Analyse des méthodes d'attaque des hackers dans le domaine du Web3 au premier semestre 2022
Un rapport de recherche sur la sécurité Web3 publié récemment analyse en profondeur la situation générale de la sécurité blockchain au cours du premier semestre de 2022. Cet article se concentrera sur les méthodes d'attaque couramment utilisées par les hackers Web3 durant cette période, ainsi que sur les types de vulnérabilités les plus fréquemment rencontrés et leurs mesures de prévention.
Perte totale causée par la vulnérabilité
Les données montrent qu'au premier semestre 2022, il y a eu 42 attaques majeures liées à des vulnérabilités de contrats, représentant environ 53 % de tous les incidents d'attaque. Les pertes totales causées par ces attaques s'élèvent à 644 millions de dollars.
Parmi toutes les vulnérabilités exploitées, une conception incorrecte de la logique ou des fonctions est la vulnérabilité la plus couramment exploitée par les Hackers, suivie des problèmes de validation et des vulnérabilités de réentrance.
Analyse des cas de pertes importantes
En février 2022, un projet de pont inter-chaînes a été attaqué, entraînant une perte d'environ 326 millions de dollars. Le Hacker a exploité une vulnérabilité de vérification de signature dans le contrat du projet pour créer de faux comptes et frapper une grande quantité de jetons.
En avril 2022, un protocole de prêt a subi une attaque par prêt éclair, entraînant une perte de 80,34 millions de dollars. Cette attaque a causé de lourdes pertes au projet, qui a finalement dû annoncer sa fermeture.
L'attaquant a exploité la vulnérabilité de réentrance dans le contrat de base du protocole, extrayant tous les tokens du pool de fonds affecté en construisant une fonction de rappel. L'ensemble du processus d'attaque implique plusieurs étapes, y compris les prêts éclair, les prêts garantis et les attaques par réentrance.
Types de vulnérabilités courantes en audit
Attaque par réentrance ERC721/ERC1155 : inclure du code malveillant dans la fonction de notification de transfert peut entraîner une attaque par réentrance.
Vulnérabilité logique:
Considération insuffisante des scénarios spéciaux, comme se transférer de l'argent à soi-même, ce qui entraîne une création fictive.
La conception des fonctionnalités n'est pas complète, par exemple, il manque des fonctionnalités de retrait ou de règlement.
Authentification manquante : les fonctionnalités clés n'ont pas de contrôle d'accès.
Manipulation des prix : utilisation incorrecte des oracles ou utilisation directe de données de prix peu fiables.
Vulnérabilités effectivement exploitées et leur auditabilité
Les vulnérabilités réellement exploitées par des hackers sont en forte cohérence avec les types de vulnérabilités identifiés lors des audits, parmi lesquelles les vulnérabilités logiques des contrats restent la principale cible d'attaque.
Il est à noter qu'à travers des plateformes de vérification de contrats intelligents professionnelles et des audits manuels par des experts en sécurité, ces vulnérabilités peuvent être détectées lors de la phase d'audit avant le lancement du projet. Les experts en sécurité peuvent proposer des recommandations de correction après évaluation, aidant ainsi les porteurs de projet à éliminer les risques potentiels à l'avance.
En résumé, bien que le domaine du Web3 fasse face à des défis de sécurité complexes, il est possible de réduire considérablement le risque d'attaques grâce à des audits de sécurité rigoureux et à des corrections de vulnérabilités en temps opportun. Les équipes de projet doivent accorder une grande importance aux audits de sécurité, en les considérant comme une étape indispensable du processus de développement du projet.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
8 J'aime
Récompense
8
6
Reposter
Partager
Commentaire
0/400
GateUser-c799715c
· Il y a 23h
Pourquoi y a-t-il encore autant de contrats volés ? Je n'ai même plus de pantalon à porter.
Voir l'originalRépondre0
CryptoMom
· 08-15 13:08
Encore se faire prendre pour des cons ? De nos jours, même les contrats ne sont pas très fiables.
Voir l'originalRépondre0
GasDevourer
· 08-14 15:19
Combien de frais de gas peut-on acheter avec cet argent ?
Voir l'originalRépondre0
AirdropBuffet
· 08-14 15:16
Laissez tomber, le projet de fête devrait au moins faire une audit.
Voir l'originalRépondre0
MintMaster
· 08-14 15:02
Exploiter les failles n'est pas moins rentable que d'extraire des cryptomonnaies.
Voir l'originalRépondre0
DeFiChef
· 08-14 14:53
Encore un pont qui a été ciblé, le projet de fête ne sait vraiment pas écrire de contrats ?
Rapport de sécurité Web3 : les vulnérabilités des contrats ont causé des pertes de 644 millions de dollars au cours du premier semestre 2022
Analyse des méthodes d'attaque des hackers dans le domaine du Web3 au premier semestre 2022
Un rapport de recherche sur la sécurité Web3 publié récemment analyse en profondeur la situation générale de la sécurité blockchain au cours du premier semestre de 2022. Cet article se concentrera sur les méthodes d'attaque couramment utilisées par les hackers Web3 durant cette période, ainsi que sur les types de vulnérabilités les plus fréquemment rencontrés et leurs mesures de prévention.
Perte totale causée par la vulnérabilité
Les données montrent qu'au premier semestre 2022, il y a eu 42 attaques majeures liées à des vulnérabilités de contrats, représentant environ 53 % de tous les incidents d'attaque. Les pertes totales causées par ces attaques s'élèvent à 644 millions de dollars.
Parmi toutes les vulnérabilités exploitées, une conception incorrecte de la logique ou des fonctions est la vulnérabilité la plus couramment exploitée par les Hackers, suivie des problèmes de validation et des vulnérabilités de réentrance.
Analyse des cas de pertes importantes
En février 2022, un projet de pont inter-chaînes a été attaqué, entraînant une perte d'environ 326 millions de dollars. Le Hacker a exploité une vulnérabilité de vérification de signature dans le contrat du projet pour créer de faux comptes et frapper une grande quantité de jetons.
En avril 2022, un protocole de prêt a subi une attaque par prêt éclair, entraînant une perte de 80,34 millions de dollars. Cette attaque a causé de lourdes pertes au projet, qui a finalement dû annoncer sa fermeture.
L'attaquant a exploité la vulnérabilité de réentrance dans le contrat de base du protocole, extrayant tous les tokens du pool de fonds affecté en construisant une fonction de rappel. L'ensemble du processus d'attaque implique plusieurs étapes, y compris les prêts éclair, les prêts garantis et les attaques par réentrance.
Types de vulnérabilités courantes en audit
Attaque par réentrance ERC721/ERC1155 : inclure du code malveillant dans la fonction de notification de transfert peut entraîner une attaque par réentrance.
Vulnérabilité logique:
Authentification manquante : les fonctionnalités clés n'ont pas de contrôle d'accès.
Manipulation des prix : utilisation incorrecte des oracles ou utilisation directe de données de prix peu fiables.
Vulnérabilités effectivement exploitées et leur auditabilité
Les vulnérabilités réellement exploitées par des hackers sont en forte cohérence avec les types de vulnérabilités identifiés lors des audits, parmi lesquelles les vulnérabilités logiques des contrats restent la principale cible d'attaque.
Il est à noter qu'à travers des plateformes de vérification de contrats intelligents professionnelles et des audits manuels par des experts en sécurité, ces vulnérabilités peuvent être détectées lors de la phase d'audit avant le lancement du projet. Les experts en sécurité peuvent proposer des recommandations de correction après évaluation, aidant ainsi les porteurs de projet à éliminer les risques potentiels à l'avance.
En résumé, bien que le domaine du Web3 fasse face à des défis de sécurité complexes, il est possible de réduire considérablement le risque d'attaques grâce à des audits de sécurité rigoureux et à des corrections de vulnérabilités en temps opportun. Les équipes de projet doivent accorder une grande importance aux audits de sécurité, en les considérant comme une étape indispensable du processus de développement du projet.