Finance décentralisée sécurité retour : Analyse des événements majeurs de 2022 et leçons à en tirer

En 2022, les incidents de sécurité liés à la blockchain se sont multipliés, avec plus de 300 cas signalés, impliquant un montant total de 4,3 milliards de dollars. Cet article analysera en détail huit cas typiques, dont la plupart des pertes dépassent 100 millions de dollars, et qui ont une signification importante en tant qu'exemples.

Événement Ronin Bridge

Le 23 mars 2022, la chaîne latérale Ronin Network d'Axie Infinity a été piratée, entraînant une perte de 173 600 ETH et 25,5 millions USD, soit un total d'environ 590 millions de dollars. Les attaquants seraient un groupe de hackers nord-coréens nommé Lazarus.

Des attaquants ont contacté des employés de la société Sky Mavis par des méthodes d'ingénierie sociale, ont implanté des logiciels malveillants et ont finalement contrôlé 5 nœuds de validation, complétant ainsi l'attaque. Cela révèle une faible sensibilisation à la sécurité parmi les employés de l'entreprise et des vulnérabilités dans le système de sécurité interne.

Cet événement relève d'une attaque typique de menace persistante avancée APT(. Les groupes de hackers traditionnels et les acteurs étatiques ont commencé à cibler les projets blockchain pour en tirer des bénéfices économiques.

Événement Wormhole

Le pont inter-chaînes Wormhole a été attaqué, entraînant une perte d'environ 120 000 ETH. La cause fondamentale est qu'il existe une faille dans le code de vérification de la signature du contrat principal côté Solana, permettant aux attaquants de falsifier les messages de "gardien" pour frapper des ETH emballés.

C'est principalement un problème au niveau du code, car certaines fonctions obsolètes ont été utilisées. Les développeurs doivent mettre à jour pour utiliser la dernière version afin d'éviter des problèmes similaires.

Événement Nomad Bridge

Le protocole inter-chaînes Nomad a initialement configuré la racine de confiance de manière incorrecte lors de l'initialisation du contrat, et la racine ancienne n'a pas été invalidée lors de la modification, permettant à un attaquant de construire n'importe quel message pour extraire des fonds, entraînant une perte de plus de 190 millions de dollars.

C'est un cas typique d'erreur d'initialisation de contrat. Une fois découvert, n'importe qui peut relancer des transactions valides pour en tirer profit. De nombreux robots MEV participent à la compétition, transformant cela en une "guerre de l'argent".

Bien que le code source soit transparent, il permet également aux attaquants de découvrir plus facilement des vulnérabilités. Les équipes de projet devraient renforcer l'audit du code pour garantir la correctitude des étapes clés telles que l'initialisation.

Événement Beanstalk

Le projet de stablecoin algorithmique Beanstalk a subi une attaque par prêt éclair, entraînant une perte d'environ 182 millions de dollars. La principale raison est qu'il n'y a pas d'intervalle de temps entre le vote sur la proposition et son exécution, permettant à l'attaquant d'exécuter immédiatement des propositions malveillantes.

Les attaquants achètent des jetons à l'avance pour obtenir des droits de proposition, obtiennent une grande quantité de droits de vote grâce à un prêt flash et réalisent un arbitrage par le biais de propositions malveillantes. Cela expose les risques d'une gouvernance entièrement décentralisée.

Le projet devrait mettre en place un mécanisme d'examen des propositions, une période de verrouillage des votes, une période de verrouillage d'exécution et d'autres mesures pour prévenir des risques similaires.

Événement Wintermute

Le market maker Wintermute utilise des outils open source pour générer des adresses attrayantes, ce qui a entraîné le piratage de la clé privée du propriétaire du contrat, entraînant une perte d'environ 160 millions de dollars.

Lors de l'utilisation d'outils open source, il est important d'évaluer pleinement les risques potentiels. Pour les adresses critiques, une méthode de génération plus sécurisée doit être adoptée, en évitant d'utiliser des outils tiers peu fiables.

Événement Harmony Bridge

Le pont inter-chaînes Horizon de Harmony a été attaqué, avec des pertes de plus de 100 millions de dollars. Selon les analyses, cela pourrait également être l'œuvre d'un groupe de hackers nord-coréens, la méthode d'attaque étant similaire à celle du Ronin Bridge.

Les ponts inter-chaînes, en tant qu'infrastructure clé reliant différentes chaînes, ont toujours été des cibles principales pour les hackers. Les projets doivent renforcer la protection de la sécurité et augmenter le seuil d'attaque.

Événement Ankr

La clé privée du propriétaire du contrat Ankr a été divulguée, permettant à des hackers de frapper une grande quantité de jetons et de retirer 5 millions de USDC. Ensuite, des arbitragistes ont profité d'un retard des oracles pour réaliser un arbitrage de 17 millions de dollars.

Cela révèle de graves problèmes de gestion de la sécurité interne d'Ankr : les clés privées clés sont contrôlées par des individus, et les employés peuvent les utiliser même après leur départ. Le projet devrait établir un système de gestion des clés complet et adopter des mécanismes plus sûrs tels que la multi-signature.

Événement Mango

L'attaquant a exploité une vulnérabilité due à un manque de liquidité des petits tokens sur la plateforme Mango, réalisant un profit de 115 millions de dollars en manipulant les prix. Cela relève davantage d'une faille dans le modèle commercial que d'une faille de sécurité.

L'équipe du projet doit prendre en compte divers scénarios extrêmes et améliorer les mesures de gestion des risques. Les utilisateurs participant au projet doivent également évaluer pleinement les risques, sans se concentrer uniquement sur les bénéfices au détriment de la sécurité.

En résumé, avec la complexité croissante de l'écosystème Web3, les menaces à la sécurité deviennent également de plus en plus diversifiées. Les porteurs de projets doivent établir un système de sécurité complet, et les utilisateurs doivent également renforcer leur sensibilisation à la sécurité, afin de maintenir ensemble un développement sain de l'industrie.

![Cobo Finance décentralisée sécurité cours (partie 1) : rétrospective des grands événements de sécurité DeFi en 2022])https://img-cdn.gateio.im/webp-social/moments-646b3144d462a0e5ced17444071f9d00.webp(

![Cobo Finance décentralisée sécurité cours (1) : récapitulatif des grands événements de sécurité DeFi 2022])https://img-cdn.gateio.im/webp-social/moments-bb42708a0810f2b5c37b48aeaa2d22d0.webp(