Analyse de la plus grande attaque de hacker dans le domaine de Web3
Le 21 février 2025, un célèbre échange de plateforme a subi une attaque majeure sur son portefeuille froid Ethereum, environ 401 346 ETH, 15 000 cmETH, 8 000 mETH, 90 375 stETH et 90 USDT ont été transférés vers une adresse inconnue, pour une valeur totale d'environ 1,46 milliard de dollars.
L'attaquant a utilisé des techniques de phishing soigneusement conçues pour inciter les signataires du portefeuille multi-signatures de la plateforme à approuver des transactions malveillantes. Le processus d'attaque est le suivant :
L'attaquant déploie à l'avance un contrat malveillant contenant une porte dérobée pour le transfert de fonds.
Modifier l'interface frontale de Safe pour que les informations de transaction visibles par le signataire ne correspondent pas aux données réellement envoyées au portefeuille matériel.
Obtenir trois signatures valides via une interface falsifiée, remplacer le contrat d'implémentation du portefeuille multi-signatures Safe par un contrat malveillant, puis contrôler le portefeuille froid et transférer des fonds.
La plateforme victime a mandaté Sygnia pour mener une enquête d'expertise afin de déterminer la cause profonde de l'attaque, d'identifier l'étendue et l'origine de l'attaque, et de développer des stratégies d'atténuation des risques. Les résultats de l'enquête montrent :
Les ressources dans le bucket S3 d'AWS de Safe ont été injectées avec du code JavaScript malveillant.
Les horodatages des ressources et les archives historiques du réseau indiquent que du code malveillant a été injecté directement dans le bucket S3 d'AWS de Safe.
Le code JavaScript injecté vise à manipuler les transactions en modifiant le contenu des transactions pendant le processus de signature.
Le code malveillant a des conditions d'activation spécifiques et ne s'exécute que lorsque la source de la transaction correspond à une adresse de contrat spécifique.
Deux minutes après l'exécution de la transaction malveillante, une version mise à jour des ressources JavaScript a été téléchargée, supprimant le code malveillant.
Des preuves préliminaires indiquent que l'attaque provient de l'infrastructure AWS de Safe.
Aucun signe d'intrusion dans l'infrastructure de la plateforme victime n'a été détecté jusqu'à présent.
Cet incident a révélé des problèmes profonds dans la gestion de la sécurité et l'architecture technique de l'industrie des cryptomonnaies. Le problème principal réside dans l'intrusion du service de stockage AWS, qui a conduit à la modification du JavaScript, modifiant ainsi le contenu des transactions initiées par le front-end de Safe. Si le front-end de Safe avait mis en œuvre une validation SRI de base, même si le JavaScript avait été altéré, de tels incidents auraient pu être évités. Parallèlement, la plateforme victime a confirmé les informations de transaction sans les valider suffisamment lors de l'utilisation d'un portefeuille matériel, cette confiance excessive envers le front-end de Safe constitue également un problème clé.
Les portefeuilles matériels présentent des limites lors du traitement de transactions complexes, incapables de déchiffrer et d'afficher entièrement les données détaillées des transactions des portefeuilles multi-signatures, ce qui conduit les signataires à effectuer des "signatures à l'aveugle" sans avoir complètement vérifié le contenu de la transaction.
Avec le développement rapide de la technologie Web3, la frontière entre la sécurité frontale et la sécurité de la blockchain devient de plus en plus floue. Les vulnérabilités traditionnelles du front-end (comme XSS, CSRF) présentent de nouvelles dimensions d'attaque dans un environnement Web3, tandis que les vulnérabilités des contrats intelligents et les défauts de gestion des clés privées amplifient encore le risque.
Pour faire face à ces défis, l'industrie doit prendre les mesures suivantes :
Mettre en œuvre la vérification des signatures structurées EIP-712, garantissant que le frontend génère des données vérifiables et que le contrat intelligent vérifie les signatures.
Mettre à jour le firmware du portefeuille matériel pour prendre en charge l'EIP-712 et exécuter la correspondance sémantique sur la chaîne.
Améliorer la sécurité des dispositifs, la validation des transactions et les mécanismes de gestion des risques.
Le développement front-end doit effectuer une vérification stricte des étapes telles que l'accès à la DApp, la connexion au portefeuille, la signature des messages, la signature des transactions et le traitement post-transaction.
Effectuer régulièrement des audits de sécurité des contrats en chaîne.
Seule une approche de sécurité à plusieurs niveaux et à 360 degrés peut efficacement protéger la valeur et la confiance de chaque transaction dans l'environnement ouvert du Web3, réalisant la transition d'une "réparation passive" à une "immunité proactive".
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
11 J'aime
Récompense
11
9
Partager
Commentaire
0/400
0xSunnyDay
· 07-21 23:59
C'est un peu stressant de transférer une si grosse somme...
Voir l'originalRépondre0
ShamedApeSeller
· 07-21 22:09
Ne paniquez pas, le hacker ne s'enfuit pas loin.
Voir l'originalRépondre0
SigmaBrain
· 07-21 17:18
Ouf, ce poisson est un peu gras.
Voir l'originalRépondre0
ApeWithNoFear
· 07-19 18:45
Eh, est-ce que les gens veulent vraiment jouer aussi gros ?
Voir l'originalRépondre0
ser_we_are_early
· 07-19 01:37
Quatorze milliards de dollars ont disparu, c'est un désastre dans l'univers de la cryptomonnaie.
Voir l'originalRépondre0
HodlVeteran
· 07-19 01:37
Les vieux pigeons ont de nouveau senti l'odeur du sang, grande scène.
Voir l'originalRépondre0
LightningAllInHero
· 07-19 01:35
C'est fou, même les voleurs sont aussi compétitifs ?
Voir l'originalRépondre0
BanklessAtHeart
· 07-19 01:32
Oh là là, une telle faille de sécurité, c'est saoulant.
Voir l'originalRépondre0
AllTalkLongTrader
· 07-19 01:08
Ah, cette méthode de vol d'argent est vraiment sophistiquée.
Analyse du plus grand vol de l'histoire du Web3 : 1,46 milliard de dollars volés lors d'une attaque de hacker.
Analyse de la plus grande attaque de hacker dans le domaine de Web3
Le 21 février 2025, un célèbre échange de plateforme a subi une attaque majeure sur son portefeuille froid Ethereum, environ 401 346 ETH, 15 000 cmETH, 8 000 mETH, 90 375 stETH et 90 USDT ont été transférés vers une adresse inconnue, pour une valeur totale d'environ 1,46 milliard de dollars.
L'attaquant a utilisé des techniques de phishing soigneusement conçues pour inciter les signataires du portefeuille multi-signatures de la plateforme à approuver des transactions malveillantes. Le processus d'attaque est le suivant :
La plateforme victime a mandaté Sygnia pour mener une enquête d'expertise afin de déterminer la cause profonde de l'attaque, d'identifier l'étendue et l'origine de l'attaque, et de développer des stratégies d'atténuation des risques. Les résultats de l'enquête montrent :
Cet incident a révélé des problèmes profonds dans la gestion de la sécurité et l'architecture technique de l'industrie des cryptomonnaies. Le problème principal réside dans l'intrusion du service de stockage AWS, qui a conduit à la modification du JavaScript, modifiant ainsi le contenu des transactions initiées par le front-end de Safe. Si le front-end de Safe avait mis en œuvre une validation SRI de base, même si le JavaScript avait été altéré, de tels incidents auraient pu être évités. Parallèlement, la plateforme victime a confirmé les informations de transaction sans les valider suffisamment lors de l'utilisation d'un portefeuille matériel, cette confiance excessive envers le front-end de Safe constitue également un problème clé.
Les portefeuilles matériels présentent des limites lors du traitement de transactions complexes, incapables de déchiffrer et d'afficher entièrement les données détaillées des transactions des portefeuilles multi-signatures, ce qui conduit les signataires à effectuer des "signatures à l'aveugle" sans avoir complètement vérifié le contenu de la transaction.
Avec le développement rapide de la technologie Web3, la frontière entre la sécurité frontale et la sécurité de la blockchain devient de plus en plus floue. Les vulnérabilités traditionnelles du front-end (comme XSS, CSRF) présentent de nouvelles dimensions d'attaque dans un environnement Web3, tandis que les vulnérabilités des contrats intelligents et les défauts de gestion des clés privées amplifient encore le risque.
Pour faire face à ces défis, l'industrie doit prendre les mesures suivantes :
Seule une approche de sécurité à plusieurs niveaux et à 360 degrés peut efficacement protéger la valeur et la confiance de chaque transaction dans l'environnement ouvert du Web3, réalisant la transition d'une "réparation passive" à une "immunité proactive".