Análise das vulnerabilidades de segurança no campo do Web3: Análise das técnicas de ataque de hackers no primeiro semestre de 2022
No relatório de situação de segurança do Web3, analisamos de forma abrangente a situação geral no campo da segurança da blockchain, incluindo o total de perdas, tipos de projetos atacados, perdas em várias plataformas de cadeia, métodos de ataque, fluxo de fundos e auditorias de projetos, entre outros aspectos. Este artigo irá focar na interpretação das formas de ataque mais comuns usadas por hackers do Web3 no primeiro semestre de 2022, explorando quais vulnerabilidades foram mais frequentes e como prevenir efetivamente.
Escala das perdas causadas por vulnerabilidades no primeiro semestre
A monitorização da plataforma de dados revelou que, no primeiro semestre de 2022, ocorreram 42 incidentes significativos de ataques a contratos, representando cerca de 53% de todos os métodos de ataque. As perdas totais causadas por esses ataques ascenderam a 644 milhões e 404 mil dólares.
Entre todas as vulnerabilidades exploradas, as falhas de lógica ou design de funções são os alvos mais frequentemente explorados pelos hackers, seguidas por problemas de validação e vulnerabilidades de reentrada.
Análise de eventos de perdas significativas
Em fevereiro de 2022, o projeto de ponte cross-chain Wormhole da Solana foi atacado, resultando em uma perda de cerca de 326 milhões de dólares. O Hacker explorou uma vulnerabilidade na verificação de assinaturas do contrato para forjar contas e cunhar wETH.
No dia 30 de abril de 2022, o Rari Fuse Pool do Fei Protocol sofreu um ataque de reentrada com empréstimo relâmpago, resultando em uma perda de 80,34 milhões de dólares. Este ataque teve um impacto devastador no projeto, levando finalmente ao anúncio do seu encerramento a 20 de agosto.
Análise de caso de ataque do Fei Protocol
O atacante explorou a vulnerabilidade de reentrada no contrato do cEther da Rari Capital. O fluxo de ataque é o seguinte:
Fazer um empréstimo relâmpago a partir do Balancer: Vault
Utilizar fundos de empréstimo relâmpago para empréstimos colaterais na Rari Capital
Extrair todos os tokens do pool afetado através da chamada de função de ataque no contrato.
Devolver o empréstimo relâmpago, transferir os ganhos do ataque
Esta ataque roubou mais de 28380ETH (cerca de 8034 milhões de dólares).
Tipos comuns de vulnerabilidades em auditorias
Ataque de reentrada ERC721/ERC1155: Ao usar as funções de transferência desses padrões, pode-se acionar código malicioso que leva a ataques de reentrada.
Falha lógica:
Consideração insuficiente para cenários especiais, como transferências para si mesmo que resultam em criação de valor inexistente
Design de funcionalidade incompleto, como a falta de funções de extração ou liquidação.
Falta de autenticação: funções críticas como a cunhagem, definição de papéis de contrato, etc., carecem de controle de permissões.
Manipulação de preços:
Preço médio ponderado pelo tempo não utilizado
Usar diretamente a proporção do saldo de tokens no contrato como preço
Vulnerabilidades efetivamente exploradas e descobertas na fase de auditoria
De acordo com as estatísticas da plataforma de segurança, a maioria das vulnerabilidades encontradas durante o processo de auditoria já foi explorada por hackers em cenários reais, sendo que as vulnerabilidades de lógica de contrato continuam a ser a principal parte.
Através de contratos inteligentes, a verificação formal da plataforma e a auditoria de especialistas, essas vulnerabilidades podem ser descobertas na fase de auditoria. Especialistas em segurança podem avaliar riscos e fornecer recomendações de correção.
De um modo geral, a situação de segurança no campo do Web3 continua a ser severa, e as equipes de projeto precisam dar mais importância às auditorias de segurança, adotando medidas de proteção abrangentes para reduzir o risco de ataques.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Análise das técnicas de ataque de hackers Web3 na primeira metade de 2022: as vulnerabilidades de contratos continuam a ser a principal ameaça
Análise das vulnerabilidades de segurança no campo do Web3: Análise das técnicas de ataque de hackers no primeiro semestre de 2022
No relatório de situação de segurança do Web3, analisamos de forma abrangente a situação geral no campo da segurança da blockchain, incluindo o total de perdas, tipos de projetos atacados, perdas em várias plataformas de cadeia, métodos de ataque, fluxo de fundos e auditorias de projetos, entre outros aspectos. Este artigo irá focar na interpretação das formas de ataque mais comuns usadas por hackers do Web3 no primeiro semestre de 2022, explorando quais vulnerabilidades foram mais frequentes e como prevenir efetivamente.
Escala das perdas causadas por vulnerabilidades no primeiro semestre
A monitorização da plataforma de dados revelou que, no primeiro semestre de 2022, ocorreram 42 incidentes significativos de ataques a contratos, representando cerca de 53% de todos os métodos de ataque. As perdas totais causadas por esses ataques ascenderam a 644 milhões e 404 mil dólares.
Entre todas as vulnerabilidades exploradas, as falhas de lógica ou design de funções são os alvos mais frequentemente explorados pelos hackers, seguidas por problemas de validação e vulnerabilidades de reentrada.
Análise de eventos de perdas significativas
Em fevereiro de 2022, o projeto de ponte cross-chain Wormhole da Solana foi atacado, resultando em uma perda de cerca de 326 milhões de dólares. O Hacker explorou uma vulnerabilidade na verificação de assinaturas do contrato para forjar contas e cunhar wETH.
No dia 30 de abril de 2022, o Rari Fuse Pool do Fei Protocol sofreu um ataque de reentrada com empréstimo relâmpago, resultando em uma perda de 80,34 milhões de dólares. Este ataque teve um impacto devastador no projeto, levando finalmente ao anúncio do seu encerramento a 20 de agosto.
Análise de caso de ataque do Fei Protocol
O atacante explorou a vulnerabilidade de reentrada no contrato do cEther da Rari Capital. O fluxo de ataque é o seguinte:
Esta ataque roubou mais de 28380ETH (cerca de 8034 milhões de dólares).
Tipos comuns de vulnerabilidades em auditorias
Ataque de reentrada ERC721/ERC1155: Ao usar as funções de transferência desses padrões, pode-se acionar código malicioso que leva a ataques de reentrada.
Falha lógica:
Falta de autenticação: funções críticas como a cunhagem, definição de papéis de contrato, etc., carecem de controle de permissões.
Manipulação de preços:
Vulnerabilidades efetivamente exploradas e descobertas na fase de auditoria
De acordo com as estatísticas da plataforma de segurança, a maioria das vulnerabilidades encontradas durante o processo de auditoria já foi explorada por hackers em cenários reais, sendo que as vulnerabilidades de lógica de contrato continuam a ser a principal parte.
Através de contratos inteligentes, a verificação formal da plataforma e a auditoria de especialistas, essas vulnerabilidades podem ser descobertas na fase de auditoria. Especialistas em segurança podem avaliar riscos e fornecer recomendações de correção.
De um modo geral, a situação de segurança no campo do Web3 continua a ser severa, e as equipes de projeto precisam dar mais importância às auditorias de segurança, adotando medidas de proteção abrangentes para reduzir o risco de ataques.