Análise dos métodos de ataques hackers no campo do Web3 no primeiro semestre de 2022
No primeiro semestre de 2022, o campo do Web3 enfrentou vários incidentes de segurança significativos, resultando em grandes perdas. Este artigo irá analisar em profundidade as técnicas de ataque comumente usadas por hackers durante esse período, com o objetivo de fornecer referências para a prevenção de segurança na indústria.
Visão Geral da Exploração de Vulnerabilidades
De acordo com os dados de uma plataforma de monitorização de segurança de blockchain, ocorreram 42 incidentes principais de ataques a contratos no primeiro semestre de 2022, representando 53% de todos os tipos de ataques. Esses ataques causaram perdas de cerca de 644 milhões de dólares.
Entre todas as vulnerabilidades exploradas, falhas de lógica ou de design de funções são os alvos mais frequentemente explorados pelos hackers, seguidas por problemas de validação e vulnerabilidades de reentrada.
Análise de Casos de Perda Significativa
Ataque ao ponte跨链桥 Wormhole
No dia 3 de fevereiro de 2022, um projeto de ponte entre cadeias foi atacado, resultando em perdas de até 326 milhões de dólares. O Hacker explorou uma vulnerabilidade na verificação de assinaturas do contrato do projeto, conseguindo forjar contas do sistema para cunhar uma grande quantidade de tokens.
Fei Protocol sofreu um ataque de flash loan
Em 30 de abril de 2022, o fundo de um determinado protocolo de empréstimo sofreu um ataque de empréstimo relâmpago combinado com um ataque de reentrada, resultando em uma perda de 80,34 milhões de dólares. Este ataque causou um golpe fatal ao projeto, levando-o a anunciar seu fechamento em 20 de agosto.
O atacante primeiro realizou um empréstimo relâmpago de um determinado fundo, e depois, aproveitando uma vulnerabilidade de reentrada existente na plataforma de empréstimos, conseguiu extrair todos os tokens do fundo afetado através de uma função de ataque construída. Por fim, devolveu o empréstimo relâmpago e transferiu os lucros para um contrato designado.
Tipos comuns de vulnerabilidades
Ataque de reentrada ERC721/ERC1155: utiliza a função de notificação de transferência no padrão de token para realizar um ataque de reentrada.
Falhas lógicas:
Considerações insuficientes em cenários especiais, como transferir para si mesmo, levando a criações inexistentes.
O design da funcionalidade não é completo, como a falta de mecanismos de retirada ou liquidação.
Deficiência na gestão de permissões: funções críticas como a cunhagem e a configuração de papéis carecem de controlo de permissões eficaz.
Manipulação de preços:
Oracle de preço médio ponderado pelo tempo não utilizado.
Usar diretamente a proporção do saldo de tokens no contrato como base de preço.
Prevenção de Auditoria
A maioria das vulnerabilidades mencionadas pode ser detectada antes do lançamento do projeto através de plataformas de verificação formal de contratos inteligentes combinadas com a revisão manual de especialistas em segurança. Recomenda-se que as partes do projeto deem importância à auditoria de segurança e corrijam os riscos potenciais de forma oportuna, de acordo com as recomendações dos especialistas.
Ao reforçar o design lógico dos contratos, melhorar a gestão de permissões e otimizar os mecanismos de preços, entre outras medidas de segurança, é possível reduzir efetivamente o risco de ataques. Além disso, a monitorização contínua da segurança e a correção oportuna de vulnerabilidades também são fundamentais para garantir a operação segura de um projeto a longo prazo.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
14 Curtidas
Recompensa
14
3
Compartilhar
Comentário
0/400
TokenAlchemist
· 10h atrás
smh... mais um vetor de transição de estado mal otimizado. 644m em exploits? amadores que escrevem esses contratos precisam estudar a mecânica do MEV fr
Ver originalResponder0
SmartMoneyWallet
· 08-02 16:12
Onde foi parar o dinheiro que esses investidores de retalho perderam? E os 640 milhões?
Ver originalResponder0
TokenomicsTrapper
· 08-02 16:09
chamei - as pontes são literalmente apenas potes de mel à espera de serem rekt... clássico 2022 L tbh
Análise de ataques de hackers no campo Web3 no primeiro semestre de 2022: vulnerabilidades de contratos como principal alvo
Análise dos métodos de ataques hackers no campo do Web3 no primeiro semestre de 2022
No primeiro semestre de 2022, o campo do Web3 enfrentou vários incidentes de segurança significativos, resultando em grandes perdas. Este artigo irá analisar em profundidade as técnicas de ataque comumente usadas por hackers durante esse período, com o objetivo de fornecer referências para a prevenção de segurança na indústria.
Visão Geral da Exploração de Vulnerabilidades
De acordo com os dados de uma plataforma de monitorização de segurança de blockchain, ocorreram 42 incidentes principais de ataques a contratos no primeiro semestre de 2022, representando 53% de todos os tipos de ataques. Esses ataques causaram perdas de cerca de 644 milhões de dólares.
Entre todas as vulnerabilidades exploradas, falhas de lógica ou de design de funções são os alvos mais frequentemente explorados pelos hackers, seguidas por problemas de validação e vulnerabilidades de reentrada.
Análise de Casos de Perda Significativa
Ataque ao ponte跨链桥 Wormhole
No dia 3 de fevereiro de 2022, um projeto de ponte entre cadeias foi atacado, resultando em perdas de até 326 milhões de dólares. O Hacker explorou uma vulnerabilidade na verificação de assinaturas do contrato do projeto, conseguindo forjar contas do sistema para cunhar uma grande quantidade de tokens.
Fei Protocol sofreu um ataque de flash loan
Em 30 de abril de 2022, o fundo de um determinado protocolo de empréstimo sofreu um ataque de empréstimo relâmpago combinado com um ataque de reentrada, resultando em uma perda de 80,34 milhões de dólares. Este ataque causou um golpe fatal ao projeto, levando-o a anunciar seu fechamento em 20 de agosto.
O atacante primeiro realizou um empréstimo relâmpago de um determinado fundo, e depois, aproveitando uma vulnerabilidade de reentrada existente na plataforma de empréstimos, conseguiu extrair todos os tokens do fundo afetado através de uma função de ataque construída. Por fim, devolveu o empréstimo relâmpago e transferiu os lucros para um contrato designado.
Tipos comuns de vulnerabilidades
Prevenção de Auditoria
A maioria das vulnerabilidades mencionadas pode ser detectada antes do lançamento do projeto através de plataformas de verificação formal de contratos inteligentes combinadas com a revisão manual de especialistas em segurança. Recomenda-se que as partes do projeto deem importância à auditoria de segurança e corrijam os riscos potenciais de forma oportuna, de acordo com as recomendações dos especialistas.
Ao reforçar o design lógico dos contratos, melhorar a gestão de permissões e otimizar os mecanismos de preços, entre outras medidas de segurança, é possível reduzir efetivamente o risco de ataques. Além disso, a monitorização contínua da segurança e a correção oportuna de vulnerabilidades também são fundamentais para garantir a operação segura de um projeto a longo prazo.