Análisis de las técnicas de ataque de hackers en el ámbito Web3 en la primera mitad de 2022
En la primera mitad de 2022, el campo de Web3 sufrió varios eventos de seguridad importantes. Este artículo realizará un análisis profundo de los métodos de ataque de hackers comunes durante este período, con la esperanza de proporcionar referencias para la protección de la seguridad en la industria.
Resumen de Pérdidas Generales
Según los datos de una plataforma de monitoreo de seguridad de blockchain, en la primera mitad de 2022 se produjeron 42 incidentes importantes de ataques a contratos, causando pérdidas totales de hasta 644 millones de dólares. De estos, la explotación de vulnerabilidades en contratos representó el 53% de todos los métodos de ataque.
Entre las diversas vulnerabilidades explotadas, los defectos de diseño lógico o de funciones son los objetivos más comúnmente utilizados por los Hacker, seguidos por problemas de validación y vulnerabilidades de reentrada.
Análisis de casos típicos
Evento de ataque del puente跨链桥 Wormhole
El 3 de febrero de 2022, un proyecto de puente entre cadenas fue atacado por un Hacker, con pérdidas de aproximadamente 326 millones de dólares. Los atacantes aprovecharon una vulnerabilidad en la verificación de firmas del contrato para falsificar con éxito cuentas del sistema y acuñar una gran cantidad de wETH.
Incidente de ataque de Fei Protocol
El 30 de abril de 2022, un protocolo de préstamo sufrió un ataque combinado de préstamo relámpago y reentrada, con pérdidas de hasta 80.34 millones de dólares. Este ataque causó un golpe devastador al proyecto, que finalmente anunció su cierre el 20 de agosto.
Los atacantes aprovecharon principalmente la vulnerabilidad de reentrada en el contrato cEther implementado en el protocolo. Obtuvieron fondos iniciales mediante préstamos relámpago y luego realizaron operaciones de préstamo y colateral en el contrato objetivo. Debido a la vulnerabilidad de reentrada, los atacantes pudieron llamar repetidamente a la función de extracción, robando finalmente todos los tokens del fondo.
Tipos de vulnerabilidades comunes
Ataque de reentrada ERC721/ERC1155: Utilizar la función de callback en el estándar de token para llevar a cabo un ataque de reentrada.
Vulnerabilidades lógicas:
Consideraciones inadecuadas en escenarios especiales, como la transferencia interna que provoca un aumento de activos de la nada.
El diseño de funciones no está completo, como la falta de implementación de operaciones clave.
Falta de control de permisos: funciones clave como la acuñación y la configuración de roles carecen de autenticación efectiva.
Manipulación de precios:
Uso indebido del oráculo, no se utilizó el precio medio ponderado por tiempo.
Utilizar directamente la proporción del saldo de tokens internos del contrato como referencia de precio.
Auditoría y Prevención
Según estadísticas, los tipos de vulnerabilidades encontradas durante el proceso de auditoría coinciden en gran medida con las vulnerabilidades que realmente han sido explotadas. Entre ellas, las vulnerabilidades lógicas de los contratos siguen siendo el principal objetivo de ataque.
A través de una plataforma profesional de verificación de contratos inteligentes y la revisión manual por parte de expertos en seguridad, la mayoría de las vulnerabilidades pueden ser detectadas y corregidas antes de que el proyecto se lance. Esto destaca la importancia de realizar auditorías de seguridad exhaustivas durante el proceso de desarrollo del proyecto.
Para mejorar la seguridad de los proyectos Web3, se recomienda al equipo de desarrollo:
Utilizar tecnologías avanzadas como la verificación formal para la auditoría de código.
Dar importancia a las pruebas de seguridad en escenarios especiales.
Implementar un mecanismo de gestión de permisos estricto.
Elegir y utilizar cuidadosamente oráculos y otras fuentes de datos externas.
Realizar evaluaciones de seguridad y actualizaciones periódicas.
A través de la atención continua a los problemas de seguridad y la adopción de medidas de prevención proactivas, los proyectos de Web3 pueden reducir eficazmente el riesgo de ser atacados, proporcionando a los usuarios servicios más seguros y confiables.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
11 me gusta
Recompensa
11
6
Compartir
Comentar
0/400
WhaleWatcher
· hace7h
Las técnicas para tomar a la gente por tonta son más sofisticadas.
Ver originalesResponder0
ConsensusDissenter
· 07-19 15:58
Otra ola de tontos tomar a la gente por tonta ha terminado perfectamente.
Ver originalesResponder0
BearMarketLightning
· 07-19 15:58
Ser engañados día a día
Ver originalesResponder0
UncleWhale
· 07-19 15:55
pertenece a la categoría de no hacer nada bien, el primer lugar en ataques
Ver originalesResponder0
BearMarketSage
· 07-19 15:43
Otra vez me tomaron por tonto, estoy cansado de esto.
Ver originalesResponder0
PoetryOnChain
· 07-19 15:34
El dinero ha sido robado por hackers, es realmente difícil de soportar.
Los ataques de hackers en Web3 son frecuentes, y las pérdidas alcanzaron los 644 millones de dólares en la primera mitad del año.
Análisis de las técnicas de ataque de hackers en el ámbito Web3 en la primera mitad de 2022
En la primera mitad de 2022, el campo de Web3 sufrió varios eventos de seguridad importantes. Este artículo realizará un análisis profundo de los métodos de ataque de hackers comunes durante este período, con la esperanza de proporcionar referencias para la protección de la seguridad en la industria.
Resumen de Pérdidas Generales
Según los datos de una plataforma de monitoreo de seguridad de blockchain, en la primera mitad de 2022 se produjeron 42 incidentes importantes de ataques a contratos, causando pérdidas totales de hasta 644 millones de dólares. De estos, la explotación de vulnerabilidades en contratos representó el 53% de todos los métodos de ataque.
Entre las diversas vulnerabilidades explotadas, los defectos de diseño lógico o de funciones son los objetivos más comúnmente utilizados por los Hacker, seguidos por problemas de validación y vulnerabilidades de reentrada.
Análisis de casos típicos
Evento de ataque del puente跨链桥 Wormhole
El 3 de febrero de 2022, un proyecto de puente entre cadenas fue atacado por un Hacker, con pérdidas de aproximadamente 326 millones de dólares. Los atacantes aprovecharon una vulnerabilidad en la verificación de firmas del contrato para falsificar con éxito cuentas del sistema y acuñar una gran cantidad de wETH.
Incidente de ataque de Fei Protocol
El 30 de abril de 2022, un protocolo de préstamo sufrió un ataque combinado de préstamo relámpago y reentrada, con pérdidas de hasta 80.34 millones de dólares. Este ataque causó un golpe devastador al proyecto, que finalmente anunció su cierre el 20 de agosto.
Los atacantes aprovecharon principalmente la vulnerabilidad de reentrada en el contrato cEther implementado en el protocolo. Obtuvieron fondos iniciales mediante préstamos relámpago y luego realizaron operaciones de préstamo y colateral en el contrato objetivo. Debido a la vulnerabilidad de reentrada, los atacantes pudieron llamar repetidamente a la función de extracción, robando finalmente todos los tokens del fondo.
Tipos de vulnerabilidades comunes
Auditoría y Prevención
Según estadísticas, los tipos de vulnerabilidades encontradas durante el proceso de auditoría coinciden en gran medida con las vulnerabilidades que realmente han sido explotadas. Entre ellas, las vulnerabilidades lógicas de los contratos siguen siendo el principal objetivo de ataque.
A través de una plataforma profesional de verificación de contratos inteligentes y la revisión manual por parte de expertos en seguridad, la mayoría de las vulnerabilidades pueden ser detectadas y corregidas antes de que el proyecto se lance. Esto destaca la importancia de realizar auditorías de seguridad exhaustivas durante el proceso de desarrollo del proyecto.
Para mejorar la seguridad de los proyectos Web3, se recomienda al equipo de desarrollo:
A través de la atención continua a los problemas de seguridad y la adopción de medidas de prevención proactivas, los proyectos de Web3 pueden reducir eficazmente el riesgo de ser atacados, proporcionando a los usuarios servicios más seguros y confiables.