Web3 Hacker tấn công thường xuyên, thiệt hại trong nửa đầu năm lên đến 6.44 triệu đô la Mỹ

robot
Đang tạo bản tóm tắt

Phân tích các phương pháp tấn công Hacker trong lĩnh vực Web3 nửa đầu năm 2022

Trong nửa đầu năm 2022, lĩnh vực Web3 đã phải đối mặt với nhiều sự kiện an ninh nghiêm trọng. Bài viết này sẽ phân tích sâu các phương thức tấn công hacker thường thấy trong thời gian này, nhằm cung cấp tham khảo cho việc bảo vệ an ninh trong ngành.

Tổng quan về tổn thất tổng thể

Theo dữ liệu từ một nền tảng giám sát an ninh blockchain, trong nửa đầu năm 2022 đã xảy ra 42 sự kiện tấn công lỗ hổng hợp đồng chính, gây thiệt hại tổng cộng lên tới 644 triệu USD. Trong đó, việc khai thác lỗ hổng hợp đồng chiếm 53% trong tất cả các phương thức tấn công.

Trong các loại lỗ hổng bị khai thác, các lỗi thiết kế logic hoặc hàm là mục tiêu mà hacker thường khai thác nhất, tiếp theo là vấn đề xác thực và lỗ hổng tái nhập.

"Nhà hoạt động ẩn danh" phân tích thủ đoạn: Những phương thức tấn công thường được Hacker sử dụng trong Web3 nửa đầu năm 2022 là gì?

Phân tích trường hợp điển hình

Sự cố tấn công cầu chuỗi chéo Wormhole

Vào ngày 3 tháng 2 năm 2022, một dự án cầu nối đa chuỗi đã bị Hacker tấn công, thiệt hại khoảng 3,26 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng xác minh chữ ký trong hợp đồng, thành công giả mạo tài khoản hệ thống để tạo ra một lượng lớn wETH.

"Nhà hoạt động ẩn danh" phân tích cách thức : Những phương thức tấn công thường dùng của hacker Web3 trong nửa đầu năm 2022 là gì?

Sự kiện tấn công Fei Protocol

Vào ngày 30 tháng 4 năm 2022, một giao thức cho vay đã bị tấn công kết hợp giữa vay chớp nhoáng và tấn công tái nhập, gây thiệt hại lên đến 80,34 triệu USD. Cuộc tấn công này đã gây ra tác động tàn phá cho dự án, cuối cùng dẫn đến việc dự án thông báo đóng cửa vào ngày 20 tháng 8.

Kẻ tấn công chủ yếu đã lợi dụng lỗ hổng tái nhập trong hợp đồng cEther trong giao thức. Họ đã sử dụng vay chớp nhoáng để có được vốn ban đầu, sau đó thực hiện các giao dịch vay thế chấp trong hợp đồng mục tiêu. Do có lỗ hổng tái nhập, kẻ tấn công có thể gọi lại hàm rút tiền nhiều lần, cuối cùng đã đánh cắp tất cả các token trong bể.

"Anonymous" chiêu trò phân tích: Những phương thức tấn công thường dùng của Hacker trong Web3 nửa đầu năm 2022 là gì?

Các loại lỗ hổng phổ biến

  1. Tấn công tái nhập ERC721/ERC1155: Sử dụng hàm gọi lại trong tiêu chuẩn token để thực hiện tấn công tái nhập.

"Nhà hoạt động ẩn danh" phân tích chiêu trò: Những phương thức tấn công thường dùng của Hacker trong nửa đầu năm 2022 là gì?

  1. Lỗ hổng logic:
    • Xem xét tình huống đặc biệt không đầy đủ, như chuyển khoản tự động dẫn đến tài sản tăng lên một cách vô lý.
    • Thiết kế chức năng không hoàn thiện, như thiếu sự thực hiện của các thao tác quan trọng.

"Anonymous" chiến thuật phân tích: Các hình thức tấn công thường gặp của Hacker Web3 trong nửa đầu năm 2022 là gì?

  1. Thiếu kiểm soát quyền: Các chức năng quan trọng như đúc tiền, thiết lập vai trò, v.v. thiếu xác thực hiệu quả.

"Người ẩn danh" phân tích chiêu trò: Các phương thức tấn công thường dùng của hacker Web3 trong nửa đầu năm 2022 là gì?

  1. Nghịch giá:
    • Sử dụng oracle không đúng cách, không áp dụng giá trung bình thời gian.
    • Sử dụng tỷ lệ số dư token nội bộ của hợp đồng làm tham chiếu giá.

"Nhà hoạt động ẩn danh" phân tích chiêu thức : Các phương thức tấn công phổ biến của Hacker Web3 trong nửa đầu năm 2022 là gì?

Kiểm toán và Phòng ngừa

Theo thống kê, các loại lỗ hổng được phát hiện trong quá trình kiểm toán có sự tương đồng cao với các lỗ hổng thực tế đã bị khai thác. Trong đó, lỗ hổng logic hợp đồng vẫn là mục tiêu tấn công chính.

"Nhà hoạt động ẩn danh" phân tích chiêu thức: Những phương thức tấn công thường thấy của Hacker trong nửa đầu năm 2022 là gì?

Thông qua nền tảng xác minh hợp đồng thông minh chuyên nghiệp và kiểm tra thủ công của các chuyên gia bảo mật, hầu hết các lỗ hổng đều có thể được phát hiện và sửa chữa trước khi dự án được ra mắt. Điều này làm nổi bật tầm quan trọng của việc thực hiện kiểm toán an toàn toàn diện trong quá trình phát triển dự án.

Để nâng cao tính bảo mật của các dự án Web3, nhóm phát triển được khuyến nghị:

  1. Sử dụng các công nghệ tiên tiến như xác minh hình thức để thực hiện kiểm toán mã.
  2. Đánh giá cao việc kiểm tra an ninh trong các tình huống đặc biệt.
  3. Thực hiện cơ chế quản lý quyền hạn nghiêm ngặt.
  4. Cẩn thận lựa chọn và sử dụng các nguồn dữ liệu bên ngoài như oracle.
  5. Thực hiện đánh giá và cập nhật an ninh định kỳ.

Bằng cách liên tục chú ý đến các vấn đề an ninh và thực hiện các biện pháp phòng ngừa tích cực, các dự án Web3 có thể giảm hiệu quả rủi ro bị tấn công, cung cấp dịch vụ an toàn và đáng tin cậy hơn cho người dùng.

"Anonymous" cách thức phân tích: Những phương thức tấn công thường dùng của Hacker trong Web3 nửa đầu năm 2022 là gì?

W2.88%
FEI-0.12%
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
  • Phần thưởng
  • 6
  • Chia sẻ
Bình luận
0/400
WhaleWatchervip
· 7giờ trước
Được chơi cho Suckers của đồ ngốc đã cao cấp hơn.
Xem bản gốcTrả lời0
ConsensusDissentervip
· 07-19 15:58
又 một đợt đồ ngốc chơi đùa với mọi người hoàn hảo kết thúc
Xem bản gốcTrả lời0
BearMarketLightningvip
· 07-19 15:58
Được chơi cho Suckers ngày thường thôi.
Xem bản gốcTrả lời0
UncleWhalevip
· 07-19 15:55
Thuộc về việc gì cũng không làm được, đứng đầu về tấn công.
Xem bản gốcTrả lời0
BearMarketSagevip
· 07-19 15:43
又被 chơi đùa với mọi người了心累
Xem bản gốcTrả lời0
PoetryOnChainvip
· 07-19 15:34
Tiền đã bị hacker lấy mất thật khó chịu.
Xem bản gốcTrả lời0
Giao dịch tiền điện tử mọi lúc mọi nơi
qrCode
Quét để tải xuống ứng dụng Gate
Cộng đồng
Tiếng Việt
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)