Análisis de la situación de seguridad en Web3: Análisis de las técnicas de ataque de hackers en la primera mitad de 2022
En la primera mitad de 2022, la situación de seguridad en el ámbito de Web3 no es optimista. Según los datos de monitoreo de seguridad de blockchain, las vulnerabilidades de los contratos se han convertido en el principal medio de ataque de los hackers, causando grandes pérdidas de capital. Este artículo analizará en profundidad los métodos de ataque comúnmente utilizados por los hackers durante este período, así como las medidas de prevención relacionadas.
Resumen de incidentes de seguridad en la primera mitad del año
Los datos muestran que en la primera mitad de 2022 ocurrieron un total de 42 casos principales de ataques, de los cuales el 53% fueron ataques por explotación de vulnerabilidades en contratos. Estos eventos de ataque causaron pérdidas acumuladas de hasta 64404 millones de dólares. De todas las vulnerabilidades explotadas, la frecuencia con la que los hackers aprovecharon el diseño lógico o de funciones inadecuadas fue la más alta, seguida de problemas de validación y vulnerabilidades de reentrada.
Análisis de casos de pérdidas significativas
Evento de ataque del puente cruzado Wormhole
El 3 de febrero de 2022, el proyecto de puente entre cadenas Wormhole en el ecosistema de Solana fue atacado, resultando en una pérdida de aproximadamente 326 millones de dólares. El Hacker aprovechó una vulnerabilidad en la verificación de firmas del contrato para falsificar con éxito la cuenta sysvar y realizar la acuñación ilegal de wETH.
Incidente de ataque de Fei Protocol
El 30 de abril de 2022, el Rari Fuse Pool, que pertenece a Fei Protocol, sufrió un ataque de préstamo relámpago combinado con un ataque de reingreso, lo que resultó en una pérdida de 80.34 millones de dólares. Este ataque causó un golpe mortal al proyecto, lo que finalmente llevó a que el proyecto anunciara su cierre el 20 de agosto.
El atacante lleva a cabo el ataque a través de los siguientes pasos:
Realizar un préstamo relámpago desde Balancer: Vault
Utilizar fondos prestados para realizar préstamos colateralizados en Rari Capital
Utilizar cEther de Rari Capital para implementar una vulnerabilidad de reentrada en el contrato
A través de la función de ataque construida como callback, extraer todos los tokens del pool.
Devolver el préstamo relámpago, transferir las ganancias del ataque
Tipos de vulnerabilidades comunes
Durante el proceso de auditoría de contratos inteligentes, las vulnerabilidades más comunes se pueden clasificar en cuatro grandes categorías:
Ataque de reentrada ERC721/ERC1155: Al utilizar funciones como _safeMint(), _safeTransfer(), puede activarse la ejecución de código malicioso mediante un ataque de reentrada.
Vulnerabilidades lógicas:
Falta de consideración de escenarios especiales, como la creación de dinero sin origen debido a transferencias internas.
Diseño de funciones incompleto, como la falta de funciones de extracción o liquidación
Falta de autenticación: Funciones clave como la acuñación, la configuración de roles, etc. carecen de un control de permisos efectivo.
Manipulación de precios:
Precio promedio ponderado por tiempo no utilizado
Utilizar directamente la proporción del saldo de tokens en el contrato como precio
Sugerencias para la prevención de vulnerabilidades
Seguir estrictamente el patrón de diseño "Verificación - Efecto - Interacción"
Considerar exhaustivamente todas las situaciones límite y escenarios especiales
Mejorar el diseño de funciones del contrato, asegurando que las operaciones clave cuenten con las funciones complementarias correspondientes.
Implementar una gestión de permisos estricta y realizar múltiples verificaciones en funciones clave.
Utilizar oráculos de precios confiables, evitando el uso de fuentes de datos de precios que sean fáciles de manipular.
Realizar auditorías de contratos inteligentes periódicamente, combinando herramientas de automatización con revisiones manuales de equipos de seguridad profesionales.
Al adoptar estas medidas de prevención, se puede mejorar significativamente la seguridad de los contratos inteligentes y reducir el riesgo de ser atacados. Sin embargo, a medida que las técnicas de ataque continúan evolucionando, los equipos de proyecto deben mantenerse alerta, prestar atención continua a las últimas tendencias de seguridad y actualizar sus estrategias de protección de manera oportuna.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
11 me gusta
Recompensa
11
4
Compartir
Comentar
0/400
FlashLoanLord
· 07-21 01:57
Ay, el equipo detrás del proyecto tiene demasiada apariencia.
Ver originalesResponder0
SchroedingerGas
· 07-20 21:22
Un tonto que quema dinero, sin preocupaciones en Haicang.
Si pierdo, que así sea; acepto la pérdida.
Ver originalesResponder0
ChainSherlockGirl
· 07-18 16:07
Los grandes inversores nunca tienen tranquilidad en sus billeteras. Según mi imaginación, es otro clásico caso de crímenes en serie~
Ver originalesResponder0
CryptoDouble-O-Seven
· 07-18 15:39
Otra vez veo números de pérdidas, me duele el corazón.
Web3 alerta de seguridad: Análisis de las técnicas de ataque de hackers en la primera mitad del año y estrategias de prevención
Análisis de la situación de seguridad en Web3: Análisis de las técnicas de ataque de hackers en la primera mitad de 2022
En la primera mitad de 2022, la situación de seguridad en el ámbito de Web3 no es optimista. Según los datos de monitoreo de seguridad de blockchain, las vulnerabilidades de los contratos se han convertido en el principal medio de ataque de los hackers, causando grandes pérdidas de capital. Este artículo analizará en profundidad los métodos de ataque comúnmente utilizados por los hackers durante este período, así como las medidas de prevención relacionadas.
Resumen de incidentes de seguridad en la primera mitad del año
Los datos muestran que en la primera mitad de 2022 ocurrieron un total de 42 casos principales de ataques, de los cuales el 53% fueron ataques por explotación de vulnerabilidades en contratos. Estos eventos de ataque causaron pérdidas acumuladas de hasta 64404 millones de dólares. De todas las vulnerabilidades explotadas, la frecuencia con la que los hackers aprovecharon el diseño lógico o de funciones inadecuadas fue la más alta, seguida de problemas de validación y vulnerabilidades de reentrada.
Análisis de casos de pérdidas significativas
Evento de ataque del puente cruzado Wormhole
El 3 de febrero de 2022, el proyecto de puente entre cadenas Wormhole en el ecosistema de Solana fue atacado, resultando en una pérdida de aproximadamente 326 millones de dólares. El Hacker aprovechó una vulnerabilidad en la verificación de firmas del contrato para falsificar con éxito la cuenta sysvar y realizar la acuñación ilegal de wETH.
Incidente de ataque de Fei Protocol
El 30 de abril de 2022, el Rari Fuse Pool, que pertenece a Fei Protocol, sufrió un ataque de préstamo relámpago combinado con un ataque de reingreso, lo que resultó en una pérdida de 80.34 millones de dólares. Este ataque causó un golpe mortal al proyecto, lo que finalmente llevó a que el proyecto anunciara su cierre el 20 de agosto.
El atacante lleva a cabo el ataque a través de los siguientes pasos:
Tipos de vulnerabilidades comunes
Durante el proceso de auditoría de contratos inteligentes, las vulnerabilidades más comunes se pueden clasificar en cuatro grandes categorías:
Sugerencias para la prevención de vulnerabilidades
Al adoptar estas medidas de prevención, se puede mejorar significativamente la seguridad de los contratos inteligentes y reducir el riesgo de ser atacados. Sin embargo, a medida que las técnicas de ataque continúan evolucionando, los equipos de proyecto deben mantenerse alerta, prestar atención continua a las últimas tendencias de seguridad y actualizar sus estrategias de protección de manera oportuna.
Si pierdo, que así sea; acepto la pérdida.