Análise das técnicas de ataque comuns de Web3 Hacker no primeiro semestre de 2022
No primeiro semestre de 2022, o setor Web3 sofreu várias grandes ataques de hackers, resultando em enormes perdas. Este artigo irá analisar em profundidade os métodos de ataque frequentemente utilizados pelos hackers durante esse período, com o objetivo de fornecer referências de segurança para a indústria.
Visão Geral da Exploração de Vulnerabilidades
Os dados de uma plataforma de monitoramento de segurança de blockchain mostram que, no primeiro semestre de 2022, ocorreram 42 incidentes principais de ataques a contratos, com uma perda total que atingiu 644 milhões de dólares. Entre todas as vulnerabilidades exploradas, os tipos de vulnerabilidades mais frequentemente utilizados pelos hackers foram erros de lógica ou de design de função, problemas de validação e vulnerabilidades de reentrada.
Análise de Casos Típicos
Wormhole跨链桥遭攻击
No dia 3 de fevereiro de 2022, um projeto de ponte cross-chain foi atacado, resultando em perdas de cerca de 326 milhões de dólares. O Hacker explorou uma vulnerabilidade na verificação de assinatura do contrato, forjando contas do sistema para criar tokens falsos.
O incidente de ataque ao Fei Protocol
No dia 30 de abril de 2022, um determinado protocolo de empréstimo sofreu um ataque de reentrada por empréstimo relâmpago, resultando em uma perda de 80,34 milhões de dólares. Este ataque causou um golpe fatal ao projeto, levando finalmente à sua declaração de encerramento em 20 de agosto.
Os atacantes aproveitaram principalmente a vulnerabilidade de reentrada do contrato implementado pelo cEther no protocolo. O fluxo de ataque inclui:
Obter um empréstimo relâmpago de um protocolo de agregação
Utilizar fundos emprestados para realizar empréstimos colaterais no protocolo alvo
Extrair repetidamente os tokens do pool afetado através da função de callback construída
Devolver o empréstimo relâmpago e transferir os lucros
Tipos Comuns de Vulnerabilidades
Durante o processo de auditoria de contratos inteligentes, as vulnerabilidades mais comuns podem ser principalmente divididas nas seguintes categorias:
Ataques de reentrada ERC721/ERC1155: O design inadequado de funções específicas pode levar a riscos de reentrada.
Falhas lógicas: incluem problemas como a falta de consideração para cenários especiais e a insuficiência no design de funcionalidades.
Defeitos na gestão de permissões: funcionalidades críticas sem o controle de permissões adequado.
Manipulação de preços: uso inadequado de oráculos ou falhas na lógica de cálculo de preços.
Sugestões de prevenção de vulnerabilidades
Seguir rigorosamente o padrão de design "verificação-eficácia-interação".
Considerar todas as situações de fronteira e cenários especiais.
Implementar uma gestão rigorosa de permissões para funcionalidades críticas.
Usar oráculos confiáveis e mecanismos como o preço médio ponderado pelo tempo.
Realizar uma auditoria completa de segurança de contratos inteligentes, incluindo deteção automatizada e revisão manual por especialistas.
Ao adotar as medidas acima, a maioria das vulnerabilidades comuns pode ser detectada e corrigida antes do lançamento do projeto, reduzindo significativamente o risco de ataques de hackers.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
23 gostos
Recompensa
23
5
Partilhar
Comentar
0/400
WalletWhisperer
· 07-11 14:20
os padrões não mentem... 644m usd vazaram através de falhas de contrato é estatisticamente significativo para ser honesto
Ver originalResponder0
SighingCashier
· 07-09 19:13
300 milhões de dólares voaram assim? Acorda, não esteja a sonhar.
Ver originalResponder0
NFT_Therapy
· 07-08 15:42
Perder tanto, quem é que aguenta isso?
Ver originalResponder0
GateUser-e51e87c7
· 07-08 15:41
Perdi tanto dinheiro que estou viciado em perder.
Ver originalResponder0
ZenZKPlayer
· 07-08 15:40
Tsk tsk, quem revisou o contrato para que tanta lã fosse retirada?
Análise das técnicas de ataque de hackers no Web3 no primeiro semestre: as vulnerabilidades de reentrada tornaram-se a principal ameaça
Análise das técnicas de ataque comuns de Web3 Hacker no primeiro semestre de 2022
No primeiro semestre de 2022, o setor Web3 sofreu várias grandes ataques de hackers, resultando em enormes perdas. Este artigo irá analisar em profundidade os métodos de ataque frequentemente utilizados pelos hackers durante esse período, com o objetivo de fornecer referências de segurança para a indústria.
Visão Geral da Exploração de Vulnerabilidades
Os dados de uma plataforma de monitoramento de segurança de blockchain mostram que, no primeiro semestre de 2022, ocorreram 42 incidentes principais de ataques a contratos, com uma perda total que atingiu 644 milhões de dólares. Entre todas as vulnerabilidades exploradas, os tipos de vulnerabilidades mais frequentemente utilizados pelos hackers foram erros de lógica ou de design de função, problemas de validação e vulnerabilidades de reentrada.
Análise de Casos Típicos
Wormhole跨链桥遭攻击
No dia 3 de fevereiro de 2022, um projeto de ponte cross-chain foi atacado, resultando em perdas de cerca de 326 milhões de dólares. O Hacker explorou uma vulnerabilidade na verificação de assinatura do contrato, forjando contas do sistema para criar tokens falsos.
O incidente de ataque ao Fei Protocol
No dia 30 de abril de 2022, um determinado protocolo de empréstimo sofreu um ataque de reentrada por empréstimo relâmpago, resultando em uma perda de 80,34 milhões de dólares. Este ataque causou um golpe fatal ao projeto, levando finalmente à sua declaração de encerramento em 20 de agosto.
Os atacantes aproveitaram principalmente a vulnerabilidade de reentrada do contrato implementado pelo cEther no protocolo. O fluxo de ataque inclui:
Tipos Comuns de Vulnerabilidades
Durante o processo de auditoria de contratos inteligentes, as vulnerabilidades mais comuns podem ser principalmente divididas nas seguintes categorias:
Sugestões de prevenção de vulnerabilidades
Seguir rigorosamente o padrão de design "verificação-eficácia-interação".
Considerar todas as situações de fronteira e cenários especiais.
Implementar uma gestão rigorosa de permissões para funcionalidades críticas.
Usar oráculos confiáveis e mecanismos como o preço médio ponderado pelo tempo.
Realizar uma auditoria completa de segurança de contratos inteligentes, incluindo deteção automatizada e revisão manual por especialistas.
Ao adotar as medidas acima, a maioria das vulnerabilidades comuns pode ser detectada e corrigida antes do lançamento do projeto, reduzindo significativamente o risco de ataques de hackers.