Análise das técnicas de ataque de hackers no campo do Web3 no primeiro semestre de 2022
Um recente relatório de pesquisa sobre segurança Web3 analisou profundamente a situação geral da segurança em blockchain no primeiro semestre de 2022. Este artigo irá focar nas formas de ataque frequentemente utilizadas por hackers Web3 durante este período, explorando os tipos de vulnerabilidades mais comuns e suas medidas de prevenção.
Perdas totais causadas por vulnerabilidades
Os dados mostram que, no primeiro semestre de 2022, ocorreram 42 ataques a falhas em contratos principais, representando cerca de 53% de todos os eventos de ataque. As perdas totais causadas por esses ataques alcançaram 644 milhões de dólares.
Entre todas as vulnerabilidades exploradas, o design inadequado de lógica ou funções é a vulnerabilidade mais frequentemente explorada por hackers, seguido por problemas de validação e vulnerabilidades de reentrada.
Análise de Casos de Perdas Significativas
Em fevereiro de 2022, um projeto de ponte entre cadeias sofreu um ataque, resultando em uma perda de cerca de 326 milhões de dólares. O Hacker explorou uma vulnerabilidade de verificação de assinatura no contrato do projeto para falsificar contas e cunhar uma grande quantidade de tokens.
Em abril de 2022, um determinado protocolo de empréstimo sofreu um ataque de empréstimo relâmpago, resultando em uma perda de 80,34 milhões de dólares. Este ataque causou enormes prejuízos à equipe do projeto, que acabou por anunciar o fechamento.
Os atacantes exploraram uma vulnerabilidade de reentrada no contrato base do protocolo, extraindo todos os tokens do pool de fundos afetado através da construção de uma função de callback. Todo o processo de ataque envolveu múltiplas etapas, incluindo empréstimos relâmpago, empréstimos colaterais e ataques de reentrada.
Tipos comuns de vulnerabilidades em auditorias
Ataque de reentrada ERC721/ERC1155: Código malicioso pode ser incluído na função de notificação de transferência, podendo resultar em um ataque de reentrada.
Falha lógica:
Considerações insuficientes para cenários especiais, como transferências para si mesmo que resultam em criação de valor inexistente.
O design da funcionalidade não é completo, como a falta de funcionalidades de extração ou liquidação.
Falta de autenticação: Funções-chave não têm controlo de permissões definido.
Manipulação de preços: uso inadequado de oráculos ou uso direto de dados de preços não confiáveis.
Vulnerabilidades realmente exploradas e sua auditabilidade
As vulnerabilidades realmente exploradas por hackers são altamente consistentes com os tipos de vulnerabilidades descobertos na auditoria, sendo que as vulnerabilidades na lógica de contratos continuam a ser o principal alvo de ataques.
É importante notar que, através de plataformas de verificação de contratos inteligentes profissionais e da revisão manual de especialistas em segurança, essas vulnerabilidades podem ser identificadas na fase de auditoria antes do lançamento do projeto. Os especialistas em segurança podem apresentar recomendações de correção após a avaliação, ajudando a equipe do projeto a eliminar riscos potenciais antecipadamente.
Em suma, embora o campo Web3 enfrente desafios de segurança complexos, é possível reduzir significativamente o risco de ataques através de auditorias de segurança rigorosas e correções de vulnerabilidades em tempo hábil. As equipes de projeto devem dar importância ao trabalho de auditoria de segurança, considerando-o uma parte indispensável do processo de desenvolvimento do projeto.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
8 gostos
Recompensa
8
6
Republicar
Partilhar
Comentar
0/400
GateUser-c799715c
· 16h atrás
Como é que ainda há tantos contratos roubados? Não tenho nem calças para vestir.
Ver originalResponder0
CryptoMom
· 20h atrás
Ser enganado por idiotas de novo? Nos dias de hoje, até os contratos não são muito confiáveis.
Ver originalResponder0
GasDevourer
· 08-14 15:19
Quanto gás é que este dinheiro pode comprar?
Ver originalResponder0
AirdropBuffet
· 08-14 15:16
Deixe-me ver, a equipa do projeto deve pelo menos fazer uma auditoria primeiro.
Ver originalResponder0
MintMaster
· 08-14 15:02
Explorar vulnerabilidades não é menos lucrativo do que minerar.
Ver originalResponder0
DeFiChef
· 08-14 14:53
Outra vez a ponte foi atacada, a equipa do projeto não consegue aprender a escrever contratos?
Relatório de segurança Web3: perdas de 644 milhões de dólares devido a falhas em contratos na primeira metade de 2022
Análise das técnicas de ataque de hackers no campo do Web3 no primeiro semestre de 2022
Um recente relatório de pesquisa sobre segurança Web3 analisou profundamente a situação geral da segurança em blockchain no primeiro semestre de 2022. Este artigo irá focar nas formas de ataque frequentemente utilizadas por hackers Web3 durante este período, explorando os tipos de vulnerabilidades mais comuns e suas medidas de prevenção.
Perdas totais causadas por vulnerabilidades
Os dados mostram que, no primeiro semestre de 2022, ocorreram 42 ataques a falhas em contratos principais, representando cerca de 53% de todos os eventos de ataque. As perdas totais causadas por esses ataques alcançaram 644 milhões de dólares.
Entre todas as vulnerabilidades exploradas, o design inadequado de lógica ou funções é a vulnerabilidade mais frequentemente explorada por hackers, seguido por problemas de validação e vulnerabilidades de reentrada.
Análise de Casos de Perdas Significativas
Em fevereiro de 2022, um projeto de ponte entre cadeias sofreu um ataque, resultando em uma perda de cerca de 326 milhões de dólares. O Hacker explorou uma vulnerabilidade de verificação de assinatura no contrato do projeto para falsificar contas e cunhar uma grande quantidade de tokens.
Em abril de 2022, um determinado protocolo de empréstimo sofreu um ataque de empréstimo relâmpago, resultando em uma perda de 80,34 milhões de dólares. Este ataque causou enormes prejuízos à equipe do projeto, que acabou por anunciar o fechamento.
Os atacantes exploraram uma vulnerabilidade de reentrada no contrato base do protocolo, extraindo todos os tokens do pool de fundos afetado através da construção de uma função de callback. Todo o processo de ataque envolveu múltiplas etapas, incluindo empréstimos relâmpago, empréstimos colaterais e ataques de reentrada.
Tipos comuns de vulnerabilidades em auditorias
Ataque de reentrada ERC721/ERC1155: Código malicioso pode ser incluído na função de notificação de transferência, podendo resultar em um ataque de reentrada.
Falha lógica:
Falta de autenticação: Funções-chave não têm controlo de permissões definido.
Manipulação de preços: uso inadequado de oráculos ou uso direto de dados de preços não confiáveis.
Vulnerabilidades realmente exploradas e sua auditabilidade
As vulnerabilidades realmente exploradas por hackers são altamente consistentes com os tipos de vulnerabilidades descobertos na auditoria, sendo que as vulnerabilidades na lógica de contratos continuam a ser o principal alvo de ataques.
É importante notar que, através de plataformas de verificação de contratos inteligentes profissionais e da revisão manual de especialistas em segurança, essas vulnerabilidades podem ser identificadas na fase de auditoria antes do lançamento do projeto. Os especialistas em segurança podem apresentar recomendações de correção após a avaliação, ajudando a equipe do projeto a eliminar riscos potenciais antecipadamente.
Em suma, embora o campo Web3 enfrente desafios de segurança complexos, é possível reduzir significativamente o risco de ataques através de auditorias de segurança rigorosas e correções de vulnerabilidades em tempo hábil. As equipes de projeto devem dar importância ao trabalho de auditoria de segurança, considerando-o uma parte indispensável do processo de desenvolvimento do projeto.