Bit Jungle : Rapport d'analyse de la sécurité de la blockchain pour le premier semestre 2023

Préface

Avec l’approfondissement continu du processus de numérisation, la technologie blockchain est devenue un moteur important dans de nombreux domaines, apportant non seulement des changements perturbateurs aux industries traditionnelles telles que la finance, les soins médicaux et la logistique, mais apportant également plus d’ouverture et de transparence aux participants. expérience. Cependant, avec l’application généralisée de la technologie blockchain, les problèmes de sécurité qui y sont associés sont devenus de plus en plus graves. Ces dernières années, les incidents de sécurité de la blockchain se sont produits fréquemment, ce qui a non seulement causé d’énormes pertes aux particuliers et aux entreprises, mais a également posé des défis au développement de la technologie de la blockchain.

Ce rapport trie et analyse les incidents de sécurité de la blockchain au premier semestre 2023, dans le but d’explorer les dangers cachés de la sécurité de la blockchain, d’analyser les causes des incidents de sécurité de la blockchain et de proposer des solutions et des suggestions correspondantes. Grâce à ce rapport, nous espérons attirer l’attention de toutes les parties sur les problèmes de sécurité de la blockchain, promouvoir conjointement le développement sûr de la technologie de la blockchain et jeter des bases solides pour l’avenir du monde numérique.

Aperçu des pertes économiques des incidents de sécurité

Au cours du premier semestre 2023, un total de 192 attaques majeures ont eu lieu, avec une perte totale d’environ 920 millions de dollars.

• Un total de 4 incidents de sécurité avec une perte de plus de 100 millions de dollars américains :

L’attaque éclair d’Euler Finance a perdu 197 millions de dollars

Blockchain pour le projet d’escroquerie aux rides du nez de chien entraîne des pertes de 127 millions de dollars

BonqDAO & AllianceBlock ont manipulé les prix et causé des pertes de 120 millions de dollars américains

Atomic Wallet volé et perdu 100 millions de dollars

• 12 incidents dans lesquels le montant des pertes était compris entre 10 et 100 millions de dollars américains
• Il y a eu 40 incidents avec des pertes allant de 1 à 10 millions de dollars US.

Aperçu de l’analyse des méthodes d’attaque

Selon l’analyse des méthodes d’attaque utilisées dans les incidents de sécurité, les méthodes d’attaque les plus fréquentes sont Rug Pull et Contract Vulnerabilities, toutes deux avec 32 attaques. Cela a été suivi par des attaques de prêts flash, qui se sont produites 20 fois, représentant 14,93 % de tous les incidents.

Parmi les méthodes d’attaque avec le plus grand nombre d’occurrences, le prêt flash a perdu le plus de montant, entraînant une perte totale de 250 millions de dollars américains. Elle a été suivie par l’escroquerie à la blockchain, qui ne s’est produite que sept fois et a causé des pertes de 230 millions de dollars.

Bien que le nombre total de vulnérabilités contractuelles et de Rug Pull soit relativement important, représentant 47,76% de toutes les méthodes d’attaque, les pertes causées par celles-ci sont bien inférieures aux deux précédentes, avec seulement une perte de 66,49 millions de dollars américains. La forte incidence de ces attaques et l’énorme quantité de pertes mettent une fois de plus en évidence les risques sur le marché de la crypto-monnaie. Bien que la technologie blockchain ait un grand potentiel et des perspectives d’application, elle est toujours confrontée à des risques de sécurité et à des défis techniques.

Les incidents de traction de tapis se produisent fréquemment, dont 75% du montant de l’emballement du projet est inférieur à 10 millions de dollars américains et 28% du montant de l’emballement du projet est inférieur à 1 million de dollars américains. De tels projets manquent généralement de site Web officiel, Twitter, Telegram, Github et d’autres informations, il n’y a pas de feuille de route ou de livre blanc, et les informations des membres de l’équipe sont suspectes.La période allant du lancement du projet à l’exécution finale ne dépasse pas trois mois.

Les pertes causées par de tels incidents de sécurité ne peuvent être ignorées. Il est nécessaire de renforcer l’enquête sur le contexte du projet, d’accroître la sensibilisation à la prévention des informations inconnues et d’améliorer la capacité de prévention grâce à une prévention précoce pour éviter les pertes.

Un aperçu des types d’événements de sécurité attaqués

1 chaîne d’applications

L’application en chaîne, également connue sous le nom d’application décentralisée (DApp), est une application basée sur la technologie de la blockchain ou du grand livre distribué. Utilisez les caractéristiques et les fonctions de la blockchain pour le stockage des données, le traitement des transactions et l’exécution intelligente des contrats.

• Au premier semestre 2023, un total de 157 incidents de sécurité se sont produits dans les applications en chaîne, ce qui représente 81 % du nombre total d’incidents. Le montant total des pertes des applications en chaîne a atteint 740 millions de dollars américains, ce qui représente 79 % du montant total des pertes. Les applications en chaîne étaient le type avec la fréquence d’attaque la plus élevée et le plus grand nombre de pertes au cours des six derniers mois.
• La fréquence des incidents de sécurité des applications en chaîne au cours des six mois du premier semestre de l’année était presque la même. Les trois principales causes d’incidents de sécurité étaient Rug Pull, les lacunes contractuelles et le piratage de Twitter.

suggestion:

• La partie projet prend pleinement en compte la sécurité du projet lors de la conception et de la construction du projet. Lors de la mise en œuvre de la fonction, elle considère également si la fonction de vérification sera contournée et s’il y a des défauts, et effectue un audit de sécurité complet avant la mise en ligne du projet. .
• Avant que les utilisateurs n’investissent dans l’application sur la chaîne, ils doivent enquêter autant que possible, prendre des décisions prudentes et investir avec prudence.

2 Échange

Exchange (Exchange) fait référence à une plate-forme ou à une institution qui fournit des services de négociation et de négociation d’actifs numériques. Il permet aux utilisateurs d’échanger un actif numérique (tel que Bitcoin, Ethereum, etc.) contre un autre, ou d’acheter ou de vendre des actifs numériques avec des devises fiduciaires (telles que l’USD, l’EUR, etc.).

• Au premier semestre 2023, les bourses se sont classées au deuxième rang pour le nombre d’incidents de sécurité. Au premier semestre de l’année, il y a eu 11 incidents de sécurité dans le domaine des bourses, entraînant une perte totale de 73,18 millions de dollars américains. La raison principale de l’attaque est l’échappatoire contractuelle.
• Des incidents de sécurité liés aux échanges se produisent tous les mois. Et le montant d’argent perdu en raison d’incidents de sécurité n’est pas un petit nombre.

suggestion:

* Utilisateurs, méfiez-vous du phishing et des liens malveillants : évitez de cliquer sur des liens non fiables, en particulier ceux reçus par e-mail ou via les réseaux sociaux.

• Vérifiez régulièrement l’activité du compte ; ne stockez pas tous les fonds de manière centralisée ; mettez à jour et sécurisez l’équipement ; choisissez une société de sécurité digne de confiance pour un audit précoce.

3 Chaîne publique/Chaîne latérale

La blockchain publique, appelée chaîne publique, fait référence à une blockchain consensuelle à laquelle n’importe qui dans le monde peut accéder et lire à tout moment, et n’importe qui peut envoyer des transactions et obtenir une confirmation effective. Une sidechain est une blockchain parallèle à la chaîne principale, qui peut être comprise comme un protocole d’extension de la blockchain. Pour répondre aux besoins commerciaux spécifiques, tels que l’échange d’actifs inter-chaînes, l’expansion de la chaîne privée et les solutions de blockchain spécifiques à l’industrie.

• Au premier semestre 2023, la chaîne publique/chaîne latérale est le troisième type d’incidents de sécurité. La principale raison de l’attaque est la vulnérabilité du contrat intelligent.

suggestion:

• Choisissez un mécanisme de consensus fiable.
• Utilisez des algorithmes de cryptage sécurisés pour générer et stocker des clés, et utilisez la technologie multi-signatures pour augmenter la sécurité des transactions.
• Effectuez des audits de sécurité réguliers, y compris des révisions de code, des tests de sécurité et des analyses de vulnérabilité pour identifier les failles et les faiblesses de sécurité potentielles.

4 Pont à chaînes croisées

Cross-Chain Bridge est une solution technique qui permet le transfert d’actifs numériques entre différents réseaux blockchain. Un pont inter-chaînes verrouille ou brûle généralement des jetons dans un contrat intelligent sur la chaîne d’origine, et déverrouille ou fabrique des jetons via un autre contrat intelligent sur la chaîne cible. La communication inter-chaînes nécessite essentiellement un compromis en trois dimensions : sécurité, confiance et flexibilité. En raison de l’existence de ces facteurs complexes, les ponts inter-chaînes sont devenus la principale cible d’attaque dans le domaine Web3.

• Au premier semestre 2023, il y a eu 8 incidents de sécurité de ponts inter-chaînes, avec une perte de 11,37 millions de dollars.
• En 2022, les 12 incidents de sécurité des ponts inter-chaînes ont causé un total d’environ 1,89 milliard de dollars de pertes, se classant au premier rang parmi tous les types de projets en termes de pertes. Par rapport à l’année dernière, il y a eu 7 incidents de sécurité dans le pont inter-chaînes au cours du premier semestre de cette année.En plus des récents incidents de sécurité Poly Network et Multichain, il y a eu 10 incidents de sécurité. les incidents sont plus nombreux que l’an dernier. Les principales raisons d’être attaqué sont les vulnérabilités des contrats intelligents, les prêts flash, etc.

suggestion:

• La partie projet accorde la priorité à la sécurité lors de la conception du protocole de transmission de messages inter-chaînes.

5 Portefeuilles

Un portefeuille blockchain est une partie importante de la blockchain, un outil de stockage et de gestion de devises numériques qui permet aux utilisateurs de stocker, de recevoir et d’envoyer en toute sécurité diverses crypto-monnaies telles que Bitcoin, Ethereum et d’autres jetons. La sécurité des portefeuilles a toujours été un sujet brûlant dans l’industrie de la blockchain. Une fois le portefeuille attaqué, l’attaquant peut facilement voler des informations sensibles telles que la clé privée et le mnémonique de l’utilisateur, puis maîtriser les actifs numériques de l’utilisateur. La valeur de ces actifs numériques peut être très élevée, et en cas de vol, la perte sera très lourde. Par conséquent, afin de maximiser la sécurité des actifs numériques des utilisateurs, nous recommandons aux utilisateurs de prendre certaines mesures de sécurité.

• Au premier semestre 2023, le nombre d’incidents de sécurité où des portefeuilles ont été attaqués était relativement faible par rapport à d’autres types, mais lorsque des portefeuilles ont été attaqués, les pertes étaient relativement importantes. Comme les incidents des portefeuilles Atomic et MyAlgo, les deux attaques ont causé une perte pouvant atteindre 109 millions de dollars américains.
• Le type avec le troisième plus grand nombre d’incidents est le portefeuille, et la plupart des incidents de sécurité de cette catégorie sont dus à la fuite de clés privées et de mnémoniques.

suggestion:

• Choisissez un fournisseur de portefeuille de confiance : Choisissez un fournisseur de portefeuille avec une bonne réputation et un historique solide. Assurez-vous de comprendre leurs pratiques de sécurité, comment protéger les informations sensibles telles que les données utilisateur et les clés privées.
• Utiliser l’authentification à deux facteurs : activez l’authentification à deux facteurs pour renforcer la sécurité de votre compte. Cette méthode nécessite que vous saisissiez une autre forme d’authentification en plus de votre nom d’utilisateur et de votre mot de passe lors de la connexion, comme un code de vérification ou la reconnaissance d’empreintes digitales.
• NE PARTAGEZ PAS VOTRE CLÉ PRIVÉE : Une clé privée est une preuve de propriété de votre crypto-monnaie. Ne partagez vos clés privées avec personne, y compris les fournisseurs de portefeuille. Si quelqu’un vous demande votre clé privée, il s’agit probablement d’une arnaque.
• Sauvegardez régulièrement votre portefeuille : la sauvegarde régulière de votre portefeuille vous permet de récupérer vos crypto-monnaies si votre portefeuille est perdu ou attaqué. Vous pouvez conserver vos sauvegardes dans un endroit sûr, comme un appareil hors ligne ou un portefeuille matériel.
• Soyez prudent avec les e-mails ou messages inconnus : n’ouvrez pas et ne téléchargez pas d’e-mails ou de messages provenant de sources inconnues. Ceux-ci peuvent contenir des logiciels malveillants ou des liens susceptibles de compromettre votre portefeuille.
• Assurez-vous que votre ordinateur et vos appareils mobiles sont en sécurité : assurez-vous que votre ordinateur et vos appareils mobiles disposent des dernières mises à jour antivirus et de sécurité pour protéger vos appareils contre les attaques.
• N’utilisez pas de réseaux Wi-Fi inconnus dans les lieux publics, car ces réseaux peuvent être dangereux et peuvent être utilisés par des pirates pour attaquer votre portefeuille.
• Assurez-vous que votre logiciel de portefeuille est à jour : Assurez-vous que votre logiciel de portefeuille est à jour. Les nouvelles versions contiennent souvent des mises à jour de sécurité et des correctifs qui peuvent vous aider à protéger votre portefeuille contre les attaques.
• Restez à jour avec les dernières informations sur la sécurité du portefeuille : Restez informé des dernières informations et événements sur la sécurité du portefeuille pour vous aider à rester informé sur la sécurité du portefeuille et prendre les précautions appropriées.

Analyse et synthèse des incidents de sécurité blockchain au premier semestre 2023

Grâce au tri des incidents de sécurité de la blockchain au premier semestre 2023, il a été constaté que l’application sur la chaîne était le type de projet avec la fréquence d’attaque la plus élevée et le plus grand nombre de pertes en six mois. Au total, 157 incidents de sécurité se sont produits dans le domaine des applications en chaîne, dont 32 étaient des attaques basées sur des vulnérabilités contractuelles.

Face aux incidents de sécurité fréquents, les développeurs doivent suivre davantage le codage de sécurité, auditer les codes de contrat et utiliser des bibliothèques de sécurité matures pour protéger les droits des utilisateurs ; et les utilisateurs qui utilisent des contrats intelligents doivent également choisir les contrats avec soin et vérifier attentivement leurs contrats avant utilisation. code et sécurité, choisissez une société de sécurité professionnelle pour l’audit. Lorsqu’un incident de sécurité se produit, les utilisateurs ne peuvent pas faire grand-chose. Ce n’est qu’en améliorant continuellement leur propre sensibilisation à la sécurité, en découvrant les vulnérabilités à l’avance, en les résolvant et en prenant des précautions qu’ils peuvent éviter autant que possible d’être attaqués.

Les informations fournies dans ce rapport sont fournies à titre de référence et de recherche uniquement. Les informations proviennent de sources publiques. L’auteur a fait de son mieux pour vérifier l’exactitude et l’exhaustivité, mais ne peut garantir leur exactitude et leur exhaustivité, et n’assume aucune responsabilité quant à l’utilisation ou responsabilité en cas de perte ou de dommage. Ce rapport ne doit pas être considéré comme une recommandation ou une recommandation pour un projet particulier de blockchain ou un investissement dans la crypto-monnaie, et les lecteurs doivent mener leurs propres recherches et prises de décision. Le contenu de ce rapport ne se substitue pas au jugement et à la prise de décision du lecteur, ni ne peut garantir la persistance ou la réalisation de la situation décrite.