La plus grande attaque de sécurité de l'histoire d'Ethereum : un portefeuille froid d'une certaine plateforme a subi des pertes de 1,46 milliard de dollars.
Le 21 février 2025 à 14:16:11 UTC, un portefeuille froid d'Éthereum d'une plateforme de trading bien connue a été victime d'un vol de fonds en raison d'une mise à jour malveillante d'un contrat. Le PDG de cette plateforme a déclaré que les attaquants avaient induit en erreur le signataire du portefeuille froid par des méthodes de phishing, le poussant à signer de manière erronée une transaction malveillante. Cette transaction était déguisée en opération normale, l'interface affichant une transaction habituelle, mais les données envoyées à l'appareil matériel avaient été modifiées pour contenir un contenu malveillant. Les attaquants ont réussi à obtenir trois signatures valides, remplaçant le contrat d'implémentation du portefeuille multi-signatures Safe par une version malveillante, permettant ainsi le vol de fonds. Cet incident a causé environ 1,46 milliard de dollars de pertes, devenant le plus grand incident de sécurité de l'histoire du Web3.0.
Analyse du processus d'attaque
L'attaquant a déployé deux contrats malveillants contenant des portes dérobées pour le transfert de fonds et des fonctionnalités de mise à niveau des contrats trois jours avant l'incident.
Le 21 février 2025, des attaquants ont incité les propriétaires de trois Portefeuilles multisignatures à signer des transactions malveillantes, mettant à jour le contrat d'implémentation de Safe avec une version malveillante contenant une porte dérobée.
La valeur du champ "operation" dans la transaction d'attaque est "1", indiquant que le contrat GnosisSafe exécute "deleGatecall".
La transaction a exécuté un appel délégué à un autre contrat déployé par l'attaquant, qui contient une fonction "transfer()", modifiant le premier emplacement de stockage du contrat lors de l'appel.
En modifiant le premier emplacement de stockage du contrat Gnosis Safe, l'attaquant a changé l'adresse du contrat d'implémentation (c'est-à-dire l'adresse "masterCopy").
La méthode de mise à niveau du contrat utilisée par l'attaquant est spécialement conçue pour éviter de susciter des soupçons. Du point de vue du signataire, les données signées ressemblent à un simple appel de fonction "transfer(address, uint256)", et non à une fonction "mise à niveau" suspecte.
Le contrat d'implémentation malveillant mis à jour contient des fonctions de porte dérobée "sweepETH()" et "sweepERC20()", permettant aux attaquants de transférer tous les actifs du Cold Wallet.
Analyse des causes des vulnérabilités
La cause fondamentale de cet événement est une attaque de phishing réussie. L'attaquant a trompé le signataire du portefeuille en lui faisant signer des données de transaction malveillantes, ce qui a entraîné une mise à niveau malveillante du contrat, permettant à l'attaquant de prendre le contrôle du Cold Wallet et de transférer tous les fonds.
Selon les explications du PDG de la plateforme, l'équipe était en train d'exécuter une opération de transfert d'actifs entre le Cold Wallet et le portefeuille lors de l'incident. Il a déclaré que toutes les adresses et les données de transaction vues par les signataires sur l'interface étaient correctes et que l'URL avait été vérifiée par les autorités officielles. Cependant, lorsque les données de transaction ont été envoyées au portefeuille matériel pour signature, le contenu réel avait été altéré. Le PDG a admis qu'il n'avait pas vérifié une seconde fois les détails de la transaction sur l'interface de l'appareil matériel.
Actuellement, il n'y a pas de consensus sur la manière dont les attaquants ont pu altérer l'interface. Des preuves fournies par des analystes en chaîne suggèrent que cette attaque pourrait avoir été orchestrée par un groupe de hackers connu.
Leçons tirées et recommandations de prévention
Cet événement présente des similarités avec le vol de 50 millions de dollars survenu sur une certaine plateforme DeFi le 16 octobre 2024. Les deux incidents impliquent une intrusion dans les dispositifs et une falsification de l'interface. Compte tenu de la fréquence croissante de ce type d'attaques, nous devons nous concentrer sur deux aspects suivants :
1. Prévenir les intrusions d'équipement
Renforcer la sécurité des équipements : Mettre en œuvre des politiques de sécurité des points de terminaison strictes et déployer des solutions de sécurité avancées.
Utiliser un appareil de signature dédié : signer les transactions dans un environnement isolé, éviter l'utilisation d'appareils multifonctions.
Utiliser un système d'exploitation temporaire : configurer un système d'exploitation non persistant pour les opérations critiques afin d'assurer un environnement propre.
Mener des exercices de simulation de phishing : effectuer régulièrement des simulations d'attaques de phishing sur le personnel à haut risque pour renforcer la sensibilisation à la sécurité.
Exécuter des exercices d'attaque et de défense de l'équipe rouge : simuler des scénarios d'attaque réels, évaluer et renforcer les mesures de sécurité existantes.
2. Évitez le risque de signature aveugle
Choisissez prudemment la plateforme d'interaction : interagissez uniquement avec des plateformes fiables et utilisez des signets officiels pour éviter les liens de phishing.
Vérification secondaire du portefeuille matériel : vérifiez soigneusement chaque détail de la transaction sur l'écran de l'appareil matériel.
Simulation de transaction : simuler les résultats de la transaction avant la signature pour vérifier leur exactitude.
Utiliser des outils en ligne de commande : réduire la dépendance à l'interface graphique et obtenir une vue des données de transaction plus transparente.
Principe d'arrêt en cas d'anomalie : en cas de découverte d'une anomalie, arrêter immédiatement la signature et engager une enquête.
Mettre en œuvre une vérification à double appareil : utiliser un appareil indépendant pour vérifier les données de transaction et générer un code de vérification de signature lisible.
Cet incident met à nouveau en lumière les vulnérabilités majeures en matière de sécurité opérationnelle dans l'industrie Web3.0. Avec l'évolution constante des méthodes d'attaque, les plateformes de transaction et les institutions Web3.0 doivent améliorer leur niveau de protection en matière de sécurité et rester vigilantes face à l'évolution continue des menaces externes.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
13 J'aime
Récompense
13
9
Reposter
Partager
Commentaire
0/400
SignatureAnxiety
· 08-18 22:13
Pourquoi est-ce si difficile de signer ?
Voir l'originalRépondre0
AllInDaddy
· 08-18 20:46
Mon dieu, cette énorme perte
Voir l'originalRépondre0
ForkThisDAO
· 08-17 20:37
Encore une plateforme d'échange condamnée.
Voir l'originalRépondre0
RetiredMiner
· 08-17 03:40
Escroqueries de type "pig-butchering" ont évolué en version Cold Wallet ?
Voir l'originalRépondre0
GasGuru
· 08-17 03:39
C'est parti ! Les multi-signatures ne sont plus fiables non plus.
Voir l'originalRépondre0
SolidityStruggler
· 08-17 03:36
Parler de sécurité tous les jours, être volé tous les jours.
Le plus grand incident de sécurité de l'histoire d'Ethereum : 14,6 millions de dollars volés dans un portefeuille froid de la plateforme d'échange.
La plus grande attaque de sécurité de l'histoire d'Ethereum : un portefeuille froid d'une certaine plateforme a subi des pertes de 1,46 milliard de dollars.
Le 21 février 2025 à 14:16:11 UTC, un portefeuille froid d'Éthereum d'une plateforme de trading bien connue a été victime d'un vol de fonds en raison d'une mise à jour malveillante d'un contrat. Le PDG de cette plateforme a déclaré que les attaquants avaient induit en erreur le signataire du portefeuille froid par des méthodes de phishing, le poussant à signer de manière erronée une transaction malveillante. Cette transaction était déguisée en opération normale, l'interface affichant une transaction habituelle, mais les données envoyées à l'appareil matériel avaient été modifiées pour contenir un contenu malveillant. Les attaquants ont réussi à obtenir trois signatures valides, remplaçant le contrat d'implémentation du portefeuille multi-signatures Safe par une version malveillante, permettant ainsi le vol de fonds. Cet incident a causé environ 1,46 milliard de dollars de pertes, devenant le plus grand incident de sécurité de l'histoire du Web3.0.
Analyse du processus d'attaque
L'attaquant a déployé deux contrats malveillants contenant des portes dérobées pour le transfert de fonds et des fonctionnalités de mise à niveau des contrats trois jours avant l'incident.
Le 21 février 2025, des attaquants ont incité les propriétaires de trois Portefeuilles multisignatures à signer des transactions malveillantes, mettant à jour le contrat d'implémentation de Safe avec une version malveillante contenant une porte dérobée.
La valeur du champ "operation" dans la transaction d'attaque est "1", indiquant que le contrat GnosisSafe exécute "deleGatecall".
La transaction a exécuté un appel délégué à un autre contrat déployé par l'attaquant, qui contient une fonction "transfer()", modifiant le premier emplacement de stockage du contrat lors de l'appel.
En modifiant le premier emplacement de stockage du contrat Gnosis Safe, l'attaquant a changé l'adresse du contrat d'implémentation (c'est-à-dire l'adresse "masterCopy").
La méthode de mise à niveau du contrat utilisée par l'attaquant est spécialement conçue pour éviter de susciter des soupçons. Du point de vue du signataire, les données signées ressemblent à un simple appel de fonction "transfer(address, uint256)", et non à une fonction "mise à niveau" suspecte.
Le contrat d'implémentation malveillant mis à jour contient des fonctions de porte dérobée "sweepETH()" et "sweepERC20()", permettant aux attaquants de transférer tous les actifs du Cold Wallet.
Analyse des causes des vulnérabilités
La cause fondamentale de cet événement est une attaque de phishing réussie. L'attaquant a trompé le signataire du portefeuille en lui faisant signer des données de transaction malveillantes, ce qui a entraîné une mise à niveau malveillante du contrat, permettant à l'attaquant de prendre le contrôle du Cold Wallet et de transférer tous les fonds.
Selon les explications du PDG de la plateforme, l'équipe était en train d'exécuter une opération de transfert d'actifs entre le Cold Wallet et le portefeuille lors de l'incident. Il a déclaré que toutes les adresses et les données de transaction vues par les signataires sur l'interface étaient correctes et que l'URL avait été vérifiée par les autorités officielles. Cependant, lorsque les données de transaction ont été envoyées au portefeuille matériel pour signature, le contenu réel avait été altéré. Le PDG a admis qu'il n'avait pas vérifié une seconde fois les détails de la transaction sur l'interface de l'appareil matériel.
Actuellement, il n'y a pas de consensus sur la manière dont les attaquants ont pu altérer l'interface. Des preuves fournies par des analystes en chaîne suggèrent que cette attaque pourrait avoir été orchestrée par un groupe de hackers connu.
Leçons tirées et recommandations de prévention
Cet événement présente des similarités avec le vol de 50 millions de dollars survenu sur une certaine plateforme DeFi le 16 octobre 2024. Les deux incidents impliquent une intrusion dans les dispositifs et une falsification de l'interface. Compte tenu de la fréquence croissante de ce type d'attaques, nous devons nous concentrer sur deux aspects suivants :
1. Prévenir les intrusions d'équipement
2. Évitez le risque de signature aveugle
Cet incident met à nouveau en lumière les vulnérabilités majeures en matière de sécurité opérationnelle dans l'industrie Web3.0. Avec l'évolution constante des méthodes d'attaque, les plateformes de transaction et les institutions Web3.0 doivent améliorer leur niveau de protection en matière de sécurité et rester vigilantes face à l'évolution continue des menaces externes.