Analisis Metode Serangan Umum oleh Hacker Web3: Tinjauan Paruh Pertama 2022
Pada paruh pertama tahun 2022, insiden keamanan di bidang Web3 sering terjadi, dengan metode serangan Hacker yang bermunculan. Artikel ini akan melakukan analisis mendalam terhadap metode serangan yang umum selama periode ini, dengan harapan dapat memberikan referensi yang berguna untuk industri.
Ringkasan Insiden Keamanan Semester Pertama
Menurut data dari suatu platform pemantauan keamanan blockchain, terdapat total 42 insiden serangan utama yang disebabkan oleh kerentanan kontrak pintar pada paruh pertama tahun 2022, yang mencakup sekitar 53% dari semua jenis serangan. Total kerugian yang ditimbulkan mencapai 644 juta USD.
Di antara semua celah yang dieksploitasi, cacat desain logika atau fungsi adalah target yang paling sering digunakan oleh Hacker, diikuti oleh masalah verifikasi dan celah reentrancy.
Analisis Peristiwa Kerugian Besar
Jembatan lintas rantai Wormhole diserang
Pada 3 Februari 2022, proyek jembatan lintas rantai ekosistem Solana, Wormhole, diserang oleh Hacker, dengan kerugian sekitar 326 juta dolar. Penyerang memanfaatkan celah verifikasi tanda tangan dalam kontrak, berhasil memalsukan akun sistem untuk mencetak sejumlah besar token wETH.
Fei Protocol mengalami serangan pinjaman kilat
Pada 30 April 2022, Rari Fuse Pool di bawah Fei Protocol mengalami serangan pinjaman kilat yang dikombinasikan dengan serangan reentrancy, yang menyebabkan kerugian sebesar 80,34 juta dolar AS. Serangan ini memberikan pukulan fatal kepada proyek tersebut, yang akhirnya menyebabkan Fei Protocol mengumumkan penutupan resminya pada 20 Agustus.
Penyerang melaksanakan serangan ini melalui langkah-langkah berikut:
Dapatkan pinjaman kilat dari protokol Balancer
Menggunakan dana yang dipinjam untuk melakukan pinjaman dengan jaminan di Rari Capital
Karena adanya celah reentrancy pada kontrak cEther milik Rari Capital, penyerang berhasil mengekstrak semua token dari kolam yang terpengaruh dengan membangun fungsi callback.
Mengembalikan pinjaman kilat, akan memindahkan keuntungan ke kontrak yang ditentukan
Serangan kali ini berhasil mencuri lebih dari 28380 ETH, setara dengan 8034 juta dolar.
Kerentanan Umum dalam Proses Audit
Vulnérabilitas yang paling sering ditemukan dalam audit kontrak pintar terutama dibagi menjadi empat kategori:
Serangan reentrancy ERC721/ERC1155: Saat menggunakan fungsi transfer aman dari standar ini, jika kontrak penerima mengandung kode jahat, dapat menyebabkan serangan reentrancy.
Celah logika: termasuk pertimbangan yang tidak lengkap untuk skenario khusus (seperti transfer diri yang mengakibatkan penciptaan uang baru) dan desain fungsi yang tidak sempurna (seperti kurangnya mekanisme penarikan atau likuidasi).
Kekurangan kontrol hak akses: Fitur kunci (seperti pencetakan koin, pengaturan peran, dll.) tidak memiliki pemeriksaan hak akses yang memadai.
Risiko manipulasi harga: jika tidak menggunakan harga rata-rata tertimbang berdasarkan waktu atau langsung menggunakan proporsi saldo token dalam kontrak sebagai dasar harga.
Eksploitasi Kerentanan dalam Serangan Nyata
Menurut data pemantauan, hampir semua kerentanan yang ditemukan dalam audit telah dieksploitasi oleh Hacker dalam skenario nyata, di mana kerentanan logika kontrak masih menjadi target utama serangan.
Perlu dicatat bahwa melalui platform verifikasi formal kontrak pintar yang profesional yang dipadukan dengan pemeriksaan manual oleh ahli keamanan, kerentanan ini dapat ditemukan pada tahap audit. Ahli keamanan juga dapat memberikan saran perbaikan yang sesuai setelah evaluasi, memberikan referensi penting bagi pihak proyek.
Kesimpulan
Dengan perkembangan cepat ekosistem Web3, masalah keamanan semakin menonjol. Pihak proyek harus memperhatikan pekerjaan audit keamanan kontrak pintar, menggunakan alat verifikasi yang canggih dan menggabungkannya dengan audit manual oleh tim profesional, untuk meminimalkan risiko keamanan dan melindungi keamanan aset pengguna.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Analisis Metode Serangan Hacker Web3: Tinjauan dan Analisis Kejadian Keamanan pada Paruh Pertama Tahun 2022
Analisis Metode Serangan Umum oleh Hacker Web3: Tinjauan Paruh Pertama 2022
Pada paruh pertama tahun 2022, insiden keamanan di bidang Web3 sering terjadi, dengan metode serangan Hacker yang bermunculan. Artikel ini akan melakukan analisis mendalam terhadap metode serangan yang umum selama periode ini, dengan harapan dapat memberikan referensi yang berguna untuk industri.
Ringkasan Insiden Keamanan Semester Pertama
Menurut data dari suatu platform pemantauan keamanan blockchain, terdapat total 42 insiden serangan utama yang disebabkan oleh kerentanan kontrak pintar pada paruh pertama tahun 2022, yang mencakup sekitar 53% dari semua jenis serangan. Total kerugian yang ditimbulkan mencapai 644 juta USD.
Di antara semua celah yang dieksploitasi, cacat desain logika atau fungsi adalah target yang paling sering digunakan oleh Hacker, diikuti oleh masalah verifikasi dan celah reentrancy.
Analisis Peristiwa Kerugian Besar
Jembatan lintas rantai Wormhole diserang
Pada 3 Februari 2022, proyek jembatan lintas rantai ekosistem Solana, Wormhole, diserang oleh Hacker, dengan kerugian sekitar 326 juta dolar. Penyerang memanfaatkan celah verifikasi tanda tangan dalam kontrak, berhasil memalsukan akun sistem untuk mencetak sejumlah besar token wETH.
Fei Protocol mengalami serangan pinjaman kilat
Pada 30 April 2022, Rari Fuse Pool di bawah Fei Protocol mengalami serangan pinjaman kilat yang dikombinasikan dengan serangan reentrancy, yang menyebabkan kerugian sebesar 80,34 juta dolar AS. Serangan ini memberikan pukulan fatal kepada proyek tersebut, yang akhirnya menyebabkan Fei Protocol mengumumkan penutupan resminya pada 20 Agustus.
Penyerang melaksanakan serangan ini melalui langkah-langkah berikut:
Serangan kali ini berhasil mencuri lebih dari 28380 ETH, setara dengan 8034 juta dolar.
Kerentanan Umum dalam Proses Audit
Vulnérabilitas yang paling sering ditemukan dalam audit kontrak pintar terutama dibagi menjadi empat kategori:
Serangan reentrancy ERC721/ERC1155: Saat menggunakan fungsi transfer aman dari standar ini, jika kontrak penerima mengandung kode jahat, dapat menyebabkan serangan reentrancy.
Celah logika: termasuk pertimbangan yang tidak lengkap untuk skenario khusus (seperti transfer diri yang mengakibatkan penciptaan uang baru) dan desain fungsi yang tidak sempurna (seperti kurangnya mekanisme penarikan atau likuidasi).
Kekurangan kontrol hak akses: Fitur kunci (seperti pencetakan koin, pengaturan peran, dll.) tidak memiliki pemeriksaan hak akses yang memadai.
Risiko manipulasi harga: jika tidak menggunakan harga rata-rata tertimbang berdasarkan waktu atau langsung menggunakan proporsi saldo token dalam kontrak sebagai dasar harga.
Eksploitasi Kerentanan dalam Serangan Nyata
Menurut data pemantauan, hampir semua kerentanan yang ditemukan dalam audit telah dieksploitasi oleh Hacker dalam skenario nyata, di mana kerentanan logika kontrak masih menjadi target utama serangan.
Perlu dicatat bahwa melalui platform verifikasi formal kontrak pintar yang profesional yang dipadukan dengan pemeriksaan manual oleh ahli keamanan, kerentanan ini dapat ditemukan pada tahap audit. Ahli keamanan juga dapat memberikan saran perbaikan yang sesuai setelah evaluasi, memberikan referensi penting bagi pihak proyek.
Kesimpulan
Dengan perkembangan cepat ekosistem Web3, masalah keamanan semakin menonjol. Pihak proyek harus memperhatikan pekerjaan audit keamanan kontrak pintar, menggunakan alat verifikasi yang canggih dan menggabungkannya dengan audit manual oleh tim profesional, untuk meminimalkan risiko keamanan dan melindungi keamanan aset pengguna.