Análise da Situação de Segurança Web3: Análise das Técnicas de Ataque de Hacker na Primeira Metade de 2022
No primeiro semestre de 2022, a situação de segurança no campo do Web3 não é encorajadora. De acordo com os dados de monitoramento de segurança de blockchain, as vulnerabilidades de contrato tornaram-se o principal meio de ataque dos hackers, resultando em grandes perdas financeiras. Este artigo irá analisar detalhadamente os métodos de ataque frequentemente utilizados pelos hackers durante este período, bem como as medidas de prevenção relacionadas.
Visão geral dos eventos de segurança do primeiro semestre
Os dados mostram que, no primeiro semestre de 2022, ocorreram 42 casos principais de ataques, dos quais 53% foram devido à exploração de vulnerabilidades de contratos. Esses eventos de ataque resultaram em perdas acumuladas de até 64404 mil dólares. Entre todas as vulnerabilidades exploradas, a frequência mais alta de exploração por hackers foi devido a falhas de lógica ou design de funções, seguidas por problemas de validação e vulnerabilidades de reentrada.
Análise de Casos de Grandes Perdas
Ataque ao Wormhole, a ponte entre cadeias
No dia 3 de fevereiro de 2022, o projeto de ponte cross-chain Wormhole no ecossistema Solana foi atacado, resultando em uma perda de cerca de 326 milhões de dólares. O Hacker explorou uma vulnerabilidade na verificação de assinatura do contrato, conseguindo falsificar a conta sysvar para a cunhagem ilegal de wETH.
Ataque ao Fei Protocol
No dia 30 de abril de 2022, o Rari Fuse Pool, sob o protocolo Fei, sofreu um ataque de empréstimo relâmpago combinado com um ataque de reentrada, resultando em uma perda de 80,34 milhões de dólares. Este ataque causou um golpe fatal no projeto, levando finalmente ao anúncio do encerramento do projeto em 20 de agosto.
Os atacantes implementam o ataque através dos seguintes passos:
Realizar um empréstimo relâmpago a partir do Balancer: Vault
Usar fundos emprestados para colateralizar empréstimos na Rari Capital
Utilizar o cEther da Rari Capital para explorar uma vulnerabilidade de reentrada no contrato
Através da função de ataque de construção de callback, extrair todos os tokens do fundo.
Devolver o empréstimo relâmpago, transferir os ganhos da ataque
Tipos comuns de vulnerabilidades
Durante o processo de auditoria de contratos inteligentes, as vulnerabilidades mais comuns podem ser divididas em quatro grandes categorias:
Ataque de reentrada ERC721/ERC1155: ao usar funções como _safeMint(), _safeTransfer(), pode-se desencadear a execução de código malicioso em um ataque de reentrada.
Vulnerabilidades lógicas:
Consideração insuficiente para cenários especiais, como a criação de algo do nada devido a transferências internas.
Design de funcionalidades incompleto, como a falta de funções de extração ou liquidação
Falta de autenticação: Funções chave como a cunhagem, configuração de papéis, etc., carecem de controle de permissões efetivo.
Manipulação de preço:
Preço médio ponderado pelo tempo não utilizado
Usar diretamente a proporção do saldo do token no contrato como preço
Sugestões de Prevenção de Vulnerabilidades
Seguir rigorosamente o padrão de design "Verificação-Ativação-Interação"
Considerar todos os casos limites e cenários especiais.
Aperfeiçoar o design das funcionalidades do contrato, garantindo que as operações-chave tenham as funcionalidades complementares apropriadas.
Implementar uma gestão rigorosa de permissões, realizando múltiplas verificações para funcionalidades críticas.
Utilizar oráculos de preços fiáveis, evitando o uso de fontes de dados de preços que sejam facilmente manipuláveis.
Realizar auditorias regulares de contratos inteligentes, utilizando uma combinação de ferramentas automatizadas e auditoria manual por equipes de segurança especializadas.
Ao adotar essas medidas preventivas, é possível aumentar significativamente a segurança dos contratos inteligentes e reduzir o risco de ataques. No entanto, à medida que as técnicas de ataque continuam a evoluir, as equipes dos projetos precisam manter-se alerta, acompanhar as últimas tendências de segurança e atualizar suas estratégias de proteção de forma oportuna.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
11 Curtidas
Recompensa
11
4
Compartilhar
Comentário
0/400
FlashLoanLord
· 07-21 01:57
Ai, a equipa do projeto tem muita espuma de papel.
Ver originalResponder0
SchroedingerGas
· 07-20 21:22
Um idiota que queima dinheiro, sem medo em Haicang.
Se perder, que perca, eu aceito a perda.
Ver originalResponder0
ChainSherlockGirl
· 07-18 16:07
Os Grandes investidores da Carteira nunca estão em paz. Segundo a minha imaginação, é mais uma clássica série de crimes.
Ver originalResponder0
CryptoDouble-O-Seven
· 07-18 15:39
Mais uma vez vejo números de perdas, dói o coração.
Web3 segurança alerta: Análise das técnicas de ataque de hackers e estratégias de prevenção no primeiro semestre
Análise da Situação de Segurança Web3: Análise das Técnicas de Ataque de Hacker na Primeira Metade de 2022
No primeiro semestre de 2022, a situação de segurança no campo do Web3 não é encorajadora. De acordo com os dados de monitoramento de segurança de blockchain, as vulnerabilidades de contrato tornaram-se o principal meio de ataque dos hackers, resultando em grandes perdas financeiras. Este artigo irá analisar detalhadamente os métodos de ataque frequentemente utilizados pelos hackers durante este período, bem como as medidas de prevenção relacionadas.
Visão geral dos eventos de segurança do primeiro semestre
Os dados mostram que, no primeiro semestre de 2022, ocorreram 42 casos principais de ataques, dos quais 53% foram devido à exploração de vulnerabilidades de contratos. Esses eventos de ataque resultaram em perdas acumuladas de até 64404 mil dólares. Entre todas as vulnerabilidades exploradas, a frequência mais alta de exploração por hackers foi devido a falhas de lógica ou design de funções, seguidas por problemas de validação e vulnerabilidades de reentrada.
Análise de Casos de Grandes Perdas
Ataque ao Wormhole, a ponte entre cadeias
No dia 3 de fevereiro de 2022, o projeto de ponte cross-chain Wormhole no ecossistema Solana foi atacado, resultando em uma perda de cerca de 326 milhões de dólares. O Hacker explorou uma vulnerabilidade na verificação de assinatura do contrato, conseguindo falsificar a conta sysvar para a cunhagem ilegal de wETH.
Ataque ao Fei Protocol
No dia 30 de abril de 2022, o Rari Fuse Pool, sob o protocolo Fei, sofreu um ataque de empréstimo relâmpago combinado com um ataque de reentrada, resultando em uma perda de 80,34 milhões de dólares. Este ataque causou um golpe fatal no projeto, levando finalmente ao anúncio do encerramento do projeto em 20 de agosto.
Os atacantes implementam o ataque através dos seguintes passos:
Tipos comuns de vulnerabilidades
Durante o processo de auditoria de contratos inteligentes, as vulnerabilidades mais comuns podem ser divididas em quatro grandes categorias:
Sugestões de Prevenção de Vulnerabilidades
Ao adotar essas medidas preventivas, é possível aumentar significativamente a segurança dos contratos inteligentes e reduzir o risco de ataques. No entanto, à medida que as técnicas de ataque continuam a evoluir, as equipes dos projetos precisam manter-se alerta, acompanhar as últimas tendências de segurança e atualizar suas estratégias de proteção de forma oportuna.
Se perder, que perca, eu aceito a perda.