Análise das técnicas de ataque de hackers no campo do Web3 no primeiro semestre de 2022
No primeiro semestre de 2022, o setor Web3 sofreu várias incidências de segurança significativas. Este artigo fará uma análise aprofundada dos métodos comuns de ataque de hackers durante este período, com o objetivo de fornecer referências para a proteção de segurança da indústria.
Visão Geral das Perdas Totais
De acordo com os dados de uma plataforma de monitoramento de segurança de blockchain, ocorreram 42 ataques a contratos importantes na primeira metade de 2022, resultando em perdas totais de até 644 milhões de dólares. Dentre estes, a exploração de vulnerabilidades de contratos representou 53% de todos os métodos de ataque.
Entre os vários tipos de vulnerabilidades exploradas, as falhas de lógica ou design de funções são os alvos mais frequentemente explorados por hackers, seguidas por problemas de validação e vulnerabilidades de reentrada.
Análise de Casos Típicos
Evento de ataque da ponte Wormhole
No dia 3 de fevereiro de 2022, um projeto de ponte entre cadeias foi alvo de um Hacker, resultando em perdas de cerca de 326 milhões de dólares. Os atacantes exploraram uma vulnerabilidade na verificação de assinaturas do contrato, conseguindo falsificar contas do sistema e acuando uma grande quantidade de wETH.
Evento de ataque ao Fei Protocol
No dia 30 de abril de 2022, um determinado protocolo de empréstimo sofreu um ataque de empréstimo relâmpago combinado com um ataque de reentrada, resultando em perdas de até 80,34 milhões de dólares. Este ataque causou um impacto devastador no projeto, levando finalmente ao anúncio do fechamento do projeto em 20 de agosto.
Os atacantes exploraram principalmente a vulnerabilidade de reentrada do contrato implementado no cEther do protocolo. Obtiveram fundos iniciais através de um empréstimo relâmpago, e em seguida realizaram operações de empréstimo colateral no contrato alvo. Devido à vulnerabilidade de reentrada, os atacantes puderam chamar repetidamente a função de retirada, conseguindo assim roubar todos os tokens do pool.
Tipos Comuns de Vulnerabilidades
Ataque de reentrada ERC721/ERC1155: utilização das funções de callback no padrão de tokens para realizar um ataque de reentrada.
Falhas lógicas:
Considerações inadequadas em cenários especiais, como transferências internas que resultam em aumento de ativos do nada.
O design da funcionalidade não é completo, como a falta de implementação de operações chave.
Falta de controle de permissões: funções críticas como a cunhagem e a configuração de papéis carecem de autenticação eficaz.
Manipulação de preços:
Uso inadequado do oráculo, não utilizando o preço médio ponderado pelo tempo.
Usar diretamente a proporção do saldo de tokens internos do contrato como referência de preço.
Auditoria e Prevenção
Segundo estatísticas, os tipos de vulnerabilidades descobertos durante o processo de auditoria coincidem altamente com as vulnerabilidades realmente exploradas. Entre elas, as vulnerabilidades na lógica dos contratos continuam a ser o principal alvo de ataques.
Através de uma plataforma profissional de verificação de contratos inteligentes e da revisão manual por especialistas em segurança, a maioria das vulnerabilidades pode ser descoberta e corrigida antes do lançamento do projeto. Isto destaca a importância de realizar uma auditoria de segurança abrangente durante o processo de desenvolvimento do projeto.
Para aumentar a segurança dos projetos Web3, recomenda-se às equipas de desenvolvimento:
Utilizar técnicas avançadas como validação formal para auditoria de código.
Dar importância aos testes de segurança em cenários especiais.
Implementar um mecanismo rigoroso de gestão de permissões.
Selecione e use cuidadosamente oráculos e outras fontes de dados externas.
Realizar avaliações de segurança e atualizações regularmente.
Ao continuar a prestar atenção às questões de segurança e a adotar medidas de prevenção ativas, os projetos Web3 podem reduzir efetivamente o risco de ataques, proporcionando aos usuários serviços mais seguros e fiáveis.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
11 Curtidas
Recompensa
11
6
Compartilhar
Comentário
0/400
WhaleWatcher
· 7h atrás
As técnicas de fazer as pessoas de parvas tornaram-se mais avançadas.
Ver originalResponder0
ConsensusDissenter
· 07-19 15:58
Outra onda de fazer as pessoas de parvas terminou de forma perfeita
Ver originalResponder0
BearMarketLightning
· 07-19 15:58
Ser enganado por idiotas dia após dia.
Ver originalResponder0
UncleWhale
· 07-19 15:55
pertence a quem não consegue fazer nada, primeiro em ataques
Ver originalResponder0
BearMarketSage
· 07-19 15:43
Outra vez, fizeram as pessoas de parvas, estou cansado de coração.
Ver originalResponder0
PoetryOnChain
· 07-19 15:34
O dinheiro foi roubado pelos hackers, é realmente difícil de suportar.
Web3 Hacker ataques frequentes, perdas atingem 6,44 milhões de dólares no primeiro semestre.
Análise das técnicas de ataque de hackers no campo do Web3 no primeiro semestre de 2022
No primeiro semestre de 2022, o setor Web3 sofreu várias incidências de segurança significativas. Este artigo fará uma análise aprofundada dos métodos comuns de ataque de hackers durante este período, com o objetivo de fornecer referências para a proteção de segurança da indústria.
Visão Geral das Perdas Totais
De acordo com os dados de uma plataforma de monitoramento de segurança de blockchain, ocorreram 42 ataques a contratos importantes na primeira metade de 2022, resultando em perdas totais de até 644 milhões de dólares. Dentre estes, a exploração de vulnerabilidades de contratos representou 53% de todos os métodos de ataque.
Entre os vários tipos de vulnerabilidades exploradas, as falhas de lógica ou design de funções são os alvos mais frequentemente explorados por hackers, seguidas por problemas de validação e vulnerabilidades de reentrada.
Análise de Casos Típicos
Evento de ataque da ponte Wormhole
No dia 3 de fevereiro de 2022, um projeto de ponte entre cadeias foi alvo de um Hacker, resultando em perdas de cerca de 326 milhões de dólares. Os atacantes exploraram uma vulnerabilidade na verificação de assinaturas do contrato, conseguindo falsificar contas do sistema e acuando uma grande quantidade de wETH.
Evento de ataque ao Fei Protocol
No dia 30 de abril de 2022, um determinado protocolo de empréstimo sofreu um ataque de empréstimo relâmpago combinado com um ataque de reentrada, resultando em perdas de até 80,34 milhões de dólares. Este ataque causou um impacto devastador no projeto, levando finalmente ao anúncio do fechamento do projeto em 20 de agosto.
Os atacantes exploraram principalmente a vulnerabilidade de reentrada do contrato implementado no cEther do protocolo. Obtiveram fundos iniciais através de um empréstimo relâmpago, e em seguida realizaram operações de empréstimo colateral no contrato alvo. Devido à vulnerabilidade de reentrada, os atacantes puderam chamar repetidamente a função de retirada, conseguindo assim roubar todos os tokens do pool.
Tipos Comuns de Vulnerabilidades
Auditoria e Prevenção
Segundo estatísticas, os tipos de vulnerabilidades descobertos durante o processo de auditoria coincidem altamente com as vulnerabilidades realmente exploradas. Entre elas, as vulnerabilidades na lógica dos contratos continuam a ser o principal alvo de ataques.
Através de uma plataforma profissional de verificação de contratos inteligentes e da revisão manual por especialistas em segurança, a maioria das vulnerabilidades pode ser descoberta e corrigida antes do lançamento do projeto. Isto destaca a importância de realizar uma auditoria de segurança abrangente durante o processo de desenvolvimento do projeto.
Para aumentar a segurança dos projetos Web3, recomenda-se às equipas de desenvolvimento:
Ao continuar a prestar atenção às questões de segurança e a adotar medidas de prevenção ativas, os projetos Web3 podem reduzir efetivamente o risco de ataques, proporcionando aos usuários serviços mais seguros e fiáveis.