérabilités et découvertes d'audit

Parmi les vulnérabilités réellement exploitées, les vulnérabilités logiques des contrats restent la principale partie. Il est à noter que grâce à des plateformes de vérification formelle des contrats intelligents professionnelles et à l'audit manuel par des experts en sécurité, ces vulnérabilités peuvent être détectées lors de la phase d'audit.

Les experts en sécurité fournissent généralement un rapport d'évaluation de la sécurité détaillé et des recommandations de correction après avoir découvert des vulnérabilités, offrant ainsi une référence importante pour les équipes de projet.

Conclusion

Avec le développement rapide de l'écosystème Web3, les problèmes de sécurité deviennent de plus en plus importants. Les équipes de projet doivent accorder une attention particulière à l'audit de sécurité des contrats intelligents et adopter des mesures de protection multiples pour réduire le risque d'attaques. Parallèlement, il est également crucial de suivre en permanence les dynamiques de sécurité de l'industrie et de mettre à jour rapidement les stratégies de sécurité pour garantir la sécurité des projets.