Rétrospective des événements de sécurité DeFi en 2022
Auteur : un expert en sécurité Web3
Récemment, un expert en sécurité chevronné a partagé une leçon de sécurité DeFi avec les membres de la communauté. Cet expert a passé en revue les événements de sécurité majeurs survenus dans l'industrie Web3 en 2022, a examiné les causes de ces événements et les mesures préventives, a résumé les vulnérabilités de sécurité courantes des contrats intelligents et a fourni des conseils de sécurité aux projets et aux utilisateurs.
Selon les statistiques, plus de 300 incidents de sécurité liés à la blockchain se sont produits en 2022, avec un montant impliqué atteignant 4,3 milliards de dollars.
Cet article présentera en détail 8 cas typiques, dont la plupart ont entraîné des pertes de plus de 100 millions de dollars. Bien qu'Ankr ait subi des pertes relativement faibles, il reste très représentatif.
Événement Ronin Bridge
En mars 2022, la chaîne latérale Ronin Network d'Axie Infinity a été piratée, entraînant une perte de 173 600 ETH et 25,5 millions de dollars.
L'attaquant a obtenu la confiance des employés par des techniques d'ingénierie sociale, a installé des logiciels malveillants et a finalement contrôlé 4 des 5 nœuds de validation, réalisant ainsi l'attaque. Cela révèle des problèmes de sensibilisation à la sécurité et de gestion au sein de l'entreprise.
Événement Wormhole
Le code de vérification des contrats de Wormhole, le pont inter-chaînes, présente une vulnérabilité du côté de Solana, permettant aux attaquants de falsifier des messages de "gardien" pour frapper 120 000 ETH.
Cela est principalement dû à l'utilisation de certaines fonctions obsolètes. Il est conseillé aux développeurs d'utiliser la version la plus récente pour éviter des problèmes similaires.
Événement Nomad Bridge
Lors de l'initialisation du contrat Replica du pont inter-chaînes Nomad, la racine de confiance a été définie sur 0x0, et l'ancienne racine n'a pas été invalidée, permettant ainsi à un attaquant de construire n'importe quel message pour voler des fonds, entraînant une perte d'environ 190 millions de dollars.
Cet exemple typique montre que les problèmes de configuration initiale peuvent avoir de graves conséquences. Lorsque des transactions valides peuvent être exécutées de manière répétée, de nombreux participants se précipitent pour s'emparer des fonds, ce qui se transforme finalement en une "bataille pour l'argent".
Événement Beanstalk
Le projet de stablecoin algorithmique Beanstalk a subi une attaque de prêt éclair, entraînant une perte d'environ 182 millions de dollars.
Les attaquants exploitent les vulnérabilités des mécanismes des projets pour obtenir un grand nombre de jetons via des prêts éclair, voter en faveur de propositions malveillantes et les exécuter immédiatement. Cela expose certains problèmes de la gouvernance entièrement décentralisée, tels que la révision des propositions, les mécanismes de vote, les verrous temporels, etc., qui nécessitent une conception prudente.
Événement Wintermute
Le market maker Wintermute a utilisé un outil de génération de numéros de téléphone vulnérable, Profanity, ce qui a entraîné le piratage de la clé privée du propriétaire du contrat et le transfert de fonds.
Cela nous rappelle d'évaluer pleinement les risques de sécurité lors de l'utilisation d'outils open source.
Événement Harmony Bridge
Le pont inter-chaînes Horizon de Harmony a perdu plus de 100 millions de dollars, apparemment à cause d'un groupe de hackers nord-coréens. La méthode d'attaque pourrait être similaire à celle de l'incident du Ronin Bridge.
Événement Ankr
Ankr a été confronté à des actes malveillants de la part d'employés internes, entraînant la création et la vente en masse de jetons, ce qui a provoqué une réaction en chaîne.
Cela révèle de graves problèmes dans la gestion des autorisations internes du projet et le système de sécurité.
Événement Mango
Les attaquants profitent de la manipulation du prix du petit jeton MNGO sur la plateforme de contrats perpétuels et empruntent d'importants montants.
Cela reflète des lacunes dans les modèles commerciaux de certains projets de Finance décentralisée. Les équipes de projet doivent tester pleinement divers scénarios extrêmes, et les utilisateurs doivent également se concentrer sur la sécurité de leur capital plutôt que de se limiter à regarder les rendements.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
10 J'aime
Récompense
10
4
Partager
Commentaire
0/400
WhaleWatcher
· 08-03 03:49
Rekt éducation la plus profonde
Voir l'originalRépondre0
MEV_Whisperer
· 08-03 03:47
Écraser des jetons et siphonner de l'argent, les deux à la fois.
Retour sur les pertes massives de DeFi en 2022 : analyse de 8 événements de sécurité et recommandations de prévention
Rétrospective des événements de sécurité DeFi en 2022
Auteur : un expert en sécurité Web3
Récemment, un expert en sécurité chevronné a partagé une leçon de sécurité DeFi avec les membres de la communauté. Cet expert a passé en revue les événements de sécurité majeurs survenus dans l'industrie Web3 en 2022, a examiné les causes de ces événements et les mesures préventives, a résumé les vulnérabilités de sécurité courantes des contrats intelligents et a fourni des conseils de sécurité aux projets et aux utilisateurs.
Selon les statistiques, plus de 300 incidents de sécurité liés à la blockchain se sont produits en 2022, avec un montant impliqué atteignant 4,3 milliards de dollars.
Cet article présentera en détail 8 cas typiques, dont la plupart ont entraîné des pertes de plus de 100 millions de dollars. Bien qu'Ankr ait subi des pertes relativement faibles, il reste très représentatif.
Événement Ronin Bridge
En mars 2022, la chaîne latérale Ronin Network d'Axie Infinity a été piratée, entraînant une perte de 173 600 ETH et 25,5 millions de dollars.
L'attaquant a obtenu la confiance des employés par des techniques d'ingénierie sociale, a installé des logiciels malveillants et a finalement contrôlé 4 des 5 nœuds de validation, réalisant ainsi l'attaque. Cela révèle des problèmes de sensibilisation à la sécurité et de gestion au sein de l'entreprise.
Événement Wormhole
Le code de vérification des contrats de Wormhole, le pont inter-chaînes, présente une vulnérabilité du côté de Solana, permettant aux attaquants de falsifier des messages de "gardien" pour frapper 120 000 ETH.
Cela est principalement dû à l'utilisation de certaines fonctions obsolètes. Il est conseillé aux développeurs d'utiliser la version la plus récente pour éviter des problèmes similaires.
Événement Nomad Bridge
Lors de l'initialisation du contrat Replica du pont inter-chaînes Nomad, la racine de confiance a été définie sur 0x0, et l'ancienne racine n'a pas été invalidée, permettant ainsi à un attaquant de construire n'importe quel message pour voler des fonds, entraînant une perte d'environ 190 millions de dollars.
Cet exemple typique montre que les problèmes de configuration initiale peuvent avoir de graves conséquences. Lorsque des transactions valides peuvent être exécutées de manière répétée, de nombreux participants se précipitent pour s'emparer des fonds, ce qui se transforme finalement en une "bataille pour l'argent".
Événement Beanstalk
Le projet de stablecoin algorithmique Beanstalk a subi une attaque de prêt éclair, entraînant une perte d'environ 182 millions de dollars.
Les attaquants exploitent les vulnérabilités des mécanismes des projets pour obtenir un grand nombre de jetons via des prêts éclair, voter en faveur de propositions malveillantes et les exécuter immédiatement. Cela expose certains problèmes de la gouvernance entièrement décentralisée, tels que la révision des propositions, les mécanismes de vote, les verrous temporels, etc., qui nécessitent une conception prudente.
Événement Wintermute
Le market maker Wintermute a utilisé un outil de génération de numéros de téléphone vulnérable, Profanity, ce qui a entraîné le piratage de la clé privée du propriétaire du contrat et le transfert de fonds.
Cela nous rappelle d'évaluer pleinement les risques de sécurité lors de l'utilisation d'outils open source.
Événement Harmony Bridge
Le pont inter-chaînes Horizon de Harmony a perdu plus de 100 millions de dollars, apparemment à cause d'un groupe de hackers nord-coréens. La méthode d'attaque pourrait être similaire à celle de l'incident du Ronin Bridge.
Événement Ankr
Ankr a été confronté à des actes malveillants de la part d'employés internes, entraînant la création et la vente en masse de jetons, ce qui a provoqué une réaction en chaîne.
Cela révèle de graves problèmes dans la gestion des autorisations internes du projet et le système de sécurité.
Événement Mango
Les attaquants profitent de la manipulation du prix du petit jeton MNGO sur la plateforme de contrats perpétuels et empruntent d'importants montants.
Cela reflète des lacunes dans les modèles commerciaux de certains projets de Finance décentralisée. Les équipes de projet doivent tester pleinement divers scénarios extrêmes, et les utilisateurs doivent également se concentrer sur la sécurité de leur capital plutôt que de se limiter à regarder les rendements.