Analyse des techniques d'attaque de l'écosystème Web3 : stratégies courantes des hackers et mesures de prévention au premier semestre 2022

Au cours du premier semestre 2022, l'écosystème Web3 a été confronté à plusieurs incidents de sécurité majeurs. Cet article analysera en profondeur les méthodes d'attaque les plus couramment utilisées par les hackers pendant cette période, examinera les vulnérabilités qui ont entraîné d'énormes pertes, et discutera de la manière de prévenir efficacement ces risques lors des phases de développement et d'audit des projets.

Pertes globales causées par les attaques par vulnérabilités

Les données montrent qu'au premier semestre 2022, il y a eu 42 incidents majeurs d'attaques de contrats, représentant environ 53 % de toutes les méthodes d'attaque. Ces attaques ont entraîné une perte totale de 644 millions de dollars. Parmi les vulnérabilités exploitées, les défauts de conception logique ou de fonction sont les cibles les plus couramment exploitées par les hackers, suivis des problèmes de validation et des vulnérabilités de réentrance.

Cas typiques de pertes importantes

Incident d'attaque du pont inter-chaînes Wormhole

Le 3 février 2022, le projet de pont inter-chaînes Wormhole de l'écosystème Solana a été attaqué, entraînant une perte allant jusqu'à 326 millions de dollars. Le Hacker a exploité une faille de vérification de signature dans le contrat, réussissant à falsifier un compte système pour créer du wETH.

Le protocole Fei a subi une attaque de prêt éclair.

Le 30 avril 2022, le Rari Fuse Pool de Fei Protocol a subi une attaque par prêt éclair combinée à une attaque par réentrance, entraînant une perte de 80,34 millions de dollars. Cette attaque a porté un coup dévastateur au projet, qui a finalement annoncé sa fermeture le 20 août.

Les attaquants ont principalement utilisé les étapes suivantes :

1. Obtenir un prêt flash depuis Balancer: Vault
2. Utiliser des prêts pour réaliser des prêts garantis sur Rari Capital, tout en exploitant la vulnérabilité de réentrance dans le contrat avec cEther.
3. Extraire tous les jetons du pool affecté en attaquant des fonctions spécifiques dans le contrat.
4. Rembourser le prêt éclair et transférer les bénéfices au contrat désigné

Types de vulnérabilités courantes lors de l'audit

1. Attaque par réentrance ERC721/ERC1155 : Lors de l'utilisation des fonctions de frappe ou de transfert de ces standards, un code malveillant pourrait être déclenché entraînant une attaque par réentrance.

2. Vulnérabilité logique :

   • Considérations insuffisantes pour des scénarios spéciaux, tels que les résultats inattendus causés par des transferts auto.
   • La conception des fonctionnalités est incomplète, par exemple, il manque un mécanisme d'extraction ou de liquidation.

3. Manque d'authentification : des fonctions clés telles que la frappe de pièces, la configuration des rôles, etc. manquent de contrôles d'accès appropriés.

4. Manipulation des prix :

   • Prix moyen pondéré par le temps non utilisé
   • Utiliser directement le ratio des soldes de jetons dans le contrat comme base de prix

Vulnérabilités réellement exploitées et leur prévention

Selon les statistiques, presque tous les types de vulnérabilités découvertes lors du processus d'audit ont été exploitées par des hackers dans des scénarios réels, les vulnérabilités logiques des contrats restant l'objectif principal des attaques.

Il convient de noter que la plupart de ces vulnérabilités peuvent être détectées lors de la phase d'audit du projet grâce à la vérification formelle des contrats intelligents et à l'analyse manuelle des experts en sécurité. Les experts en sécurité peuvent fournir des recommandations spécifiques pour corriger les problèmes identifiés, aidant ainsi les équipes de projet à améliorer la sécurité des contrats.

Dans l'ensemble, avec le développement rapide de l'écosystème Web3, les problèmes de sécurité deviennent de plus en plus évidents. Les équipes de projet doivent accorder une grande importance aux audits de contrats, utiliser des outils et méthodes de détection avancés, et s'associer aux conseils d'équipes de sécurité professionnelles pour améliorer globalement la capacité de protection de leurs projets. En même temps, il est essentiel de rester attentif aux nouvelles méthodes d'attaque et aux types de vulnérabilités qui apparaissent, et de mettre à jour les stratégies de sécurité en temps opportun, afin de maintenir une compétitivité dans ce domaine plein de défis.