Analyse des techniques d'attaque courantes dans le domaine du Web3 au premier semestre 2022
Au cours du premier semestre 2022, le domaine de la sécurité Web3 a été confronté à de graves défis. Les données montrent que 42 incidents d'attaques majeures ont été causés uniquement par des vulnérabilités de contrat, avec des pertes totales atteignant 644 millions de dollars. Parmi ces attaques, les défauts de conception logique ou de fonction sont les vulnérabilités les plus souvent exploitées par les hackers, suivis des problèmes de validation et des vulnérabilités de réentrance.
Cas de pertes majeures
Le 3 février, un projet de pont inter-chaînes a été attaqué, entraînant une perte d'environ 326 millions de dollars. Les hackers ont exploité une vulnérabilité de vérification de signature dans le contrat, réussissant à falsifier des comptes pour émettre des jetons.
Le 30 avril, un protocole de prêt a subi une attaque par emprunt éclair à réentrer, causant une perte de 80,34 millions de dollars. Cette attaque a porté un coup fatal au projet, entraînant finalement sa fermeture.
L'attaquant exécute l'attaque en suivant les étapes suivantes :
Emprunter de manière instantanée depuis un fonds.
Exploiter la vulnérabilité de réentrance des contrats via cEther sur une plateforme de prêt
Extraire tous les tokens du pool affecté par une attaque de contrat
Remboursement du prêt éclair, transfert des gains de l'attaque
Types de vulnérabilités courantes
Dans le processus d'audit des contrats intelligents, les vulnérabilités les plus courantes peuvent être classées en quatre grandes catégories :
Attaque de réentrance ERC721/ERC1155 : implique du code malveillant dans la fonction de notification de transfert de jetons.
Vulnérabilité logique :
Considérations insuffisantes pour des scénarios spéciaux, comme le transfert de fonds entraînant une création d'argent de nulle part.
La conception des fonctionnalités n'est pas complète, par exemple, il manque des mécanismes de retrait ou de règlement.
Absence d'authentification : Les fonctionnalités clés n'ont pas de contrôle d'accès.
Manipulation des prix :
Prix moyen pondéré par le temps non utilisé
Utiliser directement le ratio de solde de jetons dans le contrat comme prix
Prévention des vulnérabilités
Presque toutes les vulnérabilités découvertes lors des audits ont été exploitées par des hackers dans des scénarios réels. Parmi elles, les vulnérabilités logiques des contrats restent le principal point d'attaque. Grâce à des plateformes de vérification formelle professionnelles et à l'examen manuel d'experts en sécurité, la plupart de ces vulnérabilités peuvent être détectées au cours de la phase d'audit.
Pour améliorer la sécurité des projets Web3, il est conseillé aux équipes de développement:
Effectuer un audit de sécurité complet des contrats
Accorder de l'importance aux tests dans des scénarios spéciaux
Mettre en œuvre une gestion stricte des autorisations
Utiliser des oracles de prix fiables
Suivre le modèle de conception "Vérifier-Effectuer-Interagir"
Avec l'évolution continue des méthodes d'attaque, une sensibilisation à la sécurité persistante et une mise à niveau des mesures de protection sont essentielles pour le développement sain de l'écosystème Web3.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
8 J'aime
Récompense
8
5
Reposter
Partager
Commentaire
0/400
InscriptionGriller
· Il y a 2h
Une autre vague de pigeons a été prise pour des idiots. Déverrouiller le classique.
Voir l'originalRépondre0
OPsychology
· Il y a 2h
L'argent est parti, l'argent est parti, le contrat est toujours là.
Voir l'originalRépondre0
SigmaBrain
· Il y a 2h
L'argent est parti, c'est tout. Quotidien.
Voir l'originalRépondre0
MEVHunter
· Il y a 2h
juste un autre jour dans le defi... des contrats faibles se font rekt, des fuites d'alpha partout smh
Voir l'originalRépondre0
GateUser-40edb63b
· Il y a 2h
Je sais que c'est vraiment ennuyeux de trouver des failles.
Web3 a perdu 644 millions de dollars en six mois, les failles logiques des contrats devenant le principal point d'attaque des Hackers.
Analyse des techniques d'attaque courantes dans le domaine du Web3 au premier semestre 2022
Au cours du premier semestre 2022, le domaine de la sécurité Web3 a été confronté à de graves défis. Les données montrent que 42 incidents d'attaques majeures ont été causés uniquement par des vulnérabilités de contrat, avec des pertes totales atteignant 644 millions de dollars. Parmi ces attaques, les défauts de conception logique ou de fonction sont les vulnérabilités les plus souvent exploitées par les hackers, suivis des problèmes de validation et des vulnérabilités de réentrance.
Cas de pertes majeures
Le 3 février, un projet de pont inter-chaînes a été attaqué, entraînant une perte d'environ 326 millions de dollars. Les hackers ont exploité une vulnérabilité de vérification de signature dans le contrat, réussissant à falsifier des comptes pour émettre des jetons.
Le 30 avril, un protocole de prêt a subi une attaque par emprunt éclair à réentrer, causant une perte de 80,34 millions de dollars. Cette attaque a porté un coup fatal au projet, entraînant finalement sa fermeture.
L'attaquant exécute l'attaque en suivant les étapes suivantes :
Types de vulnérabilités courantes
Dans le processus d'audit des contrats intelligents, les vulnérabilités les plus courantes peuvent être classées en quatre grandes catégories :
Prévention des vulnérabilités
Presque toutes les vulnérabilités découvertes lors des audits ont été exploitées par des hackers dans des scénarios réels. Parmi elles, les vulnérabilités logiques des contrats restent le principal point d'attaque. Grâce à des plateformes de vérification formelle professionnelles et à l'examen manuel d'experts en sécurité, la plupart de ces vulnérabilités peuvent être détectées au cours de la phase d'audit.
Pour améliorer la sécurité des projets Web3, il est conseillé aux équipes de développement:
Avec l'évolution continue des méthodes d'attaque, une sensibilisation à la sécurité persistante et une mise à niveau des mesures de protection sont essentielles pour le développement sain de l'écosystème Web3.