Analyse des techniques d'attaque des hackers Web3 : vulnérabilités courantes et stratégies de prévention au premier semestre 2022
Un rapport de recherche sur la sécurité Web3 récemment publié a analysé en profondeur la situation générale dans le domaine de la sécurité blockchain au cours du premier semestre 2022. Cet article se concentrera sur les méthodes d'attaque couramment utilisées par les Hackers durant cette période, en explorant les types de vulnérabilités fréquents et leurs stratégies de prévention.
Échelle des pertes causées par les vulnérabilités au cours du premier semestre
Selon les données d'une plateforme de surveillance de la sécurité blockchain, 42 incidents majeurs d'attaques par des failles de contrat ont eu lieu au cours du premier semestre 2022, entraînant des pertes totales de 644 millions de dollars. Parmi toutes les failles exploitées, les défauts de conception logique ou de fonction sont les plus courants, suivis des problèmes de validation et des failles de réentrance. Ces attaques représentent environ 53% de tous les incidents d'attaques sur la même période.
Exemples typiques de vulnérabilités causant des pertes majeures
Le 3 février, un projet de pont inter-chaînes a subi une attaque, entraînant une perte d'environ 3,26 millions de dollars. Le Hacker a exploité une vulnérabilité dans la validation de signature du contrat pour forger des comptes et émettre une grande quantité de jetons.
Le 30 avril, un certain protocole de prêt a subi une attaque par emprunt éclair combinée à une attaque de réentrance, entraînant une perte de 80,34 millions de dollars. Cette attaque a porté un coup fatal au projet, conduisant finalement à son annonce de fermeture en août.
En prenant l'exemple de l'accord de prêt ci-dessus, l'attaquant a principalement utilisé les étapes suivantes :
Obtenez un prêt éclair d'un certain échange décentralisé
Exploiter la vulnérabilité de réentrance dans le contrat de la plateforme de prêt pour effectuer des prêts répétés
Finalement, retirez tous les tokens du pool de fonds affecté.
Rembourser le prêt éclair et transférer les gains de l'attaque
Vulnérabilités fréquentes dans le processus d'audit
Les vulnérabilités les plus courantes dans l'audit des contrats intelligents se divisent principalement en quatre catégories :
Risque d'attaque par réinjection dans l'implémentation des standards ERC721/ERC1155
Défauts de conception de la logique de contrat, tels que des scénarios spéciaux mal pris en compte, des fonctionnalités incomplètes, etc.
Manque de contrôle d'accès pour les fonctions clés
Risque de manipulation des prix, comme une utilisation incorrecte des oracles, etc.
Vulnérabilités à haute fréquence et taux de découverte lors des audits dans les attaques réelles
Selon les statistiques des incidents de sécurité, les types de vulnérabilités découverts lors des audits coïncident fortement avec les vulnérabilités réellement exploitées par les hackers, parmi lesquelles les failles logiques des contrats restent le principal point d'attaque.
Il est à noter qu'en combinant des plateformes de vérification formelle professionnelles avec la révision manuelle d'experts en sécurité, la grande majorité des vulnérabilités susmentionnées peuvent être détectées au cours de la phase d'audit. Les experts en sécurité peuvent également fournir des recommandations de correction pour les problèmes identifiés, aidant ainsi les projets à réduire les risques de sécurité.
En résumé, bien que la situation de la sécurité dans le domaine du Web3 reste grave, les équipes de projet ont encore la possibilité d'améliorer considérablement leur niveau de protection grâce à des processus de vérification de sécurité et de correction des vulnérabilités en constante amélioration. Dans le monde en évolution rapide de la blockchain, la sécurité est toujours un thème éternel qui doit être pris très au sérieux.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
13 J'aime
Récompense
13
9
Reposter
Partager
Commentaire
0/400
ForkYouPayMe
· 07-03 23:55
Les pertes au début de l'année sont vraiment importantes.
Voir l'originalRépondre0
CrossChainBreather
· 07-02 18:57
prendre les gens pour des idiots l'argent sans fin
Voir l'originalRépondre0
RebaseVictim
· 07-02 17:03
Les pigeons professionnels ont encore été pris pour des idiots.
Voir l'originalRépondre0
RugDocDetective
· 07-02 16:57
Encore victime d'une vague de hacks, j'attends une compensation.
Voir l'originalRépondre0
Web3ExplorerLin
· 07-02 16:54
*ajuste la lentille théorique* fascinant de voir comment ces exploits reflètent la guerre de siège ancienne, pourtant dans des royaumes numériques...
Voir l'originalRépondre0
PaperHandsCriminal
· 07-02 16:52
Où sont passés les curieux ? Ceux de devant se plaignent.
Rapport de sécurité Web3 : Analyse des méthodes d'attaque des hackers et des pertes de 644 millions de dollars au premier semestre 2022
Analyse des techniques d'attaque des hackers Web3 : vulnérabilités courantes et stratégies de prévention au premier semestre 2022
Un rapport de recherche sur la sécurité Web3 récemment publié a analysé en profondeur la situation générale dans le domaine de la sécurité blockchain au cours du premier semestre 2022. Cet article se concentrera sur les méthodes d'attaque couramment utilisées par les Hackers durant cette période, en explorant les types de vulnérabilités fréquents et leurs stratégies de prévention.
Échelle des pertes causées par les vulnérabilités au cours du premier semestre
Selon les données d'une plateforme de surveillance de la sécurité blockchain, 42 incidents majeurs d'attaques par des failles de contrat ont eu lieu au cours du premier semestre 2022, entraînant des pertes totales de 644 millions de dollars. Parmi toutes les failles exploitées, les défauts de conception logique ou de fonction sont les plus courants, suivis des problèmes de validation et des failles de réentrance. Ces attaques représentent environ 53% de tous les incidents d'attaques sur la même période.
Exemples typiques de vulnérabilités causant des pertes majeures
Le 3 février, un projet de pont inter-chaînes a subi une attaque, entraînant une perte d'environ 3,26 millions de dollars. Le Hacker a exploité une vulnérabilité dans la validation de signature du contrat pour forger des comptes et émettre une grande quantité de jetons.
Le 30 avril, un certain protocole de prêt a subi une attaque par emprunt éclair combinée à une attaque de réentrance, entraînant une perte de 80,34 millions de dollars. Cette attaque a porté un coup fatal au projet, conduisant finalement à son annonce de fermeture en août.
En prenant l'exemple de l'accord de prêt ci-dessus, l'attaquant a principalement utilisé les étapes suivantes :
Vulnérabilités fréquentes dans le processus d'audit
Les vulnérabilités les plus courantes dans l'audit des contrats intelligents se divisent principalement en quatre catégories :
Vulnérabilités à haute fréquence et taux de découverte lors des audits dans les attaques réelles
Selon les statistiques des incidents de sécurité, les types de vulnérabilités découverts lors des audits coïncident fortement avec les vulnérabilités réellement exploitées par les hackers, parmi lesquelles les failles logiques des contrats restent le principal point d'attaque.
Il est à noter qu'en combinant des plateformes de vérification formelle professionnelles avec la révision manuelle d'experts en sécurité, la grande majorité des vulnérabilités susmentionnées peuvent être détectées au cours de la phase d'audit. Les experts en sécurité peuvent également fournir des recommandations de correction pour les problèmes identifiés, aidant ainsi les projets à réduire les risques de sécurité.
En résumé, bien que la situation de la sécurité dans le domaine du Web3 reste grave, les équipes de projet ont encore la possibilité d'améliorer considérablement leur niveau de protection grâce à des processus de vérification de sécurité et de correction des vulnérabilités en constante amélioration. Dans le monde en évolution rapide de la blockchain, la sécurité est toujours un thème éternel qui doit être pris très au sérieux.