Análise de ataques Web3 no primeiro semestre de 2022: perdas de 644 milhões de dólares devido a vulnerabilidades, lógica de contratos como principal ponto de ruptura.
Análise das técnicas de ataque comuns no campo do Web3 na primeira metade de 2022
No primeiro semestre de 2022, a situação de segurança no campo do Web3 continuou a ser grave. Este artigo irá analisar profundamente os métodos de ataque comuns durante este período, explorando sua frequência e medidas de prevenção.
Visão geral das perdas causadas por vulnerabilidades
De acordo com os dados da plataforma de monitoramento de segurança de blockchain, ocorreram 42 ataques a contratos inteligentes no primeiro semestre de 2022, representando cerca de 53% de todos os eventos de ataque. As perdas totais causadas por esses ataques atingiram 644 milhões de dólares.
Entre todas as vulnerabilidades exploradas, as falhas de lógica ou de design de função são o tipo de vulnerabilidade mais comumente explorado por hackers, seguidas por problemas de validação e vulnerabilidades de reentrada.
Análise de eventos de perda significativa
Evento de ataque à ponte cross-chain Wormhole
No dia 3 de fevereiro de 2022, o projeto de ponte cross-chain Wormhole do ecossistema Solana foi atacado, resultando em uma perda de cerca de 326 milhões de dólares. O atacante explorou uma vulnerabilidade na verificação de assinatura do contrato, falsificando contas do sistema para criar uma grande quantidade de wETH.
Incidente de ataque ao Fei Protocol
No dia 30 de abril de 2022, o Rari Fuse Pool da Fei Protocol sofreu um ataque de empréstimo relâmpago e reentrada, resultando em uma perda de 80,34 milhões de dólares. Este ataque causou um golpe fatal ao projeto, levando à sua decisão de encerrar as atividades em 20 de agosto.
Os atacantes exploraram principalmente a vulnerabilidade de reentrada existente no contrato implementado pelo cEther da Rari Capital. O fluxo de ataque é o seguinte:
O atacante obtém um empréstimo relâmpago do Balancer.
Usar fundos de empréstimo relâmpago para empréstimos colateralizados na Rari Capital, enquanto se aproveita de uma vulnerabilidade de reentrada.
Extraia todos os tokens do pool afetado através da função de ataque construída como callback.
Devolver o empréstimo relâmpago, transferir os lucros do ataque.
Tipos comuns de vulnerabilidades em auditorias
Ataque de reentrada ERC721/ERC1155:
Realizar um ataque de reentrada utilizando a função de notificação de transferência do padrão
A função de negócios não seguiu estritamente o modo de verificação-ativação-interação.
Falhas lógicas:
Considerações inadequadas em cenários especiais, como transferências pessoais que resultam em aumento repentino de tokens.
O design da funcionalidade não é completo, como a falta de mecanismos de extração ou liquidação.
Falta de autenticação:
Funcionalidades chave (como cunhagem, configuração de personagens) carecem de controle de permissões
Manipulação de preços:
Uso inadequado ou ausência de oráculos
Usar diretamente a proporção do saldo de tokens dentro do contrato como base para o preço
Exploração de vulnerabilidades em ataques reais
De acordo com os dados de monitoramento de segurança, os tipos de vulnerabilidades encontrados na auditoria foram quase todos explorados em ataques reais, sendo que as vulnerabilidades lógicas de contrato ainda são o principal meio de ataque.
É importante notar que, através de plataformas de verificação de contratos inteligentes profissionais e auditorias manuais por especialistas em segurança, a maioria dessas vulnerabilidades pode ser detectada e corrigida antes do lançamento do projeto. Assim, realizar uma auditoria de segurança abrangente é crucial para prevenir ataques potenciais.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
15 Curtidas
Recompensa
15
4
Compartilhar
Comentário
0/400
DataChief
· 07-28 15:06
Não dá para consertar nem os buracos.
Ver originalResponder0
ImpermanentTherapist
· 07-28 15:00
Outra leva de idiotas foi feita de parvas.
Ver originalResponder0
GhostChainLoyalist
· 07-28 14:56
Há muitas fraquezas.
Ver originalResponder0
AirdropBlackHole
· 07-28 14:42
Bons tempos, consegui 600 milhões de forma gratuita.
Análise de ataques Web3 no primeiro semestre de 2022: perdas de 644 milhões de dólares devido a vulnerabilidades, lógica de contratos como principal ponto de ruptura.
Análise das técnicas de ataque comuns no campo do Web3 na primeira metade de 2022
No primeiro semestre de 2022, a situação de segurança no campo do Web3 continuou a ser grave. Este artigo irá analisar profundamente os métodos de ataque comuns durante este período, explorando sua frequência e medidas de prevenção.
Visão geral das perdas causadas por vulnerabilidades
De acordo com os dados da plataforma de monitoramento de segurança de blockchain, ocorreram 42 ataques a contratos inteligentes no primeiro semestre de 2022, representando cerca de 53% de todos os eventos de ataque. As perdas totais causadas por esses ataques atingiram 644 milhões de dólares.
Entre todas as vulnerabilidades exploradas, as falhas de lógica ou de design de função são o tipo de vulnerabilidade mais comumente explorado por hackers, seguidas por problemas de validação e vulnerabilidades de reentrada.
Análise de eventos de perda significativa
Evento de ataque à ponte cross-chain Wormhole
No dia 3 de fevereiro de 2022, o projeto de ponte cross-chain Wormhole do ecossistema Solana foi atacado, resultando em uma perda de cerca de 326 milhões de dólares. O atacante explorou uma vulnerabilidade na verificação de assinatura do contrato, falsificando contas do sistema para criar uma grande quantidade de wETH.
Incidente de ataque ao Fei Protocol
No dia 30 de abril de 2022, o Rari Fuse Pool da Fei Protocol sofreu um ataque de empréstimo relâmpago e reentrada, resultando em uma perda de 80,34 milhões de dólares. Este ataque causou um golpe fatal ao projeto, levando à sua decisão de encerrar as atividades em 20 de agosto.
Os atacantes exploraram principalmente a vulnerabilidade de reentrada existente no contrato implementado pelo cEther da Rari Capital. O fluxo de ataque é o seguinte:
Tipos comuns de vulnerabilidades em auditorias
Exploração de vulnerabilidades em ataques reais
De acordo com os dados de monitoramento de segurança, os tipos de vulnerabilidades encontrados na auditoria foram quase todos explorados em ataques reais, sendo que as vulnerabilidades lógicas de contrato ainda são o principal meio de ataque.
É importante notar que, através de plataformas de verificação de contratos inteligentes profissionais e auditorias manuais por especialistas em segurança, a maioria dessas vulnerabilidades pode ser detectada e corrigida antes do lançamento do projeto. Assim, realizar uma auditoria de segurança abrangente é crucial para prevenir ataques potenciais.