Alerte de sécurité Web3 : 42 attaques au cours du premier semestre 2022 ayant entraîné des pertes de 644 millions de dollars. Analyse des conseils de prévention.
Analyse des méthodes d'attaque des hackers Web3 : méthodes d'attaque courantes du premier semestre 2022 et recommandations de prévention
Au cours du premier semestre 2022, le domaine du Web3 a connu de fréquents événements de sécurité, entraînant d'énormes pertes pour l'industrie. Cet article analysera les principales méthodes d'attaque de cette période, dans le but de fournir aux équipes de projet des références pour la prévention des risques.
Aperçu des données d'attaque principales
Selon les données de surveillance de la plateforme de perception de la situation blockchain, il y a eu 42 attaques majeures de vulnérabilités de contrats au cours du premier semestre 2022, causant des pertes d'environ 644 millions de dollars. Parmi toutes les vulnérabilités exploitées, les erreurs de conception logique ou de fonction étaient les plus courantes, suivies par des problèmes de validation et des vulnérabilités de réentrance.
Analyse des événements de sécurité typiques
Incident d'attaque de pont Wormhole
Le 3 février 2022, un projet de pont inter-chaînes a été attaqué, entraînant une perte pouvant atteindre 326 millions de dollars. Les attaquants ont exploité une vulnérabilité de vérification de signature dans le contrat du projet, réalisant une frappe illégale en falsifiant un compte sysvar.
Le protocole Fei a subi une attaque par emprunt éclair.
Le 30 avril 2022, un protocole de prêt a subi une attaque de réentrance par un prêt flash, entraînant une perte de 80,34 millions de dollars. L'attaquant a mis en œuvre l'attaque par les étapes suivantes :
Obtenez un prêt flash de Balancer
Exploiter la vulnérabilité de réentrance dans le contrat de la pool de prêts pour effectuer des emprunts répétés
Retirer des fonds du pool et rembourser le prêt flash
Cet événement a finalement conduit l'équipe du projet à annoncer sa fermeture.
Types de vulnérabilités courantes
Les vulnérabilités les plus courantes lors du processus d'audit comprennent principalement :
Attaque de réentrance ERC721/ERC1155
Vulnérabilité de la logique de contrat
Absence de contrôle d'accès
Vulnérabilité de manipulation des prix
Ces vulnérabilités sont également fréquemment exploitées lors d'attaques réelles, parmi lesquelles les failles logiques des contrats sont les principaux points d'attaque.
Suggestions de prévention
Suivre strictement le modèle de conception "Vérifier-Effectuer-Interagir"
Prendre en compte le traitement logique dans des scénarios spéciaux.
Améliorer la conception des fonctionnalités du contrat, comme l'ajout de mécanismes de retrait et de règlement.
Renforcer le contrôle des permissions des fonctionnalités clés
Utiliser un mécanisme de prix oracle sécurisé
Effectuer un audit de sécurité complet, y compris des tests automatisés et des examens manuels.
Grâce à une plateforme de vérification de contrats intelligents professionnelle et à l'audit d'experts en sécurité, la plupart des vulnérabilités mentionnées ci-dessus peuvent être détectées et corrigées au cours de la phase de développement. Les porteurs de projet doivent accorder une grande importance à la sécurité, en mettant en place des mécanismes de protection multiples afin de réduire le risque d'attaques.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
7 J'aime
Récompense
7
3
Partager
Commentaire
0/400
UncommonNPC
· Il y a 2h
Ce cercle est trop sauvage, qui va le remettre en ordre ?
Voir l'originalRépondre0
SolidityNewbie
· Il y a 8h
Des failles dans la conception des fonctions ? Opération typique d'un novice.
Voir l'originalRépondre0
DeepRabbitHole
· Il y a 8h
Encore une fois, c'est le moment de faire du yield farming, tout l'argent a été emporté par les Hackers.
Alerte de sécurité Web3 : 42 attaques au cours du premier semestre 2022 ayant entraîné des pertes de 644 millions de dollars. Analyse des conseils de prévention.
Analyse des méthodes d'attaque des hackers Web3 : méthodes d'attaque courantes du premier semestre 2022 et recommandations de prévention
Au cours du premier semestre 2022, le domaine du Web3 a connu de fréquents événements de sécurité, entraînant d'énormes pertes pour l'industrie. Cet article analysera les principales méthodes d'attaque de cette période, dans le but de fournir aux équipes de projet des références pour la prévention des risques.
Aperçu des données d'attaque principales
Selon les données de surveillance de la plateforme de perception de la situation blockchain, il y a eu 42 attaques majeures de vulnérabilités de contrats au cours du premier semestre 2022, causant des pertes d'environ 644 millions de dollars. Parmi toutes les vulnérabilités exploitées, les erreurs de conception logique ou de fonction étaient les plus courantes, suivies par des problèmes de validation et des vulnérabilités de réentrance.
Analyse des événements de sécurité typiques
Incident d'attaque de pont Wormhole
Le 3 février 2022, un projet de pont inter-chaînes a été attaqué, entraînant une perte pouvant atteindre 326 millions de dollars. Les attaquants ont exploité une vulnérabilité de vérification de signature dans le contrat du projet, réalisant une frappe illégale en falsifiant un compte sysvar.
Le protocole Fei a subi une attaque par emprunt éclair.
Le 30 avril 2022, un protocole de prêt a subi une attaque de réentrance par un prêt flash, entraînant une perte de 80,34 millions de dollars. L'attaquant a mis en œuvre l'attaque par les étapes suivantes :
Cet événement a finalement conduit l'équipe du projet à annoncer sa fermeture.
Types de vulnérabilités courantes
Les vulnérabilités les plus courantes lors du processus d'audit comprennent principalement :
Ces vulnérabilités sont également fréquemment exploitées lors d'attaques réelles, parmi lesquelles les failles logiques des contrats sont les principaux points d'attaque.
Suggestions de prévention
Grâce à une plateforme de vérification de contrats intelligents professionnelle et à l'audit d'experts en sécurité, la plupart des vulnérabilités mentionnées ci-dessus peuvent être détectées et corrigées au cours de la phase de développement. Les porteurs de projet doivent accorder une grande importance à la sécurité, en mettant en place des mécanismes de protection multiples afin de réduire le risque d'attaques.