Analisis Risiko Keamanan di Bidang Web3: Analisis Metode Serangan Hacker pada Paruh Pertama Tahun 2022
Dalam laporan situasi keamanan Web3, kami menganalisis secara menyeluruh keadaan keseluruhan di bidang keamanan blockchain, termasuk total kerugian, jenis proyek yang diserang, kerugian di setiap platform rantai, metode serangan, aliran dana, dan audit proyek. Artikel ini akan menyoroti cara serangan yang paling umum digunakan oleh hacker Web3 pada paruh pertama tahun 2022, membahas kerentanan mana yang paling sering terjadi, serta bagaimana cara mencegahnya secara efektif.
Skala kerugian yang disebabkan oleh celah di paruh pertama tahun
Platform data monitoring menunjukkan, pada paruh pertama tahun 2022 terjadi 42 insiden serangan kerentanan kontrak utama, yang merupakan sekitar 53% dari semua jenis serangan. Kerugian total yang ditimbulkan akibat serangan ini mencapai 644 juta 400 ribu dolar AS.
Di antara semua kerentanan yang dieksploitasi, cacat desain logika atau fungsi adalah target paling umum yang dimanfaatkan oleh Hacker, diikuti oleh masalah verifikasi dan kerentanan reentrancy.
Analisis Kejadian Kerugian Besar
Pada bulan Februari 2022, proyek jembatan lintas rantai Solana, Wormhole, diserang dan mengalami kerugian sekitar 326 juta dolar. Hacker memanfaatkan celah verifikasi tanda tangan dalam kontrak untuk memalsukan akun yang mencetak wETH.
Pada 30 April 2022, Rari Fuse Pool dari Fei Protocol mengalami serangan flash loan dan reentrancy, mengakibatkan kerugian sebesar 80,34 juta dolar. Serangan ini memberikan pukulan fatal bagi proyek tersebut, yang akhirnya mengumumkan penutupan pada 20 Agustus.
Analisis Kasus Serangan Fei Protocol
Penyerang memanfaatkan kerentanan reentrancy dalam kontrak cEther dari Rari Capital. Proses serangan adalah sebagai berikut:
Melakukan pinjaman kilat dari Balancer: Vault
Menggunakan dana pinjaman kilat untuk melakukan peminjaman dan penyewaan di Rari Capital
Dengan menyerang callback fungsi dalam kontrak, mengekstrak semua token dari kolam yang terpengaruh
Mengembalikan pinjaman kilat, memindahkan hasil serangan
Serangan kali ini mencuri lebih dari 28380ETH (sekitar 8034 juta dolar AS).
Jenis Kerentanan Umum dalam Audit
Serangan reentrancy ERC721/ERC1155: Saat menggunakan fungsi transfer dari standar ini, kode jahat dapat diaktifkan yang menyebabkan serangan reentrancy.
Celah logika:
Pertimbangan skenario khusus yang kurang, seperti mentransfer uang ke diri sendiri yang mengakibatkan penciptaan yang tidak ada.
Desain fungsional tidak lengkap, seperti kurangnya fungsi penarikan atau penyelesaian
Kekurangan otentikasi: Fitur kunci seperti pencetakan koin, pengaturan peran kontrak, dll. kekurangan kontrol akses.
Manipulasi harga:
Harga Rata-Rata Tertimbang Waktu yang Belum Digunakan
Menggunakan proporsi saldo token dalam kontrak secara langsung sebagai harga
Kerentanan yang sebenarnya dimanfaatkan dan temuan selama tahap audit
Menurut statistik platform keamanan, sebagian besar kerentanan yang ditemukan selama proses audit telah dieksploitasi oleh Hacker dalam skenario nyata, di mana kerentanan logika kontrak tetap menjadi bagian utama.
Melalui platform verifikasi formal dengan kontrak pintar dan audit manual oleh ahli, celah-celah ini dapat ditemukan pada tahap audit. Para ahli keamanan dapat mengevaluasi risiko dan memberikan saran perbaikan.
Secara keseluruhan, situasi keamanan di bidang Web3 masih cukup serius, pihak proyek perlu lebih memperhatikan audit keamanan dan mengambil langkah-langkah perlindungan yang komprehensif untuk mengurangi risiko serangan.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Analisis Metode Serangan Hacker Web3 pada Paruh Pertama 2022: Kerentanan Kontrak Masih Menjadi Ancaman Utama
Analisis Risiko Keamanan di Bidang Web3: Analisis Metode Serangan Hacker pada Paruh Pertama Tahun 2022
Dalam laporan situasi keamanan Web3, kami menganalisis secara menyeluruh keadaan keseluruhan di bidang keamanan blockchain, termasuk total kerugian, jenis proyek yang diserang, kerugian di setiap platform rantai, metode serangan, aliran dana, dan audit proyek. Artikel ini akan menyoroti cara serangan yang paling umum digunakan oleh hacker Web3 pada paruh pertama tahun 2022, membahas kerentanan mana yang paling sering terjadi, serta bagaimana cara mencegahnya secara efektif.
Skala kerugian yang disebabkan oleh celah di paruh pertama tahun
Platform data monitoring menunjukkan, pada paruh pertama tahun 2022 terjadi 42 insiden serangan kerentanan kontrak utama, yang merupakan sekitar 53% dari semua jenis serangan. Kerugian total yang ditimbulkan akibat serangan ini mencapai 644 juta 400 ribu dolar AS.
Di antara semua kerentanan yang dieksploitasi, cacat desain logika atau fungsi adalah target paling umum yang dimanfaatkan oleh Hacker, diikuti oleh masalah verifikasi dan kerentanan reentrancy.
Analisis Kejadian Kerugian Besar
Pada bulan Februari 2022, proyek jembatan lintas rantai Solana, Wormhole, diserang dan mengalami kerugian sekitar 326 juta dolar. Hacker memanfaatkan celah verifikasi tanda tangan dalam kontrak untuk memalsukan akun yang mencetak wETH.
Pada 30 April 2022, Rari Fuse Pool dari Fei Protocol mengalami serangan flash loan dan reentrancy, mengakibatkan kerugian sebesar 80,34 juta dolar. Serangan ini memberikan pukulan fatal bagi proyek tersebut, yang akhirnya mengumumkan penutupan pada 20 Agustus.
Analisis Kasus Serangan Fei Protocol
Penyerang memanfaatkan kerentanan reentrancy dalam kontrak cEther dari Rari Capital. Proses serangan adalah sebagai berikut:
Serangan kali ini mencuri lebih dari 28380ETH (sekitar 8034 juta dolar AS).
Jenis Kerentanan Umum dalam Audit
Serangan reentrancy ERC721/ERC1155: Saat menggunakan fungsi transfer dari standar ini, kode jahat dapat diaktifkan yang menyebabkan serangan reentrancy.
Celah logika:
Kekurangan otentikasi: Fitur kunci seperti pencetakan koin, pengaturan peran kontrak, dll. kekurangan kontrol akses.
Manipulasi harga:
Kerentanan yang sebenarnya dimanfaatkan dan temuan selama tahap audit
Menurut statistik platform keamanan, sebagian besar kerentanan yang ditemukan selama proses audit telah dieksploitasi oleh Hacker dalam skenario nyata, di mana kerentanan logika kontrak tetap menjadi bagian utama.
Melalui platform verifikasi formal dengan kontrak pintar dan audit manual oleh ahli, celah-celah ini dapat ditemukan pada tahap audit. Para ahli keamanan dapat mengevaluasi risiko dan memberikan saran perbaikan.
Secara keseluruhan, situasi keamanan di bidang Web3 masih cukup serius, pihak proyek perlu lebih memperhatikan audit keamanan dan mengambil langkah-langkah perlindungan yang komprehensif untuk mengurangi risiko serangan.