Situación de seguridad de Web3 en la primera mitad del año: pérdidas de 644 millones de dólares, las vulnerabilidades de contratos se convierten en el principal objetivo de ataque.
Análisis de la situación de seguridad en el ámbito de Web3 en la primera mitad del año: formas de ataque de hackers y medidas de prevención
En la primera mitad de 2022, los eventos de seguridad en Web3 ocurrieron con frecuencia, causando pérdidas enormes. Este artículo analizará en profundidad las técnicas de ataque comúnmente utilizadas por los Hackers y explorará las medidas de prevención correspondientes.
Resumen de incidentes de seguridad en la primera mitad del año
Según los datos de una plataforma de monitoreo de seguridad de blockchain, en la primera mitad de 2022 se produjeron 42 incidentes importantes de ataques a contratos, con pérdidas totales que alcanzaron los 644 millones de dólares. De estos, el 53% de los ataques aprovecharon vulnerabilidades en los contratos.
Entre todas las vulnerabilidades explotadas, el diseño incorrecto de la lógica o las funciones es el método de ataque más común utilizado por los Hackers, seguido de los problemas de validación y las vulnerabilidades de reentrada.
Análisis de eventos de pérdidas significativas
Evento de ataque del puente cross-chain Wormhole
El 3 de febrero de 2022, un proyecto de puente entre cadenas fue atacado, con pérdidas de aproximadamente 326 millones de dólares. Los atacantes aprovecharon una vulnerabilidad en la verificación de firmas del contrato, logrando falsificar cuentas del sistema y acuñar una gran cantidad de tokens.
incidente de ataque de préstamo relámpago de Fei Protocol
El 30 de abril de 2022, un protocolo de préstamos sufrió un ataque de reentrada por préstamo relámpago, resultando en una pérdida de 80.34 millones de dólares. Este evento llevó finalmente al proyecto a anunciar su cierre el 20 de agosto.
Los atacantes aprovecharon principalmente la vulnerabilidad de reentrada en el contrato del proyecto. El proceso de ataque es el siguiente:
Realizar un préstamo relámpago desde un DEX
Utilizar fondos prestados para realizar préstamos colaterales en el protocolo objetivo
A través de la función de ataque construida como retorno de llamada, extraer todos los tokens del pool afectado.
Devolver el préstamo relámpago, transferir los ingresos del ataque
Tipos de vulnerabilidades comunes
Las vulnerabilidades más comunes durante el proceso de auditoría se dividen principalmente en cuatro categorías:
Ataque de reentrada ERC721/ERC1155: operaciones maliciosas a través de funciones de callback
Vulnerabilidad lógica: Consideraciones inadecuadas en escenarios especiales o diseño de funciones incompleto.
Falta de autenticación: funciones clave carecen de control de permisos
Manipulación de precios: uso incorrecto de oráculos o defectos en el método de cálculo de precios
La importancia de la auditoría
Las vulnerabilidades mencionadas se pueden descubrir en su mayoría durante la fase de auditoría. A través de plataformas profesionales de verificación de contratos inteligentes y la revisión manual de expertos en seguridad, se pueden identificar oportunamente riesgos potenciales y proponer recomendaciones de reparación.
Sugerencias de prevención
Fortalecer el diseño lógico del contrato, considerando varios casos límite.
Implementar estrictamente un mecanismo de control de permisos
Utilizar un esquema de oráculo de precios seguro
Seguir el patrón de diseño "verificar-activar-interactuar"
Realizar auditorías de seguridad de manera periódica y corregir de inmediato las vulnerabilidades encontradas
Con el continuo desarrollo del ecosistema Web3, los problemas de seguridad seguirán siendo objeto de atención. Los equipos de proyectos deben prestar atención a la seguridad de los contratos y adoptar medidas de protección integrales para reducir el riesgo de ataques.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
7 me gusta
Recompensa
7
4
Compartir
Comentar
0/400
SillyWhale
· 07-31 04:57
Hay demasiadas vulnerabilidades, el contrato es realmente inseguro.
Ver originalesResponder0
IronHeadMiner
· 07-31 04:52
Otra vez toman a la gente por tonta, ¿quién se atreve a introducir una posición?
Ver originalesResponder0
GhostAddressHunter
· 07-31 04:29
¿Hay tantos errores en los contratos? ¿Quieres Cupones de clip?
Situación de seguridad de Web3 en la primera mitad del año: pérdidas de 644 millones de dólares, las vulnerabilidades de contratos se convierten en el principal objetivo de ataque.
Análisis de la situación de seguridad en el ámbito de Web3 en la primera mitad del año: formas de ataque de hackers y medidas de prevención
En la primera mitad de 2022, los eventos de seguridad en Web3 ocurrieron con frecuencia, causando pérdidas enormes. Este artículo analizará en profundidad las técnicas de ataque comúnmente utilizadas por los Hackers y explorará las medidas de prevención correspondientes.
Resumen de incidentes de seguridad en la primera mitad del año
Según los datos de una plataforma de monitoreo de seguridad de blockchain, en la primera mitad de 2022 se produjeron 42 incidentes importantes de ataques a contratos, con pérdidas totales que alcanzaron los 644 millones de dólares. De estos, el 53% de los ataques aprovecharon vulnerabilidades en los contratos.
Entre todas las vulnerabilidades explotadas, el diseño incorrecto de la lógica o las funciones es el método de ataque más común utilizado por los Hackers, seguido de los problemas de validación y las vulnerabilidades de reentrada.
Análisis de eventos de pérdidas significativas
Evento de ataque del puente cross-chain Wormhole
El 3 de febrero de 2022, un proyecto de puente entre cadenas fue atacado, con pérdidas de aproximadamente 326 millones de dólares. Los atacantes aprovecharon una vulnerabilidad en la verificación de firmas del contrato, logrando falsificar cuentas del sistema y acuñar una gran cantidad de tokens.
incidente de ataque de préstamo relámpago de Fei Protocol
El 30 de abril de 2022, un protocolo de préstamos sufrió un ataque de reentrada por préstamo relámpago, resultando en una pérdida de 80.34 millones de dólares. Este evento llevó finalmente al proyecto a anunciar su cierre el 20 de agosto.
Los atacantes aprovecharon principalmente la vulnerabilidad de reentrada en el contrato del proyecto. El proceso de ataque es el siguiente:
Tipos de vulnerabilidades comunes
Las vulnerabilidades más comunes durante el proceso de auditoría se dividen principalmente en cuatro categorías:
La importancia de la auditoría
Las vulnerabilidades mencionadas se pueden descubrir en su mayoría durante la fase de auditoría. A través de plataformas profesionales de verificación de contratos inteligentes y la revisión manual de expertos en seguridad, se pueden identificar oportunamente riesgos potenciales y proponer recomendaciones de reparación.
Sugerencias de prevención
Con el continuo desarrollo del ecosistema Web3, los problemas de seguridad seguirán siendo objeto de atención. Los equipos de proyectos deben prestar atención a la seguridad de los contratos y adoptar medidas de protección integrales para reducir el riesgo de ataques.