Analyse des vulnérabilités de sécurité dans le domaine du Web3 : Analyse des techniques d'attaque des hackers au premier semestre 2022
Dans le rapport sur la sécurité de l'écosystème Web3, nous analysons en profondeur la situation globale dans le domaine de la sécurité des blockchains, y compris le montant total des pertes, les types de projets attaqués, les pertes par plateforme de chaîne, les méthodes d'attaque, les flux de fonds et les audits de projets, entre autres. Cet article mettra l'accent sur l'interprétation des méthodes d'attaque couramment utilisées par les hackers Web3 au premier semestre 2022, en explorant quelles vulnérabilités sont les plus fréquentes et comment y faire face efficacement.
Échelle des pertes causées par les vulnérabilités au premier semestre
La surveillance de la plateforme de données montre que 42 attaques majeures de vulnérabilité de contrat ont eu lieu au premier semestre 2022, représentant environ 53 % de toutes les méthodes d'attaque. Les pertes totales causées par ces attaques s'élèvent à 644,04 millions de dollars.
Parmi toutes les vulnérabilités exploitées, les défauts de conception logique ou de fonction sont les cibles les plus couramment exploitées par les Hackers, suivis des problèmes de validation et des vulnérabilités de réentrance.
Analyse des événements de pertes majeures
En février 2022, le projet de pont inter-chaînes Wormhole de Solana a été attaqué, entraînant une perte d'environ 326 millions de dollars. Le Hacker a exploité une vulnérabilité de validation de signature dans le contrat pour falsifier des comptes et frapper du wETH.
Le 30 avril 2022, le Rari Fuse Pool de Fei Protocol a subi une attaque par emprunt éclair et réentrance, entraînant une perte de 80,34 millions de dollars. Cette attaque a porté un coup fatal au projet, qui a finalement annoncé sa fermeture le 20 août.
Analyse des cas d'attaque du protocole Fei
L'attaquant a exploité une vulnérabilité de réentrance dans le contrat cEther de Rari Capital. Le processus d'attaque est le suivant :
Effectuer un prêt flash depuis Balancer: Vault
Utiliser les fonds de prêt instantané pour emprunter et prêter sur Rari Capital
En extrayant tous les tokens du pool affecté en attaquant les rappels de fonction dans le contrat.
Remboursement du prêt éclair, transfert des gains de l'attaque
Cette attaque a volé plus de 28380 ETH (environ 8034 millions de dollars).
Types de vulnérabilités courantes lors des audits
Attaque par réentrance ERC721/ERC1155 : lors de l'utilisation des fonctions de transfert de ces standards, un code malveillant peut être déclenché, entraînant une attaque par réentrance.
Vulnérabilité logique :
Considérations insuffisantes pour des scénarios particuliers, comme se transférer de l'argent à soi-même, ce qui entraîne des créations d'argent fictif.
La conception des fonctionnalités n'est pas complète, comme l'absence de fonctionnalités de retrait ou de règlement.
Authentification manquante : des fonctions clés telles que le minting, la définition des rôles de contrat, etc. manquent de contrôle d'accès.
Manipulation des prix :
Prix moyen pondéré par le temps non utilisé
Utiliser directement le ratio du solde des tokens dans le contrat comme prix
Vulnérabilités effectivement exploitées et découvertes lors de la phase d'audit
Selon les statistiques de la plateforme de sécurité, la plupart des vulnérabilités découvertes lors du processus d'audit ont été exploitées par des hackers dans des scénarios réels, les vulnérabilités logiques des contrats restant la principale partie.
Grâce à une vérification formalisée par contrat intelligent et à un audit manuel par des experts, ces vulnérabilités peuvent être détectées lors de la phase d'audit. Les experts en sécurité peuvent évaluer les risques et fournir des recommandations de correction.
Dans l'ensemble, la situation de la sécurité dans le domaine de Web3 reste grave, les projets doivent accorder une plus grande attention aux audits de sécurité et prendre des mesures de protection complètes pour réduire le risque d'attaques.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
21 J'aime
Récompense
21
5
Partager
Commentaire
0/400
YieldChaser
· 07-18 02:00
Accélérer vers le vol de huit milliards.
Voir l'originalRépondre0
ParallelChainMaxi
· 07-17 02:02
Une nouvelle année de hack show commence.
Voir l'originalRépondre0
LiquidityWizard
· 07-16 16:33
Encore une fois, on vient prendre les gens pour des idiots.
Analyse des méthodes d'attaque Web3 par des hackers au premier semestre 2022 : les vulnérabilités des contrats restent la principale menace
Analyse des vulnérabilités de sécurité dans le domaine du Web3 : Analyse des techniques d'attaque des hackers au premier semestre 2022
Dans le rapport sur la sécurité de l'écosystème Web3, nous analysons en profondeur la situation globale dans le domaine de la sécurité des blockchains, y compris le montant total des pertes, les types de projets attaqués, les pertes par plateforme de chaîne, les méthodes d'attaque, les flux de fonds et les audits de projets, entre autres. Cet article mettra l'accent sur l'interprétation des méthodes d'attaque couramment utilisées par les hackers Web3 au premier semestre 2022, en explorant quelles vulnérabilités sont les plus fréquentes et comment y faire face efficacement.
Échelle des pertes causées par les vulnérabilités au premier semestre
La surveillance de la plateforme de données montre que 42 attaques majeures de vulnérabilité de contrat ont eu lieu au premier semestre 2022, représentant environ 53 % de toutes les méthodes d'attaque. Les pertes totales causées par ces attaques s'élèvent à 644,04 millions de dollars.
Parmi toutes les vulnérabilités exploitées, les défauts de conception logique ou de fonction sont les cibles les plus couramment exploitées par les Hackers, suivis des problèmes de validation et des vulnérabilités de réentrance.
Analyse des événements de pertes majeures
En février 2022, le projet de pont inter-chaînes Wormhole de Solana a été attaqué, entraînant une perte d'environ 326 millions de dollars. Le Hacker a exploité une vulnérabilité de validation de signature dans le contrat pour falsifier des comptes et frapper du wETH.
Le 30 avril 2022, le Rari Fuse Pool de Fei Protocol a subi une attaque par emprunt éclair et réentrance, entraînant une perte de 80,34 millions de dollars. Cette attaque a porté un coup fatal au projet, qui a finalement annoncé sa fermeture le 20 août.
Analyse des cas d'attaque du protocole Fei
L'attaquant a exploité une vulnérabilité de réentrance dans le contrat cEther de Rari Capital. Le processus d'attaque est le suivant :
Cette attaque a volé plus de 28380 ETH (environ 8034 millions de dollars).
Types de vulnérabilités courantes lors des audits
Attaque par réentrance ERC721/ERC1155 : lors de l'utilisation des fonctions de transfert de ces standards, un code malveillant peut être déclenché, entraînant une attaque par réentrance.
Vulnérabilité logique :
Authentification manquante : des fonctions clés telles que le minting, la définition des rôles de contrat, etc. manquent de contrôle d'accès.
Manipulation des prix :
Vulnérabilités effectivement exploitées et découvertes lors de la phase d'audit
Selon les statistiques de la plateforme de sécurité, la plupart des vulnérabilités découvertes lors du processus d'audit ont été exploitées par des hackers dans des scénarios réels, les vulnérabilités logiques des contrats restant la principale partie.
Grâce à une vérification formalisée par contrat intelligent et à un audit manuel par des experts, ces vulnérabilités peuvent être détectées lors de la phase d'audit. Les experts en sécurité peuvent évaluer les risques et fournir des recommandations de correction.
Dans l'ensemble, la situation de la sécurité dans le domaine de Web3 reste grave, les projets doivent accorder une plus grande attention aux audits de sécurité et prendre des mesures de protection complètes pour réduire le risque d'attaques.