Análisis de técnicas de ataque de hackers Web3: métodos de ataque comunes en la primera mitad de 2022 y estrategias de prevención
En la primera mitad de 2022, la situación de seguridad en el campo de Web3 no es alentadora. Los datos muestran que solo por fallos en contratos inteligentes se han ocasionado pérdidas de aproximadamente 644 millones de dólares, involucrando 42 incidentes de ataque principales. En estos ataques, las debilidades más comúnmente explotadas por los hackers son los defectos de diseño lógico o funcional, problemas de verificación y vulnerabilidades de reentrada.
Análisis de casos de pérdidas significativas
El puente entre cadenas de Solana, Wormhole, fue atacado: en febrero de 2022, un Hacker aprovechó una vulnerabilidad en la verificación de firmas para falsificar cuentas y acuñar wETH, lo que resultó en pérdidas de aproximadamente 326 millones de dólares.
El Pool Rari Fuse de Fei Protocol fue atacado: en abril de 2022, un Hacker robó activos por valor de 80.34 millones de dólares utilizando un ataque de préstamo relámpago combinado con un ataque de reingreso. Este golpe tuvo un gran impacto en el proyecto, lo que llevó a Fei Protocol a anunciar su cierre en agosto.
Detalles del ataque de Fei Protocol:
El atacante primero obtiene un préstamo relámpago de Balancer: Vault.
Utilizar fondos prestados para realizar préstamos colaterales en Rari Capital, al mismo tiempo que se aprovecha la vulnerabilidad de reentrada en el contrato cEther.
A través de funciones de ataque diseñadas cuidadosamente, se llaman repetidamente para extraer todos los tokens del fondo.
Finalmente, devolver el préstamo relámpago y transferir las ganancias al contrato designado.
El núcleo de este ataque se basa en aprovechar la vulnerabilidad de reentrada existente en el contrato de implementación de cEther de Rari Capital, lo que finalmente llevó al robo de más de 28380 ETH (aproximadamente 8034 millones de dólares).
Tipos de vulnerabilidades comunes en auditorías
Ataque de reentrada ERC721/ERC1155:
Al utilizar las funciones _safeMint(), _safeTransfer(), si el contrato receptor contiene código malicioso en su función de callback, puede provocar un ataque de reentrada.
Vulnerabilidad lógica:
Consideraciones insuficientes en escenarios especiales, como el aumento de activos debido a transferencias internas.
El diseño de la función no está completo, por ejemplo, carece de mecanismos de retiro o liquidación.
Falta de control de permisos:
Las operaciones clave (como la acuñación, la configuración de roles y el ajuste de parámetros) no tienen el control de permisos adecuado establecido.
Riesgo de manipulación de precios:
Sistema de oráculos que no utiliza el precio promedio ponderado por tiempo.
Utilizar directamente la proporción de activos dentro del contrato como base de precio, es fácil de manipular.
Explotación de vulnerabilidades en ataques reales
Las estadísticas muestran que casi todos los tipos de vulnerabilidades descubiertas durante el proceso de auditoría han sido explotadas por hackers en entornos reales, siendo las vulnerabilidades lógicas de contrato el principal objetivo de ataque.
Es importante destacar que, a través de plataformas de verificación formal de contratos inteligentes profesionales y la revisión manual de expertos en seguridad, la mayoría de estas vulnerabilidades pueden ser detectadas a tiempo en la fase de desarrollo. Los expertos en seguridad también pueden proporcionar recomendaciones de reparación según la situación específica, ayudando a los proyectos a mejorar la seguridad de los contratos.
Sugerencias de prevención
Fortalecer la auditoría de código: realizar auditorías de seguridad completas de manera regular, prestando especial atención al diseño lógico y al manejo de escenarios especiales.
Implementar un control de acceso estricto: establecer mecanismos de protección como múltiples firmas o bloqueos temporales para funciones clave.
Optimizar el oráculo de precios: utilizar oráculos descentralizados y precios promedio ponderados por tiempo para reducir el riesgo de manipulación de precios.
Seguir prácticas de codificación segura: aplicar estrictamente el modo "verificar-efectuar-interactuar" para prevenir ataques de reentrada.
Monitoreo continuo: desplegar un sistema de monitoreo en tiempo real para detectar y responder a actividades anómalas de manera oportuna.
A través de la adopción de estas medidas, los proyectos de Web3 pueden mejorar significativamente su seguridad y reducir el riesgo de convertirse en un objetivo de Hacker. A medida que la tecnología sigue avanzando, mantenerse alerta y actualizar continuamente las estrategias de seguridad será clave para garantizar el funcionamiento estable a largo plazo del proyecto.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
10 me gusta
Recompensa
10
8
Compartir
Comentar
0/400
GasWaster
· 07-18 07:16
Ay, otro año en que los hackers toman a la gente por tonta.
Ver originalesResponder0
PumpStrategist
· 07-18 06:52
La vulnerabilidad está tan clara que hasta un Hacker se le hace agua la boca.
Ver originalesResponder0
LightningClicker
· 07-18 02:16
Mantén en secreto los pequeños secretos on-chain
Ver originalesResponder0
GasFeeCry
· 07-15 15:27
Donde hay una cerradura, hay una llave. Recuerda asegurarla.
Ver originalesResponder0
AirdropHunterXiao
· 07-15 15:24
Otra vez un gran alcista es engañado
Ver originalesResponder0
NotAFinancialAdvice
· 07-15 15:18
Quemar dinero alcanza nuevas alturas, ¡es muy emocionante!
Ver originalesResponder0
TrustMeBro
· 07-15 15:08
No escribí contratos inteligentes por mucho tiempo, realmente me asustaron estos datos.
Ver originalesResponder0
GateUser-a5fa8bd0
· 07-15 15:03
Este hacker es demasiado codicioso, en el primer paso ya se lleva varios cientos de millones.
Alerta de seguridad Web3: análisis de las técnicas de ataque de hackers y estrategias de prevención en la primera mitad de 2022
Análisis de técnicas de ataque de hackers Web3: métodos de ataque comunes en la primera mitad de 2022 y estrategias de prevención
En la primera mitad de 2022, la situación de seguridad en el campo de Web3 no es alentadora. Los datos muestran que solo por fallos en contratos inteligentes se han ocasionado pérdidas de aproximadamente 644 millones de dólares, involucrando 42 incidentes de ataque principales. En estos ataques, las debilidades más comúnmente explotadas por los hackers son los defectos de diseño lógico o funcional, problemas de verificación y vulnerabilidades de reentrada.
Análisis de casos de pérdidas significativas
El puente entre cadenas de Solana, Wormhole, fue atacado: en febrero de 2022, un Hacker aprovechó una vulnerabilidad en la verificación de firmas para falsificar cuentas y acuñar wETH, lo que resultó en pérdidas de aproximadamente 326 millones de dólares.
El Pool Rari Fuse de Fei Protocol fue atacado: en abril de 2022, un Hacker robó activos por valor de 80.34 millones de dólares utilizando un ataque de préstamo relámpago combinado con un ataque de reingreso. Este golpe tuvo un gran impacto en el proyecto, lo que llevó a Fei Protocol a anunciar su cierre en agosto.
Detalles del ataque de Fei Protocol:
El núcleo de este ataque se basa en aprovechar la vulnerabilidad de reentrada existente en el contrato de implementación de cEther de Rari Capital, lo que finalmente llevó al robo de más de 28380 ETH (aproximadamente 8034 millones de dólares).
Tipos de vulnerabilidades comunes en auditorías
Ataque de reentrada ERC721/ERC1155: Al utilizar las funciones _safeMint(), _safeTransfer(), si el contrato receptor contiene código malicioso en su función de callback, puede provocar un ataque de reentrada.
Vulnerabilidad lógica:
Falta de control de permisos: Las operaciones clave (como la acuñación, la configuración de roles y el ajuste de parámetros) no tienen el control de permisos adecuado establecido.
Riesgo de manipulación de precios:
Explotación de vulnerabilidades en ataques reales
Las estadísticas muestran que casi todos los tipos de vulnerabilidades descubiertas durante el proceso de auditoría han sido explotadas por hackers en entornos reales, siendo las vulnerabilidades lógicas de contrato el principal objetivo de ataque.
Es importante destacar que, a través de plataformas de verificación formal de contratos inteligentes profesionales y la revisión manual de expertos en seguridad, la mayoría de estas vulnerabilidades pueden ser detectadas a tiempo en la fase de desarrollo. Los expertos en seguridad también pueden proporcionar recomendaciones de reparación según la situación específica, ayudando a los proyectos a mejorar la seguridad de los contratos.
Sugerencias de prevención
Fortalecer la auditoría de código: realizar auditorías de seguridad completas de manera regular, prestando especial atención al diseño lógico y al manejo de escenarios especiales.
Implementar un control de acceso estricto: establecer mecanismos de protección como múltiples firmas o bloqueos temporales para funciones clave.
Optimizar el oráculo de precios: utilizar oráculos descentralizados y precios promedio ponderados por tiempo para reducir el riesgo de manipulación de precios.
Seguir prácticas de codificación segura: aplicar estrictamente el modo "verificar-efectuar-interactuar" para prevenir ataques de reentrada.
Monitoreo continuo: desplegar un sistema de monitoreo en tiempo real para detectar y responder a actividades anómalas de manera oportuna.
A través de la adopción de estas medidas, los proyectos de Web3 pueden mejorar significativamente su seguridad y reducir el riesgo de convertirse en un objetivo de Hacker. A medida que la tecnología sigue avanzando, mantenerse alerta y actualizar continuamente las estrategias de seguridad será clave para garantizar el funcionamiento estable a largo plazo del proyecto.