Análisis de las técnicas de ataque comúnmente utilizadas por los hackers de Web3: revisión de la primera mitad de 2022
En la primera mitad de 2022, los incidentes de seguridad en el ámbito de Web3 fueron frecuentes, y las técnicas de ataque de los hackers surgieron una tras otra. Este artículo realizará un análisis profundo de las formas de ataque comunes durante este período, con el objetivo de proporcionar referencias útiles para la industria.
Resumen de incidentes de seguridad en la primera mitad del año
Según los datos de una plataforma de monitoreo de seguridad de blockchain, en la primera mitad de 2022 hubo un total de 42 eventos de ataque principales causados por vulnerabilidades en contratos inteligentes, lo que representa aproximadamente el 53% de todos los métodos de ataque. Las pérdidas totales de estos eventos alcanzaron los 644 millones de dólares.
Entre todas las vulnerabilidades explotadas, los defectos de diseño lógico o de función son el objetivo más comúnmente aprovechado por los Hackers, seguidos de los problemas de validación y las vulnerabilidades de reentrada.
Análisis de eventos de pérdidas significativas
Wormhole puente entre cadenas sufrió un ataque
El 3 de febrero de 2022, el proyecto de puente entre cadenas del ecosistema Solana, Wormhole, fue atacado por un Hacker, perdiendo aproximadamente 326 millones de dólares. El atacante aprovechó una vulnerabilidad en la verificación de firmas del contrato, logrando falsificar cuentas del sistema para acuñar una gran cantidad de tokens wETH.
Fei Protocol sufrió un ataque de préstamo relámpago
El 30 de abril de 2022, el Rari Fuse Pool de Fei Protocol sufrió un ataque de préstamo relámpago combinado con un ataque de reentrada, resultando en pérdidas de 80.34 millones de dólares. Este ataque causó un golpe mortal al proyecto, lo que llevó a Fei Protocol a anunciar el cierre oficial el 20 de agosto.
El atacante llevó a cabo este ataque a través de los siguientes pasos:
Obtener un préstamo relámpago del protocolo Balancer
Utilizar fondos prestados para realizar préstamos colaterales en Rari Capital
Debido a que el contrato cEther de Rari Capital tiene una vulnerabilidad de reentrada, un Hacker logró extraer todos los tokens del pool afectado mediante la construcción de una función de callback.
Devolver el préstamo relámpago, se transferirán las ganancias al contrato designado
Este ataque robó más de 28380 ETH, aproximadamente 8034 millones de dólares.
Vulnerabilidades comunes durante el proceso de auditoría
Las vulnerabilidades más comunes que se encuentran en la auditoría de contratos inteligentes se dividen principalmente en cuatro categorías:
Ataques de reentrada ERC721/ERC1155: Al usar las funciones de transferencia segura de estos estándares, si el contrato receptor contiene código malicioso, puede ocurrir un ataque de reentrada.
Vulnerabilidades lógicas: incluyen consideraciones insuficientes en escenarios especiales (como la creación de fondos a partir de transferencias a uno mismo) y un diseño de funciones incompleto (como la falta de mecanismos de retiro o liquidación).
Falta de control de permisos: funciones clave (como la acuñación, la configuración de roles, etc.) carecen de comprobaciones de permisos adecuadas.
Riesgo de manipulación de precios: si no se utiliza el precio promedio ponderado por tiempo o se utiliza directamente la proporción del saldo de tokens en el contrato como base de precios.
Explotación de vulnerabilidades en ataques reales
Según los datos de monitoreo, casi todas las vulnerabilidades encontradas durante la auditoría han sido explotadas por hackers en escenarios reales, siendo las vulnerabilidades lógicas de los contratos el principal objetivo de ataque.
Es importante señalar que, a través de plataformas de verificación formal de contratos inteligentes profesionales combinadas con la revisión manual de expertos en seguridad, estas vulnerabilidades pueden ser detectadas durante la fase de auditoría. Los expertos en seguridad también pueden proporcionar recomendaciones de reparación correspondientes después de la evaluación, brindando referencias importantes para los desarrolladores del proyecto.
Conclusión
Con el rápido desarrollo del ecosistema Web3, los problemas de seguridad se están volviendo cada vez más prominentes. Los equipos de proyecto deben prestar atención a la auditoría de seguridad de los contratos inteligentes, utilizando herramientas de verificación avanzadas y combinándolas con la revisión manual de equipos profesionales, para reducir al máximo los riesgos de seguridad y garantizar la seguridad de los activos de los usuarios.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
12 me gusta
Recompensa
12
4
Compartir
Comentar
0/400
BlockchainRetirementHome
· 07-30 04:49
Los contratos inteligentes van a ser actualizados.
Análisis de las técnicas de ataque de Hacker en Web3: revisión y análisis de los incidentes de seguridad de la primera mitad de 2022
Análisis de las técnicas de ataque comúnmente utilizadas por los hackers de Web3: revisión de la primera mitad de 2022
En la primera mitad de 2022, los incidentes de seguridad en el ámbito de Web3 fueron frecuentes, y las técnicas de ataque de los hackers surgieron una tras otra. Este artículo realizará un análisis profundo de las formas de ataque comunes durante este período, con el objetivo de proporcionar referencias útiles para la industria.
Resumen de incidentes de seguridad en la primera mitad del año
Según los datos de una plataforma de monitoreo de seguridad de blockchain, en la primera mitad de 2022 hubo un total de 42 eventos de ataque principales causados por vulnerabilidades en contratos inteligentes, lo que representa aproximadamente el 53% de todos los métodos de ataque. Las pérdidas totales de estos eventos alcanzaron los 644 millones de dólares.
Entre todas las vulnerabilidades explotadas, los defectos de diseño lógico o de función son el objetivo más comúnmente aprovechado por los Hackers, seguidos de los problemas de validación y las vulnerabilidades de reentrada.
Análisis de eventos de pérdidas significativas
Wormhole puente entre cadenas sufrió un ataque
El 3 de febrero de 2022, el proyecto de puente entre cadenas del ecosistema Solana, Wormhole, fue atacado por un Hacker, perdiendo aproximadamente 326 millones de dólares. El atacante aprovechó una vulnerabilidad en la verificación de firmas del contrato, logrando falsificar cuentas del sistema para acuñar una gran cantidad de tokens wETH.
Fei Protocol sufrió un ataque de préstamo relámpago
El 30 de abril de 2022, el Rari Fuse Pool de Fei Protocol sufrió un ataque de préstamo relámpago combinado con un ataque de reentrada, resultando en pérdidas de 80.34 millones de dólares. Este ataque causó un golpe mortal al proyecto, lo que llevó a Fei Protocol a anunciar el cierre oficial el 20 de agosto.
El atacante llevó a cabo este ataque a través de los siguientes pasos:
Este ataque robó más de 28380 ETH, aproximadamente 8034 millones de dólares.
Vulnerabilidades comunes durante el proceso de auditoría
Las vulnerabilidades más comunes que se encuentran en la auditoría de contratos inteligentes se dividen principalmente en cuatro categorías:
Ataques de reentrada ERC721/ERC1155: Al usar las funciones de transferencia segura de estos estándares, si el contrato receptor contiene código malicioso, puede ocurrir un ataque de reentrada.
Vulnerabilidades lógicas: incluyen consideraciones insuficientes en escenarios especiales (como la creación de fondos a partir de transferencias a uno mismo) y un diseño de funciones incompleto (como la falta de mecanismos de retiro o liquidación).
Falta de control de permisos: funciones clave (como la acuñación, la configuración de roles, etc.) carecen de comprobaciones de permisos adecuadas.
Riesgo de manipulación de precios: si no se utiliza el precio promedio ponderado por tiempo o se utiliza directamente la proporción del saldo de tokens en el contrato como base de precios.
Explotación de vulnerabilidades en ataques reales
Según los datos de monitoreo, casi todas las vulnerabilidades encontradas durante la auditoría han sido explotadas por hackers en escenarios reales, siendo las vulnerabilidades lógicas de los contratos el principal objetivo de ataque.
Es importante señalar que, a través de plataformas de verificación formal de contratos inteligentes profesionales combinadas con la revisión manual de expertos en seguridad, estas vulnerabilidades pueden ser detectadas durante la fase de auditoría. Los expertos en seguridad también pueden proporcionar recomendaciones de reparación correspondientes después de la evaluación, brindando referencias importantes para los desarrolladores del proyecto.
Conclusión
Con el rápido desarrollo del ecosistema Web3, los problemas de seguridad se están volviendo cada vez más prominentes. Los equipos de proyecto deben prestar atención a la auditoría de seguridad de los contratos inteligentes, utilizando herramientas de verificación avanzadas y combinándolas con la revisión manual de equipos profesionales, para reducir al máximo los riesgos de seguridad y garantizar la seguridad de los activos de los usuarios.