Análisis de ataques de hackers en el ámbito de Web3 en la primera mitad de 2022: las vulnerabilidades de contratos se convierten en el principal objetivo
Análisis de los métodos de ataque de hackers en el campo de Web3 en la primera mitad de 2022
Durante la primera mitad de 2022, el campo de Web3 enfrentó varios incidentes de seguridad importantes, causando pérdidas enormes. Este artículo realizará un análisis profundo de las técnicas de ataque comúnmente utilizadas por hackers durante este período, con el fin de proporcionar una referencia para la prevención de seguridad en la industria.
Resumen de la explotación de vulnerabilidades
Según los datos de una plataforma de monitoreo de seguridad de blockchain, en la primera mitad de 2022 se produjeron 42 incidentes importantes de ataques a contratos, representando el 53% de todos los métodos de ataque. Estos ataques causaron pérdidas de aproximadamente 644 millones de dólares.
Entre todas las vulnerabilidades explotadas, las deficiencias de diseño lógico o de funciones son los objetivos más comúnmente aprovechados por los Hackers, seguidos de los problemas de validación y las vulnerabilidades de reentrada.
Análisis de casos de pérdidas significativas
Incidente de ataque del puente cross-chain Wormhole
El 3 de febrero de 2022, un proyecto de puente entre cadenas fue atacado, sufriendo pérdidas de hasta 326 millones de dólares. El Hacker aprovechó una vulnerabilidad en la verificación de firmas del contrato del proyecto para falsificar con éxito cuentas del sistema y acuñar una gran cantidad de tokens.
Fei Protocol sufrió un ataque de préstamo relámpago
El 30 de abril de 2022, el fondo de un protocolo de préstamo sufrió un ataque de préstamo relámpago combinado con una reentrada, resultando en una pérdida de 80.34 millones de dólares. Este ataque causó un golpe fatal al proyecto, que finalmente anunció su cierre el 20 de agosto.
El atacante primero realizó un préstamo relámpago desde un fondo, luego aprovechó una vulnerabilidad de reentrada existente en la plataforma de préstamos, mediante una función de ataque construida, y logró extraer todos los tokens del fondo afectado. Finalmente, devolvió el préstamo relámpago y transfirió las ganancias a un contrato específico.
Tipos de vulnerabilidades comunes
Ataque de reentrada ERC721/ERC1155: aprovechar la función de notificación de transferencia en los estándares de tokens para llevar a cabo un ataque de reentrada.
Vulnerabilidad lógica:
Consideraciones insuficientes en escenarios especiales, como transferencias a uno mismo que resultan en la creación de fondos inexistentes.
Diseño de funciones incompleto, como la falta de mecanismos de extracción o liquidación.
Defectos en la gestión de permisos: Funciones clave como la acuñación, configuración de roles, etc., carecen de un control de permisos efectivo.
Manipulación de precios:
Oracle de precio promedio ponderado por tiempo no utilizado.
Utilizar directamente la proporción del saldo de tokens en el contrato como base de precio.
Prevención de auditoría
La mayoría de las vulnerabilidades mencionadas se pueden detectar antes del lanzamiento del proyecto mediante plataformas de verificación formal de contratos inteligentes profesionales junto con la revisión manual de expertos en seguridad. Se recomienda a los equipos del proyecto que den importancia a la auditoría de seguridad y que reparen oportunamente los riesgos potenciales según las recomendaciones de los expertos.
Al fortalecer el diseño lógico del contrato, mejorar la gestión de permisos y optimizar los mecanismos de precios, se pueden implementar medidas de seguridad que reduzcan efectivamente el riesgo de ser atacado. Al mismo tiempo, la monitorización continua de la seguridad y la corrección oportuna de vulnerabilidades también son clave para garantizar el funcionamiento seguro a largo plazo del proyecto.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
14 me gusta
Recompensa
14
3
Compartir
Comentar
0/400
TokenAlchemist
· hace10h
smh... otro vector de transición de estado mal optimizado. ¿644m en exploits? los aficionados que escriben estos contratos necesitan estudiar la mecánica de MEV fr
Ver originalesResponder0
SmartMoneyWallet
· 08-02 16:12
¿A dónde fue a parar el dinero que perdieron estos inversores minoristas? ¿Y los 640 millones?
Ver originalesResponder0
TokenomicsTrapper
· 08-02 16:09
lo llamé - los puentes son literalmente solo honeypots esperando a ser rekt... clásico 2022 L tbh
Análisis de ataques de hackers en el ámbito de Web3 en la primera mitad de 2022: las vulnerabilidades de contratos se convierten en el principal objetivo
Análisis de los métodos de ataque de hackers en el campo de Web3 en la primera mitad de 2022
Durante la primera mitad de 2022, el campo de Web3 enfrentó varios incidentes de seguridad importantes, causando pérdidas enormes. Este artículo realizará un análisis profundo de las técnicas de ataque comúnmente utilizadas por hackers durante este período, con el fin de proporcionar una referencia para la prevención de seguridad en la industria.
Resumen de la explotación de vulnerabilidades
Según los datos de una plataforma de monitoreo de seguridad de blockchain, en la primera mitad de 2022 se produjeron 42 incidentes importantes de ataques a contratos, representando el 53% de todos los métodos de ataque. Estos ataques causaron pérdidas de aproximadamente 644 millones de dólares.
Entre todas las vulnerabilidades explotadas, las deficiencias de diseño lógico o de funciones son los objetivos más comúnmente aprovechados por los Hackers, seguidos de los problemas de validación y las vulnerabilidades de reentrada.
Análisis de casos de pérdidas significativas
Incidente de ataque del puente cross-chain Wormhole
El 3 de febrero de 2022, un proyecto de puente entre cadenas fue atacado, sufriendo pérdidas de hasta 326 millones de dólares. El Hacker aprovechó una vulnerabilidad en la verificación de firmas del contrato del proyecto para falsificar con éxito cuentas del sistema y acuñar una gran cantidad de tokens.
Fei Protocol sufrió un ataque de préstamo relámpago
El 30 de abril de 2022, el fondo de un protocolo de préstamo sufrió un ataque de préstamo relámpago combinado con una reentrada, resultando en una pérdida de 80.34 millones de dólares. Este ataque causó un golpe fatal al proyecto, que finalmente anunció su cierre el 20 de agosto.
El atacante primero realizó un préstamo relámpago desde un fondo, luego aprovechó una vulnerabilidad de reentrada existente en la plataforma de préstamos, mediante una función de ataque construida, y logró extraer todos los tokens del fondo afectado. Finalmente, devolvió el préstamo relámpago y transfirió las ganancias a un contrato específico.
Tipos de vulnerabilidades comunes
Prevención de auditoría
La mayoría de las vulnerabilidades mencionadas se pueden detectar antes del lanzamiento del proyecto mediante plataformas de verificación formal de contratos inteligentes profesionales junto con la revisión manual de expertos en seguridad. Se recomienda a los equipos del proyecto que den importancia a la auditoría de seguridad y que reparen oportunamente los riesgos potenciales según las recomendaciones de los expertos.
Al fortalecer el diseño lógico del contrato, mejorar la gestión de permisos y optimizar los mecanismos de precios, se pueden implementar medidas de seguridad que reduzcan efectivamente el riesgo de ser atacado. Al mismo tiempo, la monitorización continua de la seguridad y la corrección oportuna de vulnerabilidades también son clave para garantizar el funcionamiento seguro a largo plazo del proyecto.