La situación de seguridad en Web3 es grave: los ataques de vulnerabilidades en contratos en la primera mitad de 2022 causaron pérdidas de 644 millones de dólares.
Análisis de la situación de seguridad en Web3: Análisis de las técnicas de ataque de hackers en la primera mitad de 2022
En la primera mitad de 2022, la situación de seguridad en el ámbito de Web3 sigue siendo grave. A través de un análisis exhaustivo de los incidentes de seguridad en blockchain, podemos comprender a fondo los métodos de ataque comúnmente utilizados por los hackers, así como cómo prevenir eficazmente estas amenazas.
Resumen de incidentes de seguridad en la primera mitad del año
Según los datos de una plataforma de monitoreo de seguridad blockchain, en la primera mitad de 2022 se produjeron 42 importantes ataques de vulnerabilidad de contratos, que representaron el 53% de todos los métodos de ataque. Las pérdidas totales causadas por estos ataques alcanzaron los 644 millones de dólares.
Entre todas las vulnerabilidades explotadas, el diseño incorrecto de lógica o funciones es el tipo de vulnerabilidad más comúnmente aprovechado por los hackers, seguido de problemas de validación y vulnerabilidades de reentrada.
Análisis de casos de pérdidas significativas
ataque de puente cruzado Wormhole
El 3 de febrero de 2022, el proyecto de puente跨链 en el ecosistema de Solana, Wormhole, fue atacado por un Hacker, perdiendo aproximadamente 326 millones de dólares. El atacante explotó una vulnerabilidad en la verificación de firmas del contrato, logrando falsificar cuentas del sistema y acuñar una gran cantidad de wETH.
Fei Protocol sufrió un ataque de reentrada
El 30 de abril de 2022, el Rari Fuse Pool de Fei Protocol sufrió un ataque de reentrada combinado con un préstamo relámpago, lo que resultó en una pérdida de 80.34 millones de dólares. Este ataque causó un daño mortal al proyecto, lo que llevó a que el proyecto anunciara su cierre oficial el 20 de agosto.
Los pasos principales del atacante incluyen:
Realizar un préstamo relámpago desde Balancer
Realizar un ataque utilizando la vulnerabilidad de reentrada en el contrato cEther de Rari Capital
A través de la función de ataque construida como callback, extraer todos los tokens del pool
Devolver el préstamo relámpago y transferir las ganancias del ataque
Tipos de vulnerabilidades comunes
Las vulnerabilidades más comunes durante el proceso de auditoría se dividen principalmente en cuatro categorías:
Ataques de reentrada ERC721/ERC1155: Al utilizar las funciones de transferencia seguras de estos estándares, puede activarse código malicioso en el contrato del receptor, lo que provoca un ataque de reentrada.
Vulnerabilidad lógica:
Falta de consideración en escenarios especiales, como transferirse dinero a uno mismo.
El diseño de la funcionalidad no es completo, como la falta de mecanismos de extracción o liquidación
Falta de autenticación: funciones clave como acuñación, configuración de roles, etc. carecen de un control de permisos efectivo.
Manipulación de precios:
Precio medio ponderado por el tiempo no utilizado
Usar directamente la proporción del saldo de tokens en el contrato como precio
Sugerencias para la prevención de vulnerabilidades
Reforzar la auditoría de código: A través de plataformas de validación de contratos inteligentes profesionales y la revisión manual de expertos en seguridad, se pueden detectar la mayoría de las vulnerabilidades potenciales antes del lanzamiento del proyecto.
Seguir las normas de desarrollo seguro: diseñar funciones de negocio estrictamente de acuerdo con el modo de inspección-efecto-interacción para reducir el riesgo de ataques de reentrada.
Mejorar la gestión de permisos: establecer mecanismos de firma múltiple o bloqueo temporal para operaciones clave.
Utilizar oráculos de precios confiables: adoptar el precio promedio ponderado por tiempo para evitar que el precio sea fácilmente manipulado.
Considerar escenarios extremos: al diseñar la lógica del contrato, tener en cuenta adecuadamente varios casos límite y situaciones especiales.
Auditoría de seguridad periódica: incluso los proyectos que ya están en línea deben someterse a evaluaciones de seguridad y escaneos de vulnerabilidades de manera regular.
Al adoptar estas medidas, los proyectos de Web3 pueden aumentar significativamente su seguridad y reducir el riesgo de ser atacados por hackers. Sin embargo, a medida que la tecnología continúa avanzando, pueden aparecer nuevos tipos de vulnerabilidades, por lo que es crucial mantenerse alerta y seguir aprendiendo.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
La situación de seguridad en Web3 es grave: los ataques de vulnerabilidades en contratos en la primera mitad de 2022 causaron pérdidas de 644 millones de dólares.
Análisis de la situación de seguridad en Web3: Análisis de las técnicas de ataque de hackers en la primera mitad de 2022
En la primera mitad de 2022, la situación de seguridad en el ámbito de Web3 sigue siendo grave. A través de un análisis exhaustivo de los incidentes de seguridad en blockchain, podemos comprender a fondo los métodos de ataque comúnmente utilizados por los hackers, así como cómo prevenir eficazmente estas amenazas.
Resumen de incidentes de seguridad en la primera mitad del año
Según los datos de una plataforma de monitoreo de seguridad blockchain, en la primera mitad de 2022 se produjeron 42 importantes ataques de vulnerabilidad de contratos, que representaron el 53% de todos los métodos de ataque. Las pérdidas totales causadas por estos ataques alcanzaron los 644 millones de dólares.
Entre todas las vulnerabilidades explotadas, el diseño incorrecto de lógica o funciones es el tipo de vulnerabilidad más comúnmente aprovechado por los hackers, seguido de problemas de validación y vulnerabilidades de reentrada.
Análisis de casos de pérdidas significativas
ataque de puente cruzado Wormhole
El 3 de febrero de 2022, el proyecto de puente跨链 en el ecosistema de Solana, Wormhole, fue atacado por un Hacker, perdiendo aproximadamente 326 millones de dólares. El atacante explotó una vulnerabilidad en la verificación de firmas del contrato, logrando falsificar cuentas del sistema y acuñar una gran cantidad de wETH.
Fei Protocol sufrió un ataque de reentrada
El 30 de abril de 2022, el Rari Fuse Pool de Fei Protocol sufrió un ataque de reentrada combinado con un préstamo relámpago, lo que resultó en una pérdida de 80.34 millones de dólares. Este ataque causó un daño mortal al proyecto, lo que llevó a que el proyecto anunciara su cierre oficial el 20 de agosto.
Los pasos principales del atacante incluyen:
Tipos de vulnerabilidades comunes
Las vulnerabilidades más comunes durante el proceso de auditoría se dividen principalmente en cuatro categorías:
Sugerencias para la prevención de vulnerabilidades
Reforzar la auditoría de código: A través de plataformas de validación de contratos inteligentes profesionales y la revisión manual de expertos en seguridad, se pueden detectar la mayoría de las vulnerabilidades potenciales antes del lanzamiento del proyecto.
Seguir las normas de desarrollo seguro: diseñar funciones de negocio estrictamente de acuerdo con el modo de inspección-efecto-interacción para reducir el riesgo de ataques de reentrada.
Mejorar la gestión de permisos: establecer mecanismos de firma múltiple o bloqueo temporal para operaciones clave.
Utilizar oráculos de precios confiables: adoptar el precio promedio ponderado por tiempo para evitar que el precio sea fácilmente manipulado.
Considerar escenarios extremos: al diseñar la lógica del contrato, tener en cuenta adecuadamente varios casos límite y situaciones especiales.
Auditoría de seguridad periódica: incluso los proyectos que ya están en línea deben someterse a evaluaciones de seguridad y escaneos de vulnerabilidades de manera regular.
Al adoptar estas medidas, los proyectos de Web3 pueden aumentar significativamente su seguridad y reducir el riesgo de ser atacados por hackers. Sin embargo, a medida que la tecnología continúa avanzando, pueden aparecer nuevos tipos de vulnerabilidades, por lo que es crucial mantenerse alerta y seguir aprendiendo.