🚹 HACKS BLOCKCHAIN : RÉCAPITULATIF 🚹 HEBDOMADAIRE Plus de 12 millions de dollars ont Ă©tĂ© drainĂ©s cette semaine. Encore. MĂȘmes bugs, mĂȘmes Ă©checs, mĂȘmes gros titres. Voici les 10 principaux vecteurs d’attaque rĂ©currents dont nous n’avons pas encore tirĂ© @Corkprotocol leçons et ce qui a fait de le piratage de la semaine. đŸ§”
1/ L’exploit @Corkprotocol n’était pas fantaisiste. Juste une chaĂźne d’élimination classique avec : 🛑 ContrĂŽle d’accĂšs Ă  la fonction insuffisant 🎯 Manipulation de l’oracle de prix 💰 Manipulation des rĂ©compenses C’est 3 bugs de manuel, et 12 millions de dollars perdus.
Ce ne sont pas des zero-days. Ceux-ci sont connus, Ă©vitables et documentĂ©s. Nous pensons toujours que « audit de contrat intelligent » = sĂ©curitĂ©. Spoiler : ce n’est pas le cas.
Parlons de la manipulation des rĂ©compenses. C’est lorsqu’un attaquant extrait des frais/rendements/Ă©missions sans risque ni valeur rĂ©elle. Votre protocole est farmĂ©. Tu as perdu. đŸ”„ Voir: Abracadabra (13 M$) @picklefinance (19,7 M$) @eulerfinance (197 M$)
Ensuite, il y a le manuel de manipulation de l’oracle des prix. Fonctionne toujours en 2025. Toujours en train de dĂ©truire la DeFi. Si votre oracle s’appuie sur une liquiditĂ© mince, vous avez dĂ©jĂ  perdu. @chainlink n’est pas Ă  l’abri non plus (voir la liquidation de 500 000 $ de deUSD cette semaine)
Échecs du contrĂŽle d’accĂšs L’un des Ă©checs les plus ennuyeux, les plus basiques et les plus frĂ©quents. Manquant onlyOwner, appels de fonction non vĂ©rifiĂ©s, mauvaise gestion des rĂŽles. et bienvenue, Integer Overflow. Oui, le bug que nous pensions avoir laissĂ© en 2018 est de retour grĂące Ă  @CetusProtocol sur @SuiNetwork. 260 millions de dollars, disparus. Parce que quelqu’un n’a pas vĂ©rifiĂ© ses calculs.
Nouvelle entrĂ©e dans le classement : Attaques de la chaĂźne d’approvisionnement Pensez aux vibrations Web2 : - Paquets NPM infectĂ©s - Outils de construction compromis - Exploits de pipeline CI/CD DevSecOps n’est plus facultatif. VĂ©rifiez l’ensemble de votre pile ou profitez du tapis.
La sĂ©curitĂ© n’est pas seulement on-chain. C’est votre point final. C’est votre infra. C’est votre gestion des clĂ©s. Les clĂ©s privĂ©es volĂ©es sont toujours en tĂȘte des classements. Et aucun audit ne peut vous sauver d’opĂ©rations bĂąclĂ©es.
Les blockchains ne sont pas cassĂ©es. Nous le sommes. Chaque semaine, les mĂȘmes bugs. Les mĂȘmes pertes. Les mĂȘmes post-mortems. La saison des tapis se termine lorsque l’espace s’agrandit.
🧠 Vous voulez plus de discussions sur les exploits DeFi, le risque liĂ© aux contrats intelligents et les tendances en matiĂšre de sĂ©curitĂ© de la blockchain ? 👉 Suivez-@maikaisogawa pour en savoir plus
🚹 HACKS BLOCKCHAIN : RÉCAPITULATIF 🚹 HEBDOMADAIRE Plus de 12 millions de dollars ont Ă©tĂ© drainĂ©s cette semaine. Encore. MĂȘmes bugs, mĂȘmes Ă©checs, mĂȘmes gros titres. Voici les 10 principaux vecteurs d’attaque rĂ©currents dont nous n’avons pas encore tirĂ© @Corkprotocol leçons et ce qui a fait de le piratage de la semaine. đŸ§”
Afficher l’original
10,45 k
1
Le contenu de cette page est fourni par des tiers. Sauf indication contraire, OKX n’est pas l’auteur du ou des articles citĂ©s et ne revendique aucun droit d’auteur sur le contenu. Le contenu est fourni Ă  titre d’information uniquement et ne reprĂ©sente pas les opinions d’OKX. Il ne s’agit pas d’une approbation de quelque nature que ce soit et ne doit pas ĂȘtre considĂ©rĂ© comme un conseil en investissement ou une sollicitation d’achat ou de vente d’actifs numĂ©riques. Dans la mesure oĂč l’IA gĂ©nĂ©rative est utilisĂ©e pour fournir des rĂ©sumĂ©s ou d’autres informations, ce contenu gĂ©nĂ©rĂ© par IA peut ĂȘtre inexact ou incohĂ©rent. Veuillez lire l’article associĂ© pour obtenir davantage de dĂ©tails et d’informations. OKX n’est pas responsable du contenu hĂ©bergĂ© sur des sites tiers. La dĂ©tention d’actifs numĂ©riques, y compris les stablecoins et les NFT, implique un niveau de risque Ă©levĂ© et leur valeur peut considĂ©rablement fluctuer. Examinez soigneusement votre situation financiĂšre pour dĂ©terminer si le trading ou la dĂ©tention d’actifs numĂ©riques vous convient.