Phân tích phương pháp tấn công Hacker trong lĩnh vực Web3 nửa đầu năm 2022
Báo cáo nghiên cứu về an ninh Web3 được phát hành gần đây đã phân tích sâu sắc tình hình tổng thể của lĩnh vực an ninh blockchain trong nửa đầu năm 2022. Bài viết này sẽ tập trung vào các phương thức tấn công thường được các Hacker Web3 sử dụng trong giai đoạn này, khám phá các loại lỗ hổng xuất hiện thường xuyên nhất và các biện pháp phòng ngừa.
Thiệt hại tổng thể do lỗ hổng gây ra
Dữ liệu cho thấy, trong nửa đầu năm 2022 đã xảy ra 42 vụ tấn công lỗ hổng hợp đồng lớn, chiếm khoảng 53% tổng số vụ tấn công. Tổng thiệt hại do những cuộc tấn công này gây ra lên tới 644 triệu USD.
Trong tất cả các lỗ hổng bị khai thác, thiết kế logic hoặc hàm không đúng là lỗ hổng thường được Hacker khai thác nhất, tiếp theo là vấn đề xác thực và lỗ hổng tái nhập.
Phân tích trường hợp tổn thất lớn
Vào tháng 2 năm 2022, một dự án cầu xuyên chuỗi đã bị tấn công, thiệt hại khoảng 3.26 triệu USD. Hacker đã lợi dụng lỗ hổng xác thực chữ ký trong hợp đồng của dự án để giả mạo tài khoản và đúc ra một lượng lớn token.
Tháng 4 năm 2022, một giao thức cho vay đã bị tấn công bằng cách sử dụng vay chớp nhoáng, gây thiệt hại 80.34 triệu USD. Cuộc tấn công này đã khiến cho dự án gánh chịu tổn thất lớn, cuối cùng buộc phải tuyên bố đóng cửa.
Kẻ tấn công đã lợi dụng lỗ hổng tái nhập trong hợp đồng cơ sở của giao thức, thông qua việc xây dựng hàm gọi lại để trích xuất tất cả token trong quỹ bị ảnh hưởng. Toàn bộ quá trình tấn công liên quan đến nhiều khía cạnh như vay chớp nhoáng, cho vay thế chấp và tấn công tái nhập.
Các loại lỗ hổng thường gặp trong kiểm toán
Tấn công tái nhập ERC721/ERC1155: Bao gồm mã độc hại trong hàm thông báo chuyển nhượng, có thể hình thành tấn công tái nhập.
Lỗi logic:
Thiếu sự xem xét cho các tình huống đặc biệt, chẳng hạn như tự chuyển tiền cho chính mình dẫn đến việc tạo ra thứ không có.
Thiết kế chức năng không hoàn thiện, chẳng hạn như thiếu chức năng rút tiền hoặc thanh lý.
Thiếu xác thực: Chức năng quan trọng không được thiết lập kiểm soát quyền truy cập.
Kiểm soát giá: Sử dụng sai oracle hoặc trực tiếp sử dụng dữ liệu giá không đáng tin cậy.
Lỗ hổng thực tế đã được khai thác và khả năng kiểm toán của nó
Các lỗ hổng thực tế bị Hacker khai thác rất nhất quán với các loại lỗ hổng được phát hiện trong quá trình kiểm toán, trong đó lỗ hổng logic hợp đồng vẫn là mục tiêu tấn công chính.
Cần lưu ý rằng, thông qua nền tảng xác minh hợp đồng thông minh chuyên nghiệp và sự kiểm tra của các chuyên gia an ninh, những lỗ hổng này có thể được phát hiện trong giai đoạn kiểm toán trước khi dự án ra mắt. Các chuyên gia an ninh có thể đưa ra các đề xuất sửa chữa phù hợp sau khi đánh giá, giúp bên dự án loại bỏ rủi ro tiềm ẩn trước.
Tóm lại, mặc dù lĩnh vực Web3 đối mặt với những thách thức an ninh phức tạp, nhưng thông qua việc kiểm toán an ninh nghiêm ngặt và khắc phục kịp thời các lỗ hổng, vẫn có thể giảm đáng kể rủi ro bị tấn công. Các dự án nên coi trọng công việc kiểm toán an ninh, xem đó như một phần không thể thiếu trong quy trình phát triển dự án.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
8 thích
Phần thưởng
8
5
Đăng lại
Chia sẻ
Bình luận
0/400
CryptoMom
· 44phút trước
Lại bị chơi cho Suckers rồi à? Thời buổi này ngay cả hợp đồng cũng không đáng tin lắm.
Xem bản gốcTrả lời0
GasDevourer
· 22giờ trước
Những tiền này có thể mua bao nhiêu gas phí vậy?
Xem bản gốcTrả lời0
AirdropBuffet
· 22giờ trước
Rời khỏi kịch bản, Bên dự án ít nhất cũng nên kiểm tra trước.
Xem bản gốcTrả lời0
MintMaster
· 22giờ trước
Lỗ hổng không dễ kiếm lời hơn việc khai thác mỏ.
Xem bản gốcTrả lời0
DeFiChef
· 22giờ trước
Lại một cây cầu bị nhắm đến, bên dự án không học được cách viết hợp đồng?
Báo cáo an ninh Web3: Lỗ hổng hợp đồng trong nửa đầu năm 2022 gây thiệt hại 644 triệu USD
Phân tích phương pháp tấn công Hacker trong lĩnh vực Web3 nửa đầu năm 2022
Báo cáo nghiên cứu về an ninh Web3 được phát hành gần đây đã phân tích sâu sắc tình hình tổng thể của lĩnh vực an ninh blockchain trong nửa đầu năm 2022. Bài viết này sẽ tập trung vào các phương thức tấn công thường được các Hacker Web3 sử dụng trong giai đoạn này, khám phá các loại lỗ hổng xuất hiện thường xuyên nhất và các biện pháp phòng ngừa.
Thiệt hại tổng thể do lỗ hổng gây ra
Dữ liệu cho thấy, trong nửa đầu năm 2022 đã xảy ra 42 vụ tấn công lỗ hổng hợp đồng lớn, chiếm khoảng 53% tổng số vụ tấn công. Tổng thiệt hại do những cuộc tấn công này gây ra lên tới 644 triệu USD.
Trong tất cả các lỗ hổng bị khai thác, thiết kế logic hoặc hàm không đúng là lỗ hổng thường được Hacker khai thác nhất, tiếp theo là vấn đề xác thực và lỗ hổng tái nhập.
Phân tích trường hợp tổn thất lớn
Vào tháng 2 năm 2022, một dự án cầu xuyên chuỗi đã bị tấn công, thiệt hại khoảng 3.26 triệu USD. Hacker đã lợi dụng lỗ hổng xác thực chữ ký trong hợp đồng của dự án để giả mạo tài khoản và đúc ra một lượng lớn token.
Tháng 4 năm 2022, một giao thức cho vay đã bị tấn công bằng cách sử dụng vay chớp nhoáng, gây thiệt hại 80.34 triệu USD. Cuộc tấn công này đã khiến cho dự án gánh chịu tổn thất lớn, cuối cùng buộc phải tuyên bố đóng cửa.
Kẻ tấn công đã lợi dụng lỗ hổng tái nhập trong hợp đồng cơ sở của giao thức, thông qua việc xây dựng hàm gọi lại để trích xuất tất cả token trong quỹ bị ảnh hưởng. Toàn bộ quá trình tấn công liên quan đến nhiều khía cạnh như vay chớp nhoáng, cho vay thế chấp và tấn công tái nhập.
Các loại lỗ hổng thường gặp trong kiểm toán
Tấn công tái nhập ERC721/ERC1155: Bao gồm mã độc hại trong hàm thông báo chuyển nhượng, có thể hình thành tấn công tái nhập.
Lỗi logic:
Thiếu xác thực: Chức năng quan trọng không được thiết lập kiểm soát quyền truy cập.
Kiểm soát giá: Sử dụng sai oracle hoặc trực tiếp sử dụng dữ liệu giá không đáng tin cậy.
Lỗ hổng thực tế đã được khai thác và khả năng kiểm toán của nó
Các lỗ hổng thực tế bị Hacker khai thác rất nhất quán với các loại lỗ hổng được phát hiện trong quá trình kiểm toán, trong đó lỗ hổng logic hợp đồng vẫn là mục tiêu tấn công chính.
Cần lưu ý rằng, thông qua nền tảng xác minh hợp đồng thông minh chuyên nghiệp và sự kiểm tra của các chuyên gia an ninh, những lỗ hổng này có thể được phát hiện trong giai đoạn kiểm toán trước khi dự án ra mắt. Các chuyên gia an ninh có thể đưa ra các đề xuất sửa chữa phù hợp sau khi đánh giá, giúp bên dự án loại bỏ rủi ro tiềm ẩn trước.
Tóm lại, mặc dù lĩnh vực Web3 đối mặt với những thách thức an ninh phức tạp, nhưng thông qua việc kiểm toán an ninh nghiêm ngặt và khắc phục kịp thời các lỗ hổng, vẫn có thể giảm đáng kể rủi ro bị tấn công. Các dự án nên coi trọng công việc kiểm toán an ninh, xem đó như một phần không thể thiếu trong quy trình phát triển dự án.