Análisis de las técnicas de ataque de hackers en el campo de Web3 en la primera mitad de 2022
Un reciente informe de investigación sobre la seguridad de Web3 analiza en profundidad la situación general en el campo de la seguridad blockchain durante la primera mitad de 2022. Este artículo se centrará en los métodos de ataque comúnmente utilizados por los hackers de Web3 durante este período, explorando los tipos de vulnerabilidades más frecuentes y sus medidas de prevención.
Pérdidas totales causadas por vulnerabilidades
Los datos muestran que en la primera mitad de 2022 ocurrieron 42 incidentes principales de ataques a contratos, lo que representa aproximadamente el 53% de todos los incidentes de ataque. Las pérdidas totales de estos ataques ascendieron a 644 millones de dólares.
Entre todas las vulnerabilidades explotadas, el diseño inadecuado de funciones lógicas o de funciones es la vulnerabilidad más comúnmente aprovechada por los hackers, seguido de problemas de validación y vulnerabilidades de reentrada.
Análisis de casos de pérdidas significativas
En febrero de 2022, un proyecto de puente entre cadenas fue atacado, con pérdidas de aproximadamente 326 millones de dólares. El Hacker aprovechó una vulnerabilidad en la verificación de firmas del contrato del proyecto para falsificar cuentas y acuñar una gran cantidad de tokens.
En abril de 2022, un protocolo de préstamo sufrió un ataque de préstamo relámpago, resultando en una pérdida de 80.34 millones de dólares. Este ataque causó enormes pérdidas al equipo del proyecto, que finalmente se vio obligado a anunciar su cierre.
El atacante aprovechó una vulnerabilidad de reentrada en el contrato base del protocolo, extrayendo todos los tokens del fondo afectado mediante la construcción de una función de callback. Todo el proceso de ataque involucró varios elementos como préstamos relámpago, préstamos colaterales y ataques de reentrada.
Tipos comunes de vulnerabilidades en auditorías
Ataques de reentrada ERC721/ERC1155: incluir código malicioso en la función de notificación de transferencia puede dar lugar a ataques de reentrada.
Vulnerabilidad lógica:
Falta de consideración en escenarios especiales, como transferir fondos a uno mismo que lleva a crear valor de la nada.
El diseño de la función no está completo, como la falta de funciones de extracción o liquidación.
Falta de autenticación: la función clave no tiene control de permisos establecido.
Manipulación de precios: uso inadecuado de oráculos o uso directo de datos de precios no confiables.
Vulnerabilidades realmente explotadas y su auditabilidad
Las vulnerabilidades realmente explotadas por los hackers son altamente consistentes con los tipos de vulnerabilidades encontradas en las auditorías, siendo las vulnerabilidades lógicas de los contratos el principal objetivo de ataque.
Es importante destacar que, a través de plataformas profesionales de verificación de contratos inteligentes y la revisión manual de expertos en seguridad, estas vulnerabilidades pueden ser detectadas en la fase de auditoría antes del lanzamiento del proyecto. Los expertos en seguridad pueden proponer recomendaciones de reparación correspondientes después de la evaluación, ayudando al equipo del proyecto a eliminar riesgos potenciales con antelación.
En resumen, a pesar de que el campo de Web3 enfrenta complejos desafíos de seguridad, mediante auditorías de seguridad rigurosas y correcciones oportunas de vulnerabilidades, aún se puede reducir significativamente el riesgo de ser atacado. Los equipos de proyecto deben dar importancia al trabajo de auditoría de seguridad, considerándolo como una parte indispensable del proceso de desarrollo del proyecto.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
8 me gusta
Recompensa
8
6
Republicar
Compartir
Comentar
0/400
GateUser-c799715c
· hace6h
¿Por qué todavía hay tantos contratos robados? Ya no tengo pantalones para ponerme.
Ver originalesResponder0
CryptoMom
· hace10h
¿Te han vuelto a tomar por tonto? En estos tiempos, ni siquiera los contratos son muy confiables.
Ver originalesResponder0
GasDevourer
· 08-14 15:19
¿Cuánto gas se puede comprar con este dinero?
Ver originalesResponder0
AirdropBuffet
· 08-14 15:16
Debería al menos auditarse el equipo detrás del proyecto.
Ver originalesResponder0
MintMaster
· 08-14 15:02
Explotar vulnerabilidades no es menos rentable que la minería.
Ver originalesResponder0
DeFiChef
· 08-14 14:53
¿Otra vez el puente fue atacado, el equipo detrás del proyecto no puede aprender a escribir contratos?
Informe de seguridad de Web3: Pérdidas de 644 millones de dólares debido a vulnerabilidades en contratos en la primera mitad de 2022
Análisis de las técnicas de ataque de hackers en el campo de Web3 en la primera mitad de 2022
Un reciente informe de investigación sobre la seguridad de Web3 analiza en profundidad la situación general en el campo de la seguridad blockchain durante la primera mitad de 2022. Este artículo se centrará en los métodos de ataque comúnmente utilizados por los hackers de Web3 durante este período, explorando los tipos de vulnerabilidades más frecuentes y sus medidas de prevención.
Pérdidas totales causadas por vulnerabilidades
Los datos muestran que en la primera mitad de 2022 ocurrieron 42 incidentes principales de ataques a contratos, lo que representa aproximadamente el 53% de todos los incidentes de ataque. Las pérdidas totales de estos ataques ascendieron a 644 millones de dólares.
Entre todas las vulnerabilidades explotadas, el diseño inadecuado de funciones lógicas o de funciones es la vulnerabilidad más comúnmente aprovechada por los hackers, seguido de problemas de validación y vulnerabilidades de reentrada.
Análisis de casos de pérdidas significativas
En febrero de 2022, un proyecto de puente entre cadenas fue atacado, con pérdidas de aproximadamente 326 millones de dólares. El Hacker aprovechó una vulnerabilidad en la verificación de firmas del contrato del proyecto para falsificar cuentas y acuñar una gran cantidad de tokens.
En abril de 2022, un protocolo de préstamo sufrió un ataque de préstamo relámpago, resultando en una pérdida de 80.34 millones de dólares. Este ataque causó enormes pérdidas al equipo del proyecto, que finalmente se vio obligado a anunciar su cierre.
El atacante aprovechó una vulnerabilidad de reentrada en el contrato base del protocolo, extrayendo todos los tokens del fondo afectado mediante la construcción de una función de callback. Todo el proceso de ataque involucró varios elementos como préstamos relámpago, préstamos colaterales y ataques de reentrada.
Tipos comunes de vulnerabilidades en auditorías
Ataques de reentrada ERC721/ERC1155: incluir código malicioso en la función de notificación de transferencia puede dar lugar a ataques de reentrada.
Vulnerabilidad lógica:
Falta de autenticación: la función clave no tiene control de permisos establecido.
Manipulación de precios: uso inadecuado de oráculos o uso directo de datos de precios no confiables.
Vulnerabilidades realmente explotadas y su auditabilidad
Las vulnerabilidades realmente explotadas por los hackers son altamente consistentes con los tipos de vulnerabilidades encontradas en las auditorías, siendo las vulnerabilidades lógicas de los contratos el principal objetivo de ataque.
Es importante destacar que, a través de plataformas profesionales de verificación de contratos inteligentes y la revisión manual de expertos en seguridad, estas vulnerabilidades pueden ser detectadas en la fase de auditoría antes del lanzamiento del proyecto. Los expertos en seguridad pueden proponer recomendaciones de reparación correspondientes después de la evaluación, ayudando al equipo del proyecto a eliminar riesgos potenciales con antelación.
En resumen, a pesar de que el campo de Web3 enfrenta complejos desafíos de seguridad, mediante auditorías de seguridad rigurosas y correcciones oportunas de vulnerabilidades, aún se puede reducir significativamente el riesgo de ser atacado. Los equipos de proyecto deben dar importancia al trabajo de auditoría de seguridad, considerándolo como una parte indispensable del proceso de desarrollo del proyecto.