Phân tích các phương pháp tấn công thường dùng của Hacker Web3: Tổng kết nửa đầu năm 2022
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực Web3 xảy ra thường xuyên, các phương pháp tấn công của Hacker ngày càng đa dạng. Bài viết này sẽ phân tích sâu các phương thức tấn công phổ biến trong giai đoạn này, nhằm cung cấp tham khảo hữu ích cho ngành.
Tóm tắt sự kiện an ninh trong nửa đầu năm
Theo dữ liệu từ một nền tảng giám sát an ninh blockchain, trong nửa đầu năm 2022, đã có tổng cộng 42 sự kiện tấn công chính do lỗ hổng hợp đồng thông minh, chiếm khoảng 53% tổng số phương thức tấn công. Tổng thiệt hại do các sự kiện này gây ra lên đến 644 triệu USD.
Trong tất cả các lỗ hổng bị khai thác, lỗi logic hoặc thiết kế hàm là mục tiêu thường bị Hacker khai thác nhất, tiếp theo là vấn đề xác thực và lỗ hổng tái nhập.
Phân tích sự kiện tổn thất lớn
Wormhole cầu nối đa chuỗi bị tấn công
Ngày 3 tháng 2 năm 2022, dự án cầu nối đa chuỗi Wormhole trong hệ sinh thái Solana đã bị Hacker tấn công, gây thiệt hại khoảng 326 triệu USD. Kẻ tấn công đã tận dụng lỗ hổng xác thực chữ ký trong hợp đồng, thành công giả mạo tài khoản hệ thống để đúc ra một lượng lớn wETH.
Fei Protocol遭受 tấn công flash loan
Vào ngày 30 tháng 4 năm 2022, Rari Fuse Pool thuộc Fei Protocol đã gặp phải một cuộc tấn công kết hợp giữa vay chớp nhoáng và tấn công tái nhập, gây thiệt hại lên đến 80,34 triệu USD. Cuộc tấn công này đã gây ra một cú sốc chí mạng cho dự án, cuối cùng dẫn đến việc Fei Protocol tuyên bố chính thức ngừng hoạt động vào ngày 20 tháng 8.
Kẻ tấn công đã thực hiện cuộc tấn công này thông qua các bước sau:
Lấy khoản vay chớp nhoáng từ giao thức Balancer
Sử dụng vốn vay để thế chấp và vay tại Rari Capital
Do hợp đồng cEther của Rari Capital có lỗ hổng tái nhập, kẻ tấn công đã thành công trong việc rút tất cả các token từ hồ bị ảnh hưởng bằng cách xây dựng hàm gọi lại.
Hoàn trả khoản vay chớp nhoáng, sẽ chuyển lợi nhuận đến hợp đồng được chỉ định
Cuộc tấn công này đã đánh cắp hơn 28380 ETH, tương đương khoảng 8034 triệu đô la Mỹ.
Lỗ hổng thường gặp trong quá trình kiểm toán
Các lỗ hổng thường được phát hiện trong kiểm toán hợp đồng thông minh chủ yếu được chia thành bốn loại:
Tấn công tái nhập ERC721/ERC1155: Khi sử dụng các hàm chuyển tiền an toàn của các tiêu chuẩn này, nếu hợp đồng nhận chứa mã độc hại, có thể xảy ra tấn công tái nhập.
Lỗi logic: bao gồm các tình huống đặc biệt không được xem xét đầy đủ (chẳng hạn như tự chuyển khoản dẫn đến việc tạo ra không có) và thiết kế chức năng không hoàn chỉnh (chẳng hạn như thiếu cơ chế rút tiền hoặc thanh lý).
Thiếu kiểm soát quyền: Các chức năng quan trọng (như đúc tiền, thiết lập vai trò, v.v.) thiếu kiểm tra quyền thích hợp.
Rủi ro thao túng giá: Nếu không sử dụng giá trung bình theo thời gian hoặc sử dụng tỷ lệ số dư token trong hợp đồng trực tiếp làm cơ sở giá.
Khai thác lỗ hổng trong các cuộc tấn công thực tế
Theo dữ liệu giám sát, hầu hết các lỗ hổng được phát hiện trong quá trình kiểm toán đã bị hacker khai thác trong các tình huống thực tế, trong đó lỗ hổng logic hợp đồng vẫn là mục tiêu tấn công chính.
Cần lưu ý rằng thông qua nền tảng xác thực hợp đồng thông minh chuyên nghiệp kết hợp với việc kiểm tra thủ công của các chuyên gia an ninh, những lỗ hổng này đều có thể được phát hiện trong giai đoạn kiểm toán. Các chuyên gia an ninh cũng có thể cung cấp các đề xuất sửa chữa tương ứng sau khi đánh giá, mang đến những tham khảo quan trọng cho các bên dự án.
Kết luận
Với sự phát triển nhanh chóng của hệ sinh thái Web3, vấn đề an toàn ngày càng trở nên nổi bật. Các dự án nên chú trọng đến công việc kiểm toán an toàn của hợp đồng thông minh, sử dụng các công cụ xác minh tiên tiến và kết hợp với đội ngũ chuyên nghiệp để kiểm tra thủ công, nhằm giảm thiểu tối đa rủi ro an toàn và bảo vệ tài sản của người dùng.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Phân tích phương pháp tấn công Hacker Web3: Tổng quan và phân tích sự kiện an ninh nửa đầu năm 2022
Phân tích các phương pháp tấn công thường dùng của Hacker Web3: Tổng kết nửa đầu năm 2022
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực Web3 xảy ra thường xuyên, các phương pháp tấn công của Hacker ngày càng đa dạng. Bài viết này sẽ phân tích sâu các phương thức tấn công phổ biến trong giai đoạn này, nhằm cung cấp tham khảo hữu ích cho ngành.
Tóm tắt sự kiện an ninh trong nửa đầu năm
Theo dữ liệu từ một nền tảng giám sát an ninh blockchain, trong nửa đầu năm 2022, đã có tổng cộng 42 sự kiện tấn công chính do lỗ hổng hợp đồng thông minh, chiếm khoảng 53% tổng số phương thức tấn công. Tổng thiệt hại do các sự kiện này gây ra lên đến 644 triệu USD.
Trong tất cả các lỗ hổng bị khai thác, lỗi logic hoặc thiết kế hàm là mục tiêu thường bị Hacker khai thác nhất, tiếp theo là vấn đề xác thực và lỗ hổng tái nhập.
Phân tích sự kiện tổn thất lớn
Wormhole cầu nối đa chuỗi bị tấn công
Ngày 3 tháng 2 năm 2022, dự án cầu nối đa chuỗi Wormhole trong hệ sinh thái Solana đã bị Hacker tấn công, gây thiệt hại khoảng 326 triệu USD. Kẻ tấn công đã tận dụng lỗ hổng xác thực chữ ký trong hợp đồng, thành công giả mạo tài khoản hệ thống để đúc ra một lượng lớn wETH.
Fei Protocol遭受 tấn công flash loan
Vào ngày 30 tháng 4 năm 2022, Rari Fuse Pool thuộc Fei Protocol đã gặp phải một cuộc tấn công kết hợp giữa vay chớp nhoáng và tấn công tái nhập, gây thiệt hại lên đến 80,34 triệu USD. Cuộc tấn công này đã gây ra một cú sốc chí mạng cho dự án, cuối cùng dẫn đến việc Fei Protocol tuyên bố chính thức ngừng hoạt động vào ngày 20 tháng 8.
Kẻ tấn công đã thực hiện cuộc tấn công này thông qua các bước sau:
Cuộc tấn công này đã đánh cắp hơn 28380 ETH, tương đương khoảng 8034 triệu đô la Mỹ.
Lỗ hổng thường gặp trong quá trình kiểm toán
Các lỗ hổng thường được phát hiện trong kiểm toán hợp đồng thông minh chủ yếu được chia thành bốn loại:
Tấn công tái nhập ERC721/ERC1155: Khi sử dụng các hàm chuyển tiền an toàn của các tiêu chuẩn này, nếu hợp đồng nhận chứa mã độc hại, có thể xảy ra tấn công tái nhập.
Lỗi logic: bao gồm các tình huống đặc biệt không được xem xét đầy đủ (chẳng hạn như tự chuyển khoản dẫn đến việc tạo ra không có) và thiết kế chức năng không hoàn chỉnh (chẳng hạn như thiếu cơ chế rút tiền hoặc thanh lý).
Thiếu kiểm soát quyền: Các chức năng quan trọng (như đúc tiền, thiết lập vai trò, v.v.) thiếu kiểm tra quyền thích hợp.
Rủi ro thao túng giá: Nếu không sử dụng giá trung bình theo thời gian hoặc sử dụng tỷ lệ số dư token trong hợp đồng trực tiếp làm cơ sở giá.
Khai thác lỗ hổng trong các cuộc tấn công thực tế
Theo dữ liệu giám sát, hầu hết các lỗ hổng được phát hiện trong quá trình kiểm toán đã bị hacker khai thác trong các tình huống thực tế, trong đó lỗ hổng logic hợp đồng vẫn là mục tiêu tấn công chính.
Cần lưu ý rằng thông qua nền tảng xác thực hợp đồng thông minh chuyên nghiệp kết hợp với việc kiểm tra thủ công của các chuyên gia an ninh, những lỗ hổng này đều có thể được phát hiện trong giai đoạn kiểm toán. Các chuyên gia an ninh cũng có thể cung cấp các đề xuất sửa chữa tương ứng sau khi đánh giá, mang đến những tham khảo quan trọng cho các bên dự án.
Kết luận
Với sự phát triển nhanh chóng của hệ sinh thái Web3, vấn đề an toàn ngày càng trở nên nổi bật. Các dự án nên chú trọng đến công việc kiểm toán an toàn của hợp đồng thông minh, sử dụng các công cụ xác minh tiên tiến và kết hợp với đội ngũ chuyên nghiệp để kiểm tra thủ công, nhằm giảm thiểu tối đa rủi ro an toàn và bảo vệ tài sản của người dùng.