Analisis Metode Serangan Hacker Web3: Cara Serangan Umum dan Strategi Pencegahan pada Paruh Pertama Tahun 2022
Pada paruh pertama tahun 2022, situasi keamanan di bidang Web3 tidak optimis. Data menunjukkan bahwa kerugian sekitar 644 juta USD disebabkan oleh kerentanan kontrak pintar, yang melibatkan 42 insiden serangan utama. Dalam serangan ini, cacat desain logika atau fungsi, masalah verifikasi, dan kerentanan reentrancy adalah kelemahan yang paling sering dieksploitasi oleh Hacker.
Analisis Kasus Kerugian Besar
Jembatan lintas rantai Solana Wormhole diserang: Pada Februari 2022, Hacker memanfaatkan celah verifikasi tanda tangan untuk berhasil memalsukan akun dan mencetak wETH, mengakibatkan kerugian sekitar 326 juta dolar.
Rari Fuse Pool di bawah Fei Protocol diserang: Pada April 2022, Hacker mencuri aset senilai 80,34 juta dolar AS melalui serangan pinjaman kilat yang dikombinasikan dengan serangan reentrancy. Serangan ini sangat berdampak pada proyek, yang akhirnya menyebabkan Fei Protocol mengumumkan penutupan pada bulan Agustus.
Detail serangan Protokol Fei:
Penyerang pertama-tama mengambil pinjaman kilat dari Balancer: Vault.
Menggunakan dana pinjaman untuk melakukan pinjaman dan jaminan di Rari Capital, sambil memanfaatkan celah reentrancy dalam kontrak cEther.
Melalui fungsi serangan yang dirancang dengan cermat, secara berulang memanggil untuk mengekstrak semua token dari kolam.
Mengembalikan pinjaman kilat terakhir, akan memindahkan keuntungan ke kontrak yang ditentukan.
Inti serangan kali ini adalah memanfaatkan kerentanan reentrancy yang ada dalam kontrak implementasi cEther dari Rari Capital, yang akhirnya mengakibatkan lebih dari 28380 ETH (sekitar 8034 juta dolar) dana dicuri.
Jenis Kerentanan yang Umum Ditemukan dalam Audit
Serangan reentrancy ERC721/ERC1155:
Saat menggunakan fungsi _safeMint(), _safeTransfer(), jika fungsi callback kontrak penerima berisi kode berbahaya, dapat menyebabkan serangan reentrancy.
Celah logika:
Kurangnya pertimbangan untuk skenario khusus, seperti transfer internal yang menyebabkan peningkatan aset secara tidak wajar.
Desain fungsional tidak lengkap, seperti kurangnya mekanisme penarikan atau penyelesaian.
Pengendalian hak akses hilang:
Operasi kunci (seperti pencetakan koin, pengaturan karakter, penyesuaian parameter) tidak diatur dengan kontrol hak akses yang tepat.
Risiko manipulasi harga:
Sistem oracle yang tidak menggunakan harga rata-rata tertimbang waktu.
Menggunakan proporsi aset dalam kontrak secara langsung sebagai dasar harga, mudah dimanipulasi.
Eksploitasi Kerentanan dalam Serangan Aktual
Statistik menunjukkan bahwa berbagai jenis kerentanan yang ditemukan selama proses audit hampir semuanya telah dimanfaatkan oleh Hacker di lingkungan nyata, di mana kerentanan logika kontrak tetap menjadi target serangan utama.
Perlu dicatat bahwa melalui platform verifikasi formal kontrak pintar yang profesional dan audit manual oleh ahli keamanan, sebagian besar kerentanan ini dapat ditemukan dengan cepat pada tahap pengembangan. Ahli keamanan juga dapat memberikan saran perbaikan berdasarkan situasi spesifik, membantu pihak proyek meningkatkan keamanan kontrak.
Saran Pencegahan
Tingkatkan audit kode: Lakukan audit keamanan secara menyeluruh secara berkala, dengan fokus khusus pada desain logika dan penanganan skenario khusus.
Terapkan kontrol akses yang ketat: Atur mekanisme perlindungan seperti tanda tangan ganda atau kunci waktu untuk fungsi kunci.
Optimalkan oracle harga: Gunakan oracle terdesentralisasi dan harga rata-rata tertimbang waktu untuk mengurangi risiko manipulasi harga.
Ikuti praktik pengkodean yang aman: Terapkan dengan ketat pola "periksa-berlaku-interaksi" untuk mencegah serangan reentrant.
Pemantauan Berkelanjutan: Menerapkan sistem pemantauan waktu nyata untuk mendeteksi dan merespons aktivitas yang tidak biasa dengan cepat.
Dengan mengambil langkah-langkah ini, proyek Web3 dapat secara signifikan meningkatkan keamanannya dan mengurangi risiko menjadi target serangan Hacker. Seiring dengan perkembangan teknologi yang terus berlangsung, tetap waspada dan terus memperbarui strategi keamanan akan menjadi kunci untuk memastikan proyek berjalan stabil dalam jangka panjang.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
10 Suka
Hadiah
10
8
Bagikan
Komentar
0/400
GasWaster
· 07-18 07:16
Aduh, ini adalah tahun di mana hacker play people for suckers lagi.
Lihat AsliBalas0
PumpStrategist
· 07-18 06:52
Kerentanan ditulis begitu jelas sehingga Hacker pun mengeluarkan air liur.
Lihat AsliBalas0
LightningClicker
· 07-18 02:16
Jaga rahasia kecil di on-chain
Lihat AsliBalas0
GasFeeCry
· 07-15 15:27
Ada kunci jika ada gembok. Ingat untuk berasuransi ya.
Lihat AsliBalas0
AirdropHunterXiao
· 07-15 15:24
Sekali lagi sekelompok sapi besar dimainkan untuk dianggap bodoh
Lihat AsliBalas0
NotAFinancialAdvice
· 07-15 15:18
Membakar uang untuk mencapai ketinggian baru, sangat mendebarkan
Lihat AsliBalas0
TrustMeBro
· 07-15 15:08
Belum lama menulis smart contract, memang terkejut dengan data-data ini.
Lihat AsliBalas0
GateUser-a5fa8bd0
· 07-15 15:03
Hacker ini terlalu serakah, langkah pertama langsung mendapatkan beberapa miliar.
Web3 Keamanan Peringatan: Analisis Teknik Serangan Hacker dan Strategi Pencegahan pada Paruh Pertama 2022
Analisis Metode Serangan Hacker Web3: Cara Serangan Umum dan Strategi Pencegahan pada Paruh Pertama Tahun 2022
Pada paruh pertama tahun 2022, situasi keamanan di bidang Web3 tidak optimis. Data menunjukkan bahwa kerugian sekitar 644 juta USD disebabkan oleh kerentanan kontrak pintar, yang melibatkan 42 insiden serangan utama. Dalam serangan ini, cacat desain logika atau fungsi, masalah verifikasi, dan kerentanan reentrancy adalah kelemahan yang paling sering dieksploitasi oleh Hacker.
Analisis Kasus Kerugian Besar
Jembatan lintas rantai Solana Wormhole diserang: Pada Februari 2022, Hacker memanfaatkan celah verifikasi tanda tangan untuk berhasil memalsukan akun dan mencetak wETH, mengakibatkan kerugian sekitar 326 juta dolar.
Rari Fuse Pool di bawah Fei Protocol diserang: Pada April 2022, Hacker mencuri aset senilai 80,34 juta dolar AS melalui serangan pinjaman kilat yang dikombinasikan dengan serangan reentrancy. Serangan ini sangat berdampak pada proyek, yang akhirnya menyebabkan Fei Protocol mengumumkan penutupan pada bulan Agustus.
Detail serangan Protokol Fei:
Inti serangan kali ini adalah memanfaatkan kerentanan reentrancy yang ada dalam kontrak implementasi cEther dari Rari Capital, yang akhirnya mengakibatkan lebih dari 28380 ETH (sekitar 8034 juta dolar) dana dicuri.
Jenis Kerentanan yang Umum Ditemukan dalam Audit
Serangan reentrancy ERC721/ERC1155: Saat menggunakan fungsi _safeMint(), _safeTransfer(), jika fungsi callback kontrak penerima berisi kode berbahaya, dapat menyebabkan serangan reentrancy.
Celah logika:
Pengendalian hak akses hilang: Operasi kunci (seperti pencetakan koin, pengaturan karakter, penyesuaian parameter) tidak diatur dengan kontrol hak akses yang tepat.
Risiko manipulasi harga:
Eksploitasi Kerentanan dalam Serangan Aktual
Statistik menunjukkan bahwa berbagai jenis kerentanan yang ditemukan selama proses audit hampir semuanya telah dimanfaatkan oleh Hacker di lingkungan nyata, di mana kerentanan logika kontrak tetap menjadi target serangan utama.
Perlu dicatat bahwa melalui platform verifikasi formal kontrak pintar yang profesional dan audit manual oleh ahli keamanan, sebagian besar kerentanan ini dapat ditemukan dengan cepat pada tahap pengembangan. Ahli keamanan juga dapat memberikan saran perbaikan berdasarkan situasi spesifik, membantu pihak proyek meningkatkan keamanan kontrak.
Saran Pencegahan
Tingkatkan audit kode: Lakukan audit keamanan secara menyeluruh secara berkala, dengan fokus khusus pada desain logika dan penanganan skenario khusus.
Terapkan kontrol akses yang ketat: Atur mekanisme perlindungan seperti tanda tangan ganda atau kunci waktu untuk fungsi kunci.
Optimalkan oracle harga: Gunakan oracle terdesentralisasi dan harga rata-rata tertimbang waktu untuk mengurangi risiko manipulasi harga.
Ikuti praktik pengkodean yang aman: Terapkan dengan ketat pola "periksa-berlaku-interaksi" untuk mencegah serangan reentrant.
Pemantauan Berkelanjutan: Menerapkan sistem pemantauan waktu nyata untuk mendeteksi dan merespons aktivitas yang tidak biasa dengan cepat.
Dengan mengambil langkah-langkah ini, proyek Web3 dapat secara signifikan meningkatkan keamanannya dan mengurangi risiko menjadi target serangan Hacker. Seiring dengan perkembangan teknologi yang terus berlangsung, tetap waspada dan terus memperbarui strategi keamanan akan menjadi kunci untuk memastikan proyek berjalan stabil dalam jangka panjang.