Análisis de técnicas de ataque de hackers en Web3: vulnerabilidades comunes y estrategias de prevención en la primera mitad de 2022
En la primera mitad de 2022, la situación de seguridad en el ámbito de Web3 fue grave. Según los datos de una plataforma de monitoreo de seguridad blockchain, solo los casos principales de ataques causados por vulnerabilidades en contratos inteligentes alcanzaron los 42, con pérdidas totales de hasta 644 millones de dólares. En estos ataques, las deficiencias en el diseño lógico o de funciones son las vulnerabilidades más comúnmente explotadas por los hackers, seguidas de problemas de verificación y vulnerabilidades de reentrada.
Revisión de casos de pérdidas significativas
A principios de febrero, un proyecto de puente de cadena cruzada sufrió un enorme ataque de 326 millones de dólares. El Hacker aprovechó una vulnerabilidad de verificación de firma en el contrato para falsificar cuentas y acuñar una gran cantidad de tokens.
A finales de abril, un protocolo de préstamo DeFi sufrió un ataque de préstamo relámpago y reentrada, con pérdidas de 80.34 millones de dólares. Este ataque dio un golpe mortal al proyecto, lo que finalmente llevó a su anuncio de cierre en agosto.
Análisis específico de un caso de ataque:
El atacante primero toma un préstamo relámpago de los fondos del pool de liquidez DEX.
Colocar los fondos prestados como garantía en el protocolo objetivo.
Aprovechar la vulnerabilidad de reentrada en el contrato cEther para extraer repetidamente activos del pool.
Devolver el préstamo relámpago, transferir ganancias
Este ataque se aprovechó principalmente de una vulnerabilidad de reentrada en el contrato del protocolo, causando una pérdida de más de 28,000 ETH.
Tipos de vulnerabilidades comunes
Las vulnerabilidades más comunes en el proceso de auditoría se pueden clasificar en cuatro grandes categorías:
Ataque de reentrada ERC721/ERC1155: Inyección de código malicioso en la función de notificación de transferencia
Vulnerabilidades lógicas: falta de consideración en escenarios especiales, diseño funcional incompleto
Falta de control de permisos: las operaciones clave no tienen verificación de permisos establecida.
Manipulación de precios: uso indebido de oráculos, defectos en el método de cálculo de precios
Estas vulnerabilidades han sido aprovechadas con éxito por hackers en escenarios reales, siendo las vulnerabilidades de lógica de contratos el principal medio de ataque.
Sugerencias de seguridad
Seguir estrictamente el diseño de la lógica de negocio del modo "inspección-efecto-interacción"
Considerar de manera integral diversas condiciones límite y escenarios especiales
Establecer un control de permisos estricto para todas las operaciones clave
Utilizar oráculos confiables y adoptar el precio promedio ponderado por tiempo
Realizar una auditoría de seguridad completa y recibir recomendaciones de reparación de un equipo profesional.
A través de plataformas de verificación de contratos inteligentes profesionales y auditorías manuales de expertos en seguridad, la mayoría de las vulnerabilidades pueden ser detectadas y corregidas antes de que el proyecto se lance. Los equipos de proyectos Web3 deben dar importancia a la construcción de la seguridad, considerando la auditoría de seguridad como un paso necesario antes del lanzamiento.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
10 me gusta
Recompensa
10
5
Compartir
Comentar
0/400
DoomCanister
· hace11h
Otra vez me han dado cupones de clip.
Ver originalesResponder0
GateUser-afe07a92
· hace11h
gm, ¡tomar a la gente por tonta otra vez!
Ver originalesResponder0
NeverVoteOnDAO
· hace11h
Es un robo a mano armada, ni siquiera es mejor que robar.
Ver originalesResponder0
JustAnotherWallet
· hace11h
Tsk tsk, los viejos hackers han vuelto a ganar dinero.
Ver originalesResponder0
RunWhenCut
· hace12h
6 millones de dólares tomar a la gente por tonta y salir corriendo
Informe de seguridad de Web3: 42 ataques en la primera mitad de 2022 causaron pérdidas de 644 millones de dólares.
Análisis de técnicas de ataque de hackers en Web3: vulnerabilidades comunes y estrategias de prevención en la primera mitad de 2022
En la primera mitad de 2022, la situación de seguridad en el ámbito de Web3 fue grave. Según los datos de una plataforma de monitoreo de seguridad blockchain, solo los casos principales de ataques causados por vulnerabilidades en contratos inteligentes alcanzaron los 42, con pérdidas totales de hasta 644 millones de dólares. En estos ataques, las deficiencias en el diseño lógico o de funciones son las vulnerabilidades más comúnmente explotadas por los hackers, seguidas de problemas de verificación y vulnerabilidades de reentrada.
Revisión de casos de pérdidas significativas
A principios de febrero, un proyecto de puente de cadena cruzada sufrió un enorme ataque de 326 millones de dólares. El Hacker aprovechó una vulnerabilidad de verificación de firma en el contrato para falsificar cuentas y acuñar una gran cantidad de tokens.
A finales de abril, un protocolo de préstamo DeFi sufrió un ataque de préstamo relámpago y reentrada, con pérdidas de 80.34 millones de dólares. Este ataque dio un golpe mortal al proyecto, lo que finalmente llevó a su anuncio de cierre en agosto.
Análisis específico de un caso de ataque:
Este ataque se aprovechó principalmente de una vulnerabilidad de reentrada en el contrato del protocolo, causando una pérdida de más de 28,000 ETH.
Tipos de vulnerabilidades comunes
Las vulnerabilidades más comunes en el proceso de auditoría se pueden clasificar en cuatro grandes categorías:
Estas vulnerabilidades han sido aprovechadas con éxito por hackers en escenarios reales, siendo las vulnerabilidades de lógica de contratos el principal medio de ataque.
Sugerencias de seguridad
A través de plataformas de verificación de contratos inteligentes profesionales y auditorías manuales de expertos en seguridad, la mayoría de las vulnerabilidades pueden ser detectadas y corregidas antes de que el proyecto se lance. Los equipos de proyectos Web3 deben dar importancia a la construcción de la seguridad, considerando la auditoría de seguridad como un paso necesario antes del lanzamiento.