Análisis de las técnicas de ataque de hackers Web3 en la primera mitad de 2022: las vulnerabilidades de los contratos siguen siendo la principal amenaza
Análisis de las vulnerabilidades de seguridad en el ámbito de Web3: Análisis de las técnicas de ataque de hackers en la primera mitad de 2022
En el informe de seguridad de Web3, analizamos en profundidad la situación general en el campo de la seguridad de blockchain, incluyendo el monto total de pérdidas, tipos de proyectos atacados, pérdidas en cada plataforma de cadena, métodos de ataque, flujos de fondos y auditorías de proyectos, entre otros aspectos. Este artículo se centrará en interpretar los métodos de ataque más comunes utilizados por hackers de Web3 en la primera mitad de 2022, explorando cuáles son las vulnerabilidades más frecuentes y cómo prevenirlas de manera efectiva.
Escala de pérdidas causadas por vulnerabilidades en la primera mitad del año
La monitorización de la plataforma de datos mostró que en la primera mitad de 2022 ocurrieron 42 incidentes principales de ataques a contratos, lo que representa aproximadamente el 53% de todos los métodos de ataque. Las pérdidas totales causadas por estos ataques ascendieron a 644 millones 400 mil dólares.
Entre todas las vulnerabilidades explotadas, las fallas de diseño lógico o de función son el objetivo más comúnmente aprovechado por los Hackers, seguidas de los problemas de validación y las vulnerabilidades de reentrada.
Análisis de eventos de pérdidas significativas
En febrero de 2022, el proyecto de puente entre cadenas Solana, Wormhole, fue atacado, sufriendo una pérdida de aproximadamente 326 millones de dólares. El hacker aprovechó una vulnerabilidad en la verificación de firmas del contrato para falsificar cuentas y acuñar wETH.
El 30 de abril de 2022, el Rari Fuse Pool de Fei Protocol sufrió un ataque de reentrada por préstamo relámpago, causando pérdidas de 80.34 millones de dólares. Este ataque tuvo un golpe mortal para el proyecto, lo que llevó a que finalmente el 20 de agosto se anunciara su cierre.
Análisis de casos de ataque de Fei Protocol
El atacante aprovechó la vulnerabilidad de reentrada en el contrato del cEther de Rari Capital. El flujo del ataque es el siguiente:
Realizar un préstamo relámpago desde Balancer: Vault
Utilizar fondos de préstamo relámpago para realizar préstamos colaterales en Rari Capital
A través de ataques a las funciones de devolución de llamada del contrato, extraer todos los tokens del pool afectado.
Devolver el préstamo relámpago, transferir las ganancias del ataque
Este ataque robó más de 28380 ETH (aproximadamente 8034 millones de dólares).
Tipos comunes de vulnerabilidades en auditorías
Ataques de reentrada ERC721/ERC1155: Al utilizar las funciones de transferencia de estos estándares, se puede activar código malicioso que provoca ataques de reentrada.
Vulnerabilidades lógicas:
Consideraciones insuficientes en escenarios especiales, como transferirse dinero a uno mismo, lo que resulta en la creación de dinero de la nada.
El diseño de funciones no es completo, como la falta de funciones de extracción o liquidación.
Falta de autenticación: Funciones clave como acuñación, configuración de roles de contrato, etc. carecen de control de permisos.
Manipulación de precios:
Precio medio ponderado por tiempo no utilizado
Usar directamente la proporción del saldo de tokens en el contrato como precio
Vulnerabilidades realmente explotadas y hallazgos de la etapa de auditoría
Según las estadísticas de la plataforma de seguridad, la mayoría de las vulnerabilidades encontradas durante el proceso de auditoría han sido aprovechadas por hackers en escenarios reales, siendo las vulnerabilidades lógicas de los contratos la parte principal.
A través de contratos inteligentes, la plataforma de verificación formal y la auditoría manual por expertos, estas vulnerabilidades pueden ser detectadas en la fase de auditoría. Los expertos en seguridad pueden evaluar los riesgos y proporcionar recomendaciones de reparación.
En general, la situación de seguridad en el ámbito de Web3 sigue siendo grave, y los proyectos deben prestar más atención a las auditorías de seguridad y adoptar medidas de protección integrales para reducir el riesgo de ser atacados.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
21 me gusta
Recompensa
21
5
Compartir
Comentar
0/400
YieldChaser
· 07-18 02:00
Avanzar a ser hackeado y perder ochocientos millones.
Análisis de las técnicas de ataque de hackers Web3 en la primera mitad de 2022: las vulnerabilidades de los contratos siguen siendo la principal amenaza
Análisis de las vulnerabilidades de seguridad en el ámbito de Web3: Análisis de las técnicas de ataque de hackers en la primera mitad de 2022
En el informe de seguridad de Web3, analizamos en profundidad la situación general en el campo de la seguridad de blockchain, incluyendo el monto total de pérdidas, tipos de proyectos atacados, pérdidas en cada plataforma de cadena, métodos de ataque, flujos de fondos y auditorías de proyectos, entre otros aspectos. Este artículo se centrará en interpretar los métodos de ataque más comunes utilizados por hackers de Web3 en la primera mitad de 2022, explorando cuáles son las vulnerabilidades más frecuentes y cómo prevenirlas de manera efectiva.
Escala de pérdidas causadas por vulnerabilidades en la primera mitad del año
La monitorización de la plataforma de datos mostró que en la primera mitad de 2022 ocurrieron 42 incidentes principales de ataques a contratos, lo que representa aproximadamente el 53% de todos los métodos de ataque. Las pérdidas totales causadas por estos ataques ascendieron a 644 millones 400 mil dólares.
Entre todas las vulnerabilidades explotadas, las fallas de diseño lógico o de función son el objetivo más comúnmente aprovechado por los Hackers, seguidas de los problemas de validación y las vulnerabilidades de reentrada.
Análisis de eventos de pérdidas significativas
En febrero de 2022, el proyecto de puente entre cadenas Solana, Wormhole, fue atacado, sufriendo una pérdida de aproximadamente 326 millones de dólares. El hacker aprovechó una vulnerabilidad en la verificación de firmas del contrato para falsificar cuentas y acuñar wETH.
El 30 de abril de 2022, el Rari Fuse Pool de Fei Protocol sufrió un ataque de reentrada por préstamo relámpago, causando pérdidas de 80.34 millones de dólares. Este ataque tuvo un golpe mortal para el proyecto, lo que llevó a que finalmente el 20 de agosto se anunciara su cierre.
Análisis de casos de ataque de Fei Protocol
El atacante aprovechó la vulnerabilidad de reentrada en el contrato del cEther de Rari Capital. El flujo del ataque es el siguiente:
Este ataque robó más de 28380 ETH (aproximadamente 8034 millones de dólares).
Tipos comunes de vulnerabilidades en auditorías
Ataques de reentrada ERC721/ERC1155: Al utilizar las funciones de transferencia de estos estándares, se puede activar código malicioso que provoca ataques de reentrada.
Vulnerabilidades lógicas:
Falta de autenticación: Funciones clave como acuñación, configuración de roles de contrato, etc. carecen de control de permisos.
Manipulación de precios:
Vulnerabilidades realmente explotadas y hallazgos de la etapa de auditoría
Según las estadísticas de la plataforma de seguridad, la mayoría de las vulnerabilidades encontradas durante el proceso de auditoría han sido aprovechadas por hackers en escenarios reales, siendo las vulnerabilidades lógicas de los contratos la parte principal.
A través de contratos inteligentes, la plataforma de verificación formal y la auditoría manual por expertos, estas vulnerabilidades pueden ser detectadas en la fase de auditoría. Los expertos en seguridad pueden evaluar los riesgos y proporcionar recomendaciones de reparación.
En general, la situación de seguridad en el ámbito de Web3 sigue siendo grave, y los proyectos deben prestar más atención a las auditorías de seguridad y adoptar medidas de protección integrales para reducir el riesgo de ser atacados.