Des acteurs malveillants tels que des pirates ont extrait 310 millions de dollars de l'industrie du Web 3.0 au deuxième trimestre 2023.
Ce chiffre est proche de la perte de 320 millions de dollars au premier trimestre, soit une baisse de 58 %** par rapport à la perte de 745 millions de dollars au deuxième trimestre de 2022**.
CertiK a trouvé un total de 212* incidents de sécurité, ce qui se traduit par une perte moyenne de 1,48 million de dollars par incident au deuxième trimestre. Ce chiffre était légèrement inférieur à la perte moyenne par incident de 1,56 million de dollars au premier trimestre.
98 escroqueries à la sortie ont volé 70,35 millions de dollars aux investisseurs, soit plus du double des 31 millions de dollars perdus pour les escroqueries à la sortie au premier trimestre.
54 attaques par prêt flash et incidents de manipulation d'oracle ont rapporté aux attaquants 23,75 millions de dollars. C'est une forte baisse par rapport aux 222 millions de dollars de pertes totales résultant de 52 manipulations d'oracle au premier trimestre. Bien sûr, en raison de l'énorme perte d'Euler Finance au dernier trimestre, cette échappatoire représentait à elle seule 85% du montant total du trimestre précédent.
De plus, de grands événements "hors chaîne" se produisent dans l'industrie : la Securities and Exchange Commission des États-Unis a déposé des accusations contre les deux plus grandes bourses de devises virtuelles ; et la plus grande société de gestion d'actifs au monde a soumis une demande pour un ETF Bitcoin .
Pendant ce temps, les chercheurs en sécurité de CertiK ont également découvert certaines vulnérabilités majeures dans les principaux protocoles et applications de la chaîne de blocs, y compris les risques de sécurité dans les nœuds de validation Sui et le portefeuille MPC de ZenGo.
Affichage partiel des données
Introduction
Les pertes totales enregistrées dans l'espace Web 3.0 au deuxième trimestre de 2023 se sont élevées à 313 566 528 $, presque le même qu'au trimestre précédent et une diminution de 58 % par rapport à la même période l'an dernier. La perte moyenne par accident a également légèrement diminué.
Au deuxième trimestre, le nombre d'incidents de manipulation d'oracle a considérablement diminué, tandis que les pertes totales des escroqueries à la sortie ont augmenté, ce qui indique que les tactiques employées par les acteurs malveillants ont changé.
Au fur et à mesure que l'industrie évolue, des cas comme l'attaque du robot MEV et la découverte d'une menace de sécurité «roue de hamster» sur la blockchain Sui démontrent l'importance d'une plongée profonde continue dans la sécurité, des frappes préventives et d'une vigilance constante. À chaque défi surmonté, nous nous rapprochons d'un espace Web 3.0 plus sécurisé.
Consultez le Rapport pour plus de détails et de données.
Le robot MEV est exploité de manière malveillante
Début avril, le robot MEV a été exploité par des pirates au bloc 16964664 d'Ethereum. Un validateur malveillant a remplacé plusieurs transactions MEV, entraînant une perte d'environ 25,38 millions de dollars. L'incident était la plus grande attaque contre des robots MEV à ce jour.
L'incident s'est produit dans le bloc Ethereum 16964664, avec 8 transactions MEV exploitées par des validateurs malveillants. Ce validateur a été créé le 15 mars 2023 à l'adresse externe (EOA) 0x687A9, et a depuis réussi à infiltrer un Flashbot qui empêche le front-running.
Cependant, une vulnérabilité dans MEV-boost-relay permet aux validateurs malveillants de rejouer des transactions groupées, interceptant les stratégies mezzanine partielles des bots MEV, en particulier les transactions inversées. En raison de la vulnérabilité ci-dessus, le validateur a vu les informations détaillées sur la transaction. Avec ces détails de transaction, les validateurs malveillants peuvent créer leurs propres blocs et insérer leurs pré-transactions avant la transaction initiale du bot MEV.
Au total, ce validateur malveillant a réussi à voler environ 25 millions de dollars à 5 bots MEV, ce qui en fait l'une des pertes les plus importantes pour les bots MEV vues par CertiK à ce jour. Au cours des 12 derniers mois, seuls six robots MEV ont été exploités, et cet incident a représenté à lui seul 92 % des pertes totales de 27,5 millions de dollars.
Un validateur malveillant exploite la vulnérabilité MEV-boost-relay et lance l'attaque en soumettant un bloc invalide mais correctement signé. Après avoir vu les transactions dans un bloc, les validateurs peuvent les reconnecter pour réclamer des actifs aux robots MEV. Cette vulnérabilité a été corrigée ultérieurement.
Pour plus d'informations sur les robots MEV et les attaques sandwich, veuillez consulter Signaler pour plus d'informations.
Portefeuille atomique piraté
Début juin de cette année, plus de 5 000 utilisateurs d'Atomic Wallet ont rencontré le plus gros incident de sécurité du trimestre, entraînant une perte de plus de 100 millions de dollars. Initialement, Atomic Wallet a déclaré que moins de 1 % des utilisateurs actifs mensuels étaient victimes de l'incident, mais l'a ensuite modifié à moins de 0,1 %. Une attaque de cette ampleur et des pertes énormes soulignent la gravité des failles de sécurité dans les applications de portefeuille.
Les attaquants ciblent les clés privées des utilisateurs, obtenant ainsi le contrôle total de leurs actifs. Après avoir obtenu les clés, ils ont pu transférer des actifs vers leurs propres adresses de portefeuille, vidant le compte de la victime.
Les investisseurs particuliers ont signalé des pertes de différentes tailles, pouvant atteindre 7,95 millions de dollars. Les pertes cumulées des cinq plus grandes victimes du commerce de détail ont totalisé 17 millions de dollars.
Pour récupérer les pertes, Atomic Wallet a publiquement fait une offre aux attaquants, promettant de renoncer à 10 % des fonds volés en échange de 90 % des jetons volés. Cependant, sur la base de l'histoire du groupe Lazarus et du fait que les fonds volés ont commencé à être blanchis, les chances de récupérer les fonds sont très minces.
Pour plus d'analyses sur Atomic Wallet et les "derrière les coulisses", veuillez consulter Rapport pour plus d'informations.
Sui "Hamster Wheel" nouvel exploit
Auparavant, l'équipe CertiK avait découvert une série de vulnérabilités de déni de service dans la blockchain Sui. Parmi ces vulnérabilités, une nouvelle vulnérabilité à fort impact se démarque. Cette vulnérabilité peut empêcher les nœuds du réseau Sui de traiter de nouvelles transactions, et l'effet équivaut à un arrêt complet de l'ensemble du réseau. CertiK a reçu une prime de bogue de 500 000 $ de Sui pour avoir découvert cette faille de sécurité majeure. CoinDesk, un média faisant autorité dans l'industrie américaine, a rendu compte de l'événement, puis les principaux médias ont également publié des informations connexes à la suite de son rapport.
Cette vulnérabilité de sécurité est clairement appelée "Hamster Wheel": sa méthode d'attaque unique est différente des attaques actuellement connues. L'attaquant n'a qu'à soumettre une charge utile d'environ 100 octets pour déclencher une boucle infinie dans le nœud de vérification Sui. , ce qui le rend insensible à de nouvelles opérations.
De plus, les dommages causés par l'attaque peuvent continuer après le redémarrage du réseau et se propager automatiquement dans le réseau Sui, rendant tous les nœuds incapables de traiter de nouvelles transactions comme des hamsters tournant sans fin sur la roue. Nous appelons donc ce type d'attaque unique une attaque de "roue de hamster".
Après avoir découvert le bogue, CertiK l'a signalé à Sui via le programme de prime de bogue de Sui. Sui a également répondu efficacement dès la première fois, confirmé la gravité de la vulnérabilité et pris activement les mesures correspondantes pour réparer le problème avant le lancement du réseau principal. En plus de corriger cette vulnérabilité particulière, Sui a également mis en place des atténuations préventives pour réduire les dommages potentiels que cette vulnérabilité pourrait causer.
Pour remercier l'équipe CertiK pour sa divulgation responsable, Sui a décerné à l'équipe CertiK une prime de 500 000 $.
Pour plus de détails, veuillez cliquer sur "Dernière vulnérabilité de Sui "Hamster Wheel", détails techniques et analyse approfondie"
** Vulnérabilité au niveau du serveur basée sur le portefeuille MPC **
Le calcul multipartite (MPC) est une méthode cryptographique qui permet à plusieurs participants d'effectuer des calculs sur une fonction de leurs entrées tout en préservant la confidentialité de ces entrées. Son objectif est de s'assurer que ces entrées ne sont pas partagées avec des tiers. La technologie a diverses applications, notamment l'exploration de données préservant la confidentialité, les enchères sécurisées, les services financiers, l'apprentissage automatique multipartite sécurisé et le partage sécurisé de mots de passe et de secrets.
L'équipe Skyfall de CertiK a découvert une grave vulnérabilité dans l'architecture de sécurité du portefeuille lors d'une analyse de sécurité préventive du portefeuille informatique multipartite (MPC) actuellement populaire ZenGo, qui est appelée une "attaque de forking de périphérique". Les attaquants peuvent l'utiliser pour contourner les mesures de sécurité existantes de ZenGo, leur donnant la possibilité de contrôler les fonds des utilisateurs. Le cœur de l'attaque consiste à exploiter une vulnérabilité dans l'API pour créer une nouvelle clé d'appareil qui trompe les serveurs ZenGo en la traitant comme l'appareil d'un véritable utilisateur.
L'équipe Skyfall a rapidement signalé cette vulnérabilité à ZenGo conformément aux principes de divulgation responsable. Après avoir réalisé la gravité du problème, l'équipe de sécurité de ZenGo a agi rapidement pour le résoudre. Pour éviter la possibilité d'une attaque, la vulnérabilité a été corrigée au niveau de l'API du serveur, de sorte qu'aucune mise à jour du code client n'est requise.
ZenGo a reconnu publiquement les résultats une fois la correction du bogue terminée et a remercié CertiK pour son rôle important dans le renforcement de la sécurité et de la fiabilité de son portefeuille basé sur MPC.
"L'informatique multipartite a de grandes perspectives et a de nombreuses applications importantes dans le domaine du Web3.0. Bien que la technologie MPC réduise le risque de point de défaillance unique, la mise en œuvre des solutions MPC apportera de nouvelles complexités à la conception des portefeuilles de crypto-monnaie. Cela la complexité peut conduire à de nouveaux risques de sécurité, illustrant qu'une approche complète d'audit et de surveillance est essentielle." - Professeur Kang Li, directeur de la sécurité, CertiK
Cliquez pour le rapport complet
Voir l'original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Publication du rapport sur la sécurité de l'industrie Web3.0 pour le deuxième trimestre de 2023
Résumer
Affichage partiel des données
Introduction
Les pertes totales enregistrées dans l'espace Web 3.0 au deuxième trimestre de 2023 se sont élevées à 313 566 528 $, presque le même qu'au trimestre précédent et une diminution de 58 % par rapport à la même période l'an dernier. La perte moyenne par accident a également légèrement diminué.
Au deuxième trimestre, le nombre d'incidents de manipulation d'oracle a considérablement diminué, tandis que les pertes totales des escroqueries à la sortie ont augmenté, ce qui indique que les tactiques employées par les acteurs malveillants ont changé.
Au fur et à mesure que l'industrie évolue, des cas comme l'attaque du robot MEV et la découverte d'une menace de sécurité «roue de hamster» sur la blockchain Sui démontrent l'importance d'une plongée profonde continue dans la sécurité, des frappes préventives et d'une vigilance constante. À chaque défi surmonté, nous nous rapprochons d'un espace Web 3.0 plus sécurisé.
Consultez le Rapport pour plus de détails et de données.
Le robot MEV est exploité de manière malveillante
Début avril, le robot MEV a été exploité par des pirates au bloc 16964664 d'Ethereum. Un validateur malveillant a remplacé plusieurs transactions MEV, entraînant une perte d'environ 25,38 millions de dollars. L'incident était la plus grande attaque contre des robots MEV à ce jour.
L'incident s'est produit dans le bloc Ethereum 16964664, avec 8 transactions MEV exploitées par des validateurs malveillants. Ce validateur a été créé le 15 mars 2023 à l'adresse externe (EOA) 0x687A9, et a depuis réussi à infiltrer un Flashbot qui empêche le front-running.
Cependant, une vulnérabilité dans MEV-boost-relay permet aux validateurs malveillants de rejouer des transactions groupées, interceptant les stratégies mezzanine partielles des bots MEV, en particulier les transactions inversées. En raison de la vulnérabilité ci-dessus, le validateur a vu les informations détaillées sur la transaction. Avec ces détails de transaction, les validateurs malveillants peuvent créer leurs propres blocs et insérer leurs pré-transactions avant la transaction initiale du bot MEV.
Au total, ce validateur malveillant a réussi à voler environ 25 millions de dollars à 5 bots MEV, ce qui en fait l'une des pertes les plus importantes pour les bots MEV vues par CertiK à ce jour. Au cours des 12 derniers mois, seuls six robots MEV ont été exploités, et cet incident a représenté à lui seul 92 % des pertes totales de 27,5 millions de dollars.
Un validateur malveillant exploite la vulnérabilité MEV-boost-relay et lance l'attaque en soumettant un bloc invalide mais correctement signé. Après avoir vu les transactions dans un bloc, les validateurs peuvent les reconnecter pour réclamer des actifs aux robots MEV. Cette vulnérabilité a été corrigée ultérieurement.
Pour plus d'informations sur les robots MEV et les attaques sandwich, veuillez consulter Signaler pour plus d'informations.
Portefeuille atomique piraté
Début juin de cette année, plus de 5 000 utilisateurs d'Atomic Wallet ont rencontré le plus gros incident de sécurité du trimestre, entraînant une perte de plus de 100 millions de dollars. Initialement, Atomic Wallet a déclaré que moins de 1 % des utilisateurs actifs mensuels étaient victimes de l'incident, mais l'a ensuite modifié à moins de 0,1 %. Une attaque de cette ampleur et des pertes énormes soulignent la gravité des failles de sécurité dans les applications de portefeuille.
Les attaquants ciblent les clés privées des utilisateurs, obtenant ainsi le contrôle total de leurs actifs. Après avoir obtenu les clés, ils ont pu transférer des actifs vers leurs propres adresses de portefeuille, vidant le compte de la victime.
Les investisseurs particuliers ont signalé des pertes de différentes tailles, pouvant atteindre 7,95 millions de dollars. Les pertes cumulées des cinq plus grandes victimes du commerce de détail ont totalisé 17 millions de dollars.
Pour récupérer les pertes, Atomic Wallet a publiquement fait une offre aux attaquants, promettant de renoncer à 10 % des fonds volés en échange de 90 % des jetons volés. Cependant, sur la base de l'histoire du groupe Lazarus et du fait que les fonds volés ont commencé à être blanchis, les chances de récupérer les fonds sont très minces.
Pour plus d'analyses sur Atomic Wallet et les "derrière les coulisses", veuillez consulter Rapport pour plus d'informations.
Sui "Hamster Wheel" nouvel exploit
Auparavant, l'équipe CertiK avait découvert une série de vulnérabilités de déni de service dans la blockchain Sui. Parmi ces vulnérabilités, une nouvelle vulnérabilité à fort impact se démarque. Cette vulnérabilité peut empêcher les nœuds du réseau Sui de traiter de nouvelles transactions, et l'effet équivaut à un arrêt complet de l'ensemble du réseau. CertiK a reçu une prime de bogue de 500 000 $ de Sui pour avoir découvert cette faille de sécurité majeure. CoinDesk, un média faisant autorité dans l'industrie américaine, a rendu compte de l'événement, puis les principaux médias ont également publié des informations connexes à la suite de son rapport.
Cette vulnérabilité de sécurité est clairement appelée "Hamster Wheel": sa méthode d'attaque unique est différente des attaques actuellement connues. L'attaquant n'a qu'à soumettre une charge utile d'environ 100 octets pour déclencher une boucle infinie dans le nœud de vérification Sui. , ce qui le rend insensible à de nouvelles opérations.
De plus, les dommages causés par l'attaque peuvent continuer après le redémarrage du réseau et se propager automatiquement dans le réseau Sui, rendant tous les nœuds incapables de traiter de nouvelles transactions comme des hamsters tournant sans fin sur la roue. Nous appelons donc ce type d'attaque unique une attaque de "roue de hamster".
Après avoir découvert le bogue, CertiK l'a signalé à Sui via le programme de prime de bogue de Sui. Sui a également répondu efficacement dès la première fois, confirmé la gravité de la vulnérabilité et pris activement les mesures correspondantes pour réparer le problème avant le lancement du réseau principal. En plus de corriger cette vulnérabilité particulière, Sui a également mis en place des atténuations préventives pour réduire les dommages potentiels que cette vulnérabilité pourrait causer.
Pour remercier l'équipe CertiK pour sa divulgation responsable, Sui a décerné à l'équipe CertiK une prime de 500 000 $.
Pour plus de détails, veuillez cliquer sur "Dernière vulnérabilité de Sui "Hamster Wheel", détails techniques et analyse approfondie"
** Vulnérabilité au niveau du serveur basée sur le portefeuille MPC **
Le calcul multipartite (MPC) est une méthode cryptographique qui permet à plusieurs participants d'effectuer des calculs sur une fonction de leurs entrées tout en préservant la confidentialité de ces entrées. Son objectif est de s'assurer que ces entrées ne sont pas partagées avec des tiers. La technologie a diverses applications, notamment l'exploration de données préservant la confidentialité, les enchères sécurisées, les services financiers, l'apprentissage automatique multipartite sécurisé et le partage sécurisé de mots de passe et de secrets.
L'équipe Skyfall de CertiK a découvert une grave vulnérabilité dans l'architecture de sécurité du portefeuille lors d'une analyse de sécurité préventive du portefeuille informatique multipartite (MPC) actuellement populaire ZenGo, qui est appelée une "attaque de forking de périphérique". Les attaquants peuvent l'utiliser pour contourner les mesures de sécurité existantes de ZenGo, leur donnant la possibilité de contrôler les fonds des utilisateurs. Le cœur de l'attaque consiste à exploiter une vulnérabilité dans l'API pour créer une nouvelle clé d'appareil qui trompe les serveurs ZenGo en la traitant comme l'appareil d'un véritable utilisateur.
L'équipe Skyfall a rapidement signalé cette vulnérabilité à ZenGo conformément aux principes de divulgation responsable. Après avoir réalisé la gravité du problème, l'équipe de sécurité de ZenGo a agi rapidement pour le résoudre. Pour éviter la possibilité d'une attaque, la vulnérabilité a été corrigée au niveau de l'API du serveur, de sorte qu'aucune mise à jour du code client n'est requise.
ZenGo a reconnu publiquement les résultats une fois la correction du bogue terminée et a remercié CertiK pour son rôle important dans le renforcement de la sécurité et de la fiabilité de son portefeuille basé sur MPC.
"L'informatique multipartite a de grandes perspectives et a de nombreuses applications importantes dans le domaine du Web3.0. Bien que la technologie MPC réduise le risque de point de défaillance unique, la mise en œuvre des solutions MPC apportera de nouvelles complexités à la conception des portefeuilles de crypto-monnaie. Cela la complexité peut conduire à de nouveaux risques de sécurité, illustrant qu'une approche complète d'audit et de surveillance est essentielle." - Professeur Kang Li, directeur de la sécurité, CertiK
Cliquez pour le rapport complet