Phân tích tình hình an ninh trong lĩnh vực Web3 nửa đầu năm: Phương thức tấn công của hacker và biện pháp phòng ngừa
Trong nửa đầu năm 2022, các sự kiện an ninh Web3 xảy ra thường xuyên, gây ra thiệt hại lớn. Bài viết này sẽ phân tích sâu về các phương thức tấn công thường được Hacker sử dụng và thảo luận về các biện pháp phòng ngừa tương ứng.
Tóm tắt sự kiện an ninh nửa đầu năm
Dữ liệu từ một nền tảng giám sát an ninh blockchain cho thấy, trong nửa đầu năm 2022, đã xảy ra tổng cộng 42 sự kiện tấn công lỗ hổng hợp đồng chính, với tổng tổn thất lên tới 644 triệu USD. Trong số đó, 53% các cuộc tấn công đã tận dụng lỗ hổng hợp đồng.
Trong tất cả các lỗ hổng bị khai thác, thiết kế logic hoặc hàm không đúng là cách tấn công phổ biến nhất của Hacker, tiếp theo là vấn đề xác thực và lỗ hổng tái nhập.
Phân tích sự kiện tổn thất lớn
Sự kiện tấn công cầu nối đa chuỗi Wormhole
Vào ngày 3 tháng 2 năm 2022, một dự án cầu nối chuỗi chéo đã bị tấn công, gây thiệt hại khoảng 326 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng xác minh chữ ký trong hợp đồng, thành công giả mạo tài khoản hệ thống để đúc ra một lượng lớn token.
Sự kiện tấn công vay nhanh Fei Protocol
Vào ngày 30 tháng 4 năm 2022, một giao thức cho vay đã bị tấn công lợi dụng vay chớp nhoáng với kỹ thuật tái nhập, gây thiệt hại lên tới 80,34 triệu USD. Sự kiện này cuối cùng đã dẫn đến việc dự án tuyên bố đóng cửa vào ngày 20 tháng 8.
Kẻ tấn công chủ yếu đã lợi dụng lỗ hổng tái nhập trong hợp đồng dự án. Quy trình tấn công như sau:
Thực hiện vay chớp nhoáng từ một DEX nào đó
Sử dụng vốn vay để thế chấp và vay mượn trong giao thức mục tiêu
Thông qua hàm tấn công đã xây dựng, trích xuất tất cả các token trong pool bị ảnh hưởng.
Hoàn trả khoản vay chớp nhoáng, chuyển giao số tiền thu được từ cuộc tấn công
Các loại lỗ hổng phổ biến
Các lỗ hổng thường gặp nhất trong quá trình kiểm toán chủ yếu được chia thành bốn loại:
Tấn công tái nhập ERC721/ERC1155: Thực hiện các thao tác độc hại thông qua hàm callback
Lỗi logic: Không xem xét kỹ lưỡng các tình huống đặc biệt hoặc thiết kế chức năng chưa hoàn thiện
Thiếu xác thực: Các hàm quan trọng thiếu kiểm soát quyền truy cập
Kiểm soát giá: Việc sử dụng oracle không đúng cách hoặc cách tính giá có khuyết điểm
Tầm quan trọng của việc kiểm toán
Hầu hết các lỗ hổng trên có thể được phát hiện ở giai đoạn kiểm toán. Thông qua nền tảng xác minh hợp đồng thông minh chuyên nghiệp và đánh giá thủ công của các chuyên gia an ninh, có thể kịp thời phát hiện rủi ro tiềm ẩn và đề xuất biện pháp khắc phục.
Đề xuất phòng ngừa
Tăng cường thiết kế logic hợp đồng, xem xét các trường hợp biên khác nhau.
Thực hiện nghiêm ngặt cơ chế kiểm soát quyền truy cập
Sử dụng giải pháp oracle giá an toàn
Tuân theo mô hình thiết kế "Kiểm tra - Hiệu lực - Tương tác"
Thực hiện kiểm toán an ninh định kỳ, kịp thời sửa chữa các lỗ hổng phát hiện.
Với sự phát triển không ngừng của hệ sinh thái Web3, vấn đề an ninh sẽ tiếp tục thu hút sự chú ý. Các dự án nên coi trọng an toàn hợp đồng và áp dụng các biện pháp bảo vệ toàn diện để giảm thiểu rủi ro bị tấn công.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
7 thích
Phần thưởng
7
4
Chia sẻ
Bình luận
0/400
SillyWhale
· 07-31 04:57
Lỗ hổng quá nhiều, hợp đồng thật không an toàn.
Xem bản gốcTrả lời0
IronHeadMiner
· 07-31 04:52
又 chơi đùa với mọi người một波 đồ ngốc ai còn dám nhập một vị thế
Xem bản gốcTrả lời0
GhostAddressHunter
· 07-31 04:29
Hợp đồng có nhiều lỗ hổng như vậy? Muốn Phiếu giảm giá rồi.
Tình hình an ninh Web3 nửa đầu năm: Thiệt hại 644 triệu USD, lỗ hổng hợp đồng trở thành điểm tấn công chính
Phân tích tình hình an ninh trong lĩnh vực Web3 nửa đầu năm: Phương thức tấn công của hacker và biện pháp phòng ngừa
Trong nửa đầu năm 2022, các sự kiện an ninh Web3 xảy ra thường xuyên, gây ra thiệt hại lớn. Bài viết này sẽ phân tích sâu về các phương thức tấn công thường được Hacker sử dụng và thảo luận về các biện pháp phòng ngừa tương ứng.
Tóm tắt sự kiện an ninh nửa đầu năm
Dữ liệu từ một nền tảng giám sát an ninh blockchain cho thấy, trong nửa đầu năm 2022, đã xảy ra tổng cộng 42 sự kiện tấn công lỗ hổng hợp đồng chính, với tổng tổn thất lên tới 644 triệu USD. Trong số đó, 53% các cuộc tấn công đã tận dụng lỗ hổng hợp đồng.
Trong tất cả các lỗ hổng bị khai thác, thiết kế logic hoặc hàm không đúng là cách tấn công phổ biến nhất của Hacker, tiếp theo là vấn đề xác thực và lỗ hổng tái nhập.
Phân tích sự kiện tổn thất lớn
Sự kiện tấn công cầu nối đa chuỗi Wormhole
Vào ngày 3 tháng 2 năm 2022, một dự án cầu nối chuỗi chéo đã bị tấn công, gây thiệt hại khoảng 326 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng xác minh chữ ký trong hợp đồng, thành công giả mạo tài khoản hệ thống để đúc ra một lượng lớn token.
Sự kiện tấn công vay nhanh Fei Protocol
Vào ngày 30 tháng 4 năm 2022, một giao thức cho vay đã bị tấn công lợi dụng vay chớp nhoáng với kỹ thuật tái nhập, gây thiệt hại lên tới 80,34 triệu USD. Sự kiện này cuối cùng đã dẫn đến việc dự án tuyên bố đóng cửa vào ngày 20 tháng 8.
Kẻ tấn công chủ yếu đã lợi dụng lỗ hổng tái nhập trong hợp đồng dự án. Quy trình tấn công như sau:
Các loại lỗ hổng phổ biến
Các lỗ hổng thường gặp nhất trong quá trình kiểm toán chủ yếu được chia thành bốn loại:
Tầm quan trọng của việc kiểm toán
Hầu hết các lỗ hổng trên có thể được phát hiện ở giai đoạn kiểm toán. Thông qua nền tảng xác minh hợp đồng thông minh chuyên nghiệp và đánh giá thủ công của các chuyên gia an ninh, có thể kịp thời phát hiện rủi ro tiềm ẩn và đề xuất biện pháp khắc phục.
Đề xuất phòng ngừa
Với sự phát triển không ngừng của hệ sinh thái Web3, vấn đề an ninh sẽ tiếp tục thu hút sự chú ý. Các dự án nên coi trọng an toàn hợp đồng và áp dụng các biện pháp bảo vệ toàn diện để giảm thiểu rủi ro bị tấn công.