Analisis Metode Serangan Hacker di Bidang Web3 Paruh Pertama 2022
Pada paruh pertama tahun 2022, bidang Web3 mengalami beberapa insiden keamanan yang signifikan. Artikel ini akan menganalisis secara mendalam metode serangan hacker yang umum selama periode ini, dengan harapan dapat memberikan referensi untuk perlindungan keamanan industri.
Gambaran Umum Kerugian
Menurut data dari platform pemantauan keamanan blockchain tertentu, pada paruh pertama tahun 2022 terjadi 42 insiden serangan kerentanan kontrak utama, yang menyebabkan total kerugian mencapai 644 juta dolar AS. Di antara itu, eksploitasi kerentanan kontrak menyumbang 53% dari semua metode serangan.
Di antara berbagai celah yang dimanfaatkan, cacat desain logika atau fungsi adalah target paling umum yang dimanfaatkan oleh Hacker, diikuti oleh masalah verifikasi dan celah reentrancy.
Analisis Kasus Klasik
Insiden serangan jembatan lintas rantai Wormhole
Pada 3 Februari 2022, sebuah proyek jembatan lintas rantai diserang oleh Hacker, menyebabkan kerugian sekitar 3,26 juta dolar AS. Penyerang memanfaatkan celah verifikasi tanda tangan dalam kontrak, berhasil memalsukan akun sistem dan mencetak sejumlah besar wETH.
Kejadian serangan Fei Protocol
Pada 30 April 2022, suatu protokol pinjaman mengalami serangan pinjaman kilat yang dikombinasikan dengan serangan reentrancy, dengan kerugian mencapai 80,34 juta dolar. Serangan ini memberikan dampak yang menghancurkan bagi proyek, yang akhirnya mengakibatkan proyek tersebut mengumumkan penutupan pada 20 Agustus.
Penyerang terutama memanfaatkan kerentanan reentrancy pada kontrak yang diimplementasikan oleh cEther dalam protokol. Dengan menggunakan pinjaman kilat untuk mendapatkan dana awal, mereka kemudian melakukan operasi pinjam-meminjam pada kontrak target. Karena adanya kerentanan reentrancy, penyerang dapat memanggil fungsi penarikan berulang kali, dan akhirnya mencuri semua token di dalam kolam.
Jenis Kerentanan Umum
Serangan reentrancy ERC721/ERC1155: Memanfaatkan fungsi callback dalam standar token untuk melakukan serangan reentrancy.
Celah logika:
Pertimbangan untuk skenario khusus tidak memadai, seperti transfer sendiri yang menyebabkan peningkatan aset secara tiba-tiba.
Desain fungsional tidak lengkap, seperti kurangnya implementasi operasi kunci.
Kekurangan kontrol akses: Fitur penting seperti pencetakan uang, pengaturan peran, dll. tidak memiliki otentikasi yang efektif.
Manipulasi harga:
Penggunaan oracle yang tidak tepat, tidak menggunakan harga rata-rata tertimbang waktu.
Menggunakan proporsi saldo token internal kontrak sebagai referensi harga.
Audit dan Pencegahan
Menurut statistik, jenis kerentanan yang ditemukan selama proses audit sangat sesuai dengan kerentanan yang sebenarnya dieksploitasi. Di antara itu, kerentanan logika kontrak tetap menjadi target serangan utama.
Melalui platform verifikasi kontrak pintar yang profesional dan tinjauan manual oleh ahli keamanan, sebagian besar kerentanan dapat ditemukan dan diperbaiki sebelum proyek diluncurkan. Ini menegaskan pentingnya melakukan audit keamanan yang menyeluruh selama proses pengembangan proyek.
Untuk meningkatkan keamanan proyek Web3, disarankan agar tim pengembang:
Menggunakan teknologi canggih seperti verifikasi formal untuk melakukan audit kode.
Pentingnya pengujian keamanan dalam skenario khusus.
Menerapkan mekanisme manajemen hak akses yang ketat.
Pilih dengan hati-hati dan gunakan sumber data eksternal seperti oracle.
Lakukan penilaian dan pembaruan keamanan secara berkala.
Dengan terus memantau masalah keamanan dan mengambil langkah-langkah pencegahan yang aktif, proyek Web3 dapat secara efektif mengurangi risiko diserang, memberikan layanan yang lebih aman dan dapat diandalkan kepada pengguna.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
17 Suka
Hadiah
17
8
Bagikan
Komentar
0/400
LeekCutter
· 07-22 14:58
Aduh, sudah Dianggap Bodoh lagi.
Lihat AsliBalas0
ForkTrooper
· 07-22 14:30
Kontraknya tidak ditulis dengan baik, ya.
Lihat AsliBalas0
WhaleWatcher
· 07-21 14:13
Dianggap Bodoh的手法都更高端了
Lihat AsliBalas0
ConsensusDissenter
· 07-19 15:58
Sekali lagi, pemotongan para suckers berjalan dengan sempurna.
Lihat AsliBalas0
BearMarketLightning
· 07-19 15:58
Dianggap Bodoh sehari-hari saja
Lihat AsliBalas0
UncleWhale
· 07-19 15:55
Milik siapa yang tidak bisa melakukan apa-apa, peringkat pertama serangan.
Lihat AsliBalas0
BearMarketSage
· 07-19 15:43
lagi-lagi dipermainkan, capek hati
Lihat AsliBalas0
PoetryOnChain
· 07-19 15:34
Uangnya sudah diambil oleh Hacker, sangat sulit untuk ditanggung.
Web3 Hacker serangan sering terjadi, kerugian mencapai 6,44 juta dolar AS pada paruh pertama tahun ini.
Analisis Metode Serangan Hacker di Bidang Web3 Paruh Pertama 2022
Pada paruh pertama tahun 2022, bidang Web3 mengalami beberapa insiden keamanan yang signifikan. Artikel ini akan menganalisis secara mendalam metode serangan hacker yang umum selama periode ini, dengan harapan dapat memberikan referensi untuk perlindungan keamanan industri.
Gambaran Umum Kerugian
Menurut data dari platform pemantauan keamanan blockchain tertentu, pada paruh pertama tahun 2022 terjadi 42 insiden serangan kerentanan kontrak utama, yang menyebabkan total kerugian mencapai 644 juta dolar AS. Di antara itu, eksploitasi kerentanan kontrak menyumbang 53% dari semua metode serangan.
Di antara berbagai celah yang dimanfaatkan, cacat desain logika atau fungsi adalah target paling umum yang dimanfaatkan oleh Hacker, diikuti oleh masalah verifikasi dan celah reentrancy.
Analisis Kasus Klasik
Insiden serangan jembatan lintas rantai Wormhole
Pada 3 Februari 2022, sebuah proyek jembatan lintas rantai diserang oleh Hacker, menyebabkan kerugian sekitar 3,26 juta dolar AS. Penyerang memanfaatkan celah verifikasi tanda tangan dalam kontrak, berhasil memalsukan akun sistem dan mencetak sejumlah besar wETH.
Kejadian serangan Fei Protocol
Pada 30 April 2022, suatu protokol pinjaman mengalami serangan pinjaman kilat yang dikombinasikan dengan serangan reentrancy, dengan kerugian mencapai 80,34 juta dolar. Serangan ini memberikan dampak yang menghancurkan bagi proyek, yang akhirnya mengakibatkan proyek tersebut mengumumkan penutupan pada 20 Agustus.
Penyerang terutama memanfaatkan kerentanan reentrancy pada kontrak yang diimplementasikan oleh cEther dalam protokol. Dengan menggunakan pinjaman kilat untuk mendapatkan dana awal, mereka kemudian melakukan operasi pinjam-meminjam pada kontrak target. Karena adanya kerentanan reentrancy, penyerang dapat memanggil fungsi penarikan berulang kali, dan akhirnya mencuri semua token di dalam kolam.
Jenis Kerentanan Umum
Audit dan Pencegahan
Menurut statistik, jenis kerentanan yang ditemukan selama proses audit sangat sesuai dengan kerentanan yang sebenarnya dieksploitasi. Di antara itu, kerentanan logika kontrak tetap menjadi target serangan utama.
Melalui platform verifikasi kontrak pintar yang profesional dan tinjauan manual oleh ahli keamanan, sebagian besar kerentanan dapat ditemukan dan diperbaiki sebelum proyek diluncurkan. Ini menegaskan pentingnya melakukan audit keamanan yang menyeluruh selama proses pengembangan proyek.
Untuk meningkatkan keamanan proyek Web3, disarankan agar tim pengembang:
Dengan terus memantau masalah keamanan dan mengambil langkah-langkah pencegahan yang aktif, proyek Web3 dapat secara efektif mengurangi risiko diserang, memberikan layanan yang lebih aman dan dapat diandalkan kepada pengguna.