Web3 Alerta de Segurança: 42 Ataques no Primeiro Semestre de 2022 Resultaram em Perdas de 644 Milhões de Dólares. Análise das Recomendações de Prevenção
Análise das Técnicas de Ataque de Hacker Web3: Métodos Comuns de Ataque e Sugestões de Prevenção no Primeiro Semestre de 2022
No primeiro semestre de 2022, ocorreram frequentes incidentes de segurança no campo do Web3, causando enormes perdas à indústria. Este artigo analisará os principais métodos de ataque durante este período, com a finalidade de fornecer referências de prevenção de segurança para as equipes de projetos.
Visão Geral dos Principais Dados de Ataque
De acordo com os dados de monitoramento da plataforma de percepção da situação da blockchain, ocorreram 42 incidentes principais de ataques a vulnerabilidades de contratos no primeiro semestre de 2022, resultando em perdas de cerca de 644 milhões de dólares. Entre todas as vulnerabilidades exploradas, o design inadequado de lógica ou funções foi o mais comum, seguido por problemas de validação e vulnerabilidades de reentrada.
Análise de Eventos de Segurança Típicos
Ataque ao ponte Wormhole
No dia 3 de fevereiro de 2022, um projeto de ponte entre cadeias foi atacado, resultando em perdas de até 326 milhões de dólares. Os atacantes exploraram uma vulnerabilidade na verificação de assinatura do contrato do projeto, realizando uma cunhagem ilegal através da falsificação de contas sysvar.
O Fei Protocol sofreu um ataque de empréstimo relâmpago
No dia 30 de abril de 2022, um determinado protocolo de empréstimo sofreu um ataque de reentrada de empréstimo relâmpago, resultando em uma perda de 80,34 milhões de dólares. O atacante implementou o ataque através dos seguintes passos:
Obter um empréstimo relâmpago do Balancer
Utilizar a vulnerabilidade de reentrada no contrato do pool de empréstimos para realizar empréstimos repetidos
Retirar fundos da pool e devolver o empréstimo relâmpago
O evento acabou levando a equipe do projeto a anunciar o encerramento.
Tipos de Vulnerabilidades Comuns
As vulnerabilidades mais comuns durante o processo de auditoria incluem:
Ataque de reentrada ERC721/ERC1155
Falha lógica de contrato
Falta de controle de permissões
Vulnerabilidade de manipulação de preços
Estas vulnerabilidades também são frequentemente exploradas em ataques reais, sendo as vulnerabilidades lógicas de contrato o principal ponto de ataque.
Sugestões de prevenção
Seguir rigorosamente o padrão de design "verificação-efetivação-interação"
Considerar completamente o processamento lógico em cenários especiais
Melhorar o design das funcionalidades do contrato, como adicionar mecanismos de retirada e liquidação.
Reforçar o controle de permissões de funcionalidades críticas
Utilizar um mecanismo seguro de oráculo de preços
Realizar uma auditoria de segurança completa, incluindo detecção automatizada e revisão manual.
Através de uma plataforma profissional de verificação de contratos inteligentes e auditorias por especialistas em segurança, a maioria das vulnerabilidades acima pode ser detectada e corrigida na fase de desenvolvimento. A equipe do projeto deve dar importância à construção de segurança, implementando múltiplos mecanismos de proteção para reduzir o risco de ataques.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
7 gostos
Recompensa
7
4
Republicar
Partilhar
Comentar
0/400
0xSherlock
· 5h atrás
Muito escuro, muito ruim.
Ver originalResponder0
UncommonNPC
· 17h atrás
Este círculo está muito selvagem, quem vai arranjar isso?
Ver originalResponder0
SolidityNewbie
· 23h atrás
Há falhas no design da função? Operação típica de novato
Ver originalResponder0
DeepRabbitHole
· 23h atrás
Já começamos a rotina de ganhar dinheiro de novo. O dinheiro foi levado pelos Hackers.
Web3 Alerta de Segurança: 42 Ataques no Primeiro Semestre de 2022 Resultaram em Perdas de 644 Milhões de Dólares. Análise das Recomendações de Prevenção
Análise das Técnicas de Ataque de Hacker Web3: Métodos Comuns de Ataque e Sugestões de Prevenção no Primeiro Semestre de 2022
No primeiro semestre de 2022, ocorreram frequentes incidentes de segurança no campo do Web3, causando enormes perdas à indústria. Este artigo analisará os principais métodos de ataque durante este período, com a finalidade de fornecer referências de prevenção de segurança para as equipes de projetos.
Visão Geral dos Principais Dados de Ataque
De acordo com os dados de monitoramento da plataforma de percepção da situação da blockchain, ocorreram 42 incidentes principais de ataques a vulnerabilidades de contratos no primeiro semestre de 2022, resultando em perdas de cerca de 644 milhões de dólares. Entre todas as vulnerabilidades exploradas, o design inadequado de lógica ou funções foi o mais comum, seguido por problemas de validação e vulnerabilidades de reentrada.
Análise de Eventos de Segurança Típicos
Ataque ao ponte Wormhole
No dia 3 de fevereiro de 2022, um projeto de ponte entre cadeias foi atacado, resultando em perdas de até 326 milhões de dólares. Os atacantes exploraram uma vulnerabilidade na verificação de assinatura do contrato do projeto, realizando uma cunhagem ilegal através da falsificação de contas sysvar.
O Fei Protocol sofreu um ataque de empréstimo relâmpago
No dia 30 de abril de 2022, um determinado protocolo de empréstimo sofreu um ataque de reentrada de empréstimo relâmpago, resultando em uma perda de 80,34 milhões de dólares. O atacante implementou o ataque através dos seguintes passos:
O evento acabou levando a equipe do projeto a anunciar o encerramento.
Tipos de Vulnerabilidades Comuns
As vulnerabilidades mais comuns durante o processo de auditoria incluem:
Estas vulnerabilidades também são frequentemente exploradas em ataques reais, sendo as vulnerabilidades lógicas de contrato o principal ponto de ataque.
Sugestões de prevenção
Através de uma plataforma profissional de verificação de contratos inteligentes e auditorias por especialistas em segurança, a maioria das vulnerabilidades acima pode ser detectada e corrigida na fase de desenvolvimento. A equipe do projeto deve dar importância à construção de segurança, implementando múltiplos mecanismos de proteção para reduzir o risco de ataques.