Analyse des techniques d'attaque couramment utilisées par les Hacker Web3 au premier semestre 2022
Au premier semestre 2022, le domaine du Web3 a été victime de plusieurs attaques de hackers majeures, entraînant des pertes considérables. Cet article analysera en profondeur les méthodes d'attaque couramment utilisées par les hackers durant cette période, dans le but de fournir des références pour la prévention des risques dans l'industrie.
Aperçu de l'exploitation des vulnérabilités
Selon les données d'une plateforme de surveillance de la sécurité des blockchains, 42 attaques majeures sur des contrats ont eu lieu au cours du premier semestre 2022, avec des pertes totales atteignant 644 millions de dollars. Parmi toutes les vulnérabilités exploitées, les trois types de vulnérabilités les plus souvent exploitées par les hackers sont les erreurs de logique ou de conception de fonction, les problèmes de validation et les vulnérabilités de réentrance.
Analyse de cas typiques
Le pont inter-chaînes Wormhole a été attaqué
Le 3 février 2022, un projet de pont inter-chaînes a été attaqué, entraînant une perte d'environ 326 millions de dollars. Le Hacker a exploité une vulnérabilité dans la vérification des signatures du contrat pour créer des faux tokens en falsifiant des comptes système.
L'incident d'attaque de Fei Protocol
Le 30 avril 2022, un protocole de prêt a subi une attaque par emprunt flash et re-entrance, entraînant une perte de 80,34 millions de dollars. Cette attaque a porté un coup fatal au projet, qui a finalement annoncé sa fermeture le 20 août.
L'attaquant a principalement exploité la vulnérabilité de réentrance du contrat dans le cEther du protocole. Le processus d'attaque comprend :
Obtenir un prêt flash à partir d'un protocole d'agrégation
Utiliser des fonds empruntés pour effectuer des prêts et des emprunts dans le protocole cible.
Répéter l'extraction des jetons dans le pool affecté en construisant une fonction de rappel.
Remboursement du prêt éclair et transfert des bénéfices
Types de vulnérabilités courantes
Dans le processus d'audit des contrats intelligents, les vulnérabilités les plus courantes se divisent principalement en plusieurs catégories :
Attaque de réentrance ERC721/ERC1155 : Un risque de réentrance peut survenir en raison d'une conception inappropriée de certaines fonctions.
Failles logiques : inclut des problèmes tels que des scénarios spécifiques mal considérés et un design fonctionnel incomplet.
Défaillance de la gestion des autorisations : fonctionnalités clés sans contrôle d'autorisation approprié.
Manipulation des prix : utilisation inappropriée de l'oracle ou vulnérabilités dans la logique de calcul des prix.
Suggestions de prévention des vulnérabilités
Suivre strictement le modèle de conception "vérification - effet - interaction".
Prendre en compte toutes les situations limites et les scénarios spéciaux.
Mettre en œuvre une gestion stricte des droits d'accès pour les fonctionnalités clés.
Utiliser des mécanismes fiables tels que des oracles et des prix moyens pondérés par le temps.
Effectuer un audit de sécurité complet des contrats intelligents, y compris la détection automatisée et la révision manuelle par des experts.
En prenant des mesures mentionnées ci-dessus, la plupart des vulnérabilités courantes peuvent être détectées et corrigées avant le lancement du projet, ce qui réduit considérablement le risque d'attaques de hackers.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
23 J'aime
Récompense
23
5
Partager
Commentaire
0/400
WalletWhisperer
· 07-11 14:20
les schémas ne mentent pas... 644 millions de dollars ont été fuyés à travers des bugs de contrat, c'est statistiquement significatif pour être honnête
Voir l'originalRépondre0
SighingCashier
· 07-09 19:13
300 millions de dollars se sont envolés comme ça ? Réveillez-vous, ne rêvez pas.
Voir l'originalRépondre0
NFT_Therapy
· 07-08 15:42
Perdre autant, qui peut le supporter ?
Voir l'originalRépondre0
GateUser-e51e87c7
· 07-08 15:41
Je suis accro à perdre de l'argent.
Voir l'originalRépondre0
ZenZKPlayer
· 07-08 15:40
Tsk tsk, qui a audité le contrat pour qu'on puisse tondre autant de laine?
Analyse des méthodes d'attaque des hackers sur Web3 au premier semestre : les vulnérabilités de réentrées deviennent la principale menace
Analyse des techniques d'attaque couramment utilisées par les Hacker Web3 au premier semestre 2022
Au premier semestre 2022, le domaine du Web3 a été victime de plusieurs attaques de hackers majeures, entraînant des pertes considérables. Cet article analysera en profondeur les méthodes d'attaque couramment utilisées par les hackers durant cette période, dans le but de fournir des références pour la prévention des risques dans l'industrie.
Aperçu de l'exploitation des vulnérabilités
Selon les données d'une plateforme de surveillance de la sécurité des blockchains, 42 attaques majeures sur des contrats ont eu lieu au cours du premier semestre 2022, avec des pertes totales atteignant 644 millions de dollars. Parmi toutes les vulnérabilités exploitées, les trois types de vulnérabilités les plus souvent exploitées par les hackers sont les erreurs de logique ou de conception de fonction, les problèmes de validation et les vulnérabilités de réentrance.
Analyse de cas typiques
Le pont inter-chaînes Wormhole a été attaqué
Le 3 février 2022, un projet de pont inter-chaînes a été attaqué, entraînant une perte d'environ 326 millions de dollars. Le Hacker a exploité une vulnérabilité dans la vérification des signatures du contrat pour créer des faux tokens en falsifiant des comptes système.
L'incident d'attaque de Fei Protocol
Le 30 avril 2022, un protocole de prêt a subi une attaque par emprunt flash et re-entrance, entraînant une perte de 80,34 millions de dollars. Cette attaque a porté un coup fatal au projet, qui a finalement annoncé sa fermeture le 20 août.
L'attaquant a principalement exploité la vulnérabilité de réentrance du contrat dans le cEther du protocole. Le processus d'attaque comprend :
Types de vulnérabilités courantes
Dans le processus d'audit des contrats intelligents, les vulnérabilités les plus courantes se divisent principalement en plusieurs catégories :
Suggestions de prévention des vulnérabilités
Suivre strictement le modèle de conception "vérification - effet - interaction".
Prendre en compte toutes les situations limites et les scénarios spéciaux.
Mettre en œuvre une gestion stricte des droits d'accès pour les fonctionnalités clés.
Utiliser des mécanismes fiables tels que des oracles et des prix moyens pondérés par le temps.
Effectuer un audit de sécurité complet des contrats intelligents, y compris la détection automatisée et la révision manuelle par des experts.
En prenant des mesures mentionnées ci-dessus, la plupart des vulnérabilités courantes peuvent être détectées et corrigées avant le lancement du projet, ce qui réduit considérablement le risque d'attaques de hackers.