Analyse des attaques Web3 au premier semestre 2022 : pertes dues aux vulnérabilités de 644 millions de dollars, la logique des contrats comme principal point d'entrée.
Analyse des méthodes d'attaque courantes dans le domaine de Web3 au premier semestre 2022
Au cours du premier semestre 2022, la situation de la sécurité dans le domaine du Web3 reste préoccupante. Cet article analysera en profondeur les méthodes d'attaque courantes durant cette période, en examinant leur fréquence et les mesures de prévention.
Aperçu des pertes causées par les vulnérabilités
Selon les données de la plateforme de surveillance de la sécurité blockchain, il y a eu 42 incidents majeurs d'attaques de vulnérabilités de contrats au cours du premier semestre 2022, représentant environ 53 % de tous les incidents d'attaques. Les pertes totales causées par ces attaques s'élèvent à 644 millions de dollars.
Parmi toutes les vulnérabilités exploitées, les défauts logiques ou de conception de fonction sont le type de vulnérabilité le plus couramment exploité par les hackers, suivi des problèmes de validation et des vulnérabilités de réentrance.
Analyse des événements de pertes majeures
Événement d'attaque du pont inter-chaînes Wormhole
Le 3 février 2022, le projet de pont inter-chaînes Wormhole de l'écosystème Solana a été attaqué, entraînant une perte d'environ 326 millions de dollars. L'attaquant a exploité une vulnérabilité de vérification de signature dans le contrat pour falsifier un compte système et émettre une grande quantité de wETH.
Événement d'attaque du protocole Fei
Le 30 avril 2022, le Rari Fuse Pool de Fei Protocol a subi une attaque par prêt flash et réentrance, entraînant une perte de 80,34 millions de dollars. Cette attaque a porté un coup fatal au projet, qui a finalement annoncé sa fermeture le 20 août.
Les attaquants ont principalement exploité la vulnérabilité de réentrance présente dans le contrat d'implémentation du cEther de Rari Capital. Le processus d'attaque est le suivant :
L'attaquant obtient un prêt flash de Balancer.
Utiliser les fonds de prêt flash pour effectuer des prêts et des emprunts sur Rari Capital, tout en exploitant une vulnérabilité de réentrance.
Extraire tous les tokens du pool affecté via la fonction de rappel d'attaque construite.
Rembourser le prêt éclair et transférer les gains de l'attaque.
Types de vulnérabilités courantes en audit
Attaque par réinjection ERC721/ERC1155 :
Exploiter la fonction de notification de transfert dans la norme pour effectuer une attaque par réentrance
La fonction métier ne suit pas strictement le modèle de vérification - de mise en vigueur - d'interaction.
Vulnérabilité logique :
Considérations insuffisantes pour des scénarios particuliers, comme le transfert entre soi-même entraînant une augmentation des jetons.
La conception des fonctionnalités n'est pas complète, comme l'absence de mécanismes de retrait ou de règlement.
Absence d'authentification :
Les fonctionnalités clés (comme le minting, la configuration des rôles) manquent de contrôle d'accès
Manipulation des prix :
Mauvaise utilisation ou absence d'oracle
Utiliser directement le ratio du solde des jetons dans le contrat comme référence de prix.
Exploitation de vulnérabilités dans des attaques réelles
Selon les données de surveillance de la sécurité, les types de vulnérabilités découverts lors de l'audit ont presque tous été exploités lors d'attaques réelles, parmi lesquels les vulnérabilités logiques des contrats demeurent le principal moyen d'attaque.
Il est important de noter qu'au moyen de plateformes de vérification de contrats intelligents professionnelles et de la révision manuelle d'experts en sécurité, la plupart de ces vulnérabilités peuvent être détectées et corrigées avant le lancement du projet. Par conséquent, réaliser un audit de sécurité complet est crucial pour prévenir les attaques potentielles.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Analyse des attaques Web3 au premier semestre 2022 : pertes dues aux vulnérabilités de 644 millions de dollars, la logique des contrats comme principal point d'entrée.
Analyse des méthodes d'attaque courantes dans le domaine de Web3 au premier semestre 2022
Au cours du premier semestre 2022, la situation de la sécurité dans le domaine du Web3 reste préoccupante. Cet article analysera en profondeur les méthodes d'attaque courantes durant cette période, en examinant leur fréquence et les mesures de prévention.
Aperçu des pertes causées par les vulnérabilités
Selon les données de la plateforme de surveillance de la sécurité blockchain, il y a eu 42 incidents majeurs d'attaques de vulnérabilités de contrats au cours du premier semestre 2022, représentant environ 53 % de tous les incidents d'attaques. Les pertes totales causées par ces attaques s'élèvent à 644 millions de dollars.
Parmi toutes les vulnérabilités exploitées, les défauts logiques ou de conception de fonction sont le type de vulnérabilité le plus couramment exploité par les hackers, suivi des problèmes de validation et des vulnérabilités de réentrance.
Analyse des événements de pertes majeures
Événement d'attaque du pont inter-chaînes Wormhole
Le 3 février 2022, le projet de pont inter-chaînes Wormhole de l'écosystème Solana a été attaqué, entraînant une perte d'environ 326 millions de dollars. L'attaquant a exploité une vulnérabilité de vérification de signature dans le contrat pour falsifier un compte système et émettre une grande quantité de wETH.
Événement d'attaque du protocole Fei
Le 30 avril 2022, le Rari Fuse Pool de Fei Protocol a subi une attaque par prêt flash et réentrance, entraînant une perte de 80,34 millions de dollars. Cette attaque a porté un coup fatal au projet, qui a finalement annoncé sa fermeture le 20 août.
Les attaquants ont principalement exploité la vulnérabilité de réentrance présente dans le contrat d'implémentation du cEther de Rari Capital. Le processus d'attaque est le suivant :
Types de vulnérabilités courantes en audit
Exploitation de vulnérabilités dans des attaques réelles
Selon les données de surveillance de la sécurité, les types de vulnérabilités découverts lors de l'audit ont presque tous été exploités lors d'attaques réelles, parmi lesquels les vulnérabilités logiques des contrats demeurent le principal moyen d'attaque.
Il est important de noter qu'au moyen de plateformes de vérification de contrats intelligents professionnelles et de la révision manuelle d'experts en sécurité, la plupart de ces vulnérabilités peuvent être détectées et corrigées avant le lancement du projet. Par conséquent, réaliser un audit de sécurité complet est crucial pour prévenir les attaques potentielles.