🚨 HACKS BLOCKCHAIN : RÉCAPITULATIF 🚨 HEBDOMADAIRE Plus de 12 millions de dollars ont été drainés cette semaine. Encore. Mêmes bugs, mêmes échecs, mêmes gros titres. Voici les 10 principaux vecteurs d’attaque récurrents dont nous n’avons pas encore tiré @Corkprotocol leçons et ce qui a fait de le piratage de la semaine. 🧵

1/ L’exploit @Corkprotocol n’était pas fantaisiste. Juste une chaîne d’élimination classique avec : 🛑 Contrôle d’accès à la fonction insuffisant 🎯 Manipulation de l’oracle de prix 💰 Manipulation des récompenses C’est 3 bugs de manuel, et 12 millions de dollars perdus.

Ce ne sont pas des zero-days. Ceux-ci sont connus, évitables et documentés. Nous pensons toujours que « audit de contrat intelligent » = sécurité. Spoiler : ce n’est pas le cas.

Parlons de la manipulation des récompenses. C’est lorsqu’un attaquant extrait des frais/rendements/émissions sans risque ni valeur réelle. Votre protocole est farmé. Tu as perdu. 🔥 Voir: Abracadabra (13 M$) @picklefinance (19,7 M$) @eulerfinance (197 M$)

Ensuite, il y a le manuel de manipulation de l’oracle des prix. Fonctionne toujours en 2025. Toujours en train de détruire la DeFi. Si votre oracle s’appuie sur une liquidité mince, vous avez déjà perdu. @chainlink n’est pas à l’abri non plus (voir la liquidation de 500 000 $ de deUSD cette semaine)

Échecs du contrôle d’accès L’un des échecs les plus ennuyeux, les plus basiques et les plus fréquents. Manquant onlyOwner, appels de fonction non vérifiés, mauvaise gestion des rôles. et bienvenue, Integer Overflow. Oui, le bug que nous pensions avoir laissé en 2018 est de retour grâce à @CetusProtocol sur @SuiNetwork. 260 millions de dollars, disparus. Parce que quelqu’un n’a pas vérifié ses calculs.

Nouvelle entrée dans le classement : Attaques de la chaîne d’approvisionnement Pensez aux vibrations Web2 : - Paquets NPM infectés - Outils de construction compromis - Exploits de pipeline CI/CD DevSecOps n’est plus facultatif. Vérifiez l’ensemble de votre pile ou profitez du tapis.

La sécurité n’est pas seulement on-chain. C’est votre point final. C’est votre infra. C’est votre gestion des clés. Les clés privées volées sont toujours en tête des classements. Et aucun audit ne peut vous sauver d’opérations bâclées.

Les blockchains ne sont pas cassées. Nous le sommes. Chaque semaine, les mêmes bugs. Les mêmes pertes. Les mêmes post-mortems. La saison des tapis se termine lorsque l’espace s’agrandit.

🧠 Vous voulez plus de discussions sur les exploits DeFi, le risque lié aux contrats intelligents et les tendances en matière de sécurité de la blockchain ? 👉 Suivez-@maikaisogawa pour en savoir plus

10,45 k

Le contenu de cette page est fourni par des tiers. Sauf indication contraire, OKX n’est pas l’auteur du ou des articles cités et ne revendique aucun droit d’auteur sur le contenu. Le contenu est fourni à titre d’information uniquement et ne représente pas les opinions d’OKX. Il ne s’agit pas d’une approbation de quelque nature que ce soit et ne doit pas être considéré comme un conseil en investissement ou une sollicitation d’achat ou de vente d’actifs numériques. Dans la mesure où l’IA générative est utilisée pour fournir des résumés ou d’autres informations, ce contenu généré par IA peut être inexact ou incohérent. Veuillez lire l’article associé pour obtenir davantage de détails et d’informations. OKX n’est pas responsable du contenu hébergé sur des sites tiers. La détention d’actifs numériques, y compris les stablecoins et les NFT, implique un niveau de risque élevé et leur valeur peut considérablement fluctuer. Examinez soigneusement votre situation financière pour déterminer si le trading ou la détention d’actifs numériques vous convient.