Analyse des méthodes d'attaque couramment utilisées par les hackers Web3 au premier semestre 2022
Au cours du premier semestre 2022, la situation de la sécurité dans le domaine de Web3 était grave. Les données montrent qu'il y a eu un total de 42 incidents d'attaque majeurs dus à des vulnérabilités des contrats intelligents, entraînant des pertes totales s'élevant à 644 millions de dollars. Parmi ces attaques, l'exploitation des vulnérabilités des contrats représente plus de la moitié, atteignant 53 %.
Méthodes d'attaque courantes
L'analyse montre que les types de vulnérabilités les plus couramment exploités par les hackers comprennent :
Conception de la fonction OU logique inadéquate
Questions de vérification
Vulnérabilité de réentrance
Cas de pertes majeures
Événement Wormhole
Le 3 février 2022, le projet de pont inter-chaînes Solana Wormhole a subi une attaque, entraînant une perte d'environ 326 millions de dollars. Le Hacker a exploité une vulnérabilité de vérification de signature dans le contrat pour réussir à falsifier des comptes et frapper du wETH.
Événement Fei Protocol
Le 30 avril 2022, le Rari Fuse Pool de Fei Protocol a subi une attaque par emprunt flash combinée à une attaque par réinjection, entraînant une perte de 80,34 millions de dollars. Cet événement a finalement conduit le projet à annoncer sa fermeture le 20 août.
L'attaquant met en œuvre l'attaque en suivant les étapes suivantes :
Obtenir un prêt flash de Balancer
Exploiter la vulnérabilité de réentrance du contrat cEther de Rari Capital
Extraire tous les jetons du pool affecté via une fonction de rappel
Rembourser le prêt éclair et transférer les bénéfices
Vulnérabilités courantes dans les audits
Les types de vulnérabilités les plus courants lors de l'audit des contrats intelligents incluent :
Attaque de réentrance ERC721/ERC1155
Failles logiques ( considérations insuffisantes pour des scénarios spéciaux, conception fonctionnelle incomplète )
Authentification manquante
Manipulation des prix
Prévention des vulnérabilités
La plupart des vulnérabilités réellement exploitées peuvent être découvertes lors de la phase d'audit. Les développeurs de contrats devraient se concentrer sur :
Suivre strictement le mode de vérification - entrée - interaction
Améliorer le traitement des scénarios spéciaux
Renforcer la gestion des droits
Utiliser un oracle de prix fiable
Grâce à une plateforme de vérification formalisée des contrats intelligents et à l'examen manuel d'experts en sécurité, il est possible d'identifier efficacement les risques potentiels et de prendre des mesures correctives en temps utile pour améliorer la sécurité des contrats.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
9 J'aime
Récompense
9
7
Reposter
Partager
Commentaire
0/400
LongTermDreamer
· Il y a 7h
Les opportunités apportées par les vulnérabilités, dans trois ans, tout cela semblera insignifiant.
Voir l'originalRépondre0
LightningPacketLoss
· Il y a 11h
Oh non, quelqu'un a encore été volé.
Voir l'originalRépondre0
ParanoiaKing
· Il y a 11h
6 millions ont disparu, pourquoi jouer avec des jetons ? Éparpillons-nous.
Voir l'originalRépondre0
SchroedingerMiner
· Il y a 11h
Aïe, les smart contracts sont vraiment des pièges.
Voir l'originalRépondre0
TestnetScholar
· Il y a 11h
Se faire prendre pour des cons, un coup sûr.
Voir l'originalRépondre0
probably_nothing_anon
· Il y a 11h
gm normies la vérification n'est même pas faite gg
Web3 Rapport de sécurité : Les attaques de hackers au cours du premier semestre 2022 ont causé des pertes de 644 millions de dollars.
Analyse des méthodes d'attaque couramment utilisées par les hackers Web3 au premier semestre 2022
Au cours du premier semestre 2022, la situation de la sécurité dans le domaine de Web3 était grave. Les données montrent qu'il y a eu un total de 42 incidents d'attaque majeurs dus à des vulnérabilités des contrats intelligents, entraînant des pertes totales s'élevant à 644 millions de dollars. Parmi ces attaques, l'exploitation des vulnérabilités des contrats représente plus de la moitié, atteignant 53 %.
Méthodes d'attaque courantes
L'analyse montre que les types de vulnérabilités les plus couramment exploités par les hackers comprennent :
Cas de pertes majeures
Événement Wormhole
Le 3 février 2022, le projet de pont inter-chaînes Solana Wormhole a subi une attaque, entraînant une perte d'environ 326 millions de dollars. Le Hacker a exploité une vulnérabilité de vérification de signature dans le contrat pour réussir à falsifier des comptes et frapper du wETH.
Événement Fei Protocol
Le 30 avril 2022, le Rari Fuse Pool de Fei Protocol a subi une attaque par emprunt flash combinée à une attaque par réinjection, entraînant une perte de 80,34 millions de dollars. Cet événement a finalement conduit le projet à annoncer sa fermeture le 20 août.
L'attaquant met en œuvre l'attaque en suivant les étapes suivantes :
Vulnérabilités courantes dans les audits
Les types de vulnérabilités les plus courants lors de l'audit des contrats intelligents incluent :
Prévention des vulnérabilités
La plupart des vulnérabilités réellement exploitées peuvent être découvertes lors de la phase d'audit. Les développeurs de contrats devraient se concentrer sur :
Grâce à une plateforme de vérification formalisée des contrats intelligents et à l'examen manuel d'experts en sécurité, il est possible d'identifier efficacement les risques potentiels et de prendre des mesures correctives en temps utile pour améliorer la sécurité des contrats.