Análise das técnicas de ataque de hackers Web3: métodos de ataque comuns no primeiro semestre de 2022 e estratégias de prevenção
No primeiro semestre de 2022, a situação de segurança no campo do Web3 não era otimista. Os dados mostram que apenas devido a vulnerabilidades em contratos inteligentes, houve uma perda de cerca de 644 milhões de dólares, envolvendo 42 principais incidentes de ataque. Entre esses ataques, falhas de lógica ou design de funções, problemas de validação e vulnerabilidades de reentrada foram as fraquezas mais frequentemente exploradas pelos Hackers.
Análise de Casos de Grandes Perdas
A ponte cross-chain Wormhole da Solana foi atacada: em fevereiro de 2022, um Hacker explorou uma vulnerabilidade na verificação de assinaturas, conseguindo falsificar a emissão de wETH, resultando em uma perda de aproximadamente 326 milhões de dólares.
O Rari Fuse Pool da Fei Protocol foi atacado: em abril de 2022, um Hacker utilizou um empréstimo relâmpago combinado com um ataque de reentrada para roubar ativos no valor de 80,34 milhões de dólares. Este ataque teve um grande impacto no projeto, levando finalmente a Fei Protocol a anunciar o encerramento em agosto.
Detalhes do ataque ao Fei Protocol:
O atacante primeiro obtém um empréstimo relâmpago do Balancer: Vault.
Usar fundos emprestados para empréstimos colaterais na Rari Capital, enquanto aproveita a vulnerabilidade de reentrada no contrato cEther.
Através de funções de ataque cuidadosamente projetadas, chamar repetidamente todos os tokens do pool.
A devolução do empréstimo relâmpago final será feita, transferindo os lucros para o contrato designado.
O cerne do ataque desta vez foi a exploração de uma vulnerabilidade de reentrada existente no contrato implementado pelo cEther da Rari Capital, que acabou resultando no roubo de mais de 28380 ETH (cerca de 8034 milhões de dólares).
Tipos comuns de vulnerabilidades em auditorias
Ataque de reentrada ERC721/ERC1155:
Ao usar as funções _safeMint(), _safeTransfer(), se o contrato do destinatário contiver código malicioso na função de retorno de chamada, poderá ocorrer um ataque de reentrada.
Falha lógica:
Consideração insuficiente para cenários especiais, como a auto-transferência que leva ao aumento artificial de ativos.
O design da funcionalidade não é completo, por exemplo, falta um mecanismo de retirada ou liquidação.
Falta de controle de permissões:
Operações chave (como cunhagem, configuração de personagens, ajuste de parâmetros) não têm o controle de permissões apropriado configurado.
Risco de manipulação de preços:
Sistema de oráculo que não utiliza o preço médio ponderado pelo tempo.
Usar diretamente a proporção de ativos dentro do contrato como base de preço pode ser facilmente manipulado.
Exploração de vulnerabilidades em ataques reais
Estatísticas mostram que as várias vulnerabilidades encontradas durante o processo de auditoria foram quase todas exploradas por hackers em ambientes reais, sendo que as vulnerabilidades lógicas de contratos continuam a ser o principal alvo de ataque.
É importante notar que, através de plataformas de verificação formal de contratos inteligentes profissionais e da revisão manual por especialistas em segurança, a maioria dessas vulnerabilidades pode ser detectada a tempo durante a fase de desenvolvimento. Os especialistas em segurança também podem fornecer recomendações de correção com base em situações específicas, ajudando as equipes de projeto a melhorar a segurança dos contratos.
Sugestões de Prevenção
Reforçar a auditoria de código: realizar auditorias de segurança abrangentes regularmente, com especial atenção ao design lógico e ao tratamento de cenários especiais.
Implementar um controlo de permissões rigoroso: estabelecer mecanismos de proteção como assinaturas múltiplas ou bloqueios de tempo para funções críticas.
Otimizar o oráculo de preços: usar oráculos descentralizados e preços médios ponderados pelo tempo para reduzir o risco de manipulação de preços.
Seguir práticas de codificação seguras: aplicar rigorosamente o modo "verificar-efetivar-interagir" para prevenir ataques de reentrada.
Monitorização contínua: implementar um sistema de monitorização em tempo real para detectar e responder rapidamente a atividades anómalas.
Ao adotar essas medidas, os projetos Web3 podem aumentar significativamente sua segurança e reduzir o risco de se tornarem alvos de Hacker. Com o contínuo desenvolvimento da tecnologia, manter-se alerta e atualizar constantemente as estratégias de segurança será fundamental para garantir a operação estável a longo prazo do projeto.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
10 Curtidas
Recompensa
10
8
Repostar
Compartilhar
Comentário
0/400
GasWaster
· 07-18 07:16
Ai ai, mais um ano de hackers a fazer as pessoas de parvas.
Ver originalResponder0
PumpStrategist
· 07-18 06:52
A vulnerabilidade está tão bem escrita que até um Hacker ficaria babando.
Ver originalResponder0
LightningClicker
· 07-18 02:16
Guarde o pequeno segredo na cadeia
Ver originalResponder0
GasFeeCry
· 07-15 15:27
Se há uma fechadura, há uma chave. Lembre-se de fazer um seguro.
Ver originalResponder0
AirdropHunterXiao
· 07-15 15:24
Outra onda de grandes bulls sendo enganados por idiotas
Ver originalResponder0
NotAFinancialAdvice
· 07-15 15:18
Queimar dinheiro alcança novas alturas, é realmente emocionante.
Ver originalResponder0
TrustMeBro
· 07-15 15:08
Não escrevi contratos inteligentes por muito tempo, mas realmente fiquei assustado com esses dados.
Ver originalResponder0
GateUser-a5fa8bd0
· 07-15 15:03
Este Hacker é tão ganancioso, já começou com alguns bilhões.
Web3 Segurança Alerta: Análise das Técnicas de Ataque de Hackers e Estratégias de Prevenção no Primeiro Semestre de 2022
Análise das técnicas de ataque de hackers Web3: métodos de ataque comuns no primeiro semestre de 2022 e estratégias de prevenção
No primeiro semestre de 2022, a situação de segurança no campo do Web3 não era otimista. Os dados mostram que apenas devido a vulnerabilidades em contratos inteligentes, houve uma perda de cerca de 644 milhões de dólares, envolvendo 42 principais incidentes de ataque. Entre esses ataques, falhas de lógica ou design de funções, problemas de validação e vulnerabilidades de reentrada foram as fraquezas mais frequentemente exploradas pelos Hackers.
Análise de Casos de Grandes Perdas
A ponte cross-chain Wormhole da Solana foi atacada: em fevereiro de 2022, um Hacker explorou uma vulnerabilidade na verificação de assinaturas, conseguindo falsificar a emissão de wETH, resultando em uma perda de aproximadamente 326 milhões de dólares.
O Rari Fuse Pool da Fei Protocol foi atacado: em abril de 2022, um Hacker utilizou um empréstimo relâmpago combinado com um ataque de reentrada para roubar ativos no valor de 80,34 milhões de dólares. Este ataque teve um grande impacto no projeto, levando finalmente a Fei Protocol a anunciar o encerramento em agosto.
Detalhes do ataque ao Fei Protocol:
O cerne do ataque desta vez foi a exploração de uma vulnerabilidade de reentrada existente no contrato implementado pelo cEther da Rari Capital, que acabou resultando no roubo de mais de 28380 ETH (cerca de 8034 milhões de dólares).
Tipos comuns de vulnerabilidades em auditorias
Ataque de reentrada ERC721/ERC1155: Ao usar as funções _safeMint(), _safeTransfer(), se o contrato do destinatário contiver código malicioso na função de retorno de chamada, poderá ocorrer um ataque de reentrada.
Falha lógica:
Falta de controle de permissões: Operações chave (como cunhagem, configuração de personagens, ajuste de parâmetros) não têm o controle de permissões apropriado configurado.
Risco de manipulação de preços:
Exploração de vulnerabilidades em ataques reais
Estatísticas mostram que as várias vulnerabilidades encontradas durante o processo de auditoria foram quase todas exploradas por hackers em ambientes reais, sendo que as vulnerabilidades lógicas de contratos continuam a ser o principal alvo de ataque.
É importante notar que, através de plataformas de verificação formal de contratos inteligentes profissionais e da revisão manual por especialistas em segurança, a maioria dessas vulnerabilidades pode ser detectada a tempo durante a fase de desenvolvimento. Os especialistas em segurança também podem fornecer recomendações de correção com base em situações específicas, ajudando as equipes de projeto a melhorar a segurança dos contratos.
Sugestões de Prevenção
Reforçar a auditoria de código: realizar auditorias de segurança abrangentes regularmente, com especial atenção ao design lógico e ao tratamento de cenários especiais.
Implementar um controlo de permissões rigoroso: estabelecer mecanismos de proteção como assinaturas múltiplas ou bloqueios de tempo para funções críticas.
Otimizar o oráculo de preços: usar oráculos descentralizados e preços médios ponderados pelo tempo para reduzir o risco de manipulação de preços.
Seguir práticas de codificação seguras: aplicar rigorosamente o modo "verificar-efetivar-interagir" para prevenir ataques de reentrada.
Monitorização contínua: implementar um sistema de monitorização em tempo real para detectar e responder rapidamente a atividades anómalas.
Ao adotar essas medidas, os projetos Web3 podem aumentar significativamente sua segurança e reduzir o risco de se tornarem alvos de Hacker. Com o contínuo desenvolvimento da tecnologia, manter-se alerta e atualizar constantemente as estratégias de segurança será fundamental para garantir a operação estável a longo prazo do projeto.