Phân tích các phương pháp tấn công thường dùng của Hacker Web3 trong nửa đầu năm 2022
Trong nửa đầu năm 2022, lĩnh vực Web3 đã trải qua nhiều sự cố tấn công hacker nghiêm trọng, gây ra tổn thất lớn. Bài viết này sẽ phân tích sâu về các phương thức tấn công thường được hacker sử dụng trong giai đoạn này, nhằm cung cấp tham khảo về phòng ngừa an ninh cho ngành.
Tổng quan về khai thác lỗ hổng
Dữ liệu từ một nền tảng giám sát an ninh blockchain cho thấy, trong nửa đầu năm 2022 đã xảy ra 42 sự kiện tấn công lỗ hổng hợp đồng chính, tổng thiệt hại lên tới 644 triệu USD. Trong tất cả các lỗ hổng bị khai thác, sai sót về logic hoặc thiết kế hàm, vấn đề xác thực và lỗ hổng tái nhập là ba loại lỗ hổng thường được hacker khai thác nhất.
Phân tích trường hợp điển hình
Wormhole cầu nối đa chuỗi bị tấn công
Vào ngày 3 tháng 2 năm 2022, một dự án cầu nối chuỗi chéo đã bị tấn công, gây thiệt hại khoảng 326 triệu USD. Hacker đã lợi dụng lỗ hổng xác thực chữ ký trong hợp đồng, thông qua việc làm giả tài khoản hệ thống để đúc token giả.
Sự kiện tấn công Fei Protocol
Vào ngày 30 tháng 4 năm 2022, một giao thức cho vay đã bị tấn công bằng vay chớp nhoáng và tấn công tái nhập, gây thiệt hại 80,34 triệu USD. Cuộc tấn công này đã gây ra một cú sốc chí mạng cho dự án, cuối cùng dẫn đến việc dự án thông báo đóng cửa vào ngày 20 tháng 8.
Kẻ tấn công chủ yếu đã khai thác lỗ hổng tái nhập trong hợp đồng thông qua cEther trong giao thức. Quy trình tấn công bao gồm:
Lấy vay chớp nhoáng từ một giao thức tổng hợp nào đó
Sử dụng vốn vay để thế chấp và vay mượn trong giao thức mục tiêu
Lặp lại việc lấy token từ pool bị ảnh hưởng thông qua hàm callback được cấu trúc.
Hoàn trả khoản vay chớp nhoáng và chuyển lợi nhuận
Các loại lỗ hổng thường gặp
Trong quá trình kiểm toán hợp đồng thông minh, các lỗ hổng phổ biến nhất chủ yếu được phân thành các loại sau:
Tấn công tái nhập ERC721/ERC1155: Do thiết kế không đúng của các hàm cụ thể có thể dẫn đến rủi ro tái nhập.
Lỗi logic: bao gồm các vấn đề như không xem xét kỹ các tình huống đặc biệt và thiết kế chức năng không hoàn chỉnh.
Thiếu sót trong quản lý quyền: Các chức năng quan trọng chưa được thiết lập kiểm soát quyền hợp lý.
Thao túng giá: Việc sử dụng oracle không đúng cách hoặc logic tính toán giá có lỗ hổng.
Đề xuất phòng ngừa lỗ hổng
Tuân thủ nghiêm ngặt mô hình thiết kế "Kiểm tra - Hiệu lực - Tương tác".
Xem xét toàn diện các tình huống biên giới và cảnh đặc biệt.
Thực hiện quản lý quyền hạn nghiêm ngặt cho các chức năng chính.
Sử dụng các cơ chế như oracle đáng tin cậy và giá trung bình theo thời gian.
Thực hiện kiểm toán an toàn hợp đồng thông minh toàn diện, bao gồm phát hiện tự động và kiểm tra thủ công bởi chuyên gia.
Bằng cách thực hiện các biện pháp trên, hầu hết các lỗ hổng phổ biến có thể được phát hiện và khắc phục trước khi dự án được ra mắt, từ đó giảm thiểu đáng kể nguy cơ bị tấn công bởi Hacker.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
23 thích
Phần thưởng
23
5
Chia sẻ
Bình luận
0/400
WalletWhisperer
· 07-11 14:20
các mẫu không nói dối... 644 triệu USD bị rò rỉ qua lỗi hợp đồng là đáng kể về mặt thống kê thật lòng mà nói
Xem bản gốcTrả lời0
SighingCashier
· 07-09 19:13
300 triệu đô la đã bay mất như vậy sao? Tỉnh dậy đi, đừng mơ nữa.
Xem bản gốcTrả lời0
NFT_Therapy
· 07-08 15:42
Mất mát nhiều như vậy ai chịu nổi chứ.
Xem bản gốcTrả lời0
GateUser-e51e87c7
· 07-08 15:41
Thua lỗ đã trở thành một thói quen
Xem bản gốcTrả lời0
ZenZKPlayer
· 07-08 15:40
Xì xà bị lột nhiều lông cừu như vậy, ai đã kiểm tra hợp đồng?
Phân tích các phương pháp tấn công Hacker trên Web3 nửa đầu năm: Lỗ hổng tái nhập trở thành mối đe dọa chính
Phân tích các phương pháp tấn công thường dùng của Hacker Web3 trong nửa đầu năm 2022
Trong nửa đầu năm 2022, lĩnh vực Web3 đã trải qua nhiều sự cố tấn công hacker nghiêm trọng, gây ra tổn thất lớn. Bài viết này sẽ phân tích sâu về các phương thức tấn công thường được hacker sử dụng trong giai đoạn này, nhằm cung cấp tham khảo về phòng ngừa an ninh cho ngành.
Tổng quan về khai thác lỗ hổng
Dữ liệu từ một nền tảng giám sát an ninh blockchain cho thấy, trong nửa đầu năm 2022 đã xảy ra 42 sự kiện tấn công lỗ hổng hợp đồng chính, tổng thiệt hại lên tới 644 triệu USD. Trong tất cả các lỗ hổng bị khai thác, sai sót về logic hoặc thiết kế hàm, vấn đề xác thực và lỗ hổng tái nhập là ba loại lỗ hổng thường được hacker khai thác nhất.
Phân tích trường hợp điển hình
Wormhole cầu nối đa chuỗi bị tấn công
Vào ngày 3 tháng 2 năm 2022, một dự án cầu nối chuỗi chéo đã bị tấn công, gây thiệt hại khoảng 326 triệu USD. Hacker đã lợi dụng lỗ hổng xác thực chữ ký trong hợp đồng, thông qua việc làm giả tài khoản hệ thống để đúc token giả.
Sự kiện tấn công Fei Protocol
Vào ngày 30 tháng 4 năm 2022, một giao thức cho vay đã bị tấn công bằng vay chớp nhoáng và tấn công tái nhập, gây thiệt hại 80,34 triệu USD. Cuộc tấn công này đã gây ra một cú sốc chí mạng cho dự án, cuối cùng dẫn đến việc dự án thông báo đóng cửa vào ngày 20 tháng 8.
Kẻ tấn công chủ yếu đã khai thác lỗ hổng tái nhập trong hợp đồng thông qua cEther trong giao thức. Quy trình tấn công bao gồm:
Các loại lỗ hổng thường gặp
Trong quá trình kiểm toán hợp đồng thông minh, các lỗ hổng phổ biến nhất chủ yếu được phân thành các loại sau:
Đề xuất phòng ngừa lỗ hổng
Tuân thủ nghiêm ngặt mô hình thiết kế "Kiểm tra - Hiệu lực - Tương tác".
Xem xét toàn diện các tình huống biên giới và cảnh đặc biệt.
Thực hiện quản lý quyền hạn nghiêm ngặt cho các chức năng chính.
Sử dụng các cơ chế như oracle đáng tin cậy và giá trung bình theo thời gian.
Thực hiện kiểm toán an toàn hợp đồng thông minh toàn diện, bao gồm phát hiện tự động và kiểm tra thủ công bởi chuyên gia.
Bằng cách thực hiện các biện pháp trên, hầu hết các lỗ hổng phổ biến có thể được phát hiện và khắc phục trước khi dự án được ra mắt, từ đó giảm thiểu đáng kể nguy cơ bị tấn công bởi Hacker.