Análise das técnicas de ataque comuns de hackers Web3: Interpretação da situação de segurança no primeiro semestre de 2022
No primeiro semestre de 2022, a situação de segurança no campo do Web3 não é otimista. De acordo com os dados de monitoramento da plataforma de percepção de situação da blockchain, ocorreram 42 ataques significativos a contratos, resultando em perdas de até 644 milhões de dólares. Desses ataques, a exploração de vulnerabilidades em contratos representou mais da metade, tornando-se o método preferido dos hackers.
Análise dos principais tipos de ataque
Entre todas as vulnerabilidades exploradas, as falhas de lógica ou de design de funções são os alvos mais frequentemente explorados pelos hackers. Em segundo lugar, temos problemas de validação e vulnerabilidades de reentrada. Estas vulnerabilidades não só aparecem com frequência, mas também costumam resultar em enormes perdas.
Por exemplo, em fevereiro de 2022, o projeto de ponte entre cadeias Wormhole no ecossistema Solana foi atacado, resultando em perdas de até 326 milhões de dólares. O atacante explorou uma vulnerabilidade na verificação de assinatura do contrato, conseguindo falsificar contas do sistema para cunhar uma grande quantidade de wETH.
Outro evento significativo ocorreu no final de abril, quando o Rari Fuse Pool, da Fei Protocol, sofreu um ataque de empréstimo relâmpago combinado com reentrada, resultando em uma perda de 80,34 milhões de dólares. Este ataque causou um golpe fatal ao projeto, levando à sua decisão de encerrar em agosto.
Análise Profunda de Casos de Ataque ao Fei Protocol
O atacante primeiro obteve um empréstimo relâmpago do Balancer e, em seguida, utilizou esses fundos para empréstimos colaterais na Rari Capital. Devido a uma vulnerabilidade de reentrada no contrato de implementação do cEther da Rari Capital, o atacante conseguiu extrair todos os tokens do pool afetado através de uma função de callback cuidadosamente elaborada.
O fluxo de ataque é aproximadamente o seguinte:
Obter um empréstimo relâmpago do Balancer
Utilizar fundos emprestados para operar na Rari Capital e ativar a vulnerabilidade de reentrância
Extração repetida de tokens do pool através da exploração de funções específicas no contrato.
Devolver o empréstimo relâmpago, transferir os lucros para o contrato designado
Este ataque resultou, no final, no roubo de mais de 28380 ETH (aproximadamente 8034 milhões de dólares).
Tipos Comuns de Vulnerabilidades
Durante o processo de auditoria de contratos inteligentes, os tipos de vulnerabilidades mais comuns incluem:
Ataque de reentrada ERC721/ERC1155: envolve a utilização maliciosa de funções de callback no padrão.
Falhas lógicas: incluem a falta de consideração para cenários especiais e design de funcionalidade incompleto.
Falta de autenticação: Funções críticas carecem de controle de permissões eficaz.
Manipulação de preços: Uso inadequado de oráculos ou falhas na metodologia de cálculo de preços.
Estas vulnerabilidades não aparecem apenas com frequência nas auditorias, mas também são os pontos fracos mais frequentemente explorados em ataques reais. Entre elas, as vulnerabilidades de lógica de contrato continuam a ser o alvo de ataque preferido dos hackers.
Sugestões de Prevenção
Para aumentar a segurança dos contratos inteligentes, recomenda-se que os projetistas adotem as seguintes medidas:
Realizar uma verificação formal abrangente e uma auditoria manual
Prestar especial atenção ao comportamento dos contratos em cenários especiais
Melhorar o design das funcionalidades do contrato, especialmente a parte que envolve operações financeiras.
Implementar rigorosamente o mecanismo de controle de permissões
Utilizar oráculos de preços confiáveis, evitando usar a simples proporção de saldo como base de preço.
Através de uma plataforma profissional de auditoria de segurança e verificação, combinada com a detecção manual de especialistas em segurança, a maioria das vulnerabilidades pode ser identificada e corrigida antes do lançamento do projeto. Isso não apenas reduz eficazmente o risco do projeto, mas também contribui para o desenvolvimento saudável de todo o ecossistema Web3.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
15 gostos
Recompensa
15
3
Partilhar
Comentar
0/400
MemeEchoer
· 07-24 15:53
Auditar o der e Puxar o tapete é tudo.
Ver originalResponder0
AllInAlice
· 07-24 15:44
Outra vez é o momento mágico de fazer as pessoas de parvas.
Ver originalResponder0
MindsetExpander
· 07-24 15:40
bull e projetos de cavalo realmente custam muito dinheiro
Web3 segurança em risco: 42 ataques no primeiro semestre causaram perdas de 644 milhões de dólares
Análise das técnicas de ataque comuns de hackers Web3: Interpretação da situação de segurança no primeiro semestre de 2022
No primeiro semestre de 2022, a situação de segurança no campo do Web3 não é otimista. De acordo com os dados de monitoramento da plataforma de percepção de situação da blockchain, ocorreram 42 ataques significativos a contratos, resultando em perdas de até 644 milhões de dólares. Desses ataques, a exploração de vulnerabilidades em contratos representou mais da metade, tornando-se o método preferido dos hackers.
Análise dos principais tipos de ataque
Entre todas as vulnerabilidades exploradas, as falhas de lógica ou de design de funções são os alvos mais frequentemente explorados pelos hackers. Em segundo lugar, temos problemas de validação e vulnerabilidades de reentrada. Estas vulnerabilidades não só aparecem com frequência, mas também costumam resultar em enormes perdas.
Por exemplo, em fevereiro de 2022, o projeto de ponte entre cadeias Wormhole no ecossistema Solana foi atacado, resultando em perdas de até 326 milhões de dólares. O atacante explorou uma vulnerabilidade na verificação de assinatura do contrato, conseguindo falsificar contas do sistema para cunhar uma grande quantidade de wETH.
Outro evento significativo ocorreu no final de abril, quando o Rari Fuse Pool, da Fei Protocol, sofreu um ataque de empréstimo relâmpago combinado com reentrada, resultando em uma perda de 80,34 milhões de dólares. Este ataque causou um golpe fatal ao projeto, levando à sua decisão de encerrar em agosto.
Análise Profunda de Casos de Ataque ao Fei Protocol
O atacante primeiro obteve um empréstimo relâmpago do Balancer e, em seguida, utilizou esses fundos para empréstimos colaterais na Rari Capital. Devido a uma vulnerabilidade de reentrada no contrato de implementação do cEther da Rari Capital, o atacante conseguiu extrair todos os tokens do pool afetado através de uma função de callback cuidadosamente elaborada.
O fluxo de ataque é aproximadamente o seguinte:
Este ataque resultou, no final, no roubo de mais de 28380 ETH (aproximadamente 8034 milhões de dólares).
Tipos Comuns de Vulnerabilidades
Durante o processo de auditoria de contratos inteligentes, os tipos de vulnerabilidades mais comuns incluem:
Estas vulnerabilidades não aparecem apenas com frequência nas auditorias, mas também são os pontos fracos mais frequentemente explorados em ataques reais. Entre elas, as vulnerabilidades de lógica de contrato continuam a ser o alvo de ataque preferido dos hackers.
Sugestões de Prevenção
Para aumentar a segurança dos contratos inteligentes, recomenda-se que os projetistas adotem as seguintes medidas:
Através de uma plataforma profissional de auditoria de segurança e verificação, combinada com a detecção manual de especialistas em segurança, a maioria das vulnerabilidades pode ser identificada e corrigida antes do lançamento do projeto. Isso não apenas reduz eficazmente o risco do projeto, mas também contribui para o desenvolvimento saudável de todo o ecossistema Web3.