Analisis Metode Serangan Umum Hacker Web3 pada Paruh Pertama Tahun 2022

Pada paruh pertama tahun 2022, bidang Web3 mengalami beberapa insiden serangan hacker besar yang mengakibatkan kerugian besar. Artikel ini akan menganalisis secara mendalam metode serangan yang sering digunakan oleh hacker selama periode ini, dengan harapan dapat memberikan referensi pencegahan keamanan bagi industri.

Gambaran Umum Pemanfaatan Kerentanan

Data dari platform pemantauan keamanan blockchain menunjukkan bahwa pada paruh pertama tahun 2022, terjadi 42 serangan utama terhadap kerentanan kontrak, dengan total kerugian mencapai 6,44 juta USD. Di antara semua kerentanan yang dieksploitasi, kesalahan desain logika atau fungsi, masalah verifikasi, dan kerentanan reentrancy adalah tiga jenis kerentanan yang paling sering dimanfaatkan oleh Hacker.

Analisis Kasus Tipikal

Jembatan lintas rantai Wormhole diserang

Pada tanggal 3 Februari 2022, sebuah proyek jembatan lintas rantai diserang, mengakibatkan kerugian sekitar 326 juta USD. Hacker memanfaatkan celah verifikasi tanda tangan dalam kontrak, dengan memalsukan akun sistem untuk mencetak token palsu.

Insiden serangan pada Fei Protocol

Pada 30 April 2022, suatu protokol pinjaman mengalami serangan flash loan dengan reentrancy, menyebabkan kerugian sebesar 80,34 juta dolar. Serangan ini memberikan pukulan fatal pada proyek, yang akhirnya mengakibatkan proyek tersebut mengumumkan penutupan pada 20 Agustus.

Penyerang terutama memanfaatkan kerentanan reentrancy pada kontrak yang diimplementasikan dalam cEther dari protokol. Proses serangan mencakup:

1. Dapatkan pinjaman kilat dari protokol agregasi tertentu
2. Menggunakan dana yang dipinjam untuk melakukan pinjam-meminjam dengan jaminan di protokol tujuan
3. Mengulangi ekstraksi token dari pool yang terpengaruh melalui fungsi callback yang dibangun.
4. Mengembalikan pinjaman kilat dan mentransfer keuntungan

Jenis Kerentanan Umum

Dalam proses audit kontrak pintar, kerentanan yang paling umum dapat dibagi menjadi beberapa kategori berikut:

1. Serangan reentrancy ERC721/ERC1155: Risiko reentrancy dapat terjadi akibat desain fungsi tertentu yang tidak memadai.

2. Kerentanan logika: termasuk masalah pertimbangan skenario khusus yang kurang matang dan desain fungsi yang tidak lengkap.

3. Defisiensi manajemen hak akses: Fungsi kunci tidak memiliki kontrol hak akses yang tepat.

4. Manipulasi harga: Penggunaan oracle yang tidak tepat atau terdapat celah dalam logika perhitungan harga.

Saran Pencegahan Kerentanan

1. Patuhi dengan ketat pola desain "periksa-berlaku-interaksi".

2. Pertimbangkan semua kondisi batas dan skenario khusus.

3. Terapkan manajemen hak akses yang ketat untuk fungsi kunci.

4. Menggunakan mekanisme seperti oracle yang dapat diandalkan dan harga rata-rata berbobot waktu.

5. Melakukan audit keamanan kontrak pintar secara menyeluruh, termasuk deteksi otomatis dan tinjauan manual oleh ahli.

Dengan mengambil langkah-langkah di atas, sebagian besar kerentanan umum dapat ditemukan dan diperbaiki sebelum proyek diluncurkan, sehingga secara signifikan mengurangi risiko serangan Hacker.