Rétrospective et analyse des événements de sécurité majeurs dans le domaine de la Finance décentralisée en 2022

En 2022, les événements de sécurité liés à la blockchain sont survenus fréquemment, avec plus de 300 incidents signalés tout au long de l'année, impliquant un montant total de 4,3 milliards de dollars. Cet article mettra l'accent sur l'analyse de 8 cas typiques, dont la plupart ont entraîné des pertes de plus de 100 millions de dollars, ce qui en fait des exemples très représentatifs.

Ronin Bridge

En mars 2022, la sidechain Ronin Network du jeu NFT Axie Infinity a été piratée, entraînant une perte de 173 600 ETH et 25,5 millions de dollars, pour une valeur totale d'environ 625 millions de dollars. Selon l'enquête, le groupe de hackers nord-coréen Lazarus est lié à cet événement.

Un attaquant a trompé un employé de Sky Mavis à l'aide d'ingénierie sociale pour télécharger un faux bulletin d'admission contenant un logiciel malveillant, pénétrant ainsi le système et contrôlant 5 nœuds de validation, ce qui a finalement permis de réaliser l'attaque.

Cet incident a révélé les lacunes de l'équipe du projet en matière de sensibilisation à la sécurité des employés et de système de sécurité interne. Il montre également que les groupes de hackers traditionnels commencent à cibler les projets de blockchain.

Wormhole

Le pont inter-chaînes Wormhole a été attaqué, entraînant une perte d'environ 120 000 ETH. Le problème réside dans le code de vérification de signature du contrat principal côté Solana, qui permet aux attaquants de falsifier des messages de "gardien" pour frapper des ETH emballés.

Cette vulnérabilité est principalement due à l'utilisation de certaines fonctions obsolètes. Il est recommandé aux développeurs d'utiliser toujours la dernière version des langages de programmation et des outils afin d'éviter des problèmes similaires.

Nomad Bridge

Le protocole inter-chaînes Nomad Bridge a été attaqué, avec des pertes de plus de 190 millions de dollars. La raison en est que la racine de confiance a été mal configurée lors de l'initialisation, et que l'ancienne racine n'a pas été rendue invalide, permettant aux attaquants de construire des messages arbitraires pour extraire des fonds.

Les hackers ont exploité cette vulnérabilité pour renvoyer plusieurs fois des données de transaction construites, siphonnant presque tous les fonds verrouillés. Environ 41 adresses ont profité de 152 millions de dollars, y compris des robots MEV, d'autres hackers et quelques hackers éthiques.

Cet exemple met en évidence l'importance des paramètres d'initialisation des contrats intelligents, ainsi que la complexité des différents participants dans l'écosystème de la blockchain publique.

Beanstalk

Le projet de stablecoin algorithmique Beanstalk Farms a subi une attaque par prêt éclair, entraînant une perte d'environ 182 millions de dollars. L'attaquant a réalisé un profit de plus de 80 millions de dollars.

L'attaque a exploitée une vulnérabilité dans le mécanisme de gouvernance du projet - il n'y a pas de délai entre le vote sur les propositions et leur exécution. L'attaquant a obtenu une grande quantité de droits de vote via un prêt flash et a directement exécuté des opérations d'arbitrage grâce à des propositions malveillantes.

Cet événement révèle les risques potentiels des mécanismes de gouvernance purement décentralisés, tels que l'examen des propositions, le poids des votes, les délais de verrouillage, qui nécessitent tous une conception soigneuse.

Wintermute

Le market maker Wintermute a subi une perte d'environ 160 millions de dollars en raison de l'utilisation d'un outil de génération d'adresses vulnérable, Profanity, qui a entraîné le compromis de sa clé privée.

Cet exemple nous avertit qu'il faut être prudent lors de l'utilisation d'outils open source, et il est préférable de procéder à une évaluation de sécurité adéquate. Cela reflète également que la recherche d'adresses "belles" peut entraîner des risques de sécurité.

Harmony Bridge

Le pont inter-chaînes Horizon de Harmony a été attaqué, avec des pertes de plus de 100 millions de dollars. Selon les analyses, cela serait l'œuvre d'un groupe de hackers nord-coréens, le Lazarus Group.

La méthode d'attaque est similaire à l'incident du Ronin Bridge, soulignant à nouveau la menace croissante des hackers nationaux ciblant l'industrie des cryptomonnaies.

Ankr

Ankr a été confronté à des actes malveillants de la part de membres internes, entraînant la création de 10 billions de aBNBc à partir de rien. L'attaquant a encaissé 5 millions de USDC, et d'autres arbitragistes ont réalisé un profit de 17 millions de dollars.

Cet événement a révélé de graves défauts dans la gestion des autorisations et la conservation des clés privées du projet, soulignant l'importance d'améliorer le système de sécurité interne.

Mango

La plateforme d'échange décentralisée Mango Markets a subi une attaque de manipulation de marché, entraînant une perte d'environ 115 millions de dollars. Les attaquants ont exploité les contrats perpétuels de la plateforme et les oracles pour réaliser des bénéfices en faisant monter le prix du jeton à faible capitalisation MNGO.

Ce cas illustre la nécessité pour les projets de Finance décentralisée de prendre en compte diverses situations extrêmes lors de la conception de leur modèle économique, en particulier le contrôle des risques liés aux tokens de faible capitalisation.

Dans l'ensemble, les événements de sécurité DeFi en 2022 ont été fréquents, mettant en lumière de nombreuses vulnérabilités en matière de sécurité concernant les contrats intelligents, les ponts inter-chaînes et les mécanismes de gouvernance. Les équipes de projet doivent renforcer leur conscience de la sécurité et améliorer leur système de gestion des risques ; les utilisateurs, quant à eux, doivent participer avec prudence et bien comprendre les risques.