Analyse des méthodes d'attaque des hackers Web3 : méthodes d'attaque courantes et stratégies de prévention au premier semestre 2022
Au cours du premier semestre 2022, la situation de la sécurité dans le domaine du Web3 n'est pas optimiste. Les données montrent qu'environ 644 millions de dollars de pertes ont été causées uniquement par des vulnérabilités de contrats intelligents, impliquant 42 événements d'attaque majeurs. Parmi ces attaques, les failles de conception logique ou fonctionnelle, les problèmes de validation et les vulnérabilités de réentrance sont les faiblesses les plus souvent exploitées par les Hackers.
Analyse des cas de pertes majeures
Le pont inter-chaînes Solana Wormhole a été attaqué : en février 2022, un Hacker a exploité une vulnérabilité de vérification de signature pour falsifier des comptes et émettre du wETH, provoquant une perte d'environ 326 millions de dollars.
Le pool Rari Fuse du protocole Fei a été attaqué : en avril 2022, un Hacker a volé des actifs d'une valeur de 80,34 millions de dollars en utilisant un emprunt flash combiné à une attaque de réentrance. Cette attaque a eu un impact énorme sur le projet, entraînant finalement l'annonce de la fermeture du protocole Fei en août.
Détails de l'attaque du protocole Fei :
L'attaquant obtient d'abord un prêt flash depuis Balancer: Vault.
Utiliser des fonds empruntés pour effectuer un prêt collatéral sur Rari Capital, tout en exploitant la vulnérabilité de réentrance dans le contrat cEther.
En appelant de manière répétée la fonction d'attaque conçue avec soin, tous les jetons du pool sont extraits.
Le remboursement final du prêt éclair transférera les bénéfices au contrat désigné.
Le cœur de cette attaque réside dans l'exploitation d'une vulnérabilité de réentrance présente dans le contrat d'implémentation de cEther de Rari Capital, entraînant finalement le vol de plus de 28380 ETH (environ 8034 millions de dollars).
Types de vulnérabilités courantes en audit
Attaque par réentrance ERC721/ERC1155 :
Lors de l'utilisation des fonctions _safeMint(), _safeTransfer(), si le code de rappel du contrat de réception contient du code malveillant, cela peut entraîner une attaque par réentrance.
Failles logiques :
Manque de considération pour des scénarios spéciaux, tels que des transferts internes entraînant une augmentation fictive des actifs.
La conception des fonctionnalités n'est pas parfaite, par exemple, il manque un mécanisme de retrait ou de liquidation.
Contrôle d'accès manquant :
Les opérations clés (comme le minting, les réglages de rôle, les ajustements de paramètres) n'ont pas de contrôle d'accès approprié.
Risque de manipulation des prix :
Système oracle n'ayant pas adopté le prix moyen pondéré par le temps.
Utiliser directement le ratio d'actifs dans le contrat comme base de prix, facile à manipuler.
Exploitation des vulnérabilités dans les attaques réelles
Les statistiques montrent que les diverses vulnérabilités découvertes lors des audits ont presque toutes été exploitées par des Hackers dans un environnement réel, parmi lesquelles les vulnérabilités logiques des contrats restent l'objectif principal des attaques.
Il est à noter que, grâce à des plateformes de vérification formelle de contrats intelligents professionnelles et à l'audit manuel d'experts en sécurité, la plupart de ces vulnérabilités peuvent être détectées en temps utile durant la phase de développement. Les experts en sécurité peuvent également fournir des recommandations de correction en fonction des situations spécifiques, aidant ainsi les équipes de projet à améliorer la sécurité des contrats.
Conseils de prévention
Renforcer l'audit de code : effectuer régulièrement un audit de sécurité complet, en se concentrant particulièrement sur la conception logique et le traitement des scénarios spéciaux.
Mettre en œuvre un contrôle d'accès strict : mettre en place des mécanismes de protection tels que des signatures multiples ou des verrous temporels pour les fonctionnalités clés.
Optimisation des oracles de prix : utiliser des oracles décentralisés et un prix moyen pondéré par le temps pour réduire le risque de manipulation des prix.
Suivre les pratiques de codage sécurisées : appliquer strictement le modèle "vérifier - valider - interagir" pour prévenir les attaques par réinjection.
Surveillance continue : Déployer un système de surveillance en temps réel pour détecter et répondre rapidement aux activités anormales.
En prenant ces mesures, les projets Web3 peuvent considérablement améliorer leur sécurité et réduire le risque de devenir des cibles de hackers. Avec l'évolution constante de la technologie, rester vigilant et mettre à jour continuellement les stratégies de sécurité sera la clé pour assurer le fonctionnement stable à long terme du projet.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
10 J'aime
Récompense
10
8
Reposter
Partager
Commentaire
0/400
GasWaster
· 07-18 07:16
Aïe, encore une année où les hackers se font prendre pour des cons.
Voir l'originalRépondre0
PumpStrategist
· 07-18 06:52
Les vulnérabilités sont écrites si clairement que les Hackers en salivent.
Voir l'originalRépondre0
LightningClicker
· 07-18 02:16
Gardez un petit secret off-chain
Voir l'originalRépondre0
GasFeeCry
· 07-15 15:27
Il y a une clé pour chaque serrure. N'oubliez pas de souscrire une assurance.
Voir l'originalRépondre0
AirdropHunterXiao
· 07-15 15:24
Encore une vague de gros bulls se faire prendre pour des cons.
Voir l'originalRépondre0
NotAFinancialAdvice
· 07-15 15:18
Brûler de l'argent pour atteindre de nouveaux sommets, c'est vraiment excitant.
Voir l'originalRépondre0
TrustMeBro
· 07-15 15:08
Je n'ai pas écrit de smart contracts depuis longtemps, mais je suis vraiment surpris par ces données.
Voir l'originalRépondre0
GateUser-a5fa8bd0
· 07-15 15:03
Ce hacker est vraiment trop avide, il commence par plusieurs milliards.
Alerte de sécurité Web3 : Analyse des méthodes d'attaque des hackers et des stratégies de prévention pour le premier semestre 2022
Analyse des méthodes d'attaque des hackers Web3 : méthodes d'attaque courantes et stratégies de prévention au premier semestre 2022
Au cours du premier semestre 2022, la situation de la sécurité dans le domaine du Web3 n'est pas optimiste. Les données montrent qu'environ 644 millions de dollars de pertes ont été causées uniquement par des vulnérabilités de contrats intelligents, impliquant 42 événements d'attaque majeurs. Parmi ces attaques, les failles de conception logique ou fonctionnelle, les problèmes de validation et les vulnérabilités de réentrance sont les faiblesses les plus souvent exploitées par les Hackers.
Analyse des cas de pertes majeures
Le pont inter-chaînes Solana Wormhole a été attaqué : en février 2022, un Hacker a exploité une vulnérabilité de vérification de signature pour falsifier des comptes et émettre du wETH, provoquant une perte d'environ 326 millions de dollars.
Le pool Rari Fuse du protocole Fei a été attaqué : en avril 2022, un Hacker a volé des actifs d'une valeur de 80,34 millions de dollars en utilisant un emprunt flash combiné à une attaque de réentrance. Cette attaque a eu un impact énorme sur le projet, entraînant finalement l'annonce de la fermeture du protocole Fei en août.
Détails de l'attaque du protocole Fei :
Le cœur de cette attaque réside dans l'exploitation d'une vulnérabilité de réentrance présente dans le contrat d'implémentation de cEther de Rari Capital, entraînant finalement le vol de plus de 28380 ETH (environ 8034 millions de dollars).
Types de vulnérabilités courantes en audit
Attaque par réentrance ERC721/ERC1155 : Lors de l'utilisation des fonctions _safeMint(), _safeTransfer(), si le code de rappel du contrat de réception contient du code malveillant, cela peut entraîner une attaque par réentrance.
Failles logiques :
Contrôle d'accès manquant : Les opérations clés (comme le minting, les réglages de rôle, les ajustements de paramètres) n'ont pas de contrôle d'accès approprié.
Risque de manipulation des prix :
Exploitation des vulnérabilités dans les attaques réelles
Les statistiques montrent que les diverses vulnérabilités découvertes lors des audits ont presque toutes été exploitées par des Hackers dans un environnement réel, parmi lesquelles les vulnérabilités logiques des contrats restent l'objectif principal des attaques.
Il est à noter que, grâce à des plateformes de vérification formelle de contrats intelligents professionnelles et à l'audit manuel d'experts en sécurité, la plupart de ces vulnérabilités peuvent être détectées en temps utile durant la phase de développement. Les experts en sécurité peuvent également fournir des recommandations de correction en fonction des situations spécifiques, aidant ainsi les équipes de projet à améliorer la sécurité des contrats.
Conseils de prévention
Renforcer l'audit de code : effectuer régulièrement un audit de sécurité complet, en se concentrant particulièrement sur la conception logique et le traitement des scénarios spéciaux.
Mettre en œuvre un contrôle d'accès strict : mettre en place des mécanismes de protection tels que des signatures multiples ou des verrous temporels pour les fonctionnalités clés.
Optimisation des oracles de prix : utiliser des oracles décentralisés et un prix moyen pondéré par le temps pour réduire le risque de manipulation des prix.
Suivre les pratiques de codage sécurisées : appliquer strictement le modèle "vérifier - valider - interagir" pour prévenir les attaques par réinjection.
Surveillance continue : Déployer un système de surveillance en temps réel pour détecter et répondre rapidement aux activités anormales.
En prenant ces mesures, les projets Web3 peuvent considérablement améliorer leur sécurité et réduire le risque de devenir des cibles de hackers. Avec l'évolution constante de la technologie, rester vigilant et mettre à jour continuellement les stratégies de sécurité sera la clé pour assurer le fonctionnement stable à long terme du projet.