Finance décentralisée sécurité événements retour: analyse des cas majeurs de 2022
En 2022, plus de 300 incidents de sécurité ont eu lieu dans le domaine de la blockchain, impliquant des montants s'élevant à 4,3 milliards de dollars. Cet article analysera en détail 8 cas typiques, dont la plupart des montants perdus dépassent 100 millions de dollars.
Ronin Bridge
Le 23 mars 2022, la side chain Ronin Network d'Axie Infinity a été piratée, entraînant le vol de 173 600 ETH et de 25,5 millions USD, pour une valeur totale d'environ 590 millions de dollars.
L'attaquant a contrôlé 5 nœuds de validation du réseau Ronin par des moyens d'ingénierie sociale, obtenant ainsi le contrôle du réseau. Cette méthode d'attaque est appelée APT( menace persistante avancée ), les hackers contrôlent d'abord un ordinateur interne comme point d'accès, puis infiltrent l'ensemble du système.
Cet événement a révélé la faiblesse de la sensibilisation à la sécurité des employés de la société Axie Infinity, ainsi que des failles dans le système de sécurité interne de l'entreprise.
Wormhole
Le pont inter-chaînes Wormhole a été attaqué, entraînant une perte d'environ 120 000 ETH. Le problème provient d'une erreur dans le code de vérification de signature du contrat principal du côté de Solana, permettant aux attaquants de falsifier des messages de "gardiens" pour frapper des ETH emballés par Wormhole.
Ce problème est principalement dû à l'utilisation de certaines fonctions obsolètes. Il est recommandé aux développeurs d'utiliser la dernière version de la bibliothèque de code pour éviter des problèmes similaires.
Nomad Bridge
Le pont Nomad a subi un problème de configuration lors de son initialisation, permettant aux attaquants de construire des messages arbitraires pour voler des fonds, entraînant une perte d'environ 190 millions de dollars.
Les attaquants ont exploité cette vulnérabilité pour envoyer de manière répétée des données de transaction construites, siphonnant les fonds verrouillés par le pont inter-chaînes. De nombreux robots MEV ont également participé à cet événement de "vol".
Ce cas expose le fait que, dès qu'un projet open source présente une vulnérabilité, il peut facilement être exploité par des attaquants. L'équipe du projet doit traiter les problèmes de sécurité du code avec plus de prudence.
Beanstalk
Le projet de stablecoin algorithmique Beanstalk Farms a subi une attaque par prêt éclair, entraînant une perte d'environ 182 millions de dollars.
L'attaquant a exploité une faille dans le mécanisme de gouvernance du projet : il n'y a pas d'intervalle de temps entre le vote sur les propositions et leur exécution. L'attaquant a obtenu un grand nombre de jetons par le biais d'un prêt flash pour voter en faveur de propositions malveillantes et les exécuter immédiatement.
Ce cas reflète que les mécanismes de gouvernance décentralisée nécessitent plus de considérations en matière de sécurité, comme la mise en place de verrous temporels, etc.
Wintermute
Le market maker Wintermute a perdu environ 160 millions de dollars en raison de l'utilisation de l'outil de génération de numéros de téléphone Profanity, qui avait des vulnérabilités, ce qui a conduit à la compromission de la clé privée du propriétaire d'un contrat.
Cela nous rappelle qu'il est important de procéder à une évaluation de sécurité adéquate lors de l'utilisation de tout outil open source.
Harmony Bridge
Le pont inter-chaînes Horizon de Harmony a été attaqué, avec des pertes dépassant 100 millions de dollars. Selon les rapports, l'attaque serait l'œuvre du groupe de hackers Lazarus, suspecté d'être nord-coréen.
Cela met à nouveau en évidence les risques de sécurité des ponts inter-chaînes, ainsi que la menace que représentent certaines organisations de hackers nationaux pour les projets de blockchain.
Ankr
Le projet Ankr a été victime de malversations internes, entraînant la création de 1 trillion d'aBNBc de manière fictive, causant des conséquences graves.
Cela reflète de sérieux problèmes de gestion des autorisations internes du projet, les opérations clés devraient être effectuées de manière plus sécurisée, comme en utilisant un portefeuille multi-signatures.
Mango
La plateforme d'échange décentralisée Mango a subi une attaque de manipulation de marché, entraînant une perte d'environ 115 millions de dollars.
Les attaquants exploitent le problème de liquidité insuffisante des petites cryptomonnaies sur la plateforme pour réaliser des bénéfices grâce à des opérations de double ouverture et de manipulation des prix. Cela expose les failles dans la conception du modèle commercial du projet.
Ces exemples nous rappellent que les projets blockchain doivent non seulement prêter attention à la sécurité du code, mais aussi prendre en compte les vulnérabilités potentielles du modèle économique. Les utilisateurs participant à un projet doivent également évaluer pleinement les risques.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Analyse des huit grands événements de sécurité DeFi en 2022 : pertes atteignant plusieurs centaines de millions de dollars.
Finance décentralisée sécurité événements retour: analyse des cas majeurs de 2022
En 2022, plus de 300 incidents de sécurité ont eu lieu dans le domaine de la blockchain, impliquant des montants s'élevant à 4,3 milliards de dollars. Cet article analysera en détail 8 cas typiques, dont la plupart des montants perdus dépassent 100 millions de dollars.
Ronin Bridge
Le 23 mars 2022, la side chain Ronin Network d'Axie Infinity a été piratée, entraînant le vol de 173 600 ETH et de 25,5 millions USD, pour une valeur totale d'environ 590 millions de dollars.
L'attaquant a contrôlé 5 nœuds de validation du réseau Ronin par des moyens d'ingénierie sociale, obtenant ainsi le contrôle du réseau. Cette méthode d'attaque est appelée APT( menace persistante avancée ), les hackers contrôlent d'abord un ordinateur interne comme point d'accès, puis infiltrent l'ensemble du système.
Cet événement a révélé la faiblesse de la sensibilisation à la sécurité des employés de la société Axie Infinity, ainsi que des failles dans le système de sécurité interne de l'entreprise.
Wormhole
Le pont inter-chaînes Wormhole a été attaqué, entraînant une perte d'environ 120 000 ETH. Le problème provient d'une erreur dans le code de vérification de signature du contrat principal du côté de Solana, permettant aux attaquants de falsifier des messages de "gardiens" pour frapper des ETH emballés par Wormhole.
Ce problème est principalement dû à l'utilisation de certaines fonctions obsolètes. Il est recommandé aux développeurs d'utiliser la dernière version de la bibliothèque de code pour éviter des problèmes similaires.
Nomad Bridge
Le pont Nomad a subi un problème de configuration lors de son initialisation, permettant aux attaquants de construire des messages arbitraires pour voler des fonds, entraînant une perte d'environ 190 millions de dollars.
Les attaquants ont exploité cette vulnérabilité pour envoyer de manière répétée des données de transaction construites, siphonnant les fonds verrouillés par le pont inter-chaînes. De nombreux robots MEV ont également participé à cet événement de "vol".
Ce cas expose le fait que, dès qu'un projet open source présente une vulnérabilité, il peut facilement être exploité par des attaquants. L'équipe du projet doit traiter les problèmes de sécurité du code avec plus de prudence.
Beanstalk
Le projet de stablecoin algorithmique Beanstalk Farms a subi une attaque par prêt éclair, entraînant une perte d'environ 182 millions de dollars.
L'attaquant a exploité une faille dans le mécanisme de gouvernance du projet : il n'y a pas d'intervalle de temps entre le vote sur les propositions et leur exécution. L'attaquant a obtenu un grand nombre de jetons par le biais d'un prêt flash pour voter en faveur de propositions malveillantes et les exécuter immédiatement.
Ce cas reflète que les mécanismes de gouvernance décentralisée nécessitent plus de considérations en matière de sécurité, comme la mise en place de verrous temporels, etc.
Wintermute
Le market maker Wintermute a perdu environ 160 millions de dollars en raison de l'utilisation de l'outil de génération de numéros de téléphone Profanity, qui avait des vulnérabilités, ce qui a conduit à la compromission de la clé privée du propriétaire d'un contrat.
Cela nous rappelle qu'il est important de procéder à une évaluation de sécurité adéquate lors de l'utilisation de tout outil open source.
Harmony Bridge
Le pont inter-chaînes Horizon de Harmony a été attaqué, avec des pertes dépassant 100 millions de dollars. Selon les rapports, l'attaque serait l'œuvre du groupe de hackers Lazarus, suspecté d'être nord-coréen.
Cela met à nouveau en évidence les risques de sécurité des ponts inter-chaînes, ainsi que la menace que représentent certaines organisations de hackers nationaux pour les projets de blockchain.
Ankr
Le projet Ankr a été victime de malversations internes, entraînant la création de 1 trillion d'aBNBc de manière fictive, causant des conséquences graves.
Cela reflète de sérieux problèmes de gestion des autorisations internes du projet, les opérations clés devraient être effectuées de manière plus sécurisée, comme en utilisant un portefeuille multi-signatures.
Mango
La plateforme d'échange décentralisée Mango a subi une attaque de manipulation de marché, entraînant une perte d'environ 115 millions de dollars.
Les attaquants exploitent le problème de liquidité insuffisante des petites cryptomonnaies sur la plateforme pour réaliser des bénéfices grâce à des opérations de double ouverture et de manipulation des prix. Cela expose les failles dans la conception du modèle commercial du projet.
Ces exemples nous rappellent que les projets blockchain doivent non seulement prêter attention à la sécurité du code, mais aussi prendre en compte les vulnérabilités potentielles du modèle économique. Les utilisateurs participant à un projet doivent également évaluer pleinement les risques.