Analyse de la situation de sécurité du premier semestre dans le domaine de Web3 : méthodes d'attaque des hackers et stratégies de prévention
Au cours du premier semestre 2022, les incidents de sécurité dans le domaine du Web3 se sont multipliés, entraînant d'énormes pertes. Cet article analysera les principales méthodes d'attaque de cette période et discutera des stratégies de prévention correspondantes.
Aperçu des événements de sécurité du premier semestre
Selon les données de surveillance de la plateforme de perception de l'état de la blockchain, 42 cas d'attaques majeures ont eu lieu au cours du premier semestre de 2022, avec des pertes totales atteignant 644 millions de dollars. Environ 53 % des méthodes d'attaque étaient des exploitations de vulnérabilités de contrats.
Parmi toutes les vulnérabilités exploitées, une conception incorrecte de la logique ou des fonctions est le type de vulnérabilité le plus souvent exploité par les Hackers, suivie des problèmes de validation et des vulnérabilités de réentrance.
Analyse des événements de pertes majeures
Le 3 février, le projet de pont inter-chaînes Solana, Wormhole, a été attaqué, entraînant une perte d'environ 326 millions de dollars. Le Hacker a exploité une vulnérabilité de vérification de signature dans le contrat pour falsifier des comptes et frapper du wETH.
Le 30 avril, le pool de fonds d'un certain protocole a subi une attaque par prêt éclair et réentrance, entraînant une perte de 80,34 millions de dollars. L'attaquant a exploité une vulnérabilité de réentrance dans le contrat d'implémentation de cEther, en construisant une fonction de rappel pour extraire tous les fonds. Cet événement a finalement conduit l'équipe du projet à annoncer sa fermeture.
Types de vulnérabilités courantes
Les vulnérabilités les plus couramment trouvées lors du processus d'audit se classent principalement en quatre catégories :
Attaque par réentrance ERC721/ERC1155 : inclure du code malveillant dans la fonction de notification de transfert.
Authentification manquante : la fonction clé n'a pas de contrôle d'autorisation.
Manipulation des prix : le mécanisme de calcul des prix présente des défauts.
Ces vulnérabilités ont été exploitées par des Hacker dans des scénarios réels, parmi lesquelles les vulnérabilités logiques de contrat sont la principale méthode d'attaque.
Suggestions de prévention
Suivre strictement le modèle de conception "Inspection - Effet - Interaction".
Prendre en compte toutes les conditions limites et les scénarios spéciaux.
Mettre en place un contrôle d'accès complet pour les fonctionnalités clés.
Utiliser des mécanismes tels que le prix moyen pondéré dans le temps pour renforcer la sécurité des oracles de prix.
Effectuer régulièrement une vérification formelle des contrats intelligents et un audit de sécurité professionnel.
Grâce à une plateforme professionnelle d'audit de sécurité et de vérification, combinée à des contrôles manuels par des experts en sécurité, les vulnérabilités mentionnées peuvent être détectées et corrigées à temps avant le lancement du projet. Les équipes de projet doivent accorder une importance particulière à l'audit de sécurité et mettre en œuvre les recommandations de sécurité pertinentes afin de réduire au maximum les risques de sécurité.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
13 J'aime
Récompense
13
7
Partager
Commentaire
0/400
AirdropworkerZhang
· 07-24 11:13
bull est difficile à atteindre
Voir l'originalRépondre0
CryptoSourGrape
· 07-23 03:52
Si j'étais aussi un Hacker, tout ce que j'ai perdu serait revenu.
Voir l'originalRépondre0
FOMOSapien
· 07-21 15:17
Tout le monde est à plat, hein les frères ?
Voir l'originalRépondre0
FOMOmonster
· 07-21 15:15
prendre les gens pour des idiots une tasse de pigeons
Voir l'originalRépondre0
NftCollectors
· 07-21 15:11
D'après l'analyse des données, les accidents de sécurité menacent gravement la légitimité de la transmission de valeur off-chain.
Voir l'originalRépondre0
0xSoulless
· 07-21 14:58
pigeons perdent toujours clairement
Voir l'originalRépondre0
LightningAllInHero
· 07-21 14:55
Les contrats ne sont pas bien rédigés, des milliards s'envolent.
Situation de la sécurité Web3 au premier semestre : 42 attaques ont causé des pertes de 644 millions de dollars, analyse des stratégies de prévention.
Analyse de la situation de sécurité du premier semestre dans le domaine de Web3 : méthodes d'attaque des hackers et stratégies de prévention
Au cours du premier semestre 2022, les incidents de sécurité dans le domaine du Web3 se sont multipliés, entraînant d'énormes pertes. Cet article analysera les principales méthodes d'attaque de cette période et discutera des stratégies de prévention correspondantes.
Aperçu des événements de sécurité du premier semestre
Selon les données de surveillance de la plateforme de perception de l'état de la blockchain, 42 cas d'attaques majeures ont eu lieu au cours du premier semestre de 2022, avec des pertes totales atteignant 644 millions de dollars. Environ 53 % des méthodes d'attaque étaient des exploitations de vulnérabilités de contrats.
Parmi toutes les vulnérabilités exploitées, une conception incorrecte de la logique ou des fonctions est le type de vulnérabilité le plus souvent exploité par les Hackers, suivie des problèmes de validation et des vulnérabilités de réentrance.
Analyse des événements de pertes majeures
Le 3 février, le projet de pont inter-chaînes Solana, Wormhole, a été attaqué, entraînant une perte d'environ 326 millions de dollars. Le Hacker a exploité une vulnérabilité de vérification de signature dans le contrat pour falsifier des comptes et frapper du wETH.
Le 30 avril, le pool de fonds d'un certain protocole a subi une attaque par prêt éclair et réentrance, entraînant une perte de 80,34 millions de dollars. L'attaquant a exploité une vulnérabilité de réentrance dans le contrat d'implémentation de cEther, en construisant une fonction de rappel pour extraire tous les fonds. Cet événement a finalement conduit l'équipe du projet à annoncer sa fermeture.
Types de vulnérabilités courantes
Les vulnérabilités les plus couramment trouvées lors du processus d'audit se classent principalement en quatre catégories :
Attaque par réentrance ERC721/ERC1155 : inclure du code malveillant dans la fonction de notification de transfert.
Vulnérabilité logique : considérations spéciales négligées, conception fonctionnelle incomplète.
Authentification manquante : la fonction clé n'a pas de contrôle d'autorisation.
Manipulation des prix : le mécanisme de calcul des prix présente des défauts.
Ces vulnérabilités ont été exploitées par des Hacker dans des scénarios réels, parmi lesquelles les vulnérabilités logiques de contrat sont la principale méthode d'attaque.
Suggestions de prévention
Suivre strictement le modèle de conception "Inspection - Effet - Interaction".
Prendre en compte toutes les conditions limites et les scénarios spéciaux.
Mettre en place un contrôle d'accès complet pour les fonctionnalités clés.
Utiliser des mécanismes tels que le prix moyen pondéré dans le temps pour renforcer la sécurité des oracles de prix.
Effectuer régulièrement une vérification formelle des contrats intelligents et un audit de sécurité professionnel.
Grâce à une plateforme professionnelle d'audit de sécurité et de vérification, combinée à des contrôles manuels par des experts en sécurité, les vulnérabilités mentionnées peuvent être détectées et corrigées à temps avant le lancement du projet. Les équipes de projet doivent accorder une importance particulière à l'audit de sécurité et mettre en œuvre les recommandations de sécurité pertinentes afin de réduire au maximum les risques de sécurité.