Analyse des méthodes d'attaque des hackers dans le domaine du Web3 au premier semestre 2022

Au premier semestre 2022, le domaine du Web3 a connu plusieurs événements de sécurité majeurs. Selon les statistiques, il y a eu 42 cas d'attaques majeures dus à des vulnérabilités de contrats intelligents, entraînant des pertes totales atteignant 640 millions de dollars. Environ 53 % de ces attaques ont exploité des vulnérabilités de contrats.

Parmi toutes les vulnérabilités exploitées, les défauts de conception logique ou de fonction sont les moyens d'attaque les plus couramment utilisés par les Hacker, suivis des problèmes de validation et des vulnérabilités de réentrance. Ces vulnérabilités non seulement apparaissent fréquemment, mais entraînent également d'énormes pertes.

Rétrospective des événements de sécurité majeurs

En février 2022, un projet de pont inter-chaînes a été attaqué, entraînant une perte d'environ 326 millions de dollars. Le Hacker a exploité une vulnérabilité de vérification de signature dans le contrat pour falsifier des comptes et créer des actifs.

Fin avril, un protocole de prêt a subi une attaque par prêt éclair combinée avec une attaque par réentrance, entraînant des pertes de plus de 80 millions de dollars. Cette attaque a porté un coup fatal au projet, conduisant finalement à sa fermeture.

L'attaquant met en œuvre l'attaque en suivant les étapes suivantes :

1. Obtenir un prêt flash à partir d'un protocole d'agrégation.
2. Effectuer des opérations de prêt en exploitant la vulnérabilité de réentrées du protocole cible
3. En siphonnant les actifs du pool affecté via la fonction de rappel d'attaque construite.
4. Remboursement du prêt éclair, transfert des bénéfices

Types de vulnérabilités courantes

Les vulnérabilités les plus courantes dans l'audit des contrats intelligents se divisent principalement en quatre catégories :

1. Attaque de réentrance ERC721/ERC1155 : Insérer un code malveillant dans la fonction de notification de transfert, combiné à une logique métier inappropriée pour réaliser la réentrance.

2. Failles logiques :
   • Considérations insuffisantes pour des scénarios spéciaux, tels que le transfert de fonds entraînant une augmentation d'actifs sans raison.
   • La conception des fonctionnalités n'est pas complète, par exemple, il manque la mise en œuvre de fonctionnalités clés.

3. Contrôle d'accès manquant : les fonctionnalités clés (comme la frappe de jetons, la configuration des rôles) manquent de vérification des autorisations efficace.

4. Manipulation des prix :
   • Mauvaise utilisation des oracles, prix moyen pondéré par le temps non adopté.
   • Utiliser directement le ratio de solde interne du contrat comme base de prix

Conseils de prévention des vulnérabilités

Pour prévenir ces vulnérabilités, les équipes de projet doivent :

1. Suivre strictement le modèle de développement sécurisé "Vérification-Effectif-Interaction"
2. Prendre en compte tous les scénarios limites et améliorer la conception fonctionnelle
3. Mettre en œuvre un mécanisme de gestion des droits strict
4. Utiliser un oracle de prix fiable et utiliser raisonnablement le prix moyen pondéré dans le temps.

De plus, il est crucial de réaliser un audit professionnel des contrats intelligents. En combinant des outils d'automatisation et des examens manuels d'experts, il est possible de détecter et de corriger la plupart des vulnérabilités potentielles avant le lancement du projet, ce qui améliore considérablement la sécurité des contrats.