Análise das técnicas de ataque de hackers Web3: vulnerabilidades comuns e estratégias de prevenção no primeiro semestre de 2022

No primeiro semestre de 2022, o setor Web3 sofreu vários ataques de hackers significativos, resultando em enormes perdas. Este artigo irá analisar em profundidade os métodos de ataque frequentemente utilizados pelos hackers durante este período, explorando quais vulnerabilidades foram mais comuns e como prevenir efetivamente.

Visão geral das perdas por ataques de vulnerabilidades no primeiro semestre

De acordo com os dados de uma plataforma de monitoramento de segurança de blockchain, ocorreram 42 ataques a vulnerabilidades de contratos inteligentes na primeira metade de 2022, representando 53% de todos os tipos de ataques. Esses ataques causaram um total de 644 milhões de dólares em perdas.

Entre todas as vulnerabilidades exploradas, a lógica ou o design inadequado das funções é a vulnerabilidade mais frequentemente explorada pelos hackers, seguida por problemas de validação e vulnerabilidades de reentrada.

Análise de Casos de Perdas Significativas

Ataque ao Wormhole da ponte cross-chain

No dia 3 de fevereiro de 2022, um projeto de ponte intercadeias foi atacado, resultando em perdas de cerca de 326 milhões de dólares. O Hacker explorou uma vulnerabilidade de verificação de assinatura no contrato, falsificando contas do sistema para cunhar wETH.

Fei Protocol ataque de empréstimo relâmpago

No dia 30 de abril de 2022, um determinado protocolo de empréstimo sofreu um ataque de empréstimo relâmpago com reentrada, resultando em uma perda de 80,34 milhões de dólares. Este ataque causou um golpe fatal no projeto, levando-o a anunciar oficialmente o fechamento em 20 de agosto.

Os atacantes implementam o ataque através dos seguintes passos:

1. Realizar um empréstimo relâmpago de um determinado fundo.
2. Utilizar a cEther no protocolo de empréstimo para explorar a vulnerabilidade de reentrada do contrato
3. Extrair todos os tokens do pool afetado através da função de callback construída pelo ataque ao contrato.
4. Devolver o empréstimo relâmpago, transferir os ganhos do ataque

Tipos comuns de vulnerabilidades

As vulnerabilidades mais comuns durante o processo de auditoria podem ser classificadas em quatro grandes categorias:

1. Ataque de reentrada ERC721/ERC1155: Ao usar funções como _safeMint() e _safeTransfer(), pode-se acionar funções de callback em contratos maliciosos, formando um ataque de reentrada.

2. Falhas lógicas:
   • Considerações insuficientes para cenários especiais, como transferências pessoais que levam a criações inexistentes.
   • Design de funcionalidades incompleto, como a falta de funcionalidade de retirada ou liquidação

3. Falta de autenticação: funções-chave como mintagem, definição de papéis, etc., carecem de controle de permissões.

4. Manipulação de preços:
   • Preço médio ponderado pelo tempo não utilizado
   • Usar diretamente a proporção do saldo de tokens no contrato como preço

Sugestões de prevenção de vulnerabilidades

1. Seguir rigorosamente o modo de design "verificação-eficácia-interação" para funções de negócios
2. Considerar completamente cenários especiais e aperfeiçoar o design de funcionalidades
3. Implementar um controlo de permissões rigoroso para funções-chave
4. Utilizar oráculos de preços confiáveis, evitando manipulação de preços
5. Realizar uma auditoria de segurança abrangente, incluindo deteção automatizada e revisão manual por especialistas.
6. Realizar avaliações de segurança regularmente e corrigir rapidamente as vulnerabilidades encontradas.

Ao tomar essas medidas, a equipe do projeto pode reduzir significativamente o risco de ataques e garantir a segurança dos ativos. Com o contínuo desenvolvimento do ecossistema Web3, a conscientização sobre segurança e a capacidade de proteção se tornarão cada vez mais importantes.