Análise das técnicas de ataque comuns no campo do Web3 no primeiro semestre de 2022
No primeiro semestre de 2022, o setor de segurança Web3 enfrentou desafios severos. Os dados mostram que apenas devido a falhas em contratos, ocorreram 42 incidentes de ataque significativos, com perdas totais que alcançaram 644 milhões de dólares. Entre esses ataques, falhas de lógica ou de design de funções foram as vulnerabilidades mais frequentemente exploradas pelos hackers, seguidas por problemas de validação e vulnerabilidades de reentrada.
Casos de grandes perdas
No dia 3 de fevereiro, um projeto de ponte entre cadeias sofreu um ataque, resultando em uma perda de cerca de 326 milhões de dólares. Os hackers exploraram uma vulnerabilidade na verificação de assinatura do contrato, conseguindo falsificar contas para cunhar tokens.
No dia 30 de abril, um determinado protocolo de empréstimo sofreu um ataque de reentrada de empréstimo relâmpago, resultando em perdas de 80,34 milhões de dólares. Este ataque causou um golpe fatal ao projeto, levando à sua eventual encerramento.
O atacante implementa o ataque através dos seguintes passos:
Fazer um empréstimo relâmpago de um determinado fundo
Utilizando cEther na plataforma de empréstimos para explorar a vulnerabilidade de reentrada em contratos.
Extrair todos os tokens do pool afetado através da exploração do contrato
Devolver o empréstimo relâmpago, transferir os ganhos do ataque
Tipos comuns de vulnerabilidades
Durante o processo de auditoria de contratos inteligentes, as vulnerabilidades mais comuns podem ser divididas em quatro grandes categorias:
Ataque de reentrada ERC721/ERC1155: envolve código malicioso na função de notificação de transferência de tokens.
Falhas lógicas:
Consideração insuficiente para cenários especiais, como transferências internas que resultam em criação de valor inexistente
Design de funcionalidades incompleto, como a ausência de mecanismos de retirada ou liquidação
Falta de autenticação: funções-chave não têm controlo de permissões definido
Manipulação de preços:
Preço médio ponderado pelo tempo não utilizado
Usar diretamente a proporção do saldo de tokens no contrato como preço
Prevenção de Vulnerabilidades
Quase todas as vulnerabilidades encontradas na auditoria foram exploradas por hackers em cenários reais. Entre elas, as vulnerabilidades lógicas de contrato permanecem como o principal ponto de ataque. Através de plataformas de verificação formal profissionais e da revisão manual por especialistas em segurança, a maioria dessas vulnerabilidades pode ser detectada na fase de auditoria.
Para aumentar a segurança dos projetos Web3, recomenda-se às equipas de desenvolvimento:
Realizar uma auditoria de segurança abrangente do contrato
Dar importância aos testes em cenários especiais
Implementar uma gestão rigorosa de permissões
Utilizar oráculos de preços confiáveis
Seguir o padrão de design "Verificar-Ativar-Interagir"
À medida que as técnicas de ataque evoluem, a consciência contínua de segurança e a atualização das medidas de proteção são cruciais para o desenvolvimento saudável do ecossistema Web3.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
8 gostos
Recompensa
8
5
Republicar
Partilhar
Comentar
0/400
InscriptionGriller
· 7h atrás
Outra leva de idiotas foi feita de parvas. Desbloqueie o clássico.
Ver originalResponder0
OPsychology
· 8h atrás
O dinheiro desapareceu, o dinheiro desapareceu, mas o contrato ainda está.
Ver originalResponder0
SigmaBrain
· 8h atrás
O dinheiro foi-se, é assim mesmo, rotina.
Ver originalResponder0
MEVHunter
· 8h atrás
apenas mais um dia em defi... contratos fracos são destruídos, vazamentos de alpha por toda a parte smh
Web3 perdeu 644 milhões de dólares em seis meses, com falhas lógicas nos contratos a serem o ponto principal de ataque dos Hackers.
Análise das técnicas de ataque comuns no campo do Web3 no primeiro semestre de 2022
No primeiro semestre de 2022, o setor de segurança Web3 enfrentou desafios severos. Os dados mostram que apenas devido a falhas em contratos, ocorreram 42 incidentes de ataque significativos, com perdas totais que alcançaram 644 milhões de dólares. Entre esses ataques, falhas de lógica ou de design de funções foram as vulnerabilidades mais frequentemente exploradas pelos hackers, seguidas por problemas de validação e vulnerabilidades de reentrada.
Casos de grandes perdas
No dia 3 de fevereiro, um projeto de ponte entre cadeias sofreu um ataque, resultando em uma perda de cerca de 326 milhões de dólares. Os hackers exploraram uma vulnerabilidade na verificação de assinatura do contrato, conseguindo falsificar contas para cunhar tokens.
No dia 30 de abril, um determinado protocolo de empréstimo sofreu um ataque de reentrada de empréstimo relâmpago, resultando em perdas de 80,34 milhões de dólares. Este ataque causou um golpe fatal ao projeto, levando à sua eventual encerramento.
O atacante implementa o ataque através dos seguintes passos:
Tipos comuns de vulnerabilidades
Durante o processo de auditoria de contratos inteligentes, as vulnerabilidades mais comuns podem ser divididas em quatro grandes categorias:
Prevenção de Vulnerabilidades
Quase todas as vulnerabilidades encontradas na auditoria foram exploradas por hackers em cenários reais. Entre elas, as vulnerabilidades lógicas de contrato permanecem como o principal ponto de ataque. Através de plataformas de verificação formal profissionais e da revisão manual por especialistas em segurança, a maioria dessas vulnerabilidades pode ser detectada na fase de auditoria.
Para aumentar a segurança dos projetos Web3, recomenda-se às equipas de desenvolvimento:
À medida que as técnicas de ataque evoluem, a consciência contínua de segurança e a atualização das medidas de proteção são cruciais para o desenvolvimento saudável do ecossistema Web3.