Phân tích phương thức tấn công Hacker trong lĩnh vực Web3 nửa đầu năm 2022
Trong nửa đầu năm 2022, lĩnh vực Web3 đã gặp phải nhiều sự kiện an ninh nghiêm trọng, gây ra thiệt hại lớn. Bài viết này sẽ phân tích sâu các phương thức tấn công thường được hacker sử dụng trong giai đoạn này, nhằm cung cấp những tham khảo về phòng ngừa an ninh cho ngành.
Tổng quan về việc khai thác lỗ hổng
Theo dữ liệu từ một nền tảng giám sát an ninh blockchain, trong nửa đầu năm 2022 đã xảy ra 42 vụ tấn công lỗ hổng hợp đồng chính, chiếm 53% tổng số phương thức tấn công. Những cuộc tấn công này đã gây ra thiệt hại khoảng 644 triệu đô la.
Trong tất cả các lỗ hổng bị khai thác, khuyết điểm thiết kế logic hoặc hàm là mục tiêu phổ biến nhất mà hacker thường khai thác, tiếp theo là các vấn đề xác thực và lỗ hổng tái nhập.
Phân tích trường hợp mất mát lớn
Sự kiện tấn công cầu nối đa chuỗi Wormhole
Ngày 3 tháng 2 năm 2022, một dự án cầu chuỗi chéo đã bị tấn công, thiệt hại lên tới 3,26 triệu USD. Hacker đã lợi dụng lỗ hổng xác thực chữ ký trong hợp đồng của dự án, thành công giả mạo tài khoản hệ thống để đúc ra một lượng lớn token.
Fei Protocol bị tấn công bởi vay mượn chớp nhoáng
Vào ngày 30 tháng 4 năm 2022, một quỹ của giao thức cho vay đã bị tấn công bằng cách kết hợp vay nhanh và tấn công reentrancy, gây thiệt hại 80,34 triệu USD. Cuộc tấn công này đã gây ra một cú sốc chết người cho dự án, cuối cùng dẫn đến việc dự án tuyên bố đóng cửa vào ngày 20 tháng 8.
Kẻ tấn công đầu tiên thực hiện một khoản vay chớp nhoáng từ một quỹ, sau đó lợi dụng lỗ hổng tái nhập tồn tại trong nền tảng cho vay, thông qua hàm tấn công được xây dựng, đã thành công rút tất cả token trong quỹ bị ảnh hưởng. Cuối cùng, hoàn trả khoản vay chớp nhoáng và chuyển lợi nhuận vào hợp đồng đã chỉ định.
Các loại lỗ hổng phổ biến
Tấn công reentrancy ERC721/ERC1155: Lợi dụng hàm thông báo chuyển nhượng trong tiêu chuẩn token để thực hiện tấn công reentrancy.
Lỗi logic:
Cân nhắc không đầy đủ trong các tình huống đặc biệt, chẳng hạn như tự chuyển tiền cho bản thân dẫn đến việc vô hình sinh ra.
Thiết kế chức năng không hoàn thiện, chẳng hạn như thiếu cơ chế rút tiền hoặc thanh lý.
Thiếu sót trong quản lý quyền: Các chức năng quan trọng như đúc tiền, thiết lập vai trò, v.v. thiếu kiểm soát quyền hiệu quả.
Thao túng giá:
Oracle giá trung bình thời gian không sử dụng.
Sử dụng tỷ lệ số dư token trong hợp đồng trực tiếp làm cơ sở giá.
Phòng ngừa kiểm toán
Các lỗ hổng trên chủ yếu có thể được phát hiện trước khi dự án ra mắt thông qua nền tảng xác minh hợp đồng thông minh chuyên nghiệp kết hợp với việc kiểm tra thủ công của các chuyên gia an ninh. Đề nghị các bên dự án chú trọng đến kiểm toán an ninh và kịp thời khắc phục các rủi ro tiềm ẩn theo khuyến nghị của các chuyên gia.
Bằng cách tăng cường thiết kế logic hợp đồng, hoàn thiện quản lý quyền, tối ưu hóa cơ chế giá cả và các biện pháp an ninh khác, có thể giảm thiểu hiệu quả rủi ro bị tấn công. Đồng thời, việc giám sát an ninh liên tục và sửa chữa lỗ hổng kịp thời cũng là chìa khóa để đảm bảo dự án hoạt động an toàn lâu dài.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
14 thích
Phần thưởng
14
3
Chia sẻ
Bình luận
0/400
TokenAlchemist
· 10giờ trước
smh... lại một vector chuyển trạng thái tối ưu kém nữa. 644m trong các vụ khai thác? Những người viết hợp đồng này cần phải nghiên cứu cơ chế MEV thật sự.
Xem bản gốcTrả lời0
SmartMoneyWallet
· 08-02 16:12
Những khoản lỗ của các nhà đầu tư bán lẻ này cuối cùng đã đi đâu? 6 tỷ 4 đâu?
Xem bản gốcTrả lời0
TokenomicsTrapper
· 08-02 16:09
gọi nó - cầu thực sự chỉ là hũ mật ong đang chờ bị rekt... cổ điển 2022 L tbh
Phân tích các cuộc tấn công hacker trong lĩnh vực Web3 nửa đầu năm 2022: Lỗ hổng hợp đồng trở thành mục tiêu chính
Phân tích phương thức tấn công Hacker trong lĩnh vực Web3 nửa đầu năm 2022
Trong nửa đầu năm 2022, lĩnh vực Web3 đã gặp phải nhiều sự kiện an ninh nghiêm trọng, gây ra thiệt hại lớn. Bài viết này sẽ phân tích sâu các phương thức tấn công thường được hacker sử dụng trong giai đoạn này, nhằm cung cấp những tham khảo về phòng ngừa an ninh cho ngành.
Tổng quan về việc khai thác lỗ hổng
Theo dữ liệu từ một nền tảng giám sát an ninh blockchain, trong nửa đầu năm 2022 đã xảy ra 42 vụ tấn công lỗ hổng hợp đồng chính, chiếm 53% tổng số phương thức tấn công. Những cuộc tấn công này đã gây ra thiệt hại khoảng 644 triệu đô la.
Trong tất cả các lỗ hổng bị khai thác, khuyết điểm thiết kế logic hoặc hàm là mục tiêu phổ biến nhất mà hacker thường khai thác, tiếp theo là các vấn đề xác thực và lỗ hổng tái nhập.
Phân tích trường hợp mất mát lớn
Sự kiện tấn công cầu nối đa chuỗi Wormhole
Ngày 3 tháng 2 năm 2022, một dự án cầu chuỗi chéo đã bị tấn công, thiệt hại lên tới 3,26 triệu USD. Hacker đã lợi dụng lỗ hổng xác thực chữ ký trong hợp đồng của dự án, thành công giả mạo tài khoản hệ thống để đúc ra một lượng lớn token.
Fei Protocol bị tấn công bởi vay mượn chớp nhoáng
Vào ngày 30 tháng 4 năm 2022, một quỹ của giao thức cho vay đã bị tấn công bằng cách kết hợp vay nhanh và tấn công reentrancy, gây thiệt hại 80,34 triệu USD. Cuộc tấn công này đã gây ra một cú sốc chết người cho dự án, cuối cùng dẫn đến việc dự án tuyên bố đóng cửa vào ngày 20 tháng 8.
Kẻ tấn công đầu tiên thực hiện một khoản vay chớp nhoáng từ một quỹ, sau đó lợi dụng lỗ hổng tái nhập tồn tại trong nền tảng cho vay, thông qua hàm tấn công được xây dựng, đã thành công rút tất cả token trong quỹ bị ảnh hưởng. Cuối cùng, hoàn trả khoản vay chớp nhoáng và chuyển lợi nhuận vào hợp đồng đã chỉ định.
Các loại lỗ hổng phổ biến
Phòng ngừa kiểm toán
Các lỗ hổng trên chủ yếu có thể được phát hiện trước khi dự án ra mắt thông qua nền tảng xác minh hợp đồng thông minh chuyên nghiệp kết hợp với việc kiểm tra thủ công của các chuyên gia an ninh. Đề nghị các bên dự án chú trọng đến kiểm toán an ninh và kịp thời khắc phục các rủi ro tiềm ẩn theo khuyến nghị của các chuyên gia.
Bằng cách tăng cường thiết kế logic hợp đồng, hoàn thiện quản lý quyền, tối ưu hóa cơ chế giá cả và các biện pháp an ninh khác, có thể giảm thiểu hiệu quả rủi ro bị tấn công. Đồng thời, việc giám sát an ninh liên tục và sửa chữa lỗ hổng kịp thời cũng là chìa khóa để đảm bảo dự án hoạt động an toàn lâu dài.