Analyse des méthodes d'attaque des hackers Web3 : méthodes d'attaque courantes et stratégies de prévention au cours du premier semestre 2022

Au cours du premier semestre 2022, la situation de la sécurité dans le domaine du Web3 n'est pas rassurante. Les données montrent que 42 attaques majeures ont été causées uniquement par des vulnérabilités de contrats, entraînant des pertes totales de 644 millions de dollars. Parmi ces attaques, les défauts de conception logique ou fonctionnelle sont les vulnérabilités les plus souvent exploitées par les Hackers, suivies des problèmes de validation et des vulnérabilités de réentrance.

Revue des événements de pertes majeures

Le 3 février, un projet de pont inter-chaînes a été attaqué, entraînant une perte d'environ 326 millions de dollars. Le Hacker a exploité une vulnérabilité de vérification de signature dans le contrat, réussissant à falsifier un compte pour créer des jetons.

Le 30 avril, un protocole de prêt a subi une attaque par emprunt éclair et par réentrance, entraînant une perte de 80,34 millions de dollars. Cette attaque a porté un coup fatal au projet, qui a finalement annoncé sa fermeture le 20 août.

Analyse des cas d'attaque

Prenons l'exemple de l'attaque du protocole de prêt mentionné ci-dessus, l'attaquant a principalement exploité les étapes suivantes :

1. Effectuer un prêt flash depuis un certain fonds.
2. Exploiter la vulnérabilité de réentrance des contrats de la plateforme de prêt pour le prêt collatéral.
3. Extraire tous les tokens du pool à travers la fonction d'attaque construite.
4. Rembourser le prêt flash, transférer les bénéfices

Cette attaque a principalement exploité une vulnérabilité de réentrance dans un contrat sur une certaine plateforme de prêt, entraînant une perte de plus de 28380ETH (environ 8034 millions de dollars).

Types de vulnérabilités courantes

Les vulnérabilités les plus courantes lors du processus d'audit peuvent être classées en quatre grandes catégories :

1. Attaque par réentrance ERC721/ERC1155
2. Vulnérabilités logiques (prise en compte insuffisante des scénarios particuliers, conception fonctionnelle incomplète)
3. Authentification manquante
4. Manipulation des prix

Vulnérabilités réellement exploitées et constatations d'audit

Dans les attaques réelles, les vulnérabilités logiques des contrats restent le type le plus exploité. Il convient de noter que la plupart de ces vulnérabilités peuvent être détectées lors de la phase d'audit grâce à des plateformes de vérification formelle des contrats intelligents et à des examens manuels par des experts.

Conseils de prévention

1. Renforcer la conception logique des contrats, en prêtant une attention particulière au traitement des scénarios spéciaux.
2. Suivre strictement le mode de vérification - activation - interaction pour prévenir les attaques par réinjection.
3. Améliorer le mécanisme d'authentification, en particulier le contrôle d'accès aux fonctions clés.
4. Utiliser des oracles de prix fiables pour éviter la manipulation des prix
5. Effectuer des audits de sécurité réguliers et corriger rapidement les vulnérabilités identifiées.

En surveillant en continu la situation de sécurité et en prenant des mesures de protection complètes, les projets Web3 peuvent considérablement améliorer leur sécurité et réduire le risque d'attaques.