Au troisième trimestre de 2023, le marché de la cryptographie dans son ensemble est resté sans incident. Cependant, la fréquence des accidents liés à la sécurité dans l’écologie a dépassé celle des deux trimestres précédents. Au cours du trimestre, environ 572 millions de dollars en actifs cryptographiques ont subi des pertes en raison de divers incidents de sécurité.
Fairyproof a étudié 198 cas typiques signalés publiquement au troisième trimestre, a analysé les cas et a exploré les caractéristiques de l’écosystème de sécurité reflétées dans ces incidents et les mesures préventives pertinentes que les utilisateurs peuvent prendre.
ContexteIntroductionAvant de présenter en détail les résultats du rapport de recherche de Fairyproof, il est nécessaire d’expliquer et d’expliquer les termes pertinents dans ce rapport.
CCBS
CCBS signifie « Centralized Crypto Asset or Blockchain Service Authority ». Il se réfère généralement à la plate-forme de service non sur chaîne gérée par l’exploitation humaine, et sa technologie de base repose principalement sur la technologie centralisée traditionnelle, et ses activités quotidiennes d’exploitation et de maintenance sont principalement des activités hors chaîne. Les échanges traditionnels de crypto-actifs (tels que Binance) et les plates-formes d’acceptation d’émission de crypto-actifs (tels que Tether) en sont typiques.
FLASHLOAN
Les prêts Lightning sont un moyen courant et populaire pour les pirates d’attaquer les contrats intelligents sur la plate-forme de machine virtuelle Ethereum. Flash Loan est une application DeFi bien connue AAVE[1] [2]Une méthode d’invocation de contrat inventée par l’équipe. Cet appel de contrat permet aux utilisateurs de prêter des actifs cryptographiques directement à partir d’applications DeFi qui prennent en charge cette fonctionnalité sans aucune garantie, tant que l’utilisateur retourne l’actif dans une transaction de bloc pour rendre la transaction valide [3]。 À l’origine, cette fonction a été inventée pour donner aux utilisateurs de DeFi un moyen plus flexible et pratique d’effectuer diverses activités financières sur la chaîne. Mais plus tard, le scénario le plus utilisé pour les prêts flash en raison de sa flexibilité est devenu les pirates informatiques prêtant ERC-20 Le jeton est ensuite utilisé pour attaquer. Avant d’initier un prêt flash, l’utilisateur doit décrire clairement la logique du prêt (actifs) et du rendement (actifs, intérêts et frais de traitement associés) dans un contrat, puis appeler le contrat pour initier le prêt flash.
PONT À CHAÎNES**
Un pont inter-chaînes est une infrastructure qui connecte plusieurs blockchains indépendantes, permettant aux jetons déployés sur différentes blockchains de circuler entre chaque blockchain.
Comme de plus en plus de blockchains ont leurs propres écosystèmes, applications et actifs cryptographiques, la demande de communication et de transactions inter-blockchain a considérablement augmenté. Cela fait également des ponts inter-chaînes une cible chaude aux yeux des pirates.
Faits saillants du rapport
Fairyproof a étudié en détail les 198 incidents de sécurité typiques survenus au troisième trimestre de 2023 et, dans ce rapport, a analysé statistiquement divers facteurs tels que le montant des dommages causés par ces incidents, les causes et a donné des recommandations et des mesures de prévention correspondantes.
Statistiques et analyse des incidents de sécurité au T3 2023
L’équipe de recherche Fairyproof a étudié en détail les 198 incidents de sécurité qui se sont démarqués au troisième trimestre de 2023, a répertorié les résultats statistiques et les a analysés en termes de cible de l’attaque et de cause première de l’attaque.
La perte totale d’actifs cryptographiques résultant de ces 198 incidents de sécurité s’est élevée à 572 millions de dollars, et Tradingview a montré une valeur totale des actifs cryptographiques traditionnels de 1 056 milliards de dollars. Le ratio des actifs déficitaires à la capitalisation boursière totale est de 0,05 %.
Incidents de sécurité basés sur la victime
Les incidents de sécurité étudiés par Fairyproof peuvent être répartis dans les quatre catégories suivantes selon leurs victimes :
Crypto-actif centralisé ou service de chaîne de blocs (CCBS, CCBS ci-après dénommé le présent concept)
Chaînes de blocs
Applications décentralisées (dApps)
Ponts transversaux
Aux fins du présent rapport, un incident de sécurité du CCBS se produit lorsque le système du CCBS est attaqué ou compromis. Au cours de ces incidents, des biens sous la garde du CCBS ont été volés ou des services opérationnels ont été perturbés. Un incident de sécurité blockchain se produit lorsque le réseau principal, la chaîne latérale ou le système d’extension de deuxième couche de la blockchain attaché au réseau principal de la blockchain est attaqué ou compromis. Habituellement, dans ces événements, les pirates attaquent de l’intérieur du système, de l’extérieur du système, ou les deux, entraînant des dysfonctionnements logiciels ou matériels et la perte d’actifs.
Un incident de sécurité dApp se produit lorsqu’un dApp est attaqué et ne fonctionne pas correctement, ce qui donne aux pirates la possibilité de voler des actifs cryptographiques gérés dans le dApp.
Un événement de sécurité de pont inter-chaînes fait référence à une attaque sur le pont cross-chain, ce qui empêche son fonctionnement correct ou même conduit au vol des actifs cryptographiques avec lesquels il a transigé.
Fairyproof a divisé un total de 198 incidents dans les quatre catégories décrites ci-dessus, avec un tableau de répartition proportionnelle comme suit:
Comme le montre la figure, le nombre d’incidents de sécurité dApp représentait 86,87% du total, plus que toute autre catégorie. Parmi eux, 198 étaient des événements de sécurité dApp, 4 étaient des événements de sécurité CCBS, 14 étaient des événements de sécurité blockchain, 4 étaient des événements de sécurité de pont inter-chaînes et 172 étaient des événements de sécurité dApp.
Événements de sécurité Blockchain
Les incidents de sécurité impliquant la blockchain peuvent être subdivisés en trois catégories :
Réseaux principaux Blockchain ii Chaînes latérales
Solutions de couche 2
Également connu sous le nom de couche 1, le réseau principal blockchain est une blockchain indépendante avec son propre réseau, protocole, consensus et validateurs. Le réseau principal blockchain peut vérifier les transactions, les données et les blocs, le tout effectué par ses propres validateurs et finalement cohérent. Bitcoin et Ethereum sont des réseaux principaux blockchain typiques.
Une sidechain est une blockchain distincte qui fonctionne en parallèle avec le réseau principal blockchain. Il a également son propre consensus et ses propres validateurs, mais il sera ancré d’une manière ou d’une autre (comme l’ancrage bidirectionnel[4] [5]Le système de mise à l’échelle de deuxième couche est un système qui repose sur le réseau principal blockchain, ce qui nécessite le réseau principal blockchain pour assurer la sécurité et la cohérence éventuelle 。 Il s’agit principalement de résoudre l’évolutivité du réseau principal blockchain, qui peut traiter des transactions avec des frais et des prix moins élevés. Depuis 2021, le système de mise à l’échelle de couche 2 attaché à Ethereum s’est développé à pas de géant.
Les chaînes latérales et les systèmes de mise à l’échelle de couche 2 sont conçus pour répondre à l’évolutivité du réseau principal de la blockchain. La principale différence entre les deux est que les sidechains ne s’appuient pas sur le réseau principal blockchain pour assurer la sécurité et la cohérence, mais un système de mise à l’échelle de couche 2 le fait.
Au total, il y a eu 14 incidents de sécurité liés à la blockchain au troisième trimestre de 2023. La figure ci-dessous montre la proportion du réseau principal blockchain, de la chaîne latérale et du système de mise à l’échelle de couche 2.
Comme le montre le graphique ci-dessus, le nombre d’incidents de sécurité liés au réseau principal de la blockchain et les événements de sécurité liés au système d’extension de deuxième couche représentaient respectivement 92,86% (13 cas) et 7,14% du total.
。 Il n’y a pas d’événements de sécurité de sidechain typiques. La deuxième couche d’événements de sécurité des systèmes étendus concerne les systèmes métis[6] [7], le réseau principal impliqué dans l’incident de sécurité du réseau principal blockchain est Mixin 、
Sur les 172 incidents de sécurité impliquant dApps, 16 étaient des fugueurs, 1 a été impliqué et 155 ont été directement attaqués. Les attaques directes sur les dApps impliquent généralement trois domaines :
Le contrat frontal, back-end et intelligent du Dapp. Par conséquent, nous divisons les 155 incidents directement attaqués dans les trois catégories suivantes: i. frontend dApp ii. dApp Backend iii. Contrats dApp
En cas d’attaque frontale sur une dApp, les pirates attaquent principalement via des vulnérabilités frontales pour voler des actifs ou paralyser leurs services.
Dans l’incident d’attaque en arrière-plan dApp, les pirates lancent principalement des attaques via des vulnérabilités d’arrière-plan, telles que le détournement de la communication entre le backend et le contrat, le détournement d’actifs ou la paralysie de services.
Dans le cas des attaques de contrats dApp, les pirates ont principalement lancé des attaques par le biais de vulnérabilités contractuelles, volant des actifs ou paralysant leurs services. Le graphique suivant montre la proportion d’incidents attaqués dans ces trois catégories :
Comme le montre la figure ci-dessus, la proportion d’attaques contractuelles, back-end et front-end était respectivement de 19,35 %, 0 % et 80,65 %. Sur un total de 155 incidents, 125 étaient des attaques frontales.
30 cas étaient des attaques contractuelles.
Nous avons étudié plus en détail le montant des pertes d’actifs cryptographiques causées par divers événements. Parmi eux, les pertes causées par les attaques contractuelles et les attaques frontales se sont élevées à 210 millions de dollars et 39,8 millions de dollars américains, respectivement, soit 84,03 % et 15,97 % de la perte totale, respectivement, comme le montre la figure suivante :
Parmi les nombreuses vulnérabilités contractuelles, les failles logiques, les fuites de clés privées, les attaques de prêt flash et les attaques de réentrée sont des vulnérabilités typiques.
Nous avons étudié 30 incidents de sécurité impliquant des attaques directes par contrat et obtenu le graphique d’échelle suivant :
Comme le montre la figure ci-dessus, les défauts de logique sont à l’origine de la plus forte proportion d’événements de sécurité contractuelle. Les défauts logiques incluent souvent une validation de paramètre manquante, une validation d’autorisation manquante, etc. Le nombre d’incidents de sécurité causés par une faille logique était de 13.
La figure suivante montre le rapport entre le montant des pertes causées par chaque vulnérabilité :
Le montant de la perte causée par la fuite de la clé privée représente la proportion la plus élevée. Les 4 violations de clé privée ont entraîné une perte totale de 173 millions de dollars, soit 82,56 % de la perte totale.
Incidents de sécurité basés sur les causes
Sur la base des causes des incidents de sécurité blockchain, nous divisons les accidents en trois catégories: i. Causés par des attaques de pirates informatiques
ii. Fugue iii. autre
Nos résultats sont présentés dans la figure ci-dessous :
Comme le montre la figure ci-dessus, la proportion d’accidents de sécurité causés par les attaques de pirates informatiques et les fugues était respectivement de 91,92% (182 cas) et 8,08% (16 cas).
Nous avons examiné les pertes causées par ces causes, comme le montre le graphique ci-dessous :
Comme le montre la figure ci-dessus, les pertes causées par le piratage et la fugue représentaient respectivement 94,69 % et 5,31 %, le premier entraînant une perte de 541 millions de dollars et le second une perte de 30,35 millions de dollars. Cela montre que le piratage reste une menace majeure pour la sécurité de l’industrie au T3 2023.
Incident de piratageNous avons étudié l’incident de piratage, comme indiqué dans la figure suivante :
Comme le montre la figure ci-dessus, la proportion d’attaques de pirates informatiques sur dApps, blockchain, CCBS et ponts inter-chaînes était de 87,64% (156), 7,87% (14), 2,25% (4) et respectivement
2.25%(4)。
Nous avons examiné le montant des pertes causées par divers types d’événements, comme le montre le graphique ci-dessous :
Les pertes d’actifs causées par les attaques de pirates informatiques sur blockchain, dApps, ponts inter-chaînes et CCBS représentaient respectivement 36,97%, 46,25%, 0,79% et 15,99%, et les pertes spécifiques étaient de 200 millions de dollars, 250 millions de dollars, 86,5 millions de dollars et 4,3 millions de dollars, respectivement. D’autres incidents de sécurité n’ont pas entraîné de pertes importantes.
Événements de fugue
Les emballements typiques qui se sont produits au troisième trimestre de 2023 étaient des projets dApp. Au total, 30,35 millions de dollars ont été causés par les 16 incidents de ruissellement. Cette quantité de dommages est beaucoup plus petite que la quantité de dommages causés par le piratage.
Résultats de recherche
Selon nos statistiques, au troisième trimestre de 2023, la cible préférée des pirates est toujours les projets dApp, et les attaques sur les dApps dépassent de loin tout autre objet, représentant 87,64% du nombre total d’attaques et 46,25% des pertes totales. De toutes les attaques, la plus grave concernait Multichain[12] attaquer.
Pour l’ensemble de l’écosystème blockchain, les pirates restent la plus grande menace pour la sécurité, à la fois en termes de nombre d’incidents de sécurité causés par eux et de perte d’actifs qu’ils causent, et le nombre d’incidents de sécurité causés par les attaques de pirates représente plus de 91,92% du nombre total d’incidents de sécurité, dépassant de loin la menace causée par les événements en cours d’exécution pour l’écologie.
Une dApp typique se compose de trois parties : front-end, back-end et contrat intelligent. Lorsqu’un pirate attaque une dApp, il attaque une partie ou plusieurs parties en même temps. Selon nos statistiques, les attaques sur le frontend dApp sont beaucoup plus nombreuses que les attaques contractuelles, mais le montant des dommages causés par les attaques sur les contrats intelligents dépasse de loin le montant des dommages causés au frontend.
Cela montre que les dangers cachés des contrats intelligents sont toujours les plus grands dangers cachés de la sécurité dApp.
Les emballements typiques du troisième trimestre de 2023 se sont tous produits sur des projets dApp.
Parmi les incidents où des contrats intelligents ont été piratés, le nombre d’attaques causées par les trois catégories suivantes est le top trois: premièrement: failles logiques, et deuxièmement: prêts flash
Cependant, en termes de montant de perte, le montant de la perte d’actifs causée par l’attaque causée par la fuite de la clé privée est en tête de liste, dépassant de loin les autres catégories.
Plans et mesures pratiques pour prévenir les incidents de sécurité
Dans cette section, nous résumerons certains scénarios et mesures pour aider les développeurs et les utilisateurs de chaînes de blocs à gérer et à prévenir les risques liés à la chaîne en fonction des caractéristiques des incidents de sécurité survenus au troisième trimestre de 2023. Nous recommandons aux développeurs et aux utilisateurs de chaînes de blocs de mettre en œuvre et de mettre en pratique activement ces plans et mesures autant que possible dans leurs opérations quotidiennes et de protéger au maximum la sécurité des projets et des actifs cryptographiques.
Remarque: « Développeur blockchain » désigne à la fois le développeur du projet blockchain lui-même et le développeur lié au système blockchain ou à son système d’extension (tels que les actifs cryptographiques, etc.). « Utilisateurs de la chaîne de blocs » désigne tous les utilisateurs qui participent à des activités du système de chaîne de blocs (telles que la gestion, l’exploitation, la maintenance, etc.) ou à des transactions d’actifs cryptographiques.
** Pour les développeurs blockchain **
Bien qu’il n’y ait pas eu d’incidents de sécurité typiques impliquant des systèmes scale-out de couche 2 au troisième trimestre, la sécurité des systèmes scale-out de couche 2 mérite toujours une attention particulière. Parce que le développement et l’atterrissage du système d’extension de deuxième couche continueront d’être le point chaud et le centre d’intérêt de l’ensemble de l’écosystème, la recherche sur la sécurité du système constituera un défi majeur pour l’industrie.
Dans les applications blockchain, lorsque le projet est déployé et fonctionne de manière stable pendant un certain temps, il est nécessaire de transférer l’autorité de contrôler les opérations clés du projet au portefeuille multisig ou à l’organisation DAO pour la gestion.
Lorsque les pirates découvrent des vulnérabilités dans les contrats intelligents, ils utilisent souvent des prêts flash pour attaquer les contrats. Ces vulnérabilités exploitables incluent souvent des vulnérabilités de réentrée, des failles logiques (par exemple, absence de validation des autorisations, algorithmes de tarification incorrects), etc. La prévention et le traitement stricts de ces vulnérabilités nécessitent une grande attention pour les développeurs de contrats intelligents, et doivent même être classés au sommet de l’importance.
Nos statistiques montrent également que de plus en plus de pirates informatiques lancent des attaques de phishing via des logiciels de médias sociaux tels que Discord, Twitter, etc. Ce phénomène s’est poursuivi tout au long de 2022 et au troisième trimestre de 2023. Un certain nombre d’utilisateurs y ont subi des pertes. L’équipe du projet doit mettre en œuvre une gestion stricte et complète de ses médias sociaux, déployer les solutions de sécurité correspondantes pour assurer la sécurité et la stabilité de son fonctionnement sur les médias sociaux et empêcher qu’il ne soit exploité par des pirates.
Utilisateur Blockchain
De plus en plus d’utilisateurs commencent à participer à diverses activités écologiques blockchain et détiennent divers actifs écologiques blockchain. Dans le processus, l’activité de transaction inter-chaînes a également connu une croissance rapide. Lorsque les utilisateurs participent à des transactions inter-chaînes, les utilisateurs doivent interagir avec des ponts inter-chaînes, qui sont souvent ciblés par les pirates. Par conséquent, avant d’initier des transactions inter-chaînes, les utilisateurs doivent enquêter et comprendre l’état de sécurité et l’état de fonctionnement du pont interchaîne qu’ils utilisent en détail pour assurer la sécurité, la stabilité et la fiabilité du pont transversal.
Lorsque les utilisateurs interagissent avec une dApp, ils doivent porter une attention particulière à la qualité et à la sécurité de leurs contrats intelligents, ainsi qu’à la sécurité de l’interface dApp. Soyez prudent avec certaines informations inconnues et très suspectes, invites, dialogues, etc. affichés sur le front-end, et ne cliquez pas ou ne suivez pas leurs instructions à volonté.
Nous recommandons fortement aux utilisateurs de vérifier attentivement et de lire le rapport d’audit de tout projet blockchain avant d’interagir ou d’investir dans un projet blockchain. Discutez de la participation à des projets qui n’ont pas de rapport d’audit ou qui signalent quelque chose de suspect.
Nous recommandons aux utilisateurs d’essayer d’utiliser des portefeuilles froids ou des portefeuilles multisig pour gérer des actifs volumineux ou des actifs qui ne sont pas utilisés pour des transactions fréquentes. Faites toujours attention à la sécurité opérationnelle du portefeuille chaud et assurez-vous que la plate-forme matérielle sur laquelle le portefeuille chaud est installé est intrinsèquement sécurisée, fiable et stable.
Les utilisateurs doivent faire un certain niveau d’enquête et de compréhension du contexte de l’équipe du projet blockchain. Soyez prudent avec les équipes avec des arrière-plans flous et un crédit manquant. Attention au risque de s’enfuir avec de tels projets. Pour les échanges centralisés qui sont fréquemment utilisés, les utilisateurs doivent accorder plus d’attention à leurs antécédents et à leur crédit, et vérifier autant que possible les antécédents, les informations et les données de ces échanges à partir de multiples sources de données tierces afin d’assurer le fonctionnement sûr et durable à long terme de l’échange.
Ressources
[1] Fantôme.
[2] Prêts flash.. Prêts flash/
[3] NORME DE JETON ERC-20.
[4] Chaînes latérales.
[5] Calque-2.
[6] Métis.
[7] Mixin.
[8] Réseau Quai.
[9] Swisstronik.
[10] SwapDex Blockchain.
[11] Convenable.
[12] Multichaîne.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Rapport sur la sécurité écologique de la blockchain pour le troisième trimestre de 2023
Écrit par Fairyproof
Tour d’horizon
Au troisième trimestre de 2023, le marché de la cryptographie dans son ensemble est resté sans incident. Cependant, la fréquence des accidents liés à la sécurité dans l’écologie a dépassé celle des deux trimestres précédents. Au cours du trimestre, environ 572 millions de dollars en actifs cryptographiques ont subi des pertes en raison de divers incidents de sécurité.
Fairyproof a étudié 198 cas typiques signalés publiquement au troisième trimestre, a analysé les cas et a exploré les caractéristiques de l’écosystème de sécurité reflétées dans ces incidents et les mesures préventives pertinentes que les utilisateurs peuvent prendre.
ContexteIntroductionAvant de présenter en détail les résultats du rapport de recherche de Fairyproof, il est nécessaire d’expliquer et d’expliquer les termes pertinents dans ce rapport.
CCBS
CCBS signifie « Centralized Crypto Asset or Blockchain Service Authority ». Il se réfère généralement à la plate-forme de service non sur chaîne gérée par l’exploitation humaine, et sa technologie de base repose principalement sur la technologie centralisée traditionnelle, et ses activités quotidiennes d’exploitation et de maintenance sont principalement des activités hors chaîne. Les échanges traditionnels de crypto-actifs (tels que Binance) et les plates-formes d’acceptation d’émission de crypto-actifs (tels que Tether) en sont typiques.
FLASHLOAN
Les prêts Lightning sont un moyen courant et populaire pour les pirates d’attaquer les contrats intelligents sur la plate-forme de machine virtuelle Ethereum. Flash Loan est une application DeFi bien connue AAVE[1] [2]Une méthode d’invocation de contrat inventée par l’équipe. Cet appel de contrat permet aux utilisateurs de prêter des actifs cryptographiques directement à partir d’applications DeFi qui prennent en charge cette fonctionnalité sans aucune garantie, tant que l’utilisateur retourne l’actif dans une transaction de bloc pour rendre la transaction valide [3]。 À l’origine, cette fonction a été inventée pour donner aux utilisateurs de DeFi un moyen plus flexible et pratique d’effectuer diverses activités financières sur la chaîne. Mais plus tard, le scénario le plus utilisé pour les prêts flash en raison de sa flexibilité est devenu les pirates informatiques prêtant ERC-20 Le jeton est ensuite utilisé pour attaquer. Avant d’initier un prêt flash, l’utilisateur doit décrire clairement la logique du prêt (actifs) et du rendement (actifs, intérêts et frais de traitement associés) dans un contrat, puis appeler le contrat pour initier le prêt flash.
PONT À CHAÎNES**
Un pont inter-chaînes est une infrastructure qui connecte plusieurs blockchains indépendantes, permettant aux jetons déployés sur différentes blockchains de circuler entre chaque blockchain.
Comme de plus en plus de blockchains ont leurs propres écosystèmes, applications et actifs cryptographiques, la demande de communication et de transactions inter-blockchain a considérablement augmenté. Cela fait également des ponts inter-chaînes une cible chaude aux yeux des pirates.
Faits saillants du rapport
Fairyproof a étudié en détail les 198 incidents de sécurité typiques survenus au troisième trimestre de 2023 et, dans ce rapport, a analysé statistiquement divers facteurs tels que le montant des dommages causés par ces incidents, les causes et a donné des recommandations et des mesures de prévention correspondantes.
Statistiques et analyse des incidents de sécurité au T3 2023
L’équipe de recherche Fairyproof a étudié en détail les 198 incidents de sécurité qui se sont démarqués au troisième trimestre de 2023, a répertorié les résultats statistiques et les a analysés en termes de cible de l’attaque et de cause première de l’attaque.
La perte totale d’actifs cryptographiques résultant de ces 198 incidents de sécurité s’est élevée à 572 millions de dollars, et Tradingview a montré une valeur totale des actifs cryptographiques traditionnels de 1 056 milliards de dollars. Le ratio des actifs déficitaires à la capitalisation boursière totale est de 0,05 %.
Incidents de sécurité basés sur la victime
Les incidents de sécurité étudiés par Fairyproof peuvent être répartis dans les quatre catégories suivantes selon leurs victimes :
Crypto-actif centralisé ou service de chaîne de blocs (CCBS, CCBS ci-après dénommé le présent concept)
Chaînes de blocs
Applications décentralisées (dApps)
Ponts transversaux
Aux fins du présent rapport, un incident de sécurité du CCBS se produit lorsque le système du CCBS est attaqué ou compromis. Au cours de ces incidents, des biens sous la garde du CCBS ont été volés ou des services opérationnels ont été perturbés. Un incident de sécurité blockchain se produit lorsque le réseau principal, la chaîne latérale ou le système d’extension de deuxième couche de la blockchain attaché au réseau principal de la blockchain est attaqué ou compromis. Habituellement, dans ces événements, les pirates attaquent de l’intérieur du système, de l’extérieur du système, ou les deux, entraînant des dysfonctionnements logiciels ou matériels et la perte d’actifs.
Un incident de sécurité dApp se produit lorsqu’un dApp est attaqué et ne fonctionne pas correctement, ce qui donne aux pirates la possibilité de voler des actifs cryptographiques gérés dans le dApp.
Un événement de sécurité de pont inter-chaînes fait référence à une attaque sur le pont cross-chain, ce qui empêche son fonctionnement correct ou même conduit au vol des actifs cryptographiques avec lesquels il a transigé.
Fairyproof a divisé un total de 198 incidents dans les quatre catégories décrites ci-dessus, avec un tableau de répartition proportionnelle comme suit:
! [Q3 2023 Blockchain Ecological Security Report] (https://cdn-img.panewslab.com//panews/2022/10/13/images/a89e4cf4c8b19410eff238448ca5e395.png)
Comme le montre la figure, le nombre d’incidents de sécurité dApp représentait 86,87% du total, plus que toute autre catégorie. Parmi eux, 198 étaient des événements de sécurité dApp, 4 étaient des événements de sécurité CCBS, 14 étaient des événements de sécurité blockchain, 4 étaient des événements de sécurité de pont inter-chaînes et 172 étaient des événements de sécurité dApp.
Événements de sécurité Blockchain
Les incidents de sécurité impliquant la blockchain peuvent être subdivisés en trois catégories :
Réseaux principaux Blockchain ii Chaînes latérales
Solutions de couche 2
Également connu sous le nom de couche 1, le réseau principal blockchain est une blockchain indépendante avec son propre réseau, protocole, consensus et validateurs. Le réseau principal blockchain peut vérifier les transactions, les données et les blocs, le tout effectué par ses propres validateurs et finalement cohérent. Bitcoin et Ethereum sont des réseaux principaux blockchain typiques.
Une sidechain est une blockchain distincte qui fonctionne en parallèle avec le réseau principal blockchain. Il a également son propre consensus et ses propres validateurs, mais il sera ancré d’une manière ou d’une autre (comme l’ancrage bidirectionnel[4] [5]Le système de mise à l’échelle de deuxième couche est un système qui repose sur le réseau principal blockchain, ce qui nécessite le réseau principal blockchain pour assurer la sécurité et la cohérence éventuelle 。 Il s’agit principalement de résoudre l’évolutivité du réseau principal blockchain, qui peut traiter des transactions avec des frais et des prix moins élevés. Depuis 2021, le système de mise à l’échelle de couche 2 attaché à Ethereum s’est développé à pas de géant.
Les chaînes latérales et les systèmes de mise à l’échelle de couche 2 sont conçus pour répondre à l’évolutivité du réseau principal de la blockchain. La principale différence entre les deux est que les sidechains ne s’appuient pas sur le réseau principal blockchain pour assurer la sécurité et la cohérence, mais un système de mise à l’échelle de couche 2 le fait.
Au total, il y a eu 14 incidents de sécurité liés à la blockchain au troisième trimestre de 2023. La figure ci-dessous montre la proportion du réseau principal blockchain, de la chaîne latérale et du système de mise à l’échelle de couche 2.
! [Q3 2023 Blockchain Ecological Security Report] (https://cdn-img.panewslab.com//panews/2022/10/13/images/38ffdfc32f8c433a3f7a49164e6caf2c.png)
Comme le montre le graphique ci-dessus, le nombre d’incidents de sécurité liés au réseau principal de la blockchain et les événements de sécurité liés au système d’extension de deuxième couche représentaient respectivement 92,86% (13 cas) et 7,14% du total.
。 Il n’y a pas d’événements de sécurité de sidechain typiques. La deuxième couche d’événements de sécurité des systèmes étendus concerne les systèmes métis[6] [7], le réseau principal impliqué dans l’incident de sécurité du réseau principal blockchain est Mixin 、
Réseau Quai[8] [9]、Swisstronik [10]、SwapDex Blockchain [11]Convenable Attendre.
Événements de sécurité DAPP
Sur les 172 incidents de sécurité impliquant dApps, 16 étaient des fugueurs, 1 a été impliqué et 155 ont été directement attaqués. Les attaques directes sur les dApps impliquent généralement trois domaines :
Le contrat frontal, back-end et intelligent du Dapp. Par conséquent, nous divisons les 155 incidents directement attaqués dans les trois catégories suivantes: i. frontend dApp ii. dApp Backend iii. Contrats dApp
En cas d’attaque frontale sur une dApp, les pirates attaquent principalement via des vulnérabilités frontales pour voler des actifs ou paralyser leurs services.
Dans l’incident d’attaque en arrière-plan dApp, les pirates lancent principalement des attaques via des vulnérabilités d’arrière-plan, telles que le détournement de la communication entre le backend et le contrat, le détournement d’actifs ou la paralysie de services.
Dans le cas des attaques de contrats dApp, les pirates ont principalement lancé des attaques par le biais de vulnérabilités contractuelles, volant des actifs ou paralysant leurs services. Le graphique suivant montre la proportion d’incidents attaqués dans ces trois catégories :
! [Q3 2023 Blockchain Ecological Security Report] (https://cdn-img.panewslab.com//panews/2022/10/13/images/1c0f7d516b29c5260d7790d0756b8eee.png)
Comme le montre la figure ci-dessus, la proportion d’attaques contractuelles, back-end et front-end était respectivement de 19,35 %, 0 % et 80,65 %. Sur un total de 155 incidents, 125 étaient des attaques frontales.
30 cas étaient des attaques contractuelles.
Nous avons étudié plus en détail le montant des pertes d’actifs cryptographiques causées par divers événements. Parmi eux, les pertes causées par les attaques contractuelles et les attaques frontales se sont élevées à 210 millions de dollars et 39,8 millions de dollars américains, respectivement, soit 84,03 % et 15,97 % de la perte totale, respectivement, comme le montre la figure suivante :
! [Q3 2023 Blockchain Ecological Security Report] (https://cdn-img.panewslab.com//panews/2022/10/13/images/89f98870349f99a878152658943d12bb.png)
Parmi les nombreuses vulnérabilités contractuelles, les failles logiques, les fuites de clés privées, les attaques de prêt flash et les attaques de réentrée sont des vulnérabilités typiques.
Nous avons étudié 30 incidents de sécurité impliquant des attaques directes par contrat et obtenu le graphique d’échelle suivant :
! [Q3 2023 Blockchain Ecological Security Report] (https://cdn-img.panewslab.com//panews/2022/10/13/images/d8ec1949322e5f3cbc4f32cfed966618.png)
Comme le montre la figure ci-dessus, les défauts de logique sont à l’origine de la plus forte proportion d’événements de sécurité contractuelle. Les défauts logiques incluent souvent une validation de paramètre manquante, une validation d’autorisation manquante, etc. Le nombre d’incidents de sécurité causés par une faille logique était de 13.
La figure suivante montre le rapport entre le montant des pertes causées par chaque vulnérabilité :
! [Q3 2023 Blockchain Ecological Security Report] (https://cdn-img.panewslab.com//panews/2022/10/13/images/43c448b335833805a038d0fd4ea3b505.png)
Le montant de la perte causée par la fuite de la clé privée représente la proportion la plus élevée. Les 4 violations de clé privée ont entraîné une perte totale de 173 millions de dollars, soit 82,56 % de la perte totale.
Incidents de sécurité basés sur les causes
Sur la base des causes des incidents de sécurité blockchain, nous divisons les accidents en trois catégories: i. Causés par des attaques de pirates informatiques
ii. Fugue iii. autre
Nos résultats sont présentés dans la figure ci-dessous :
! [Q3 2023 Blockchain Ecological Security Report] (https://cdn-img.panewslab.com//panews/2022/10/13/images/886803f8085fc8788dcf7488156087af.png)
Comme le montre la figure ci-dessus, la proportion d’accidents de sécurité causés par les attaques de pirates informatiques et les fugues était respectivement de 91,92% (182 cas) et 8,08% (16 cas).
Nous avons examiné les pertes causées par ces causes, comme le montre le graphique ci-dessous :
! [Q3 2023 Blockchain Ecological Security Report] (https://cdn-img.panewslab.com//panews/2022/10/13/images/61306c8bd9c89411dac0654b6b2c88df.png)
Comme le montre la figure ci-dessus, les pertes causées par le piratage et la fugue représentaient respectivement 94,69 % et 5,31 %, le premier entraînant une perte de 541 millions de dollars et le second une perte de 30,35 millions de dollars. Cela montre que le piratage reste une menace majeure pour la sécurité de l’industrie au T3 2023.
Incident de piratageNous avons étudié l’incident de piratage, comme indiqué dans la figure suivante :
! [Q3 2023 Blockchain Ecological Security Report] (https://cdn-img.panewslab.com//panews/2022/10/13/images/57ec3c724a540940de823d4f6436995e.png)
Comme le montre la figure ci-dessus, la proportion d’attaques de pirates informatiques sur dApps, blockchain, CCBS et ponts inter-chaînes était de 87,64% (156), 7,87% (14), 2,25% (4) et respectivement
2.25%(4)。
Nous avons examiné le montant des pertes causées par divers types d’événements, comme le montre le graphique ci-dessous :
! [Q3 2023 Blockchain Ecological Security Report] (https://cdn-img.panewslab.com//panews/2022/10/13/images/c83731b7e4e2871759f68636e0383a79.png)
Les pertes d’actifs causées par les attaques de pirates informatiques sur blockchain, dApps, ponts inter-chaînes et CCBS représentaient respectivement 36,97%, 46,25%, 0,79% et 15,99%, et les pertes spécifiques étaient de 200 millions de dollars, 250 millions de dollars, 86,5 millions de dollars et 4,3 millions de dollars, respectivement. D’autres incidents de sécurité n’ont pas entraîné de pertes importantes.
Événements de fugue
Les emballements typiques qui se sont produits au troisième trimestre de 2023 étaient des projets dApp. Au total, 30,35 millions de dollars ont été causés par les 16 incidents de ruissellement. Cette quantité de dommages est beaucoup plus petite que la quantité de dommages causés par le piratage.
Résultats de recherche
Selon nos statistiques, au troisième trimestre de 2023, la cible préférée des pirates est toujours les projets dApp, et les attaques sur les dApps dépassent de loin tout autre objet, représentant 87,64% du nombre total d’attaques et 46,25% des pertes totales. De toutes les attaques, la plus grave concernait Multichain[12] attaquer.
Pour l’ensemble de l’écosystème blockchain, les pirates restent la plus grande menace pour la sécurité, à la fois en termes de nombre d’incidents de sécurité causés par eux et de perte d’actifs qu’ils causent, et le nombre d’incidents de sécurité causés par les attaques de pirates représente plus de 91,92% du nombre total d’incidents de sécurité, dépassant de loin la menace causée par les événements en cours d’exécution pour l’écologie.
Une dApp typique se compose de trois parties : front-end, back-end et contrat intelligent. Lorsqu’un pirate attaque une dApp, il attaque une partie ou plusieurs parties en même temps. Selon nos statistiques, les attaques sur le frontend dApp sont beaucoup plus nombreuses que les attaques contractuelles, mais le montant des dommages causés par les attaques sur les contrats intelligents dépasse de loin le montant des dommages causés au frontend.
Cela montre que les dangers cachés des contrats intelligents sont toujours les plus grands dangers cachés de la sécurité dApp.
Les emballements typiques du troisième trimestre de 2023 se sont tous produits sur des projets dApp.
Parmi les incidents où des contrats intelligents ont été piratés, le nombre d’attaques causées par les trois catégories suivantes est le top trois: premièrement: failles logiques, et deuxièmement: prêts flash
Cependant, en termes de montant de perte, le montant de la perte d’actifs causée par l’attaque causée par la fuite de la clé privée est en tête de liste, dépassant de loin les autres catégories.
Plans et mesures pratiques pour prévenir les incidents de sécurité
Dans cette section, nous résumerons certains scénarios et mesures pour aider les développeurs et les utilisateurs de chaînes de blocs à gérer et à prévenir les risques liés à la chaîne en fonction des caractéristiques des incidents de sécurité survenus au troisième trimestre de 2023. Nous recommandons aux développeurs et aux utilisateurs de chaînes de blocs de mettre en œuvre et de mettre en pratique activement ces plans et mesures autant que possible dans leurs opérations quotidiennes et de protéger au maximum la sécurité des projets et des actifs cryptographiques.
Remarque: « Développeur blockchain » désigne à la fois le développeur du projet blockchain lui-même et le développeur lié au système blockchain ou à son système d’extension (tels que les actifs cryptographiques, etc.). « Utilisateurs de la chaîne de blocs » désigne tous les utilisateurs qui participent à des activités du système de chaîne de blocs (telles que la gestion, l’exploitation, la maintenance, etc.) ou à des transactions d’actifs cryptographiques.
** Pour les développeurs blockchain **
Bien qu’il n’y ait pas eu d’incidents de sécurité typiques impliquant des systèmes scale-out de couche 2 au troisième trimestre, la sécurité des systèmes scale-out de couche 2 mérite toujours une attention particulière. Parce que le développement et l’atterrissage du système d’extension de deuxième couche continueront d’être le point chaud et le centre d’intérêt de l’ensemble de l’écosystème, la recherche sur la sécurité du système constituera un défi majeur pour l’industrie.
Dans les applications blockchain, lorsque le projet est déployé et fonctionne de manière stable pendant un certain temps, il est nécessaire de transférer l’autorité de contrôler les opérations clés du projet au portefeuille multisig ou à l’organisation DAO pour la gestion.
Lorsque les pirates découvrent des vulnérabilités dans les contrats intelligents, ils utilisent souvent des prêts flash pour attaquer les contrats. Ces vulnérabilités exploitables incluent souvent des vulnérabilités de réentrée, des failles logiques (par exemple, absence de validation des autorisations, algorithmes de tarification incorrects), etc. La prévention et le traitement stricts de ces vulnérabilités nécessitent une grande attention pour les développeurs de contrats intelligents, et doivent même être classés au sommet de l’importance.
Nos statistiques montrent également que de plus en plus de pirates informatiques lancent des attaques de phishing via des logiciels de médias sociaux tels que Discord, Twitter, etc. Ce phénomène s’est poursuivi tout au long de 2022 et au troisième trimestre de 2023. Un certain nombre d’utilisateurs y ont subi des pertes. L’équipe du projet doit mettre en œuvre une gestion stricte et complète de ses médias sociaux, déployer les solutions de sécurité correspondantes pour assurer la sécurité et la stabilité de son fonctionnement sur les médias sociaux et empêcher qu’il ne soit exploité par des pirates.
Utilisateur Blockchain
De plus en plus d’utilisateurs commencent à participer à diverses activités écologiques blockchain et détiennent divers actifs écologiques blockchain. Dans le processus, l’activité de transaction inter-chaînes a également connu une croissance rapide. Lorsque les utilisateurs participent à des transactions inter-chaînes, les utilisateurs doivent interagir avec des ponts inter-chaînes, qui sont souvent ciblés par les pirates. Par conséquent, avant d’initier des transactions inter-chaînes, les utilisateurs doivent enquêter et comprendre l’état de sécurité et l’état de fonctionnement du pont interchaîne qu’ils utilisent en détail pour assurer la sécurité, la stabilité et la fiabilité du pont transversal.
Lorsque les utilisateurs interagissent avec une dApp, ils doivent porter une attention particulière à la qualité et à la sécurité de leurs contrats intelligents, ainsi qu’à la sécurité de l’interface dApp. Soyez prudent avec certaines informations inconnues et très suspectes, invites, dialogues, etc. affichés sur le front-end, et ne cliquez pas ou ne suivez pas leurs instructions à volonté.
Nous recommandons fortement aux utilisateurs de vérifier attentivement et de lire le rapport d’audit de tout projet blockchain avant d’interagir ou d’investir dans un projet blockchain. Discutez de la participation à des projets qui n’ont pas de rapport d’audit ou qui signalent quelque chose de suspect.
Nous recommandons aux utilisateurs d’essayer d’utiliser des portefeuilles froids ou des portefeuilles multisig pour gérer des actifs volumineux ou des actifs qui ne sont pas utilisés pour des transactions fréquentes. Faites toujours attention à la sécurité opérationnelle du portefeuille chaud et assurez-vous que la plate-forme matérielle sur laquelle le portefeuille chaud est installé est intrinsèquement sécurisée, fiable et stable.
Les utilisateurs doivent faire un certain niveau d’enquête et de compréhension du contexte de l’équipe du projet blockchain. Soyez prudent avec les équipes avec des arrière-plans flous et un crédit manquant. Attention au risque de s’enfuir avec de tels projets. Pour les échanges centralisés qui sont fréquemment utilisés, les utilisateurs doivent accorder plus d’attention à leurs antécédents et à leur crédit, et vérifier autant que possible les antécédents, les informations et les données de ces échanges à partir de multiples sources de données tierces afin d’assurer le fonctionnement sûr et durable à long terme de l’échange.
Ressources
[1] Fantôme.
[2] Prêts flash.. Prêts flash/
[3] NORME DE JETON ERC-20.
[4] Chaînes latérales.
[5] Calque-2.
[6] Métis.
[7] Mixin.
[8] Réseau Quai.
[9] Swisstronik.
[10] SwapDex Blockchain.
[11] Convenable.
[12] Multichaîne.