Análise das técnicas de ataque comuns dos hackers Web3: Revisão do primeiro semestre de 2022
No primeiro semestre de 2022, os eventos de segurança no campo do Web3 foram frequentes, com técnicas de ataque de hackers surgindo continuamente. Este artigo irá analisar em profundidade os métodos de ataque comuns durante este período, com a esperança de fornecer referências úteis para a indústria.
Resumo dos eventos de segurança do primeiro semestre
De acordo com os dados de uma plataforma de monitoramento de segurança de blockchain, ocorreram 42 principais incidentes de ataque devido a vulnerabilidades em contratos inteligentes no primeiro semestre de 2022, representando cerca de 53% de todos os tipos de ataque. As perdas totais causadas por esses incidentes chegaram a 644 milhões de dólares.
Entre todas as vulnerabilidades exploradas, as falhas de lógica ou de design de funções são os alvos mais frequentemente explorados por hackers, seguidas por problemas de validação e vulnerabilidades de reentrada.
Análise de Eventos de Grandes Perdas
Wormhole ponte entre cadeias foi atacada
No dia 3 de fevereiro de 2022, o projeto de ponte cross-chain da ecologia Solana, Wormhole, foi invadido por hackers, resultando em uma perda de cerca de 326 milhões de dólares. Os atacantes exploraram uma vulnerabilidade na verificação de assinatura do contrato, conseguindo falsificar contas do sistema para criar uma grande quantidade de wETH.
O Fei Protocol foi alvo de um ataque de empréstimo relâmpago
No dia 30 de abril de 2022, o Rari Fuse Pool, pertencente ao Fei Protocol, sofreu um ataque de empréstimo relâmpago combinado com um ataque de reentrada, resultando em uma perda de 80,34 milhões de dólares. Este ataque causou um golpe fatal ao projeto, levando o Fei Protocol a anunciar oficialmente seu encerramento em 20 de agosto.
O atacante executou este ataque através dos seguintes passos:
Obter um empréstimo relâmpago do protocolo Balancer
Utilizar fundos emprestados para fazer empréstimos garantidos na Rari Capital
Devido a uma vulnerabilidade de reentrada no contrato cEther da Rari Capital, os atacantes conseguiram extrair todos os tokens do pool afetado, construindo uma função de callback.
Devolver o empréstimo relâmpago, transferindo os lucros para o contrato designado
Este ataque resultou no roubo de mais de 28380 ETH, aproximadamente 8034 milhões de dólares.
Vulnerabilidades Comuns no Processo de Auditoria
As vulnerabilidades mais comuns encontradas em auditorias de contratos inteligentes são principalmente divididas em quatro categorias:
Ataque de reentrada ERC721/ERC1155: Ao usar as funções de transferência seguras desses padrões, se o contrato do destinatário contiver código malicioso, pode ocorrer um ataque de reentrada.
Vulnerabilidade lógica: inclui consideração inadequada de cenários especiais (como transferências que resultam em criação de valor do nada) e design de funcionalidades incompleto (como a falta de mecanismos de retirada ou liquidação).
Falta de controle de permissões: funções chave (como a cunhagem, configuração de papéis, etc.) carecem de verificações de permissões adequadas.
Risco de manipulação de preços: se não for utilizado o preço médio ponderado pelo tempo ou se for utilizado diretamente a proporção do saldo de tokens no contrato como base de preço.
Exploração de Vulnerabilidades em Ataques Reais
De acordo com os dados de monitoramento, quase todas as vulnerabilidades encontradas na auditoria foram exploradas por hackers em cenários reais, sendo que as vulnerabilidades lógicas de contratos continuam a ser o principal alvo de ataque.
É importante notar que, através de uma plataforma de verificação formal de contratos inteligentes especializada, combinada com a revisão manual de especialistas em segurança, essas vulnerabilidades podem ser detectadas na fase de auditoria. Os especialistas em segurança também podem fornecer recomendações de correção após a avaliação, oferecendo referências importantes para os responsáveis pelo projeto.
Conclusão
Com o rápido desenvolvimento do ecossistema Web3, os problemas de segurança tornaram-se cada vez mais evidentes. As equipes de projeto devem dar importância à auditoria de segurança dos contratos inteligentes, utilizando ferramentas de validação avançadas e combinando com a revisão manual de equipes profissionais, a fim de reduzir ao máximo os riscos de segurança e garantir a segurança dos ativos dos usuários.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Análise das técnicas de ataque de hackers Web3: Revisão e análise dos eventos de segurança no primeiro semestre de 2022
Análise das técnicas de ataque comuns dos hackers Web3: Revisão do primeiro semestre de 2022
No primeiro semestre de 2022, os eventos de segurança no campo do Web3 foram frequentes, com técnicas de ataque de hackers surgindo continuamente. Este artigo irá analisar em profundidade os métodos de ataque comuns durante este período, com a esperança de fornecer referências úteis para a indústria.
Resumo dos eventos de segurança do primeiro semestre
De acordo com os dados de uma plataforma de monitoramento de segurança de blockchain, ocorreram 42 principais incidentes de ataque devido a vulnerabilidades em contratos inteligentes no primeiro semestre de 2022, representando cerca de 53% de todos os tipos de ataque. As perdas totais causadas por esses incidentes chegaram a 644 milhões de dólares.
Entre todas as vulnerabilidades exploradas, as falhas de lógica ou de design de funções são os alvos mais frequentemente explorados por hackers, seguidas por problemas de validação e vulnerabilidades de reentrada.
Análise de Eventos de Grandes Perdas
Wormhole ponte entre cadeias foi atacada
No dia 3 de fevereiro de 2022, o projeto de ponte cross-chain da ecologia Solana, Wormhole, foi invadido por hackers, resultando em uma perda de cerca de 326 milhões de dólares. Os atacantes exploraram uma vulnerabilidade na verificação de assinatura do contrato, conseguindo falsificar contas do sistema para criar uma grande quantidade de wETH.
O Fei Protocol foi alvo de um ataque de empréstimo relâmpago
No dia 30 de abril de 2022, o Rari Fuse Pool, pertencente ao Fei Protocol, sofreu um ataque de empréstimo relâmpago combinado com um ataque de reentrada, resultando em uma perda de 80,34 milhões de dólares. Este ataque causou um golpe fatal ao projeto, levando o Fei Protocol a anunciar oficialmente seu encerramento em 20 de agosto.
O atacante executou este ataque através dos seguintes passos:
Este ataque resultou no roubo de mais de 28380 ETH, aproximadamente 8034 milhões de dólares.
Vulnerabilidades Comuns no Processo de Auditoria
As vulnerabilidades mais comuns encontradas em auditorias de contratos inteligentes são principalmente divididas em quatro categorias:
Ataque de reentrada ERC721/ERC1155: Ao usar as funções de transferência seguras desses padrões, se o contrato do destinatário contiver código malicioso, pode ocorrer um ataque de reentrada.
Vulnerabilidade lógica: inclui consideração inadequada de cenários especiais (como transferências que resultam em criação de valor do nada) e design de funcionalidades incompleto (como a falta de mecanismos de retirada ou liquidação).
Falta de controle de permissões: funções chave (como a cunhagem, configuração de papéis, etc.) carecem de verificações de permissões adequadas.
Risco de manipulação de preços: se não for utilizado o preço médio ponderado pelo tempo ou se for utilizado diretamente a proporção do saldo de tokens no contrato como base de preço.
Exploração de Vulnerabilidades em Ataques Reais
De acordo com os dados de monitoramento, quase todas as vulnerabilidades encontradas na auditoria foram exploradas por hackers em cenários reais, sendo que as vulnerabilidades lógicas de contratos continuam a ser o principal alvo de ataque.
É importante notar que, através de uma plataforma de verificação formal de contratos inteligentes especializada, combinada com a revisão manual de especialistas em segurança, essas vulnerabilidades podem ser detectadas na fase de auditoria. Os especialistas em segurança também podem fornecer recomendações de correção após a avaliação, oferecendo referências importantes para os responsáveis pelo projeto.
Conclusão
Com o rápido desenvolvimento do ecossistema Web3, os problemas de segurança tornaram-se cada vez mais evidentes. As equipes de projeto devem dar importância à auditoria de segurança dos contratos inteligentes, utilizando ferramentas de validação avançadas e combinando com a revisão manual de equipes profissionais, a fim de reduzir ao máximo os riscos de segurança e garantir a segurança dos ativos dos usuários.