Phân tích các phương pháp tấn công Hacker Web3: Các lỗ hổng phổ biến và chiến lược phòng ngừa trong nửa đầu năm 2022
Trong nửa đầu năm 2022, tình hình an ninh trong lĩnh vực Web3 rất nghiêm trọng. Theo dữ liệu từ một nền tảng giám sát an ninh blockchain, chỉ riêng các vụ tấn công chính do lỗ hổng hợp đồng thông minh đã lên tới 42 vụ, tổng thiệt hại lên đến 644 triệu USD. Trong số các vụ tấn công này, các lỗ hổng do sai sót trong thiết kế logic hoặc hàm là những gì hacker thường khai thác nhất, tiếp theo là vấn đề xác thực và lỗ hổng tái nhập.
Xem lại các trường hợp tổn thất lớn
Đầu tháng 2, một dự án cầu nối đa chuỗi đã遭遇 cuộc tấn công lớn trị giá 326 triệu USD. Hacker đã lợi dụng lỗ hổng xác minh chữ ký trong hợp đồng, thành công trong việc làm giả tài khoản để đúc ra một lượng lớn token.
Cuối tháng 4, một giao thức cho vay DeFi đã bị tấn công bằng cách sử dụng flash loan và tấn công tái nhập, gây thiệt hại 80,34 triệu USD. Cuộc tấn công này đã gây ra cú sốc chí mạng cho dự án, cuối cùng dẫn đến việc họ thông báo ngừng hoạt động vào tháng 8.
Cụ thể phân tích một trường hợp tấn công:
Kẻ tấn công trước tiên vay vốn từ pool thanh khoản DEX.
Đặt cọc vay vốn đã mượn tại giao thức mục tiêu
Lợi dụng lỗ hổng tái nhập trong hợp đồng cEther, rút tài sản từ hồ bơi nhiều lần.
Hoàn trả khoản vay chớp nhoáng, chuyển lợi nhuận
Cuộc tấn công này chủ yếu lợi dụng lỗ hổng tái nhập trong hợp đồng giao thức, gây ra thiệt hại hơn 28.000 ETH.
Các loại lỗ hổng thường gặp
Các lỗ hổng phổ biến nhất trong quá trình kiểm toán có thể được chia thành bốn loại lớn:
Tấn công tái nhập ERC721/ERC1155: Nhúng mã độc vào hàm thông báo chuyển giao.
Lỗ hổng logic: không xem xét đầy đủ các tình huống đặc biệt, thiết kế chức năng chưa hoàn thiện
Thiếu kiểm soát quyền: Các hoạt động quan trọng không được thiết lập xác thực quyền.
Thao túng giá: Sử dụng oracle không đúng cách, phương pháp tính toán giá có khuyết điểm
Những lỗ hổng này đã từng bị Hacker khai thác thành công trong các tình huống thực tế, trong đó lỗ hổng logic hợp đồng là phương thức tấn công chính.
Đề xuất an toàn
Tuân thủ nghiêm ngặt mô hình "Kiểm tra - Hiệu lực - Tương tác" để thiết kế logic kinh doanh
Xem xét toàn diện các tình huống biên và cảnh đặc biệt.
Đặt quyền kiểm soát nghiêm ngặt cho tất cả các hoạt động quan trọng
Sử dụng oracle đáng tin cậy và áp dụng giá trung bình theo thời gian.
Thực hiện kiểm toán an ninh toàn diện và được đội ngũ chuyên nghiệp cung cấp đề xuất sửa chữa.
Thông qua nền tảng xác minh hợp đồng thông minh chuyên nghiệp và kiểm toán thủ công của các chuyên gia an ninh, hầu hết các lỗ hổng có thể được phát hiện và sửa chữa trước khi dự án ra mắt. Các bên dự án Web3 nên coi trọng việc xây dựng an ninh, coi kiểm toán an ninh là một bước cần thiết trước khi phát hành.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Báo cáo an ninh Web3: 42 cuộc tấn công trong nửa đầu năm 2022 gây thiệt hại 644 triệu USD
Phân tích các phương pháp tấn công Hacker Web3: Các lỗ hổng phổ biến và chiến lược phòng ngừa trong nửa đầu năm 2022
Trong nửa đầu năm 2022, tình hình an ninh trong lĩnh vực Web3 rất nghiêm trọng. Theo dữ liệu từ một nền tảng giám sát an ninh blockchain, chỉ riêng các vụ tấn công chính do lỗ hổng hợp đồng thông minh đã lên tới 42 vụ, tổng thiệt hại lên đến 644 triệu USD. Trong số các vụ tấn công này, các lỗ hổng do sai sót trong thiết kế logic hoặc hàm là những gì hacker thường khai thác nhất, tiếp theo là vấn đề xác thực và lỗ hổng tái nhập.
Xem lại các trường hợp tổn thất lớn
Đầu tháng 2, một dự án cầu nối đa chuỗi đã遭遇 cuộc tấn công lớn trị giá 326 triệu USD. Hacker đã lợi dụng lỗ hổng xác minh chữ ký trong hợp đồng, thành công trong việc làm giả tài khoản để đúc ra một lượng lớn token.
Cuối tháng 4, một giao thức cho vay DeFi đã bị tấn công bằng cách sử dụng flash loan và tấn công tái nhập, gây thiệt hại 80,34 triệu USD. Cuộc tấn công này đã gây ra cú sốc chí mạng cho dự án, cuối cùng dẫn đến việc họ thông báo ngừng hoạt động vào tháng 8.
Cụ thể phân tích một trường hợp tấn công:
Cuộc tấn công này chủ yếu lợi dụng lỗ hổng tái nhập trong hợp đồng giao thức, gây ra thiệt hại hơn 28.000 ETH.
Các loại lỗ hổng thường gặp
Các lỗ hổng phổ biến nhất trong quá trình kiểm toán có thể được chia thành bốn loại lớn:
Những lỗ hổng này đã từng bị Hacker khai thác thành công trong các tình huống thực tế, trong đó lỗ hổng logic hợp đồng là phương thức tấn công chính.
Đề xuất an toàn
Thông qua nền tảng xác minh hợp đồng thông minh chuyên nghiệp và kiểm toán thủ công của các chuyên gia an ninh, hầu hết các lỗ hổng có thể được phát hiện và sửa chữa trước khi dự án ra mắt. Các bên dự án Web3 nên coi trọng việc xây dựng an ninh, coi kiểm toán an ninh là một bước cần thiết trước khi phát hành.