Rapport 2020 sur la sécurité en chaîne : plus de 60 attaques DeFi et des pertes de plus de 250 millions de dollars américains

L'année magique de 2020 s'est terminée avec la société du marché haussier, mais au cours de cette année, des incidents de sécurité en chaîne se sont produits fréquemment. Rhythm BlockBeats résume les incidents de sécurité de la chaîne qui se sont produits en 2020. Le "Rapport sur la sécurité en chaîne 2020" est principalement divisé en quatre parties : les événements majeurs affectant l'industrie monétaire en 2020, les incidents de sécurité Ethereum, l'assurance contractuelle et d'autres attaques en dehors des contrats DeFi.

La nouvelle épidémie de la couronne en 2020 a eu un impact important sur l'économie mondiale.Le marché boursier américain a connu trois disjoncteurs en un mois.Dans le même temps, le marché des actifs cryptés a également été impliqué. Le 12 mars, tous les actifs cryptés se sont effondrés. Le bitcoin a chuté de 50 % en un jour et la valeur marchande totale du marché des actifs cryptés a été presque réduite de moitié. Par la suite, les banques centrales de divers pays ont choisi de faire face à ce coup dur de la manière la plus simple et la plus grossière : la libération folle du QE. Bien que ce stimulus soit la politique monétaire la plus efficace, ses effets secondaires sont également évidents. le

Si le tsunami financier déclenché par la crise des subprimes a créé Bitcoin, alors la grande quantité d'impression monétaire causée par l'épidémie a fait prendre conscience à plus de gens que Bitcoin est un actif rare et peut se prémunir contre le risque de dépréciation légale de la monnaie. L'achat conforme, la garde et la maturité de diverses infrastructures d'actifs cryptés et de dérivés fournissent des solutions parfaites pour les demandeurs d'actifs cryptés sous tous les angles, et de nombreuses institutions ont naturellement choisi Bitcoin et d'autres actifs cryptés de premier plan comme une partie de l'allocation d'actifs.

L'afflux total de fonds dans les produits d'investissement en crypto-monnaie du premier trimestre a atteint 4,2 milliards de dollars américains, dépassant le record du quatrième trimestre en 2020 : selon CoinDesk le 16 mars, un rapport publié par la société de gestion d'actifs numériques CoinShares montre que l'afflux total de fonds dans la crypto-monnaie produits d'investissement au premier trimestre a atteint 4,2 milliards de dollars, battant le record trimestriel de 3,9 milliards de dollars au quatrième trimestre 2020. [2021/3/16 18:48:05]

Si les investisseurs particuliers ne profitent pas des dividendes apportés par le marché institutionnel haussier, alors tout le monde ne doit pas être absent de la recrudescence de l'extraction de liquidités. Afin de devenir des «agriculteurs» DeFi, les utilisateurs qui ne stockaient autrefois que leurs pièces dans l'échange centralisé ont transféré leurs actifs à la «tête de renard» et ont échangé des actifs non productifs contre des «houes» agricoles via l'échange décentralisé. L'exploitation minière folle a fait grimper la valeur marchande des actifs de la chaîne Ethereum vers le cloud, mais en même temps, elle est également devenue la graisse des pirates.

Source : OKLien

Mené par l'extraction de liquidités, DeFi, qui est resté silencieux pendant longtemps, est devenu le centre d'intérêt au second semestre 2020. Les utilisateurs déposent des actifs dans le contrat pour fournir des liquidités à l'accord, obtenant ainsi le partage des frais de l'accord et les récompenses de jeton de gouvernance.

Chicago Exchange Group lancera des contrats à terme Ethereum le 8 février 2021: Jinse Finance a annoncé que le 16 décembre, CME Group (CME) a ​​annoncé son intention de lancer des contrats à terme Ethereum à partir du 8 février 2021. Le nouveau contrat Il sera réglé en espèces et est actuellement en attente d'examen réglementaire. Ethereum est actuellement la deuxième plus grande crypto-monnaie en termes de capitalisation boursière et de volume de transactions quotidien. Depuis 2020, le contrat à terme CME Bitcoin s'est négocié en moyenne sur 8 560 lots (équivalent à environ 42 800 Bitcoins) par jour. [2020/12/16 15:26:14]

Étant donné que divers actifs précieux sont stockés dans le protocole, cela fait du protocole DeFi la zone la plus touchée par les attaques. Les pirates utilisent divers moyens pour attaquer les contrats.Selon les statistiques de PeckShield, il y aura 60 incidents de sécurité DeFi en 2020, avec une perte de plus de 250 millions de dollars américains, ce qui représente 12,5% des pertes totales causées par les attaques de pirates, loin dépassant les données de 2019.

Crédit image : PeckShield

Opinion: Le prochain cycle de marché haussier sur le marché du cryptage ne commencera pas avant la fin de 2021: Zach Owen, un passionné de cryptage, a écrit qu'il pensait que le prochain cycle de marché haussier sur le marché de la crypto-monnaie ne commencerait pas avant la fin de 2021. Les raisons sont les suivantes:

1. Il n'y a toujours pas assez de vrais produits sur le marché.

2. Bitcoin vient de réduire de moitié. Cela prend du temps à faire effet.

3. Ethereum n'a pas encore déployé sa mise à jour majeure.

4. Certains projets se préparent encore à des mises à jour à grande échelle de leurs réseaux principaux.

5. La prochaine vague d'investisseurs est encore à venir.

6. Dans certaines importantes régions stagnantes du monde, la réglementation fait toujours défaut.

7. Une catastrophe mondiale comme le COVID-19 pourrait ralentir la progression du marché haussier. (Tribu de San Francisco)[2020/6/7]

Les trois attaques les plus courantes qui se produisent dans les contrats DeFi sont les attaques de manipulation d'oracle (prêts flash), les attaques de rentrée et les vulnérabilités de code.

Dans le contexte du boom DeFi actuel, les attaques oracle sont extrêmement courantes, car la plupart des protocoles DeFi doivent fournir des informations sur les prix via des oracles de flux de prix. De manière générale, il existe deux types d'oracles d'alimentation des prix : en chaîne et hors chaîne. Les oracles en chaîne obtiennent des informations en saisissant les prix des bourses décentralisées, tandis que les oracles hors chaîne obtiennent les prix des bourses centralisées.

Marché de réduction de moitié 2020 | L'indice de réduction de moitié OKEx a augmenté de 2,32 % : selon les dernières données d'OKEx, l'indice de marché de réduction de moitié d'aujourd'hui est de 1290,17, soit une augmentation de 2,32 % au cours des dernières 24 heures ; parmi les 11 pièces conceptuelles de réduction de moitié suivies, le nombre d'augmentations est 8, Le nombre de baisses était de 3, dont la devise la plus performante était BCH +6,74%, et la devise la moins performante était BCD -2,59%.

Remarque : L'indice OKEx Halving est un indice compilé par OKEx Research à l'aide du « Pass Index » pour refléter le concept de réduction de moitié en 2020. Plus l'indice de réduction de moitié OKEx est élevé, meilleur est le marché des devises du concept de réduction de moitié. [2020/3/6]

Ces deux manières d'alimenter les oracles des prix ont leurs propres avantages et inconvénients.L'obtention des prix de la chaîne peut être totalement fiable via l'accord, mais il y a un risque d'être manipulé et attaqué. Bien que l'oracle hors chaîne n'ait pas le risque d'être attaqué par des prêts flash, sa source de prix doit être fournie par un échange centralisé, il existe un risque de centralisation et les données hors chaîne se reflètent lentement sur la chaîne.

Sur la chaîne, les utilisateurs peuvent effectuer instantanément une série d'opérations telles que des emprunts, des échanges et des dépôts importants via l'outil de prêt flash, ce qui permet aux attaquants de créer eux-mêmes des opportunités d'arbitrage, manipulant ainsi le prix de l'échange décentralisé. pour perturber les autres utilisateurs utilisant la plate-forme. L'application DeFi basée sur les prix complète enfin l'attaque d'arbitrage. Les cas typiques incluent bZx, Cheese Bank, Harvest et Valley et d'autres attaques oracle qui alimentent les prix.

Voix | Président de la Banque centrale européenne : Les résultats sur la monnaie numérique devraient être obtenus mi-2020 : Le président de la Banque centrale européenne Lagarde a déclaré que la Banque centrale européenne mettra en place un comité spécial sur la monnaie numérique pour la banque centrale. Les résultats sur les monnaies numériques sont attendus mi-2020. Son opinion personnelle est que la monnaie numérique de la Banque centrale européenne devrait conserver son avance. (Golden Ten) [2019/12/12]

L'attaque par réentrance est une méthode d'attaque très nuisible, qui peut facilement drainer tous les actifs du contrat. Dans le célèbre vol du DAO, l'attaquant a utilisé une attaque de réentrance pour provoquer un hard fork d'Ethereum et a perdu 50 millions de dollars d'Ethereum.

Les contrats intelligents peuvent non seulement s'appeler, mais aussi s'appeler en interne. Dans des circonstances normales, cela ne causera aucun problème, mais lorsque l'appel rend l'état du contrat incohérent, par exemple lorsque le montant du retrait est supérieur au montant du contrat, ou lorsqu'un contrat initie un transfert avant que le solde ne soit mis à zéro. , l'attaquant peut abuser de la fonction de retrait pour retirer tous les soldes du contrat. Les cas d'attaques de réentrance classiques de cette année incluent : Akropolis, dForce et Origin.

De telles attaques sont généralement causées par des failles logiques ou des portes dérobées laissées par les développeurs lors de la rédaction de contrats intelligents. La plupart des failles contractuelles apparaissent dans des contrats non audités. La méthode la plus courante est que l'attaquant utilise les failles du contrat pour frapper des pièces à l'infini, puis vide les actifs du pool de liquidités, gèle les actifs du contrat, ou le développeur du contrat prend loin les actifs du contrat, puis s'enfuit.

Dans le monde décentralisé, en raison de l'itération rapide des applications DeFi, afin de rattraper la popularité, les contrats de nombreuses applications ont été publiés sans passer l'audit tiers. Il existe également d'innombrables actifs perdus en raison de lacunes dans les contrats intelligents. De nombreux utilisateurs peuvent se plaindre que la partie projet est irresponsable, mais certains projets ne divulguent pas d'informations sur le projet. En raison du sentiment FOMO, les utilisateurs utiliseront des indices pour trouver des contrats de projet non divulgués afin de participer au projet en premier.

Par exemple, au petit matin du 29 septembre, le fondateur de YFI a publié sur Twitter deux dessins de conception liés au projet du nouveau projet auquel il a participé au développement. Les pirates ont ensuite trouvé l'adresse du contrat du projet et ont utilisé des attaques de prêt flash pour voler 16 millions de pièces DAI. le

L'audit des contrats prend trop de temps pour les produits DeFi itératifs à grande vitesse, et l'assurance peut être un meilleur choix. Pour que DeFi se développe, il a besoin d'infrastructures comme l'assurance. Il est irréaliste de compter sur les utilisateurs du protocole DeFi pour souscrire eux-mêmes une assurance. Un système peut prélever une partie des frais de transaction ou des revenus miniers de l'accord et la déposer dans la trésorerie du projet, et une partie de la trésorerie est utilisée pour acheter une assurance de l'accord.

En plus des attaques contractuelles, les attaques contre les chaînes publiques, les échanges et les portefeuilles ne sont pas non plus minoritaires. La plupart des attaques de chaînes publiques sont des attaques% 51. Depuis le début de l'année, plusieurs projets de blockchain ont subi 51% d'attaques à double dépense l'une après l'autre. De janvier à février, le réseau BTG a été attaqué à plusieurs reprises par des doubles dépenses, et la perte a atteint plus de 50 000 dollars américains. Entre juillet et août, Ethereum Classic (ETC) a subi trois attaques à 51 %, entraînant des pertes de dizaines de millions de dollars. OKEx a déjà envisagé de retirer ETC de la bourse. Le 8 novembre, Grin Network a été attaqué à 51% et, grâce à la réponse rapide, aucune perte n'a été causée.

La raison principale de l'attaque de 51% est que le niveau de consensus du projet blockchain n'est pas suffisant, et les mineurs se sont tournés vers d'autres projets, ce qui a entraîné une diminution de la puissance de calcul pour maintenir le fonctionnement du réseau, donnant aux attaquants une opportunité. Par exemple, ETC, BTG et AE sont tous des projets de blockchain à l'ancienne il y a quelques années. La popularité des projets a considérablement chuté et le prix de la devise n'a pas bien performé. Étant donné que le revenu des mineurs est directement lié à la devise prix, les mineurs profiteront de la tendance à se joindre à la chaîne publique et à gagner plus.

Bien sûr, certains nouveaux projets seront également attaqués.Bien que la performance des prix des devises soit moyenne, mais parce qu'elle n'a pas encore rassemblé une communauté forte, il n'y a pas assez de consensus et de puissance de calcul, et le coût d'attaque est relativement faible. , les pirates commenceront Target. Du point de vue des méthodes de mise en œuvre spécifiques, à mesure que la puissance de calcul du réseau attaqué diminue ou que sa propre puissance de calcul est insuffisante, l'attaquant peut obtenir suffisamment de puissance de calcul pour attaquer en louant de la puissance de calcul, et le coût de l'attaque est faible, et les avantages sont généralement beaucoup plus élevé que le coût.

Source de l'image : Crypto51.app

Le vol du portefeuille chaud de l'échange Kucoin a également attiré l'attention des initiés. La violation a affecté les portefeuilles chauds Bitcoin, Ethereum et ERC-20 de la bourse, et la plate-forme a perdu près de 281 millions de dollars d'actifs. Cependant, les attaquants de KuCoin semblaient très anxieux, essayant de démanteler directement l'USDT et de le transférer sur les bourses Binance et Matcha contre de l'argent.Cependant, avant de pouvoir exploiter les comptes concernés, ils ont été gelés par les deux bourses à temps. Par la suite, Bitfinex et Tether ont également successivement gelé environ 33 millions USDT sur l'adresse d'attaque KuCoin.Après avoir travaillé pendant longtemps, le pirate a semblé ne rien obtenir.

Sur le marché magique du chiffrement de 2020, nous en avons trop vécu. Après 3.12, les gens ont retrouvé confiance. Le sentiment FOMO suscité par DeFi n'est pas moindre que celui d'IC0 à l'époque. L'enthousiasme des utilisateurs incitera sans aucun doute les développeurs à développer plus Applications en chaîne intéressantes, de haute qualité et attrayantes, bien sûr, la sécurité passe avant tout. Aujourd'hui, les institutions financières traditionnelles ont concentré leur attention sur les actifs cryptés, et les applications financières cryptées deviendront certainement le centre d'attention.Si les applications financières cryptées doivent être complètement décentralisées, l'objectif principal doit être la sécurité. À l'avenir, d'autres produits dérivés autres que l'assurance des contrats apparaîtront inévitablement pour couvrir les risques de sécurité des actifs, et des technologies de plus en plus perfectionnées augmenteront également les coûts d'attaque de diverses dimensions. Je pense qu'avec le développement rapide du marché du chiffrement demain, il y aura de moins en moins d'incidents de sécurité !

Tags：

Prix Ethereum