Análise das técnicas de ataque comuns dos Hackers Web3 no primeiro semestre de 2022
No primeiro semestre de 2022, a situação de segurança no campo do Web3 foi severa. Dados mostram que houve um total de 42 eventos de ataque principais devido a vulnerabilidades em contratos inteligentes, resultando em perdas totais de até 644 milhões de dólares. Desses ataques, a exploração de vulnerabilidades de contratos representou mais da metade, atingindo 53%.
Métodos de ataque comuns
Análise indica que os tipos de vulnerabilidades mais frequentemente explorados pelos Hackers incluem:
Design de função lógica inadequado
Pergunta de verificação
Vulnerabilidade de Reentrada
Casos de grandes perdas
Evento Wormhole
No dia 3 de fevereiro de 2022, o projeto de ponte cross-chain da Solana, Wormhole, foi atacado, resultando em uma perda de cerca de 326 milhões de dólares. O hacker explorou uma vulnerabilidade na verificação de assinatura do contrato, conseguindo falsificar contas para cunhar wETH.
Evento Fei Protocol
No dia 30 de abril de 2022, o Rari Fuse Pool da Fei Protocol sofreu um ataque de empréstimo relâmpago combinado com um ataque de reentrada, resultando em uma perda de 80,34 milhões de dólares. Este evento levou, em última análise, ao anúncio do encerramento do projeto em 20 de agosto.
Os atacantes implementam o ataque através dos seguintes passos:
Obter um empréstimo relâmpago do Balancer
Aproveitar a vulnerabilidade de reentrada do contrato cEther da Rari Capital
Extrair todos os tokens do pool afetado através de uma função de callback
Devolver o empréstimo relâmpago e transferir os lucros
Vulnerabilidades Comuns em Auditoria
Durante o processo de auditoria de contratos inteligentes, os tipos de vulnerabilidades mais comuns incluem:
Ataque de reentrada ERC721/ERC1155
Falha lógica ( consideração insuficiente em cenários especiais, design de funcionalidade incompleto )
Falta de autenticação
Manipulação de Preços
Prevenção de Vulnerabilidades
A maioria das vulnerabilidades realmente exploradas podem ser detectadas na fase de auditoria. Os desenvolvedores de contratos devem se concentrar em:
Seguir rigorosamente o modo de verificação-eficácia-interação
Melhorar o tratamento de cenários especiais
Reforçar a gestão de permissões
Utilize oráculos de preços confiáveis
Através de uma plataforma de verificação formal de contratos inteligentes profissional e da revisão manual por especialistas em segurança, é possível identificar eficazmente riscos potenciais e tomar medidas corretivas a tempo, aumentando a segurança dos contratos.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
9 gostos
Recompensa
9
7
Republicar
Partilhar
Comentar
0/400
LongTermDreamer
· 9h atrás
As oportunidades trazidas por vulnerabilidades, ao olhar para trás em três anos, tudo isso será trivial.
Ver originalResponder0
LightningPacketLoss
· 12h atrás
Ah, alguém foi roubado novamente.
Ver originalResponder0
ParanoiaKing
· 12h atrás
6 milhões se foram, para que continuar com as moedas, é melhor desistir.
Ver originalResponder0
SchroedingerMiner
· 12h atrás
Ai, contratos inteligentes são uma armadilha.
Ver originalResponder0
TestnetScholar
· 12h atrás
Ser enganado por idiotas uma vez é garantido.
Ver originalResponder0
probably_nothing_anon
· 12h atrás
gm normies a verificação nem foi feita gg
Ver originalResponder0
FloorPriceWatcher
· 13h atrás
Fui embora, fui embora, o chão já está a desaparecer.
Relatório de segurança Web3: Ataques de hackers causaram uma perda de 644 milhões de dólares no primeiro semestre de 2022
Análise das técnicas de ataque comuns dos Hackers Web3 no primeiro semestre de 2022
No primeiro semestre de 2022, a situação de segurança no campo do Web3 foi severa. Dados mostram que houve um total de 42 eventos de ataque principais devido a vulnerabilidades em contratos inteligentes, resultando em perdas totais de até 644 milhões de dólares. Desses ataques, a exploração de vulnerabilidades de contratos representou mais da metade, atingindo 53%.
Métodos de ataque comuns
Análise indica que os tipos de vulnerabilidades mais frequentemente explorados pelos Hackers incluem:
Casos de grandes perdas
Evento Wormhole
No dia 3 de fevereiro de 2022, o projeto de ponte cross-chain da Solana, Wormhole, foi atacado, resultando em uma perda de cerca de 326 milhões de dólares. O hacker explorou uma vulnerabilidade na verificação de assinatura do contrato, conseguindo falsificar contas para cunhar wETH.
Evento Fei Protocol
No dia 30 de abril de 2022, o Rari Fuse Pool da Fei Protocol sofreu um ataque de empréstimo relâmpago combinado com um ataque de reentrada, resultando em uma perda de 80,34 milhões de dólares. Este evento levou, em última análise, ao anúncio do encerramento do projeto em 20 de agosto.
Os atacantes implementam o ataque através dos seguintes passos:
Vulnerabilidades Comuns em Auditoria
Durante o processo de auditoria de contratos inteligentes, os tipos de vulnerabilidades mais comuns incluem:
Prevenção de Vulnerabilidades
A maioria das vulnerabilidades realmente exploradas podem ser detectadas na fase de auditoria. Os desenvolvedores de contratos devem se concentrar em:
Através de uma plataforma de verificação formal de contratos inteligentes profissional e da revisão manual por especialistas em segurança, é possível identificar eficazmente riscos potenciais e tomar medidas corretivas a tempo, aumentando a segurança dos contratos.