Analisis Metode Serangan Hacker Web3: Kerentanan Umum dan Strategi Pencegahan pada Paruh Pertama 2022

Pada paruh pertama tahun 2022, bidang Web3 mengalami beberapa serangan besar oleh Hacker, yang menyebabkan kerugian besar. Artikel ini akan menganalisis secara mendalam metode serangan yang umum digunakan oleh Hacker selama periode ini, mengeksplorasi celah mana yang paling sering terjadi, serta bagaimana cara yang efektif untuk mencegahnya.

Rangkuman Kerugian Serangan Kerentanan di Paruh Pertama Tahun

Menurut data dari platform pemantauan keamanan blockchain tertentu, pada paruh pertama tahun 2022, terjadi 42 serangan kerentanan kontrak utama, yang menyumbang 53% dari semua metode serangan. Serangan ini menyebabkan total kerugian sebesar 644 juta dolar.

Di antara semua kerentanan yang dieksploitasi, desain logika atau fungsi yang buruk adalah kerentanan yang paling sering dimanfaatkan oleh Hacker, diikuti oleh masalah validasi dan kerentanan reentrancy.

Analisis Kasus Kerugian Besar

Serangan Jembatan Lintas Rantai Wormhole

Pada 3 Februari 2022, sebuah proyek jembatan lintas rantai diserang, dengan kerugian sekitar 3,26 juta dolar AS. Hacker memanfaatkan celah verifikasi tanda tangan dalam kontrak, dengan memalsukan akun sistem untuk mencetak wETH.

Fei Protocol serangan pinjaman kilat

Pada 30 April 2022, sebuah protokol pinjaman mengalami serangan reentrancy melalui pinjaman kilat, mengakibatkan kerugian sebesar 80,34 juta USD. Serangan ini memberikan dampak fatal pada proyek, yang akhirnya menyebabkan proyek tersebut mengumumkan penutupan resmi pada 20 Agustus.

Penyerang melakukan serangan melalui langkah-langkah berikut:

1. Melakukan pinjaman kilat dari suatu kolam dana
2. Memanfaatkan celah reentrancy kontrak dengan cEther dalam protokol pinjaman
3. Menggunakan fungsi callback yang dibangun melalui kontrak serangan, mengekstrak semua token dari kolam yang terpengaruh.
4. Mengembalikan pinjaman kilat, mentransfer hasil serangan

Jenis Kerentanan Umum

Vulnerabilitas yang paling umum selama proses audit dapat dibagi menjadi empat kategori utama:

1. Serangan reentrancy ERC721/ERC1155: Saat menggunakan fungsi _safeMint(), _safeTransfer(), dapat memicu fungsi callback dalam kontrak jahat, yang mengakibatkan serangan reentrancy.

2. Celah logika:
   • Kurangnya pertimbangan untuk skenario khusus, seperti transfer diri yang mengakibatkan penciptaan dari ketiadaan
   • Desain fungsional tidak lengkap, seperti kurangnya fungsi penarikan atau likuidasi

3. Kekurangan otentikasi: Fungsi kunci seperti pencetakan uang, pengaturan peran, dll. kurang memiliki kontrol akses.

4. Manipulasi harga:
   • Harga rata-rata tertimbang waktu yang tidak digunakan
   • Menggunakan langsung proporsi saldo token dalam kontrak sebagai harga

Saran Pencegahan Kerentanan

1. Ikuti dengan ketat desain fungsi bisnis dengan pola "Periksa - Berlaku - Interaksi"
2. Mempertimbangkan secara menyeluruh skenario khusus, menyempurnakan desain fungsi
3. Terapkan kontrol akses yang ketat terhadap fungsi kunci
4. Gunakan oracle harga yang dapat diandalkan, hindari manipulasi harga
5. Melakukan audit keamanan menyeluruh, termasuk deteksi otomatis dan tinjauan manual oleh ahli
6. Melakukan penilaian keamanan secara berkala dan segera memperbaiki celah yang ditemukan

Dengan mengambil langkah-langkah ini, pihak proyek dapat secara signifikan mengurangi risiko diserang dan melindungi keamanan aset. Seiring perkembangan ekosistem Web3 yang terus berlanjut, kesadaran akan keamanan dan kemampuan perlindungan akan menjadi semakin penting.