Phân tích những rủi ro an ninh trong lĩnh vực Web3: Phân tích các phương pháp tấn công của hacker nửa đầu năm 2022
Trong báo cáo an ninh Web3, chúng tôi đã phân tích toàn diện tình hình chung trong lĩnh vực an ninh blockchain, bao gồm tổng số thiệt hại, loại dự án bị tấn công, thiệt hại trên các nền tảng chuỗi, phương pháp tấn công, dòng tiền và kiểm toán dự án. Bài viết này sẽ tập trung giải thích các phương thức tấn công thường được Hacker sử dụng trong nửa đầu năm 2022, khám phá những lỗ hổng nào xảy ra thường xuyên nhất, cũng như cách phòng ngừa hiệu quả.
Quy mô thiệt hại do lỗ hổng gây ra trong nửa đầu năm
Nền tảng dữ liệu cho thấy, trong nửa đầu năm 2022 đã xảy ra 42 vụ tấn công lỗ hổng hợp đồng thông minh, chiếm khoảng 53% tất cả các phương thức tấn công. Tổng thiệt hại do những cuộc tấn công này gây ra lên tới 644 triệu 404 nghìn đô la Mỹ.
Trong tất cả các lỗ hổng bị khai thác, thiếu sót trong thiết kế logic hoặc hàm là mục tiêu mà hacker thường khai thác nhất, tiếp theo là vấn đề xác thực và lỗ hổng tái nhập.
Phân tích sự kiện tổn thất lớn
Vào tháng 2 năm 2022, dự án cầu nối đa chuỗi Solana Wormhole đã bị tấn công, gây thiệt hại khoảng 326 triệu USD. Hacker đã lợi dụng lỗ hổng xác thực chữ ký trong hợp đồng để giả mạo tài khoản và đúc wETH.
Vào ngày 30 tháng 4 năm 2022, Rari Fuse Pool của Fei Protocol đã gặp phải cuộc tấn công flash loan và làm tăng độ nhạy cảm, gây thiệt hại 80,34 triệu đô la. Cuộc tấn công này đã gây ra cú sốc chết người cho dự án, cuối cùng dẫn đến việc dự án tuyên bố đóng cửa vào ngày 20 tháng 8.
Phân tích trường hợp tấn công Fei Protocol
Kẻ tấn công đã lợi dụng lỗ hổng tái nhập trong hợp đồng cEther của Rari Capital. Quy trình tấn công như sau:
Thực hiện vay chớp nhoáng từ Balancer: Vault
Sử dụng vốn vay chớp nhoáng để thế chấp và vay tại Rari Capital
Thông qua việc tấn công vào các hàm callback trong hợp đồng, lấy tất cả các token trong các pool bị ảnh hưởng.
Trả lại khoản vay chớp nhoáng, chuyển giao lợi nhuận từ cuộc tấn công
Cuộc tấn công này đã đánh cắp hơn 28380ETH (khoảng 8034 triệu đô la Mỹ).
Các loại lỗ hổng thường gặp trong kiểm toán
Tấn công tái nhập ERC721/ERC1155: Khi sử dụng các hàm chuyển tiền theo tiêu chuẩn này, có thể kích hoạt mã độc dẫn đến tấn công tái nhập.
Lỗi logic:
Thiếu sót trong việc xem xét các tình huống đặc biệt, như tự chuyển tiền cho chính mình dẫn đến việc tạo ra không có gì.
Thiết kế chức năng không hoàn thiện, chẳng hạn như thiếu chức năng rút tiền hoặc thanh lý.
Thiếu xác thực: Các chức năng quan trọng như đúc tiền, thiết lập vai trò hợp đồng, v.v. thiếu kiểm soát quyền hạn.
Kiểm soát giá:
Giá trung bình theo thời gian chưa sử dụng
Sử dụng tỷ lệ dư lượng token trong hợp đồng làm giá
Lỗ hổng thực tế đã bị khai thác và phát hiện trong giai đoạn kiểm toán
Theo thống kê của nền tảng an ninh, hầu hết các lỗ hổng được phát hiện trong quá trình kiểm toán đã được hacker khai thác trong các tình huống thực tế, trong đó lỗ hổng logic hợp đồng vẫn là phần chính.
Thông qua hợp đồng thông minh để xác minh nền tảng và kiểm toán chuyên gia, những lỗ hổng này có thể được phát hiện trong giai đoạn kiểm toán. Các chuyên gia an ninh có thể đánh giá rủi ro và cung cấp các đề xuất sửa chữa.
Tổng thể mà nói, tình hình an ninh trong lĩnh vực Web3 vẫn còn nghiêm trọng, các bên dự án cần chú trọng hơn đến việc kiểm toán an ninh, thực hiện các biện pháp bảo vệ toàn diện để giảm thiểu rủi ro bị tấn công.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
21 thích
Phần thưởng
21
5
Chia sẻ
Bình luận
0/400
YieldChaser
· 07-18 02:00
Nhanh chóng tiến đến việc bị hack mất tám trăm triệu
Phân tích phương pháp tấn công hacker Web3 nửa đầu năm 2022: Lỗ hổng hợp đồng vẫn là mối đe dọa chính
Phân tích những rủi ro an ninh trong lĩnh vực Web3: Phân tích các phương pháp tấn công của hacker nửa đầu năm 2022
Trong báo cáo an ninh Web3, chúng tôi đã phân tích toàn diện tình hình chung trong lĩnh vực an ninh blockchain, bao gồm tổng số thiệt hại, loại dự án bị tấn công, thiệt hại trên các nền tảng chuỗi, phương pháp tấn công, dòng tiền và kiểm toán dự án. Bài viết này sẽ tập trung giải thích các phương thức tấn công thường được Hacker sử dụng trong nửa đầu năm 2022, khám phá những lỗ hổng nào xảy ra thường xuyên nhất, cũng như cách phòng ngừa hiệu quả.
Quy mô thiệt hại do lỗ hổng gây ra trong nửa đầu năm
Nền tảng dữ liệu cho thấy, trong nửa đầu năm 2022 đã xảy ra 42 vụ tấn công lỗ hổng hợp đồng thông minh, chiếm khoảng 53% tất cả các phương thức tấn công. Tổng thiệt hại do những cuộc tấn công này gây ra lên tới 644 triệu 404 nghìn đô la Mỹ.
Trong tất cả các lỗ hổng bị khai thác, thiếu sót trong thiết kế logic hoặc hàm là mục tiêu mà hacker thường khai thác nhất, tiếp theo là vấn đề xác thực và lỗ hổng tái nhập.
Phân tích sự kiện tổn thất lớn
Vào tháng 2 năm 2022, dự án cầu nối đa chuỗi Solana Wormhole đã bị tấn công, gây thiệt hại khoảng 326 triệu USD. Hacker đã lợi dụng lỗ hổng xác thực chữ ký trong hợp đồng để giả mạo tài khoản và đúc wETH.
Vào ngày 30 tháng 4 năm 2022, Rari Fuse Pool của Fei Protocol đã gặp phải cuộc tấn công flash loan và làm tăng độ nhạy cảm, gây thiệt hại 80,34 triệu đô la. Cuộc tấn công này đã gây ra cú sốc chết người cho dự án, cuối cùng dẫn đến việc dự án tuyên bố đóng cửa vào ngày 20 tháng 8.
Phân tích trường hợp tấn công Fei Protocol
Kẻ tấn công đã lợi dụng lỗ hổng tái nhập trong hợp đồng cEther của Rari Capital. Quy trình tấn công như sau:
Cuộc tấn công này đã đánh cắp hơn 28380ETH (khoảng 8034 triệu đô la Mỹ).
Các loại lỗ hổng thường gặp trong kiểm toán
Tấn công tái nhập ERC721/ERC1155: Khi sử dụng các hàm chuyển tiền theo tiêu chuẩn này, có thể kích hoạt mã độc dẫn đến tấn công tái nhập.
Lỗi logic:
Thiếu xác thực: Các chức năng quan trọng như đúc tiền, thiết lập vai trò hợp đồng, v.v. thiếu kiểm soát quyền hạn.
Kiểm soát giá:
Lỗ hổng thực tế đã bị khai thác và phát hiện trong giai đoạn kiểm toán
Theo thống kê của nền tảng an ninh, hầu hết các lỗ hổng được phát hiện trong quá trình kiểm toán đã được hacker khai thác trong các tình huống thực tế, trong đó lỗ hổng logic hợp đồng vẫn là phần chính.
Thông qua hợp đồng thông minh để xác minh nền tảng và kiểm toán chuyên gia, những lỗ hổng này có thể được phát hiện trong giai đoạn kiểm toán. Các chuyên gia an ninh có thể đánh giá rủi ro và cung cấp các đề xuất sửa chữa.
Tổng thể mà nói, tình hình an ninh trong lĩnh vực Web3 vẫn còn nghiêm trọng, các bên dự án cần chú trọng hơn đến việc kiểm toán an ninh, thực hiện các biện pháp bảo vệ toàn diện để giảm thiểu rủi ro bị tấn công.