Phân tích tình hình an ninh nửa đầu năm trong lĩnh vực Web3: Phương pháp tấn công của hacker và chiến lược phòng ngừa
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực Web3 diễn ra thường xuyên, gây ra thiệt hại lớn. Bài viết này sẽ phân tích các phương pháp tấn công chính trong thời gian này và thảo luận về các chiến lược phòng ngừa tương ứng.
Tình hình sự cố an ninh trong nửa đầu năm
Theo dữ liệu giám sát của nền tảng nhận thức tình hình blockchain, trong nửa đầu năm 2022 đã xảy ra tổng cộng 42 vụ tấn công chính, với tổng thiệt hại lên tới 644 triệu đô la. Trong đó, khoảng 53% phương thức tấn công là khai thác lỗ hổng hợp đồng.
Trong tất cả các lỗ hổng bị khai thác, thiết kế logic hoặc hàm không đúng cách là loại lỗ hổng mà Hacker thường khai thác nhất, tiếp theo là vấn đề xác thực và lỗ hổng tái nhập.
Phân tích sự kiện tổn thất lớn
Vào ngày 3 tháng 2, dự án cầu chuỗi Solana Wormhole đã bị tấn công, thiệt hại khoảng 326 triệu đô la. Hacker đã lợi dụng lỗ hổng xác thực chữ ký trong hợp đồng để giả mạo tài khoản và đúc wETH.
Vào ngày 30 tháng 4, một quỹ của một giao thức đã bị tấn công bằng cách cho vay chớp nhoáng với lỗ hổng tái nhập, gây thiệt hại 80,34 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng tái nhập trong hợp đồng thực hiện cEther, thông qua việc xây dựng hàm gọi lại để rút toàn bộ số tiền. Sự kiện này cuối cùng đã dẫn đến việc nhóm dự án tuyên bố đóng cửa.
Các loại lỗ hổng phổ biến
Trong quá trình kiểm toán, các lỗ hổng thường được phát hiện chủ yếu có bốn loại:
Tấn công tái nhập ERC721/ERC1155: Bao gồm mã độc trong hàm thông báo chuyển tiền.
Lỗ hổng logic: Không xem xét kỹ lưỡng các tình huống đặc biệt, thiết kế chức năng không hoàn thiện.
Thiếu xác thực: Các hàm chính chưa được thiết lập kiểm soát quyền.
Kiểm soát giá: Cơ chế tính toán giá có khuyết điểm.
Những lỗ hổng này đã từng被 Hacker lợi dụng trong các tình huống thực tế, trong đó lỗ hổng logic hợp đồng là phương thức tấn công chính.
Đề xuất phòng ngừa
Tuân thủ nghiêm ngặt mô hình thiết kế "Kiểm tra - Có hiệu lực - Tương tác".
Xem xét đầy đủ các điều kiện biên và các tình huống đặc biệt.
Thiết lập kiểm soát quyền truy cập hoàn chỉnh cho các chức năng quan trọng.
Sử dụng cơ chế giá trung bình có trọng số theo thời gian để tăng cường độ an toàn của các oracle giá.
Thực hiện xác minh hình thức hợp đồng thông minh và kiểm toán an ninh chuyên nghiệp định kỳ.
Thông qua nền tảng kiểm toán an ninh chuyên nghiệp và xác minh, kết hợp với việc kiểm tra bằng tay của các chuyên gia an ninh, các lỗ hổng trên có thể được phát hiện và sửa chữa kịp thời trước khi dự án ra mắt. Các bên dự án nên chú trọng đến công việc kiểm toán an ninh, thực hiện các đề xuất an ninh liên quan, nhằm giảm thiểu tối đa rủi ro an ninh.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
13 thích
Phần thưởng
13
7
Chia sẻ
Bình luận
0/400
AirdropworkerZhang
· 07-24 11:13
bull sắp lên bờ khó
Xem bản gốcTrả lời0
CryptoSourGrape
· 07-23 03:52
Nếu tôi cũng là Hacker thì tốt quá, lỗ đã quay trở lại.
Xem bản gốcTrả lời0
FOMOSapien
· 07-21 15:17
Đều nằm phẳng rồi phải không anh em?
Xem bản gốcTrả lời0
FOMOmonster
· 07-21 15:15
chơi đùa với mọi người một tách trà
Xem bản gốcTrả lời0
NftCollectors
· 07-21 15:11
Từ phân tích dữ liệu, các sự cố an toàn đã đe dọa nghiêm trọng đến tính hợp pháp của việc chuyển giao giá trị trên chuỗi.
Xem bản gốcTrả lời0
0xSoulless
· 07-21 14:58
đồ ngốc mãi mãi thua lỗ một cách rõ ràng
Xem bản gốcTrả lời0
LightningAllInHero
· 07-21 14:55
Hợp đồng không được viết đúng, hàng chục tỷ đã bay mất.
Tình hình an ninh Web3 nửa đầu năm: 42 cuộc tấn công gây thiệt hại 644 triệu đô la Mỹ Phân tích chiến lược phòng ngừa
Phân tích tình hình an ninh nửa đầu năm trong lĩnh vực Web3: Phương pháp tấn công của hacker và chiến lược phòng ngừa
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực Web3 diễn ra thường xuyên, gây ra thiệt hại lớn. Bài viết này sẽ phân tích các phương pháp tấn công chính trong thời gian này và thảo luận về các chiến lược phòng ngừa tương ứng.
Tình hình sự cố an ninh trong nửa đầu năm
Theo dữ liệu giám sát của nền tảng nhận thức tình hình blockchain, trong nửa đầu năm 2022 đã xảy ra tổng cộng 42 vụ tấn công chính, với tổng thiệt hại lên tới 644 triệu đô la. Trong đó, khoảng 53% phương thức tấn công là khai thác lỗ hổng hợp đồng.
Trong tất cả các lỗ hổng bị khai thác, thiết kế logic hoặc hàm không đúng cách là loại lỗ hổng mà Hacker thường khai thác nhất, tiếp theo là vấn đề xác thực và lỗ hổng tái nhập.
Phân tích sự kiện tổn thất lớn
Vào ngày 3 tháng 2, dự án cầu chuỗi Solana Wormhole đã bị tấn công, thiệt hại khoảng 326 triệu đô la. Hacker đã lợi dụng lỗ hổng xác thực chữ ký trong hợp đồng để giả mạo tài khoản và đúc wETH.
Vào ngày 30 tháng 4, một quỹ của một giao thức đã bị tấn công bằng cách cho vay chớp nhoáng với lỗ hổng tái nhập, gây thiệt hại 80,34 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng tái nhập trong hợp đồng thực hiện cEther, thông qua việc xây dựng hàm gọi lại để rút toàn bộ số tiền. Sự kiện này cuối cùng đã dẫn đến việc nhóm dự án tuyên bố đóng cửa.
Các loại lỗ hổng phổ biến
Trong quá trình kiểm toán, các lỗ hổng thường được phát hiện chủ yếu có bốn loại:
Tấn công tái nhập ERC721/ERC1155: Bao gồm mã độc trong hàm thông báo chuyển tiền.
Lỗ hổng logic: Không xem xét kỹ lưỡng các tình huống đặc biệt, thiết kế chức năng không hoàn thiện.
Thiếu xác thực: Các hàm chính chưa được thiết lập kiểm soát quyền.
Kiểm soát giá: Cơ chế tính toán giá có khuyết điểm.
Những lỗ hổng này đã từng被 Hacker lợi dụng trong các tình huống thực tế, trong đó lỗ hổng logic hợp đồng là phương thức tấn công chính.
Đề xuất phòng ngừa
Tuân thủ nghiêm ngặt mô hình thiết kế "Kiểm tra - Có hiệu lực - Tương tác".
Xem xét đầy đủ các điều kiện biên và các tình huống đặc biệt.
Thiết lập kiểm soát quyền truy cập hoàn chỉnh cho các chức năng quan trọng.
Sử dụng cơ chế giá trung bình có trọng số theo thời gian để tăng cường độ an toàn của các oracle giá.
Thực hiện xác minh hình thức hợp đồng thông minh và kiểm toán an ninh chuyên nghiệp định kỳ.
Thông qua nền tảng kiểm toán an ninh chuyên nghiệp và xác minh, kết hợp với việc kiểm tra bằng tay của các chuyên gia an ninh, các lỗ hổng trên có thể được phát hiện và sửa chữa kịp thời trước khi dự án ra mắt. Các bên dự án nên chú trọng đến công việc kiểm toán an ninh, thực hiện các đề xuất an ninh liên quan, nhằm giảm thiểu tối đa rủi ro an ninh.