sécurité des actifs off-chain : comment éviter les pertes massives causées par des erreurs humaines
Avec l'essor des applications blockchain telles que la finance décentralisée et les NFT, les actifs des utilisateurs se déplacent progressivement des plateformes centralisées vers des services on-chain tels que les portefeuilles décentralisés, les ponts inter-chaînes et les produits de prêt. Cependant, cette tendance s'accompagne également de fréquentes attaques de hackers et d'incidents de vol d'actifs, ce qui fait que les réseaux blockchain sont souvent qualifiés de "distributeurs automatiques de hackers".
Parmi ces incidents de sécurité, une part considérable est due à des vulnérabilités de code, mais un nombre non négligeable est causé par des facteurs humains. Le 20 septembre, un célèbre teneur de marché en cryptomonnaie a subi le vol de 160 millions de dollars d'actifs, ce qui constitue un exemple typique d'erreur humaine.
1,6 milliard de dollars de pertes dues à une erreur d'optimisation des frais de Gas
Après l'incident, le fondateur du teneur de marché a déclaré sur les réseaux sociaux que les activités de trading centralisé et de gré à gré de l'entreprise n'avaient pas été affectées, le capital restant étant encore deux fois supérieur à la dette. Il a également souligné que la sécurité des actifs des utilisateurs ayant un accord de teneur de marché avec l'entreprise était garantie. Parmi les 90 actifs attaqués, seuls deux avaient une valeur nominale supérieure à 1 million de dollars, il est donc peu probable qu'il y ait une vente massive.
La société de sécurité blockchain Salus Security a rapidement localisé l'adresse du hacker. Les sources de financement de cette adresse comprennent un outil de mélange anonyme et des retraits importants de plusieurs plateformes de trading.
Selon une plateforme d'analyse de données blockchain, environ 73 % des 160 millions de dollars volés sont des stablecoins, 8 % sont des WBTC et 6 % sont des ETH. Les attaquants ont déposé 114 millions de dollars dans un certain échange décentralisé comme fournisseur de liquidité, devenant ainsi le troisième plus grand fournisseur de liquidité de la plateforme.
La société de sécurité SlowMist analyse que la raison du vol pourrait être l'utilisation d'un portefeuille de joli numéro créé avec l'outil Profanity (adresse commençant par 0x0000000).
Le lendemain, le fondateur du market maker a confirmé qu'ils avaient créé des adresses de portefeuille en juin en utilisant Profanity et des outils internes, dans le but d'optimiser les frais de Gas plutôt que de rechercher des numéros attractifs. Après avoir appris la semaine dernière qu'il y avait une vulnérabilité dans Profanity, l'entreprise a accéléré l'abandon des anciennes clés, mais en raison d'une erreur d'opération interne, elle a appelé la mauvaise fonction, ce qui a entraîné l'incapacité de supprimer les signatures et les droits d'exécution des adresses affectées.
Concernant le recouvrement des fonds volés, le fondateur a déclaré que si la totalité était restituée, il verserait 10 % soit 16 millions de dollars en récompense au hacker.
Concernant l'exploitation future, le fondateur a souligné que bien que cette faille provienne d'une erreur humaine interne, l'entreprise ne licenciera pas d'employés, ne changera pas de stratégie, ne cherchera pas de fonds supplémentaires ni ne mettra fin à ses activités DeFi.
Cependant, les données off-chain montrent que cette entreprise a une dette DeFi de plus de 200 millions de dollars envers plusieurs contreparties. La plus grande de ces dettes est un prêt de 92 millions de dollars en USDT qui arrivera à échéance le 15 octobre, en plus de 75 millions de dollars et 22,4 millions de dollars d'autres dettes.
Si les fonds volés ne peuvent pas être récupérés à temps, l'entreprise pourrait faire face à un risque de crise de la dette.
L'histoire se répète : une perte de 20 millions de jetons en raison d'une erreur humaine
Il est important de noter que ce n'est pas la première fois que ce teneur de marché subit des pertes en raison d'une erreur humaine. Le 9 juin de cette année, lors de la fourniture de services de liquidité de jetons pour un projet Layer 2, une erreur opérationnelle a également conduit au vol de 20 millions de jetons.
À l'époque, ce projet Layer 2 a invité ce teneur de marché à fournir de la liquidité pour son nouveau jeton émis. L'équipe du projet a offert une subvention temporaire de 20 millions de jetons au teneur de marché. Le teneur de marché a fourni une adresse de portefeuille multi-signature sur le réseau principal Ethereum pour recevoir les jetons. Après avoir effectué deux transactions de test et obtenu une confirmation, l'équipe du projet a envoyé les jetons restants.
Cependant, les teneurs de marché fournissent une adresse multisig du réseau principal Ethereum, et cette adresse n'a pas encore été déployée sur le réseau Layer 2. Le contrôle de la multisig du réseau principal ne garantit pas le contrôle d'autres chaînes compatibles EVM, ce qui a conduit les teneurs de marché à découvrir par la suite qu'ils ne pouvaient pas accéder à ces jetons.
Les teneurs de marché ont ensuite commencé à reprendre leurs opérations, tentant de déployer le contrat multi-signatures L1 à la même adresse sur L2. Mais avant que ce processus ne soit terminé, l'attaquant a pris de l'avance et a déployé le multi-signatures sur L2, contrôlant ainsi ces 20 millions de jetons. L'attaquant a ensuite vendu 1 million de jetons.
Heureusement, le lendemain, le hacker a restitué 17 millions de jetons, et le teneur de marché a promis de rembourser les 2 millions restants.
Conseils de protection de la sécurité des actifs personnels
Étant donné que les institutions subissent fréquemment d'énormes pertes à cause d'erreurs humaines, les utilisateurs ordinaires doivent être particulièrement prudents lorsqu'il s'agit de protéger leurs actifs personnels. Voici quelques conseils importants :
Évitez d'utiliser des outils tiers pour créer un portefeuille
En plus d'un portefeuille cryptographique natif, n'utilisez pas d'autres outils tiers pour créer des portefeuilles. Les outils tiers peuvent comporter des risques de surveillance des enregistrements des utilisateurs et de malveillance à faible coût. Par exemple, un agrégateur DEX a déjà averti que les adresses Ethereum créées avec Profanity présentent des vulnérabilités de sécurité, ce qui pourrait entraîner le vol d'actifs.
Envisagez d'activer la signature multiple pour le portefeuille principal.
Bien que la signature multiple puisse ne pas convenir au trading à haute fréquence, l'activation de la signature multiple pour un portefeuille principal stockant de nombreux actifs peut réduire efficacement le risque de perte dû à des erreurs humaines.
Ne copiez pas et ne collez pas pour sauvegarder votre clé privée
La complexité des clés privées incite facilement les utilisateurs à les sauvegarder par copie et collage. Cependant, de nombreuses applications tierces ou plugins sur l'appareil peuvent avoir accès au presse-papiers, et la sécurité des réseaux sans fil est difficile à garantir. Même en l'absence d'attaques temporaires, il est possible que des hackers attendent l'arrivée d'actifs supplémentaires avant de passer à l'action.
Vérifiez attentivement les contrats et la sécurité des actifs autorisés lors des opérations off-chain.
Lors de l'utilisation de produits DeFi, il est impératif de vérifier si le nom de domaine du site et l'adresse du contrat sur le navigateur de blocs sont la version officielle. Cela peut éviter d'autoriser des contrats malveillants en raison d'une interface frontend compromise ou de sites de phishing.
Contrôler le montant d'autorisation et révoquer rapidement les autorisations inutiles.
Bien que l'autorisation illimitée puisse être plus pratique, elle augmente les risques potentiels. Il est recommandé de définir un plafond d'autorisation en fonction des besoins réels d'utilisation. Pour les produits qui ne sont plus utilisés, l'autorisation d'accès aux actifs doit être révoquée immédiatement.
Les principaux explorateurs de blocs offrent généralement un point d'entrée pour révoquer les autorisations, permettant aux utilisateurs de vérifier régulièrement et de nettoyer les autorisations inutiles.
Une fois que les actifs de la blockchain sont volés, il est souvent difficile de les récupérer, et dans de nombreux cas, ils peuvent ne pas être protégés par la loi. Par conséquent, les utilisateurs doivent rester extrêmement vigilants lors des opérations off-chain et prendre toutes les mesures possibles pour protéger la sécurité des actifs.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
10 J'aime
Récompense
10
6
Partager
Commentaire
0/400
FlashLoanKing
· 07-24 09:41
160 millions de dollars se sont envolés comme ça, c'est vraiment douloureux.
Voir l'originalRépondre0
NotGonnaMakeIt
· 07-23 12:15
1,6 million petits objectifs se sont évaporés comme ça ?
Voir l'originalRépondre0
MiningDisasterSurvivor
· 07-21 15:43
Le capital n'a pas d'impact ? En 18, qui ne disait pas ça ?
Voir l'originalRépondre0
FomoAnxiety
· 07-21 15:43
chute à zéro, je me laisse aller, il n'y a rien à craindre.
Voir l'originalRépondre0
retroactive_airdrop
· 07-21 15:43
Quand vous êtes nerveux pendant le trading, il vaut mieux se détendre et accrocher un chauffe-eau.
Voir l'originalRépondre0
CoffeeNFTs
· 07-21 15:33
Y a-t-il un dieu des pertes qui pourrait en parler ?
Éviter les erreurs humaines : comment protéger la sécurité des actifs off-chain
sécurité des actifs off-chain : comment éviter les pertes massives causées par des erreurs humaines
Avec l'essor des applications blockchain telles que la finance décentralisée et les NFT, les actifs des utilisateurs se déplacent progressivement des plateformes centralisées vers des services on-chain tels que les portefeuilles décentralisés, les ponts inter-chaînes et les produits de prêt. Cependant, cette tendance s'accompagne également de fréquentes attaques de hackers et d'incidents de vol d'actifs, ce qui fait que les réseaux blockchain sont souvent qualifiés de "distributeurs automatiques de hackers".
Parmi ces incidents de sécurité, une part considérable est due à des vulnérabilités de code, mais un nombre non négligeable est causé par des facteurs humains. Le 20 septembre, un célèbre teneur de marché en cryptomonnaie a subi le vol de 160 millions de dollars d'actifs, ce qui constitue un exemple typique d'erreur humaine.
1,6 milliard de dollars de pertes dues à une erreur d'optimisation des frais de Gas
Après l'incident, le fondateur du teneur de marché a déclaré sur les réseaux sociaux que les activités de trading centralisé et de gré à gré de l'entreprise n'avaient pas été affectées, le capital restant étant encore deux fois supérieur à la dette. Il a également souligné que la sécurité des actifs des utilisateurs ayant un accord de teneur de marché avec l'entreprise était garantie. Parmi les 90 actifs attaqués, seuls deux avaient une valeur nominale supérieure à 1 million de dollars, il est donc peu probable qu'il y ait une vente massive.
La société de sécurité blockchain Salus Security a rapidement localisé l'adresse du hacker. Les sources de financement de cette adresse comprennent un outil de mélange anonyme et des retraits importants de plusieurs plateformes de trading.
Selon une plateforme d'analyse de données blockchain, environ 73 % des 160 millions de dollars volés sont des stablecoins, 8 % sont des WBTC et 6 % sont des ETH. Les attaquants ont déposé 114 millions de dollars dans un certain échange décentralisé comme fournisseur de liquidité, devenant ainsi le troisième plus grand fournisseur de liquidité de la plateforme.
La société de sécurité SlowMist analyse que la raison du vol pourrait être l'utilisation d'un portefeuille de joli numéro créé avec l'outil Profanity (adresse commençant par 0x0000000).
Le lendemain, le fondateur du market maker a confirmé qu'ils avaient créé des adresses de portefeuille en juin en utilisant Profanity et des outils internes, dans le but d'optimiser les frais de Gas plutôt que de rechercher des numéros attractifs. Après avoir appris la semaine dernière qu'il y avait une vulnérabilité dans Profanity, l'entreprise a accéléré l'abandon des anciennes clés, mais en raison d'une erreur d'opération interne, elle a appelé la mauvaise fonction, ce qui a entraîné l'incapacité de supprimer les signatures et les droits d'exécution des adresses affectées.
Concernant le recouvrement des fonds volés, le fondateur a déclaré que si la totalité était restituée, il verserait 10 % soit 16 millions de dollars en récompense au hacker.
Concernant l'exploitation future, le fondateur a souligné que bien que cette faille provienne d'une erreur humaine interne, l'entreprise ne licenciera pas d'employés, ne changera pas de stratégie, ne cherchera pas de fonds supplémentaires ni ne mettra fin à ses activités DeFi.
Cependant, les données off-chain montrent que cette entreprise a une dette DeFi de plus de 200 millions de dollars envers plusieurs contreparties. La plus grande de ces dettes est un prêt de 92 millions de dollars en USDT qui arrivera à échéance le 15 octobre, en plus de 75 millions de dollars et 22,4 millions de dollars d'autres dettes.
Si les fonds volés ne peuvent pas être récupérés à temps, l'entreprise pourrait faire face à un risque de crise de la dette.
L'histoire se répète : une perte de 20 millions de jetons en raison d'une erreur humaine
Il est important de noter que ce n'est pas la première fois que ce teneur de marché subit des pertes en raison d'une erreur humaine. Le 9 juin de cette année, lors de la fourniture de services de liquidité de jetons pour un projet Layer 2, une erreur opérationnelle a également conduit au vol de 20 millions de jetons.
À l'époque, ce projet Layer 2 a invité ce teneur de marché à fournir de la liquidité pour son nouveau jeton émis. L'équipe du projet a offert une subvention temporaire de 20 millions de jetons au teneur de marché. Le teneur de marché a fourni une adresse de portefeuille multi-signature sur le réseau principal Ethereum pour recevoir les jetons. Après avoir effectué deux transactions de test et obtenu une confirmation, l'équipe du projet a envoyé les jetons restants.
Cependant, les teneurs de marché fournissent une adresse multisig du réseau principal Ethereum, et cette adresse n'a pas encore été déployée sur le réseau Layer 2. Le contrôle de la multisig du réseau principal ne garantit pas le contrôle d'autres chaînes compatibles EVM, ce qui a conduit les teneurs de marché à découvrir par la suite qu'ils ne pouvaient pas accéder à ces jetons.
Les teneurs de marché ont ensuite commencé à reprendre leurs opérations, tentant de déployer le contrat multi-signatures L1 à la même adresse sur L2. Mais avant que ce processus ne soit terminé, l'attaquant a pris de l'avance et a déployé le multi-signatures sur L2, contrôlant ainsi ces 20 millions de jetons. L'attaquant a ensuite vendu 1 million de jetons.
Heureusement, le lendemain, le hacker a restitué 17 millions de jetons, et le teneur de marché a promis de rembourser les 2 millions restants.
Conseils de protection de la sécurité des actifs personnels
Étant donné que les institutions subissent fréquemment d'énormes pertes à cause d'erreurs humaines, les utilisateurs ordinaires doivent être particulièrement prudents lorsqu'il s'agit de protéger leurs actifs personnels. Voici quelques conseils importants :
En plus d'un portefeuille cryptographique natif, n'utilisez pas d'autres outils tiers pour créer des portefeuilles. Les outils tiers peuvent comporter des risques de surveillance des enregistrements des utilisateurs et de malveillance à faible coût. Par exemple, un agrégateur DEX a déjà averti que les adresses Ethereum créées avec Profanity présentent des vulnérabilités de sécurité, ce qui pourrait entraîner le vol d'actifs.
Bien que la signature multiple puisse ne pas convenir au trading à haute fréquence, l'activation de la signature multiple pour un portefeuille principal stockant de nombreux actifs peut réduire efficacement le risque de perte dû à des erreurs humaines.
La complexité des clés privées incite facilement les utilisateurs à les sauvegarder par copie et collage. Cependant, de nombreuses applications tierces ou plugins sur l'appareil peuvent avoir accès au presse-papiers, et la sécurité des réseaux sans fil est difficile à garantir. Même en l'absence d'attaques temporaires, il est possible que des hackers attendent l'arrivée d'actifs supplémentaires avant de passer à l'action.
Lors de l'utilisation de produits DeFi, il est impératif de vérifier si le nom de domaine du site et l'adresse du contrat sur le navigateur de blocs sont la version officielle. Cela peut éviter d'autoriser des contrats malveillants en raison d'une interface frontend compromise ou de sites de phishing.
Bien que l'autorisation illimitée puisse être plus pratique, elle augmente les risques potentiels. Il est recommandé de définir un plafond d'autorisation en fonction des besoins réels d'utilisation. Pour les produits qui ne sont plus utilisés, l'autorisation d'accès aux actifs doit être révoquée immédiatement.
Les principaux explorateurs de blocs offrent généralement un point d'entrée pour révoquer les autorisations, permettant aux utilisateurs de vérifier régulièrement et de nettoyer les autorisations inutiles.
Une fois que les actifs de la blockchain sont volés, il est souvent difficile de les récupérer, et dans de nombreux cas, ils peuvent ne pas être protégés par la loi. Par conséquent, les utilisateurs doivent rester extrêmement vigilants lors des opérations off-chain et prendre toutes les mesures possibles pour protéger la sécurité des actifs.