Analisis Metode Serangan Umum di Bidang Web3 pada Paruh Pertama Tahun 2022
Pada paruh pertama tahun 2022, situasi keamanan di bidang Web3 tetap serius. Artikel ini akan menganalisis secara mendalam jenis serangan yang umum terjadi selama periode ini, serta membahas frekuensi dan langkah-langkah pencegahannya.
Ringkasan Kerugian yang Disebabkan oleh Kerentanan
Menurut data dari platform pemantauan keamanan blockchain, pada paruh pertama tahun 2022 terjadi 42 insiden serangan kerentanan kontrak utama, yang menyumbang sekitar 53% dari semua insiden serangan. Total kerugian yang disebabkan oleh serangan ini mencapai 644 juta dolar AS.
Di antara semua kerentanan yang dimanfaatkan, cacat logika atau desain fungsi adalah jenis kerentanan yang paling sering dimanfaatkan oleh para hacker, diikuti oleh masalah verifikasi dan kerentanan reentrancy.
Analisis Peristiwa Kerugian Besar
Insiden serangan jembatan lintas rantai Wormhole
Pada 3 Februari 2022, proyek jembatan lintas rantai di ekosistem Solana, Wormhole, diserang, mengakibatkan kerugian sekitar 326 juta dolar AS. Penyerang memanfaatkan celah verifikasi tanda tangan dalam kontrak untuk memalsukan akun sistem dan mencetak sejumlah besar wETH.
Peristiwa serangan Fei Protocol
Pada 30 April 2022, Rari Fuse Pool milik Fei Protocol mengalami serangan pinjaman kilat dan serangan reentrancy, yang mengakibatkan kerugian sebesar 80,34 juta dolar. Serangan ini memberikan pukulan fatal bagi proyek, yang akhirnya mengumumkan penutupan pada 20 Agustus.
Penyerang terutama memanfaatkan kerentanan reentrancy yang ada dalam kontrak implementasi cEther dari Rari Capital. Proses serangan adalah sebagai berikut:
Penyerang mengambil pinjaman kilat dari Balancer.
Memanfaatkan dana pinjaman kilat untuk melakukan peminjaman dengan jaminan di Rari Capital, sambil memanfaatkan celah reentrancy.
Melalui fungsi serangan yang dibangun, ambil semua token dari kolam yang terpengaruh.
Mengembalikan pinjaman kilat, mentransfer hasil serangan.
Jenis Kerentanan yang Umum Ditemukan dalam Audit
Serangan reentrancy ERC721/ERC1155:
Memanfaatkan fungsi notifikasi transfer dalam standar untuk melakukan serangan reentrancy
Fungsi bisnis tidak mengikuti mode pemeriksaan-berlaku-interaksi secara ketat
Celah logika:
Pertimbangan untuk situasi khusus yang tidak memadai, seperti transfer diri yang menyebabkan peningkatan token secara tidak sah
Desain fungsional tidak lengkap, seperti kurangnya mekanisme penarikan atau likuidasi
Kehilangan otentikasi:
Fitur kunci (seperti pencetakan koin, pengaturan karakter) kurang kontrol akses
Manipulasi harga:
Penggunaan oracle yang tidak tepat atau hilang
Menggunakan rasio saldo token dalam kontrak secara langsung sebagai acuan harga
Eksploitasi Kerentanan dalam Serangan Nyata
Berdasarkan data pemantauan keamanan, jenis kerentanan yang ditemukan dalam audit hampir semuanya telah dimanfaatkan dalam serangan nyata, di mana kerentanan logika kontrak masih merupakan metode serangan utama.
Perlu dicatat bahwa melalui platform verifikasi kontrak pintar yang profesional dan tinjauan manual oleh ahli keamanan, sebagian besar kerentanan dapat ditemukan dan diperbaiki sebelum proyek diluncurkan. Oleh karena itu, melakukan audit keamanan secara menyeluruh sangat penting untuk mencegah serangan yang potensial.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Analisis Serangan Web3 Paruh Pertama 2022: Kerugian Kerentanan 6,44 Juta Dolar, Logika Kontrak Menjadi Titik Terobosan Utama
Analisis Metode Serangan Umum di Bidang Web3 pada Paruh Pertama Tahun 2022
Pada paruh pertama tahun 2022, situasi keamanan di bidang Web3 tetap serius. Artikel ini akan menganalisis secara mendalam jenis serangan yang umum terjadi selama periode ini, serta membahas frekuensi dan langkah-langkah pencegahannya.
Ringkasan Kerugian yang Disebabkan oleh Kerentanan
Menurut data dari platform pemantauan keamanan blockchain, pada paruh pertama tahun 2022 terjadi 42 insiden serangan kerentanan kontrak utama, yang menyumbang sekitar 53% dari semua insiden serangan. Total kerugian yang disebabkan oleh serangan ini mencapai 644 juta dolar AS.
Di antara semua kerentanan yang dimanfaatkan, cacat logika atau desain fungsi adalah jenis kerentanan yang paling sering dimanfaatkan oleh para hacker, diikuti oleh masalah verifikasi dan kerentanan reentrancy.
Analisis Peristiwa Kerugian Besar
Insiden serangan jembatan lintas rantai Wormhole
Pada 3 Februari 2022, proyek jembatan lintas rantai di ekosistem Solana, Wormhole, diserang, mengakibatkan kerugian sekitar 326 juta dolar AS. Penyerang memanfaatkan celah verifikasi tanda tangan dalam kontrak untuk memalsukan akun sistem dan mencetak sejumlah besar wETH.
Peristiwa serangan Fei Protocol
Pada 30 April 2022, Rari Fuse Pool milik Fei Protocol mengalami serangan pinjaman kilat dan serangan reentrancy, yang mengakibatkan kerugian sebesar 80,34 juta dolar. Serangan ini memberikan pukulan fatal bagi proyek, yang akhirnya mengumumkan penutupan pada 20 Agustus.
Penyerang terutama memanfaatkan kerentanan reentrancy yang ada dalam kontrak implementasi cEther dari Rari Capital. Proses serangan adalah sebagai berikut:
Jenis Kerentanan yang Umum Ditemukan dalam Audit
Eksploitasi Kerentanan dalam Serangan Nyata
Berdasarkan data pemantauan keamanan, jenis kerentanan yang ditemukan dalam audit hampir semuanya telah dimanfaatkan dalam serangan nyata, di mana kerentanan logika kontrak masih merupakan metode serangan utama.
Perlu dicatat bahwa melalui platform verifikasi kontrak pintar yang profesional dan tinjauan manual oleh ahli keamanan, sebagian besar kerentanan dapat ditemukan dan diperbaiki sebelum proyek diluncurkan. Oleh karena itu, melakukan audit keamanan secara menyeluruh sangat penting untuk mencegah serangan yang potensial.