Finance décentralisée Sécurité des événements : Analyse des incidents majeurs de 2022
En 2022, l'industrie Web3 a été confrontée à plusieurs incidents de sécurité majeurs, impliquant un montant total atteignant 4,3 milliards de dollars. Cet article analysera en profondeur huit cas typiques, dont la plupart concernent des pertes de plus de 100 millions de dollars.
Événement Ronin Bridge
En mars 2022, la sidechain d'Axie Infinity, Ronin Network, a été piratée, entraînant la perte de 173 600 ETH et 25,5 millions USD, pour une valeur totale d'environ 625 millions de dollars. Les attaquants ont infiltré le système de la société Sky Mavis par des moyens d'ingénierie sociale, contrôlant finalement 5 des 9 nœuds de validation, ce qui a permis l'attaque. Cet incident a révélé des problèmes tels que la faible sensibilisation à la sécurité des employés de l'entreprise et des vulnérabilités dans le système de sécurité interne.
Événement Wormhole
Le pont inter-chaînes Wormhole a subi une attaque en raison d'une erreur dans le code de vérification de signature du contrat principal côté Solana, permettant aux attaquants de falsifier des messages de "gardien" pour frapper des ETH emballés, entraînant une perte d'environ 120 000 ETH. Ce problème provient de l'utilisation d'une fonction obsolète, rappelant aux développeurs de mettre à jour leurs systèmes avec les dernières versions pour éviter des problèmes similaires.
Événement Nomad Bridge
Le pont Nomad a subi des pertes d'environ 190 millions de dollars en raison d'un problème de configuration initiale, permettant aux attaquants de créer des messages arbitraires pour retirer des fonds verrouillés. Cet événement s'est transformé en une "guerre de l'argent", avec environ 41 adresses réalisant un bénéfice de 152 millions de dollars, y compris des robots MEV, des hackers et des hackers éthiques. Cela met en évidence les défis de sécurité auxquels sont confrontés les projets open source, car une fois qu'une vulnérabilité se présente, cela peut entraîner l'échec du projet.
Événement Beanstalk
Le projet de stablecoin algorithmique Beanstalk a subi une attaque par prêt éclair, entraînant une perte d'environ 182 millions de dollars. L'attaquant a profité d'une faille dans le mécanisme de proposition du projet pour obtenir une grande quantité de droits de vote via un prêt éclair, faire une proposition malveillante et l'exécuter immédiatement. Cela reflète les risques potentiels d'un mécanisme de gouvernance entièrement décentralisé et rappelle aux porteurs de projet de réfléchir soigneusement aux mécanismes d'examen des propositions, à la répartition des droits de vote et aux mesures de sécurité telles que le verrouillage temporel.
Événement Wintermute
Le market maker Wintermute a subi une perte financière massive en raison de l'utilisation de l'outil de génération d'adresses vulnérable Profanity, qui a conduit à la compromission de la clé privée du propriétaire du contrat. Cela rappelle aux équipes de projet qu'elles doivent effectuer une évaluation de sécurité adéquate lorsqu'elles utilisent des outils open source.
Événement Harmony Bridge
La passerelle Horizon a subi des pertes de plus de 100 millions de dollars, apparemment en raison d'une fuite de clés privées. Les analyses montrent que cet événement pourrait être lié au groupe de hackers nord-coréen Lazarus, dont les méthodes d'attaque sont similaires à celles de l'incident de Ronin Bridge.
Événement Ankr
Ankr a été victime d'actes malveillants internes, entraînant la création et la vente malveillantes d'un grand nombre de tokens, ce qui a déclenché une réaction en chaîne affectant d'autres projets connexes. Cela a révélé de graves défauts dans la gestion des autorisations, la signature multiple et le système de sécurité interne du projet.
Événement Mango
Un trader a profité d'une faille de liquidité sur les petits tokens de la plateforme Mango, en manipulant le prix des cryptomonnaies pour réaliser des profits, causant ainsi d'énormes pertes à la plateforme. Cet événement se situe entre une faille de sécurité et un comportement d'arbitrage, et reflète la nécessité pour le projet de prendre en compte diverses situations extrêmes lors de la conception du modèle d'affaires.
Ces exemples nous avertissent que les projets Web3 font face à de multiples défis en matière de sécurité. Les équipes de projet doivent renforcer la protection de la sécurité à partir de plusieurs aspects, tels que l'audit de code, la gestion des permissions et la logique commerciale. En même temps, les utilisateurs doivent rester vigilants lorsqu'ils participent à des projets et évaluer de manière exhaustive les risques potentiels.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
22 J'aime
Récompense
22
5
Partager
Commentaire
0/400
GhostInTheChain
· 07-09 19:33
C'est toujours le même piège, on ne peut jamais s'en passer.
Voir l'originalRépondre0
GateUser-bd883c58
· 07-09 15:42
Une année, on a pris les gens pour des idiots 43 milliards, c'est fissuré.
Voir l'originalRépondre0
RugpullTherapist
· 07-06 22:07
Je ne veux plus en parler, sans voix.
Voir l'originalRépondre0
TooScaredToSell
· 07-06 22:05
Encore un projet qui prend les gens pour des idiots
Voir l'originalRépondre0
GhostChainLoyalist
· 07-06 21:47
Pourquoi la sensibilisation à la sécurité est-elle si faible ?
Revue des événements de sécurité majeurs en DeFi en 2022 : analyse approfondie de 8 cas typiques
Finance décentralisée Sécurité des événements : Analyse des incidents majeurs de 2022
En 2022, l'industrie Web3 a été confrontée à plusieurs incidents de sécurité majeurs, impliquant un montant total atteignant 4,3 milliards de dollars. Cet article analysera en profondeur huit cas typiques, dont la plupart concernent des pertes de plus de 100 millions de dollars.
Événement Ronin Bridge
En mars 2022, la sidechain d'Axie Infinity, Ronin Network, a été piratée, entraînant la perte de 173 600 ETH et 25,5 millions USD, pour une valeur totale d'environ 625 millions de dollars. Les attaquants ont infiltré le système de la société Sky Mavis par des moyens d'ingénierie sociale, contrôlant finalement 5 des 9 nœuds de validation, ce qui a permis l'attaque. Cet incident a révélé des problèmes tels que la faible sensibilisation à la sécurité des employés de l'entreprise et des vulnérabilités dans le système de sécurité interne.
Événement Wormhole
Le pont inter-chaînes Wormhole a subi une attaque en raison d'une erreur dans le code de vérification de signature du contrat principal côté Solana, permettant aux attaquants de falsifier des messages de "gardien" pour frapper des ETH emballés, entraînant une perte d'environ 120 000 ETH. Ce problème provient de l'utilisation d'une fonction obsolète, rappelant aux développeurs de mettre à jour leurs systèmes avec les dernières versions pour éviter des problèmes similaires.
Événement Nomad Bridge
Le pont Nomad a subi des pertes d'environ 190 millions de dollars en raison d'un problème de configuration initiale, permettant aux attaquants de créer des messages arbitraires pour retirer des fonds verrouillés. Cet événement s'est transformé en une "guerre de l'argent", avec environ 41 adresses réalisant un bénéfice de 152 millions de dollars, y compris des robots MEV, des hackers et des hackers éthiques. Cela met en évidence les défis de sécurité auxquels sont confrontés les projets open source, car une fois qu'une vulnérabilité se présente, cela peut entraîner l'échec du projet.
Événement Beanstalk
Le projet de stablecoin algorithmique Beanstalk a subi une attaque par prêt éclair, entraînant une perte d'environ 182 millions de dollars. L'attaquant a profité d'une faille dans le mécanisme de proposition du projet pour obtenir une grande quantité de droits de vote via un prêt éclair, faire une proposition malveillante et l'exécuter immédiatement. Cela reflète les risques potentiels d'un mécanisme de gouvernance entièrement décentralisé et rappelle aux porteurs de projet de réfléchir soigneusement aux mécanismes d'examen des propositions, à la répartition des droits de vote et aux mesures de sécurité telles que le verrouillage temporel.
Événement Wintermute
Le market maker Wintermute a subi une perte financière massive en raison de l'utilisation de l'outil de génération d'adresses vulnérable Profanity, qui a conduit à la compromission de la clé privée du propriétaire du contrat. Cela rappelle aux équipes de projet qu'elles doivent effectuer une évaluation de sécurité adéquate lorsqu'elles utilisent des outils open source.
Événement Harmony Bridge
La passerelle Horizon a subi des pertes de plus de 100 millions de dollars, apparemment en raison d'une fuite de clés privées. Les analyses montrent que cet événement pourrait être lié au groupe de hackers nord-coréen Lazarus, dont les méthodes d'attaque sont similaires à celles de l'incident de Ronin Bridge.
Événement Ankr
Ankr a été victime d'actes malveillants internes, entraînant la création et la vente malveillantes d'un grand nombre de tokens, ce qui a déclenché une réaction en chaîne affectant d'autres projets connexes. Cela a révélé de graves défauts dans la gestion des autorisations, la signature multiple et le système de sécurité interne du projet.
Événement Mango
Un trader a profité d'une faille de liquidité sur les petits tokens de la plateforme Mango, en manipulant le prix des cryptomonnaies pour réaliser des profits, causant ainsi d'énormes pertes à la plateforme. Cet événement se situe entre une faille de sécurité et un comportement d'arbitrage, et reflète la nécessité pour le projet de prendre en compte diverses situations extrêmes lors de la conception du modèle d'affaires.
Ces exemples nous avertissent que les projets Web3 font face à de multiples défis en matière de sécurité. Les équipes de projet doivent renforcer la protection de la sécurité à partir de plusieurs aspects, tels que l'audit de code, la gestion des permissions et la logique commerciale. En même temps, les utilisateurs doivent rester vigilants lorsqu'ils participent à des projets et évaluer de manière exhaustive les risques potentiels.