Análise das Táticas de Ataque de Hackers Web3: Vulnerabilidades Comuns e Estratégias de Prevenção no Primeiro Semestre de 2022
No primeiro semestre de 2022, a situação de segurança no campo do Web3 era grave. De acordo com os dados de uma plataforma de monitoramento de segurança de blockchain, apenas os principais casos de ataque causados por vulnerabilidades em contratos inteligentes somaram 42, com perdas totais que alcançaram 644 milhões de dólares. Entre esses ataques, as falhas de lógica ou de design de funções foram as vulnerabilidades mais frequentemente exploradas pelos hackers, seguidas por problemas de validação e vulnerabilidades de reentrada.
Revisão de Casos de Grandes Perdas
No início de fevereiro, um projeto de ponte cross-chain sofreu um enorme ataque de 326 milhões de dólares. O Hacker explorou uma vulnerabilidade na verificação de assinatura do contrato, conseguindo falsificar contas e cunhar uma grande quantidade de tokens.
No final de abril, um protocolo de empréstimo DeFi sofreu um ataque de reentrada com empréstimos relâmpago, resultando em uma perda de 80,34 milhões de dólares. Este ataque trouxe um golpe fatal ao projeto, levando-o a anunciar o encerramento em agosto.
Análise específica de um caso de ataque:
O atacante primeiro obtém fundos de empréstimo relâmpago da pool de liquidez DEX.
Colocar os fundos emprestados em empréstimo colateral no protocolo alvo
Aproveitar a vulnerabilidade de reentrada no contrato cEther para retirar repetidamente os ativos do pool
Devolver o empréstimo relâmpago, transferir lucros
Este ataque explorou principalmente uma vulnerabilidade de reentrada no contrato do protocolo, resultando em perdas superiores a 28.000 ETH.
Tipos Comuns de Vulnerabilidades
As falhas mais comuns durante o processo de auditoria podem ser divididas em quatro grandes categorias:
Ataque de reentrada ERC721/ERC1155: inserir código malicioso na função de notificação de transferência
Falha lógica: consideração insuficiente de cenários especiais, design funcional incompleto
Falta de controle de permissões: operações críticas não têm verificação de permissões definida.
Manipulação de preços: uso indevido de oráculos, defeitos na forma de cálculo dos preços
Essas vulnerabilidades foram exploradas com sucesso por hackers em cenários reais, sendo que as vulnerabilidades lógicas de contrato são o principal meio de ataque.
Sugestões de segurança
Seguir rigorosamente o modo de design de lógica de negócios "verificar-efetuar-interagir"
Considerar todas as situações limite e cenários especiais.
Definir controles de permissão rigorosos para todas as operações críticas
Utilizar oráculos confiáveis e adotar o preço médio ponderado pelo tempo
Realizar uma auditoria de segurança abrangente e receber recomendações de correção de uma equipe profissional
Através de uma plataforma de verificação de contratos inteligentes profissional e auditorias manuais por especialistas em segurança, a maioria das vulnerabilidades pode ser identificada e corrigida antes do lançamento do projeto. As equipas de projetos Web3 devem dar importância à construção de segurança, considerando a auditoria de segurança como uma etapa necessária antes do lançamento.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
10 gostos
Recompensa
10
5
Partilhar
Comentar
0/400
DoomCanister
· 12h atrás
Outra vez foram usados os Cupões de Recorte.
Ver originalResponder0
GateUser-afe07a92
· 12h atrás
gm, já foram fazer as pessoas de parvas uma vez!
Ver originalResponder0
NeverVoteOnDAO
· 12h atrás
É um roubo à vista, é melhor ser um ladrão.
Ver originalResponder0
JustAnotherWallet
· 12h atrás
Zezé, os velhos hackers ganharam dinheiro de novo.
Ver originalResponder0
RunWhenCut
· 12h atrás
6 bilhões de dólares fazer as pessoas de parvas e sair
Relatório de segurança Web3: 42 ataques no primeiro semestre de 2022 resultaram em perdas de 644 milhões de dólares.
Análise das Táticas de Ataque de Hackers Web3: Vulnerabilidades Comuns e Estratégias de Prevenção no Primeiro Semestre de 2022
No primeiro semestre de 2022, a situação de segurança no campo do Web3 era grave. De acordo com os dados de uma plataforma de monitoramento de segurança de blockchain, apenas os principais casos de ataque causados por vulnerabilidades em contratos inteligentes somaram 42, com perdas totais que alcançaram 644 milhões de dólares. Entre esses ataques, as falhas de lógica ou de design de funções foram as vulnerabilidades mais frequentemente exploradas pelos hackers, seguidas por problemas de validação e vulnerabilidades de reentrada.
Revisão de Casos de Grandes Perdas
No início de fevereiro, um projeto de ponte cross-chain sofreu um enorme ataque de 326 milhões de dólares. O Hacker explorou uma vulnerabilidade na verificação de assinatura do contrato, conseguindo falsificar contas e cunhar uma grande quantidade de tokens.
No final de abril, um protocolo de empréstimo DeFi sofreu um ataque de reentrada com empréstimos relâmpago, resultando em uma perda de 80,34 milhões de dólares. Este ataque trouxe um golpe fatal ao projeto, levando-o a anunciar o encerramento em agosto.
Análise específica de um caso de ataque:
Este ataque explorou principalmente uma vulnerabilidade de reentrada no contrato do protocolo, resultando em perdas superiores a 28.000 ETH.
Tipos Comuns de Vulnerabilidades
As falhas mais comuns durante o processo de auditoria podem ser divididas em quatro grandes categorias:
Essas vulnerabilidades foram exploradas com sucesso por hackers em cenários reais, sendo que as vulnerabilidades lógicas de contrato são o principal meio de ataque.
Sugestões de segurança
Através de uma plataforma de verificação de contratos inteligentes profissional e auditorias manuais por especialistas em segurança, a maioria das vulnerabilidades pode ser identificada e corrigida antes do lançamento do projeto. As equipas de projetos Web3 devem dar importância à construção de segurança, considerando a auditoria de segurança como uma etapa necessária antes do lançamento.