Análise da Situação de Segurança do Web3: Análise das Técnicas de Ataque de Hackers no Primeiro Semestre de 2022
No primeiro semestre de 2022, a situação de segurança no campo do Web3 continua a ser severa. Através de uma análise abrangente dos eventos de segurança da blockchain, podemos entender melhor os métodos de ataque comumente usados pelos hackers e como prevenir efetivamente essas ameaças.
Resumo dos eventos de segurança no primeiro semestre
De acordo com os dados de uma plataforma de monitoramento de segurança de blockchain, ocorreram 42 principais ataques a contratos vulneráveis no primeiro semestre de 2022, representando 53% de todos os tipos de ataque. As perdas totais causadas por esses ataques atingiram 644 milhões de dólares.
Entre todas as vulnerabilidades exploradas, o mau design de lógica ou de funções é o tipo de vulnerabilidade mais frequentemente explorado por hackers, seguido por problemas de validação e vulnerabilidades de reentrada.
Análise de Casos de Grandes Perdas
Ataque ao Wormhole, ponte entre cadeias
No dia 3 de fevereiro de 2022, o projeto de ponte cross-chain Wormhole no ecossistema Solana foi atacado por um Hacker, resultando em uma perda de cerca de 326 milhões de dólares. O atacante explorou uma vulnerabilidade na verificação de assinatura do contrato e conseguiu falsificar contas do sistema para cunhar uma grande quantidade de wETH.
O Fei Protocol sofreu um ataque de reentrada
No dia 30 de abril de 2022, a Rari Fuse Pool do Fei Protocol sofreu um ataque de reentrada combinado com um empréstimo relâmpago, resultando em uma perda de 80,34 milhões de dólares. Este ataque causou um golpe fatal ao projeto, levando à sua declaração de fechamento oficial em 20 de agosto.
Os principais passos do atacante incluem:
Fazer um empréstimo relâmpago a partir do Balancer
Atacar utilizando a vulnerabilidade de reentrada no contrato cEther da Rari Capital
Extrair todos os tokens do pool através da função de ataque construída como callback.
Devolver o empréstimo relâmpago e transferir os lucros do ataque
Tipos Comuns de Vulnerabilidades
As vulnerabilidades mais comuns durante o processo de auditoria são principalmente divididas em quatro categorias:
Ataques de reentrada ERC721/ERC1155: ao usar as funções de transferência segura desses padrões, pode-se ativar código malicioso no contrato do destinatário, levando a ataques de reentrada.
Falha lógica:
Consideração insuficiente para cenários especiais, como transferir dinheiro para si mesmo
O design de funcionalidades não é completo, como a falta de mecanismos de extração ou liquidação
Falta de autenticação: funções chave como cunhagem, definição de papéis, etc., carecem de controle de permissões efetivo.
Manipulação de preços:
Preço médio ponderado pelo tempo não utilizado
Usar diretamente a proporção do saldo do token no contrato como preço
Sugestões de prevenção de vulnerabilidades
Reforçar a auditoria de código: através de plataformas profissionais de verificação de contratos inteligentes e revisão manual por especialistas em segurança, é possível identificar a maioria das vulnerabilidades potenciais antes do lançamento do projeto.
Seguir as normas de desenvolvimento seguro: projetar funções de negócios rigorosamente de acordo com o modelo de verificação-efetivação-interação, reduzindo o risco de ataques de reentrada.
Melhorar a gestão de permissões: definir múltiplas assinaturas ou mecanismos de bloqueio de tempo para operações críticas.
Usar oráculos de preços confiáveis: adotar o preço médio ponderado pelo tempo, evitando que os preços sejam facilmente manipulados.
Considerar cenários extremos: ao projetar a lógica do contrato, considere plenamente várias situações de limite e cenários especiais.
Auditorias de segurança regulares: mesmo projetos que já estão em operação devem passar por avaliações de segurança e varreduras de vulnerabilidades regularmente.
Ao adotar essas medidas, os projetos Web3 podem aumentar significativamente sua segurança e reduzir o risco de serem atacados por hackers. No entanto, à medida que a tecnologia continua a evoluir, novos tipos de vulnerabilidades podem surgir, tornando essencial manter-se vigilante e continuar aprendendo.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
A situação de segurança do Web3 é grave: ataques a contratos com falhas resultaram em perdas de 644 milhões de dólares no primeiro semestre de 2022.
Análise da Situação de Segurança do Web3: Análise das Técnicas de Ataque de Hackers no Primeiro Semestre de 2022
No primeiro semestre de 2022, a situação de segurança no campo do Web3 continua a ser severa. Através de uma análise abrangente dos eventos de segurança da blockchain, podemos entender melhor os métodos de ataque comumente usados pelos hackers e como prevenir efetivamente essas ameaças.
Resumo dos eventos de segurança no primeiro semestre
De acordo com os dados de uma plataforma de monitoramento de segurança de blockchain, ocorreram 42 principais ataques a contratos vulneráveis no primeiro semestre de 2022, representando 53% de todos os tipos de ataque. As perdas totais causadas por esses ataques atingiram 644 milhões de dólares.
Entre todas as vulnerabilidades exploradas, o mau design de lógica ou de funções é o tipo de vulnerabilidade mais frequentemente explorado por hackers, seguido por problemas de validação e vulnerabilidades de reentrada.
Análise de Casos de Grandes Perdas
Ataque ao Wormhole, ponte entre cadeias
No dia 3 de fevereiro de 2022, o projeto de ponte cross-chain Wormhole no ecossistema Solana foi atacado por um Hacker, resultando em uma perda de cerca de 326 milhões de dólares. O atacante explorou uma vulnerabilidade na verificação de assinatura do contrato e conseguiu falsificar contas do sistema para cunhar uma grande quantidade de wETH.
O Fei Protocol sofreu um ataque de reentrada
No dia 30 de abril de 2022, a Rari Fuse Pool do Fei Protocol sofreu um ataque de reentrada combinado com um empréstimo relâmpago, resultando em uma perda de 80,34 milhões de dólares. Este ataque causou um golpe fatal ao projeto, levando à sua declaração de fechamento oficial em 20 de agosto.
Os principais passos do atacante incluem:
Tipos Comuns de Vulnerabilidades
As vulnerabilidades mais comuns durante o processo de auditoria são principalmente divididas em quatro categorias:
Sugestões de prevenção de vulnerabilidades
Reforçar a auditoria de código: através de plataformas profissionais de verificação de contratos inteligentes e revisão manual por especialistas em segurança, é possível identificar a maioria das vulnerabilidades potenciais antes do lançamento do projeto.
Seguir as normas de desenvolvimento seguro: projetar funções de negócios rigorosamente de acordo com o modelo de verificação-efetivação-interação, reduzindo o risco de ataques de reentrada.
Melhorar a gestão de permissões: definir múltiplas assinaturas ou mecanismos de bloqueio de tempo para operações críticas.
Usar oráculos de preços confiáveis: adotar o preço médio ponderado pelo tempo, evitando que os preços sejam facilmente manipulados.
Considerar cenários extremos: ao projetar a lógica do contrato, considere plenamente várias situações de limite e cenários especiais.
Auditorias de segurança regulares: mesmo projetos que já estão em operação devem passar por avaliações de segurança e varreduras de vulnerabilidades regularmente.
Ao adotar essas medidas, os projetos Web3 podem aumentar significativamente sua segurança e reduzir o risco de serem atacados por hackers. No entanto, à medida que a tecnologia continua a evoluir, novos tipos de vulnerabilidades podem surgir, tornando essencial manter-se vigilante e continuar aprendendo.