Analisis Metode Serangan Umum Hacker Web3: Interpretasi Situasi Keamanan pada Paruh Pertama 2022
Pada paruh pertama tahun 2022, keadaan keamanan di bidang Web3 tidak menggembirakan. Menurut data pemantauan dari platform pemantauan situasi blockchain, telah terjadi 42 insiden serangan kerentanan kontrak utama, yang menyebabkan kerugian hingga 6,44 juta dolar AS. Dalam serangan ini, pemanfaatan kerentanan kontrak menyumbang lebih dari setengahnya, menjadi metode yang paling disukai oleh Hacker.
Analisis Jenis Serangan Utama
Di antara semua kerentanan yang dieksploitasi, cacat desain logika atau fungsi adalah target yang paling sering dimanfaatkan oleh Hacker. Selanjutnya adalah masalah verifikasi dan kerentanan reentrasi. Kerentanan ini tidak hanya sering muncul, tetapi juga sering menyebabkan kerugian besar.
Misalnya, pada bulan Februari 2022, proyek jembatan lintas rantai Wormhole dalam ekosistem Solana diserang, mengalami kerugian hingga 326 juta dolar. Penyerang memanfaatkan kerentanan verifikasi tanda tangan dalam kontrak, berhasil memalsukan akun sistem untuk mencetak sejumlah besar wETH.
Satu lagi peristiwa besar terjadi pada akhir April, Rari Fuse Pool di bawah Fei Protocol mengalami serangan pinjaman kilat yang dikombinasikan dengan serangan reentrancy, dengan kerugian mencapai 80,34 juta dolar. Serangan ini memberikan pukulan fatal pada proyek, yang akhirnya menyebabkan proyek tersebut mengumumkan penutupan pada bulan Agustus.
Analisis Mendalam Kasus Serangan Fei Protocol
Penyerang pertama-tama mengambil pinjaman kilat dari Balancer, kemudian memanfaatkan dana tersebut untuk pinjam meminjam di Rari Capital. Karena kontrak implementasi cEther di Rari Capital memiliki celah reentrancy, penyerang berhasil mengekstrak semua token dari kolam yang terpengaruh melalui fungsi callback yang dirancang dengan cermat.
Proses serangan secara garis besar adalah sebagai berikut:
Dapatkan pinjaman kilat dari Balancer
Menggunakan dana yang dipinjam untuk beroperasi di Rari Capital, memicu kerentanan reentrancy
Dengan menyerang fungsi tertentu dalam kontrak, secara berulang mengekstrak token dari kolam.
Mengembalikan pinjaman kilat, akan memindahkan keuntungan ke kontrak yang ditentukan
Serangan ini akhirnya menyebabkan lebih dari 28380 ETH (sekitar 8034 juta dolar AS) dicuri.
Jenis Kerentanan Umum
Dalam proses audit kontrak pintar, tipe kerentanan yang paling umum termasuk:
Serangan reentrancy ERC721/ERC1155: Melibatkan fungsi callback dalam standar yang disalahgunakan secara jahat.
Celah logika: termasuk kurangnya pertimbangan dalam skenario khusus dan desain fungsi yang tidak sempurna.
Ketiadaan otentikasi: Fungsi kunci kurang kontrol akses yang efektif.
Manipulasi harga: Penggunaan oracle yang tidak tepat atau terdapat cacat dalam metode perhitungan harga.
Kerentanan ini tidak hanya muncul secara frekuensi dalam audit, tetapi juga merupakan kelemahan yang paling sering dieksploitasi dalam serangan nyata. Di antara itu, kerentanan logika kontrak tetap menjadi target serangan favorit para Hacker.
Saran Pencegahan
Untuk meningkatkan keamanan kontrak pintar, disarankan agar pihak proyek mengambil langkah-langkah berikut:
Melakukan verifikasi formal yang komprehensif dan audit manual
Perhatikan tindakan kontrak dalam skenario khusus
Menyempurnakan desain fungsi kontrak, terutama yang terkait dengan operasi keuangan.
Melaksanakan mekanisme kontrol akses secara ketat
Menggunakan oracle harga yang dapat diandalkan, hindari menggunakan rasio saldo sederhana sebagai dasar harga
Dengan platform audit keamanan dan verifikasi profesional, serta pemeriksaan manual oleh ahli keamanan, sebagian besar kerentanan dapat ditemukan dan diperbaiki sebelum proyek diluncurkan. Ini tidak hanya dapat secara efektif mengurangi risiko proyek, tetapi juga dapat berkontribusi pada perkembangan sehat seluruh ekosistem Web3.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
15 Suka
Hadiah
15
3
Bagikan
Komentar
0/400
MemeEchoer
· 07-24 15:53
Audit saja, Rug Pull selesai.
Lihat AsliBalas0
AllInAlice
· 07-24 15:44
Ini adalah momen sihir Dianggap Bodoh lagi
Lihat AsliBalas0
MindsetExpander
· 07-24 15:40
Proyek bull dan kuda benar-benar menghabiskan uang.
Web3 Keamanan Dalam Bahaya: 42 Serangan Terjadi di Paruh Pertama Tahun Ini Menyebabkan Kerugian 644 Juta Dolar
Analisis Metode Serangan Umum Hacker Web3: Interpretasi Situasi Keamanan pada Paruh Pertama 2022
Pada paruh pertama tahun 2022, keadaan keamanan di bidang Web3 tidak menggembirakan. Menurut data pemantauan dari platform pemantauan situasi blockchain, telah terjadi 42 insiden serangan kerentanan kontrak utama, yang menyebabkan kerugian hingga 6,44 juta dolar AS. Dalam serangan ini, pemanfaatan kerentanan kontrak menyumbang lebih dari setengahnya, menjadi metode yang paling disukai oleh Hacker.
Analisis Jenis Serangan Utama
Di antara semua kerentanan yang dieksploitasi, cacat desain logika atau fungsi adalah target yang paling sering dimanfaatkan oleh Hacker. Selanjutnya adalah masalah verifikasi dan kerentanan reentrasi. Kerentanan ini tidak hanya sering muncul, tetapi juga sering menyebabkan kerugian besar.
Misalnya, pada bulan Februari 2022, proyek jembatan lintas rantai Wormhole dalam ekosistem Solana diserang, mengalami kerugian hingga 326 juta dolar. Penyerang memanfaatkan kerentanan verifikasi tanda tangan dalam kontrak, berhasil memalsukan akun sistem untuk mencetak sejumlah besar wETH.
Satu lagi peristiwa besar terjadi pada akhir April, Rari Fuse Pool di bawah Fei Protocol mengalami serangan pinjaman kilat yang dikombinasikan dengan serangan reentrancy, dengan kerugian mencapai 80,34 juta dolar. Serangan ini memberikan pukulan fatal pada proyek, yang akhirnya menyebabkan proyek tersebut mengumumkan penutupan pada bulan Agustus.
Analisis Mendalam Kasus Serangan Fei Protocol
Penyerang pertama-tama mengambil pinjaman kilat dari Balancer, kemudian memanfaatkan dana tersebut untuk pinjam meminjam di Rari Capital. Karena kontrak implementasi cEther di Rari Capital memiliki celah reentrancy, penyerang berhasil mengekstrak semua token dari kolam yang terpengaruh melalui fungsi callback yang dirancang dengan cermat.
Proses serangan secara garis besar adalah sebagai berikut:
Serangan ini akhirnya menyebabkan lebih dari 28380 ETH (sekitar 8034 juta dolar AS) dicuri.
Jenis Kerentanan Umum
Dalam proses audit kontrak pintar, tipe kerentanan yang paling umum termasuk:
Kerentanan ini tidak hanya muncul secara frekuensi dalam audit, tetapi juga merupakan kelemahan yang paling sering dieksploitasi dalam serangan nyata. Di antara itu, kerentanan logika kontrak tetap menjadi target serangan favorit para Hacker.
Saran Pencegahan
Untuk meningkatkan keamanan kontrak pintar, disarankan agar pihak proyek mengambil langkah-langkah berikut:
Dengan platform audit keamanan dan verifikasi profesional, serta pemeriksaan manual oleh ahli keamanan, sebagian besar kerentanan dapat ditemukan dan diperbaiki sebelum proyek diluncurkan. Ini tidak hanya dapat secara efektif mengurangi risiko proyek, tetapi juga dapat berkontribusi pada perkembangan sehat seluruh ekosistem Web3.