Revue des incidents de sécurité DeFi en 2022

Auteur : un expert en sécurité

Récemment, un expert en sécurité chevronné a partagé un cours sur la sécurité DeFi avec les membres de la communauté. Il a passé en revue les événements de sécurité majeurs auxquels l'industrie Web3 a été confrontée au cours de l'année écoulée, a exploré les causes de ces événements et les mesures préventives, a résumé les vulnérabilités de sécurité courantes des contrats intelligents et a donné quelques conseils de sécurité. Cet article organise son contenu de partage comme suit, pour le bénéfice des amateurs de Finance décentralisée.

Selon les statistiques, en 2022, plus de 300 incidents de sécurité liés à la blockchain se sont produits, pour un montant total de 4,3 milliards de dollars.

Voici une analyse détaillée de 8 cas typiques, dont la plupart des pertes s'élèvent à plus de 100 millions de dollars.

Ronin Bridge

Récapitulatif de l'événement :

• Le 23 mars 2022, la sidechain Ronin Network d'Axie Infinity a été piratée, entraînant le vol de 173 600 ETH et de 25,5 millions USD, d'une valeur d'environ 590 millions de dollars.
• Le département du Trésor américain a indiqué que le groupe de hackers nord-coréen Lazarus était lié à cet incident.
• Selon des rapports, des hackers ont contacté et piégé un employé de la société Sky Mavis via LinkedIn pour obtenir un accès au système.

Cette attaque appartient à la catégorie typique des menaces persistantes avancées APT(. Le groupe de hackers utilise des méthodes telles que l'ingénierie sociale pour d'abord prendre le contrôle d'un ordinateur au sein de l'organisation cible comme point de départ, afin de s'infiltrer davantage et d'atteindre finalement l'objectif de l'attaque.

L'incident a mis en évidence la faiblesse de la sensibilisation à la sécurité des employés de l'entreprise et des problèmes au sein du système de sécurité interne.

Wormhole

Revue de l'événement :

• Le code de vérification de signature du contrat principal de Wormhole sur Solana contient une erreur, permettant à un attaquant de falsifier des messages de "gardien" pour frapper de l'ETH emballé Wormhole, entraînant une perte d'environ 120 000 ETH.
• Jump Crypto a investi 120 000 ETH pour compenser les pertes.

Wormhole rencontre principalement des problèmes au niveau du code, ayant utilisé certaines fonctions obsolètes. Il est conseillé aux développeurs d'utiliser la dernière version pour éviter des problèmes similaires.

Nomad Bridge

Rétrospective de l'événement:

• Lors de l'initialisation du contrat Replica du pont Nomad, la racine de confiance a été définie sur 0x0, et l'ancienne racine n'a pas été invalidée à temps, ce qui a permis aux attaquants de construire des messages arbitraires pour voler des fonds, entraînant une perte de plus de 190 millions de dollars.
• Plusieurs adresses participent à l'attaque, y compris des robots MEV, des hackers et des hackers éthiques.

C'est un cas typique. Des problèmes de configuration initiale ont entraîné la possibilité que des transactions valides soient exécutées plusieurs fois. Des robots MEV, après l'avoir découvert, ont largement diffusé des transactions d'attaque, entraînant un événement de vol.

La nature open source de l'écosystème des contrats intelligents facilite l'analyse et la découverte des vulnérabilités par les hackers. Une fois qu'un projet présente des vulnérabilités, cela annonce essentiellement son échec.

Beanstalk

Récapitulatif de l'événement :

• Beanstalk Farms a subi une attaque par prêt éclair, entraînant une perte d'environ 182 millions de dollars.
• Les attaquants ont réalisé des bénéfices de plus de 80 millions de dollars, y compris environ 24 830 ETH et 36 millions de BEAN.
• La raison de l'attaque est qu'il n'y a pas d'intervalle de temps entre le vote sur la proposition et son exécution, ce qui permet à l'attaquant d'exécuter directement une proposition malveillante.

Processus d'attaque :

1. Acheter des jetons à l'avance pour obtenir l'éligibilité à la proposition, créer un contrat de proposition malveillant
2. Obtenez un grand nombre de jetons de vote via un prêt éclair
3. Exécution directe des contrats malveillants, réalisation d'arbitrage

Ce cas expose les risques potentiels d'un mécanisme de gouvernance entièrement décentralisé. Il est recommandé que le projet mette en place des mesures de sécurité telles qu'un mécanisme d'examen des propositions, un seuil de vote et un verrouillage temporel.

Wintermute

Récapitulatif de l'événement:

Le 21 septembre 2022, Wintermute a confirmé avoir été victime d'une attaque de hacker. Ils avaient utilisé l'outil Profanity pour créer des adresses de portefeuille attractives afin d'optimiser les frais de transaction. Bien qu'ils aient accéléré l'abandon des anciennes clés après avoir appris qu'il y avait une vulnérabilité dans Profanity, une erreur interne a empêché la suppression complète des droits de signature des adresses affectées, entraînant le vol de fonds.

Lors de l'utilisation d'outils open source, il est important d'évaluer pleinement les risques de sécurité. Cela est particulièrement vrai pour les outils liés à la gestion des clés, qui nécessitent une prudence accrue.

Pont Harmony

Récapitulatif des événements :

• La passerelle inter-chaînes Horizon a subi des pertes de plus de 100 millions de dollars, y compris plus de 13 000 ETH et 5 000 BNB.
• Le fondateur de Harmony a déclaré que l'attaque était due à une fuite de clé privée.
• Les sociétés d'analyse de blockchain pensent que le groupe de hackers nord-coréen Lazarus Group pourrait être le cerveau derrière cela.

Si cela est effectivement l'œuvre d'un groupe de hackers nord-coréens, la méthode d'attaque pourrait être similaire à celle de l'incident du Ronin Bridge. Ces dernières années, les groupes de hackers nord-coréens ont été très actifs dans leurs attaques contre l'industrie des cryptomonnaies.

Ankr

Récapitulatif des événements :

• Après la mise à jour du contrat Ankr, l'attaquant a créé de toutes pièces 100 000 milliards d'aBNBc par la méthode de frappe.
• L'attaquant a échangé une partie des aBNBc pour 5 millions de USDC, provoquant un effondrement du prix des aBNBc.
• Les arbitragistes ont profité du mécanisme de retard de prix du protocole de prêt Helio pour réaliser un arbitrage de plus de 17 millions de dollars.
• Ankr s'engage à indemniser 15 millions de dollars.

Les enquêtes ultérieures ont révélé que l'incident était causé par un ancien employé malveillant. Les problèmes exposés incluent :

• Les contrats clés sont contrôlés par des comptes EOA et non par des multi-signatures.
• Les employés clés peuvent contrôler la clé privée Deployer
• Il existe des défauts dans la gestion de la sécurité interne

![Cobo Finance décentralisée 安全课（上）：复盘 2022 Finance décentralisée 安全大事件])https://img-cdn.gateio.im/webp-social/moments-646b3144d462a0e5ced17444071f9d00.webp(

Mango

Récapitulatif de l'événement :

• L'attaquant a utilisé 10 millions de USDT pour faire des transactions d'arbitrage sur la plateforme Mango, tout en augmentant le prix de MNGO sur d'autres plateformes.
• Le prix de MNGO est passé de 0,0382 $ à 0,91 $, les attaquants ayant réalisé un bénéfice de 420 millions $.
• L'attaquant a finalement emprunté près de 115 millions de dollars d'actifs.
• L'attaquant a proposé de rembourser les créances douteuses du protocole avec des fonds de la trésorerie, à condition qu'aucune enquête criminelle ne soit menée.
• En décembre 2022, Avraham Eisenberg, qui se présente comme un attaquant, a été arrêté à Porto Rico.

Cela peut être considéré à la fois comme un événement de sécurité et comme un comportement d'arbitrage. Le principal problème réside dans les vulnérabilités du modèle commercial, les prix des petites devises étant facilement manipulables, ce qui rend la gestion des positions de la plateforme difficile.

L'équipe du projet devrait prendre en compte divers scénarios extrêmes pour les tests. Les utilisateurs participant au projet doivent également évaluer pleinement les risques et ne pas se concentrer uniquement sur les bénéfices.

![Cobo Finance décentralisée sécurité cours (1) : rétrospective des grands événements de sécurité DeFi en 2022])https://img-cdn.gateio.im/webp-social/moments-bb42708a0810f2b5c37b48aeaa2d22d0.webp(