Analisis Metode Serangan Hacker di Bidang Web3 Paruh Pertama 2022
Laporan penelitian keamanan Web3 yang baru-baru ini dirilis menganalisis secara mendalam situasi umum di bidang keamanan blockchain pada paruh pertama tahun 2022. Artikel ini akan fokus pada metode serangan yang umum digunakan oleh hacker Web3 selama periode ini, serta membahas jenis kerentanan yang paling sering muncul dan langkah-langkah pencegahannya.
Kerugian Total Akibat Kerentanan
Data menunjukkan, pada paruh pertama tahun 2022 terjadi 42 serangan kerentanan kontrak utama, yang merupakan sekitar 53% dari semua insiden serangan. Kerugian total yang disebabkan oleh serangan ini mencapai 644 juta dolar.
Di antara semua celah yang dimanfaatkan, desain logika atau fungsi yang tidak tepat adalah celah yang paling sering dimanfaatkan oleh Hacker, diikuti oleh masalah validasi dan celah reentrancy.
Analisis Kasus Kerugian Besar
Pada bulan Februari 2022, sebuah proyek jembatan lintas rantai diserang, dengan kerugian sekitar 3,26 juta dolar AS. Hacker memanfaatkan celah verifikasi tanda tangan dalam kontrak proyek tersebut untuk memalsukan akun dan mencetak sejumlah besar token.
Pada April 2022, suatu protokol pinjaman mengalami serangan pinjaman kilat, mengakibatkan kerugian sebesar 80,34 juta dolar AS. Serangan ini menyebabkan pihak proyek mengalami kerugian besar dan akhirnya terpaksa mengumumkan penutupan.
Penyerang memanfaatkan kerentanan reentrancy dalam kontrak dasar protokol, dengan membangun fungsi callback untuk mengekstrak semua token dari kolam dana yang terpengaruh. Seluruh proses serangan melibatkan beberapa langkah seperti pinjaman kilat, pinjaman yang dijaminkan, dan serangan reentrancy.
Jenis Kerentanan yang Umum Ditemukan dalam Audit
Serangan reentrancy ERC721/ERC1155: Mengandung kode jahat dalam fungsi pemberitahuan transfer, yang dapat menyebabkan serangan reentrancy.
Celah logika:
Pertimbangan situasi khusus yang kurang, seperti melakukan transfer ke diri sendiri yang mengakibatkan penciptaan sesuatu yang tidak ada.
Desain fungsional tidak lengkap, seperti kurangnya fungsi penarikan atau likuidasi.
Kehilangan otentikasi: Fungsi kunci tidak diatur kontrol hak akses.
Manipulasi Harga: Penggunaan oracle yang tidak tepat atau langsung menggunakan data harga yang tidak dapat diandalkan.
Kerentanan yang benar-benar dimanfaatkan dan auditabilitasnya
Jenis celah yang benar-benar dimanfaatkan oleh hacker sangat konsisten dengan jenis celah yang ditemukan dalam audit, di mana celah logika kontrak tetap menjadi target utama serangan.
Perlu dicatat bahwa melalui platform verifikasi kontrak pintar yang profesional dan tinjauan manual oleh ahli keamanan, kerentanan ini dapat ditemukan pada tahap audit sebelum proyek diluncurkan. Ahli keamanan dapat memberikan saran perbaikan yang sesuai setelah evaluasi, membantu pihak proyek untuk menghilangkan risiko potensial lebih awal.
Secara keseluruhan, meskipun bidang Web3 menghadapi tantangan keamanan yang kompleks, namun melalui audit keamanan yang ketat dan perbaikan kerentanan yang tepat waktu, risiko diserang masih dapat secara signifikan dikurangi. Pihak proyek harus memperhatikan pekerjaan audit keamanan dan menjadikannya sebagai bagian yang tidak terpisahkan dari proses pengembangan proyek.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
8 Suka
Hadiah
8
6
Posting ulang
Bagikan
Komentar
0/400
GateUser-c799715c
· 9jam yang lalu
Kontrak dicuri, kenapa masih banyak? Celana saja sudah tidak ada yang bisa dipakai.
Lihat AsliBalas0
CryptoMom
· 13jam yang lalu
Sudah dianggap bodoh lagi? Di zaman ini bahkan kontrak pun tidak terlalu dapat diandalkan.
Lihat AsliBalas0
GasDevourer
· 08-14 15:19
Uang ini bisa membeli berapa banyak biaya gas?
Lihat AsliBalas0
AirdropBuffet
· 08-14 15:16
Jangan terlalu jauh. Tim proyek setidaknya harus melakukan audit terlebih dahulu.
Lihat AsliBalas0
MintMaster
· 08-14 15:02
Mengatasi celah tidak lebih menguntungkan daripada menambang.
Lihat AsliBalas0
DeFiChef
· 08-14 14:53
Jembatan lagi, ditargetkan lagi, tim proyek yang bodoh tidak bisa belajar menulis kontrak?
Laporan Keamanan Web3: Kerugian $644 juta akibat kerentanan kontrak pada paruh pertama tahun 2022
Analisis Metode Serangan Hacker di Bidang Web3 Paruh Pertama 2022
Laporan penelitian keamanan Web3 yang baru-baru ini dirilis menganalisis secara mendalam situasi umum di bidang keamanan blockchain pada paruh pertama tahun 2022. Artikel ini akan fokus pada metode serangan yang umum digunakan oleh hacker Web3 selama periode ini, serta membahas jenis kerentanan yang paling sering muncul dan langkah-langkah pencegahannya.
Kerugian Total Akibat Kerentanan
Data menunjukkan, pada paruh pertama tahun 2022 terjadi 42 serangan kerentanan kontrak utama, yang merupakan sekitar 53% dari semua insiden serangan. Kerugian total yang disebabkan oleh serangan ini mencapai 644 juta dolar.
Di antara semua celah yang dimanfaatkan, desain logika atau fungsi yang tidak tepat adalah celah yang paling sering dimanfaatkan oleh Hacker, diikuti oleh masalah validasi dan celah reentrancy.
Analisis Kasus Kerugian Besar
Pada bulan Februari 2022, sebuah proyek jembatan lintas rantai diserang, dengan kerugian sekitar 3,26 juta dolar AS. Hacker memanfaatkan celah verifikasi tanda tangan dalam kontrak proyek tersebut untuk memalsukan akun dan mencetak sejumlah besar token.
Pada April 2022, suatu protokol pinjaman mengalami serangan pinjaman kilat, mengakibatkan kerugian sebesar 80,34 juta dolar AS. Serangan ini menyebabkan pihak proyek mengalami kerugian besar dan akhirnya terpaksa mengumumkan penutupan.
Penyerang memanfaatkan kerentanan reentrancy dalam kontrak dasar protokol, dengan membangun fungsi callback untuk mengekstrak semua token dari kolam dana yang terpengaruh. Seluruh proses serangan melibatkan beberapa langkah seperti pinjaman kilat, pinjaman yang dijaminkan, dan serangan reentrancy.
Jenis Kerentanan yang Umum Ditemukan dalam Audit
Serangan reentrancy ERC721/ERC1155: Mengandung kode jahat dalam fungsi pemberitahuan transfer, yang dapat menyebabkan serangan reentrancy.
Celah logika:
Kehilangan otentikasi: Fungsi kunci tidak diatur kontrol hak akses.
Manipulasi Harga: Penggunaan oracle yang tidak tepat atau langsung menggunakan data harga yang tidak dapat diandalkan.
Kerentanan yang benar-benar dimanfaatkan dan auditabilitasnya
Jenis celah yang benar-benar dimanfaatkan oleh hacker sangat konsisten dengan jenis celah yang ditemukan dalam audit, di mana celah logika kontrak tetap menjadi target utama serangan.
Perlu dicatat bahwa melalui platform verifikasi kontrak pintar yang profesional dan tinjauan manual oleh ahli keamanan, kerentanan ini dapat ditemukan pada tahap audit sebelum proyek diluncurkan. Ahli keamanan dapat memberikan saran perbaikan yang sesuai setelah evaluasi, membantu pihak proyek untuk menghilangkan risiko potensial lebih awal.
Secara keseluruhan, meskipun bidang Web3 menghadapi tantangan keamanan yang kompleks, namun melalui audit keamanan yang ketat dan perbaikan kerentanan yang tepat waktu, risiko diserang masih dapat secara signifikan dikurangi. Pihak proyek harus memperhatikan pekerjaan audit keamanan dan menjadikannya sebagai bagian yang tidak terpisahkan dari proses pengembangan proyek.