Analyse de la sécurité de la Finance décentralisée : Revue des événements majeurs de 2022

En 2022, l'industrie Web3 a été confrontée à plusieurs incidents de sécurité majeurs, impliquant des montants allant jusqu'à 4,3 milliards de dollars. Cet article analysera en profondeur huit cas typiques, dont la plupart impliquent des pertes de plus de 100 millions de dollars.

Événement Ronin Bridge

En mars 2022, la sidechain d'Axie Infinity, le Ronin Network, a été piratée, entraînant la perte de 173 600 ETH et 25,5 millions USD, pour une valeur totale d'environ 600 millions de dollars. Selon l'enquête, le groupe de hackers nord-coréens Lazarus est lié à cet incident.

Les attaquants ont obtenu la confiance des employés internes par des moyens d'ingénierie sociale, ce qui leur a permis de s'infiltrer dans le système et de contrôler plusieurs nœuds de validation. Cette menace persistante avancée (APT) est courante dans le domaine de la sécurité traditionnelle et commence maintenant à apparaître dans les projets de blockchain.

Cet événement a révélé de graves défauts dans la sensibilisation à la sécurité des employés et le système de sécurité interne de l'équipe de projet.

Événement Wormhole

Le pont inter-chaînes Wormhole a été attaqué en raison d'une erreur de code de vérification de signature dans le contrat Solana, entraînant une perte d'environ 120 000 ETH. L'attaquant a exploité une vulnérabilité dans une fonction abandonnée.

Cela rappelle aux développeurs d'utiliser la dernière version de la bibliothèque de code et d'éviter d'utiliser des fonctionnalités de versions anciennes connues pour avoir des problèmes.

Événement Nomad Bridge

Le pont inter-chaînes Nomad a été attaqué en raison de problèmes de configuration initiale, entraînant une perte d'environ 190 millions de dollars. L'attaquant a extrait des fonds en reproduisant des transactions valides.

Cet événement est devenu une "bataille pour l'argent", avec plusieurs adresses impliquées. Bien qu'une partie des fonds ait été récupérée, la plupart n'ont pas encore été retrouvés. Cela met en évidence l'effet à double tranchant de l'open source des contrats intelligents.

Événement Beanstalk

Le projet de stablecoin algorithmique Beanstalk a subi une attaque par emprunt éclair, entraînant des pertes d'environ 182 millions de dollars. L'attaquant a exploité une vulnérabilité dans le mécanisme de gouvernance du projet pour mettre en œuvre l'attaque par le biais d'une proposition malveillante.

Cela reflète les risques liés à la gouvernance décentralisée. Les équipes de projet doivent concevoir de manière plus prudente les processus d'examen des propositions, les mécanismes de vote et les délais d'exécution.

Événement Wintermute

Le market maker Wintermute a été attaqué en raison de l'utilisation de l'outil de génération d'adresses vulnérable Profanity. L'attaquant a réussi à déchiffrer la clé privée de l'adresse du propriétaire du contrat.

Cela nous rappelle d'être prudents lors de l'utilisation d'outils open source et de procéder à une évaluation de sécurité adéquate.

Événement Harmony Bridge

Le pont inter-chaînes Horizon de Harmony a subi des pertes de plus de 100 millions de dollars, soupçonné d'être également l'œuvre d'un groupe de hackers nord-coréens. Les détails spécifiques n'ont pas été rendus publics, mais la méthode d'attaque pourrait être similaire à celle de l'incident du Ronin Bridge.

Événement Ankr

Ankr a été confronté à des actes malveillants de la part d'employés internes, entraînant la création massive de jetons de manière fictive. Cela expose les graves défauts du projet en matière de gestion des autorisations et de contrôle interne.

Événement Mango

La plateforme de trading Mango a subi une attaque de manipulation de marché, entraînant des pertes d'environ 115 millions de dollars. Les attaquants ont exploité les failles du modèle commercial de la plateforme pour réaliser des profits en manipulant les prix des jetons à faible capitalisation.

Cela rappelle aux équipes de projet de prendre en compte toutes les situations extrêmes, et les utilisateurs doivent également être vigilants face aux risques commerciaux potentiels.

Dans l'ensemble, ces événements de 2022 reflètent le fait que les projets de Finance décentralisée présentent encore des lacunes dans plusieurs domaines tels que la sécurité du code, la gestion des autorisations et les mécanismes de gouvernance. Les équipes de projet et les utilisateurs doivent tous deux renforcer leur sensibilisation à la sécurité et adopter des mesures de prévention plus strictes.