Análisis de las técnicas de ataque de Hacker Web3: vulnerabilidades comunes y estrategias de prevención en la primera mitad de 2022
En la primera mitad de 2022, el campo de Web3 sufrió múltiples ataques de Hacker significativos, lo que resultó en pérdidas enormes. Este artículo analizará en profundidad los métodos de ataque comúnmente utilizados por los Hacker durante este período, explorando qué vulnerabilidades fueron las más frecuentes y cómo prevenirlas de manera efectiva.
Resumen de pérdidas por ataques de vulnerabilidades en el primer semestre
Según los datos de una plataforma de monitoreo de seguridad blockchain, en la primera mitad de 2022 se registraron 42 incidentes de ataques a contratos importantes, lo que representa el 53% de todas las formas de ataque. Estos ataques causaron pérdidas por un total de 644 millones de dólares.
Entre todas las vulnerabilidades explotadas, el diseño incorrecto de la lógica o de las funciones es la vulnerabilidad más comúnmente aprovechada por los hackers, seguido de los problemas de validación y las vulnerabilidades de reentrada.
Análisis de casos de pérdidas significativas
ataque del puente cross-chain Wormhole
El 3 de febrero de 2022, un proyecto de puente entre cadenas fue atacado, con una pérdida de aproximadamente 326 millones de dólares. El Hacker aprovechó una vulnerabilidad en la verificación de firma del contrato, falsificando cuentas del sistema para acuñar wETH.
Fei Protocol ataque de préstamo relámpago
El 30 de abril de 2022, un protocolo de préstamos sufrió un ataque de reentrada por préstamo relámpago, causando una pérdida de 80.34 millones de dólares. Este ataque infligió un golpe mortal al proyecto, que finalmente anunció su cierre oficial el 20 de agosto.
El atacante lleva a cabo el ataque a través de los siguientes pasos:
Solicitar un préstamo relámpago de un fondo específico.
Utilizar cEther en el protocolo de préstamos para implementar la vulnerabilidad de reentrada en contratos.
A través de la función de callback construida por el ataque al contrato, extraer todos los tokens del pool afectado.
Devolver el préstamo relámpago, transferir las ganancias del ataque
Tipos comunes de vulnerabilidades
Las vulnerabilidades más comunes durante el proceso de auditoría se pueden clasificar en cuatro grandes categorías:
Ataque de reentrada ERC721/ERC1155: Al utilizar funciones como _safeMint(), _safeTransfer(), es posible que se active la función de callback en un contrato malicioso, lo que puede dar lugar a un ataque de reentrada.
Vulnerabilidad lógica:
Consideración insuficiente de escenarios especiales, como la auto-transferencia que resulta en la creación de dinero de la nada
El diseño de la funcionalidad no es completo, como la falta de funciones de extracción o liquidación
Falta de autenticación: funciones clave como acuñación, establecimiento de roles, etc., carecen de control de permisos.
Manipulación de precios:
Precio medio ponderado por tiempo no utilizado
Usar directamente la proporción del saldo de tokens en el contrato como precio
Sugerencias para la prevención de vulnerabilidades
Seguir estrictamente el diseño de funciones comerciales del modo "verificación-efecto-interacción"
Considerar exhaustivamente los escenarios especiales y mejorar el diseño de funciones
Implementar un control de permisos estricto sobre las funciones clave
Utilizar oráculos de precios confiables para evitar la manipulación de precios
Realizar una auditoría de seguridad integral, que incluya detección automatizada y revisión manual por expertos.
Realizar evaluaciones de seguridad periódicas y corregir oportunamente las vulnerabilidades encontradas.
Al adoptar estas medidas, el equipo del proyecto puede reducir significativamente el riesgo de ser atacado y garantizar la seguridad de los activos. A medida que el ecosistema Web3 continúa desarrollándose, la conciencia de seguridad y la capacidad de defensa se volverán cada vez más importantes.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
13 me gusta
Recompensa
13
3
Republicar
Compartir
Comentar
0/400
DogeBachelor
· 08-09 15:03
Hacker, ¿dónde comen? Vamos a esperar.
Ver originalesResponder0
ClassicDumpster
· 08-09 14:59
El Año del Tigre comienza con explosiones, ¡celebrando el Año Nuevo con gran entusiasmo!
Ver originalesResponder0
LuckyBearDrawer
· 08-09 14:43
Los hermanos ricos están siendo atacados, los inversores minoristas dicen que se sienten seguros y relajados~
Alerta de seguridad Web3: Análisis de las técnicas de ataque de hackers y estrategias de prevención en la primera mitad de 2022
Análisis de las técnicas de ataque de Hacker Web3: vulnerabilidades comunes y estrategias de prevención en la primera mitad de 2022
En la primera mitad de 2022, el campo de Web3 sufrió múltiples ataques de Hacker significativos, lo que resultó en pérdidas enormes. Este artículo analizará en profundidad los métodos de ataque comúnmente utilizados por los Hacker durante este período, explorando qué vulnerabilidades fueron las más frecuentes y cómo prevenirlas de manera efectiva.
Resumen de pérdidas por ataques de vulnerabilidades en el primer semestre
Según los datos de una plataforma de monitoreo de seguridad blockchain, en la primera mitad de 2022 se registraron 42 incidentes de ataques a contratos importantes, lo que representa el 53% de todas las formas de ataque. Estos ataques causaron pérdidas por un total de 644 millones de dólares.
Entre todas las vulnerabilidades explotadas, el diseño incorrecto de la lógica o de las funciones es la vulnerabilidad más comúnmente aprovechada por los hackers, seguido de los problemas de validación y las vulnerabilidades de reentrada.
Análisis de casos de pérdidas significativas
ataque del puente cross-chain Wormhole
El 3 de febrero de 2022, un proyecto de puente entre cadenas fue atacado, con una pérdida de aproximadamente 326 millones de dólares. El Hacker aprovechó una vulnerabilidad en la verificación de firma del contrato, falsificando cuentas del sistema para acuñar wETH.
Fei Protocol ataque de préstamo relámpago
El 30 de abril de 2022, un protocolo de préstamos sufrió un ataque de reentrada por préstamo relámpago, causando una pérdida de 80.34 millones de dólares. Este ataque infligió un golpe mortal al proyecto, que finalmente anunció su cierre oficial el 20 de agosto.
El atacante lleva a cabo el ataque a través de los siguientes pasos:
Tipos comunes de vulnerabilidades
Las vulnerabilidades más comunes durante el proceso de auditoría se pueden clasificar en cuatro grandes categorías:
Sugerencias para la prevención de vulnerabilidades
Al adoptar estas medidas, el equipo del proyecto puede reducir significativamente el riesgo de ser atacado y garantizar la seguridad de los activos. A medida que el ecosistema Web3 continúa desarrollándose, la conciencia de seguridad y la capacidad de defensa se volverán cada vez más importantes.