Phân tích các phương pháp tấn công phổ biến trong lĩnh vực Web3 nửa đầu năm 2022
Trong nửa đầu năm 2022, lĩnh vực an ninh Web3 đã phải đối mặt với những thách thức nghiêm trọng. Dữ liệu cho thấy chỉ riêng do lỗ hổng hợp đồng đã gây ra 42 sự kiện tấn công lớn, tổng thiệt hại lên đến 644 triệu đô la. Trong số các cuộc tấn công này, thiếu sót trong thiết kế logic hoặc hàm là lỗ hổng thường được hacker khai thác nhất, tiếp theo là vấn đề xác thực và lỗ hổng tái nhập.
Các trường hợp mất mát nghiêm trọng
Vào ngày 3 tháng 2, một dự án cầu nối đa chuỗi đã bị tấn công, thiệt hại khoảng 326 triệu USD. Hacker đã lợi dụng lỗ hổng xác thực chữ ký trong hợp đồng để thành công giả mạo tài khoản và đúc token.
Vào ngày 30 tháng 4, một giao thức cho vay đã bị tấn công bởi một cuộc tấn công vay chớp nhoáng, gây thiệt hại 80,34 triệu đô la Mỹ. Cuộc tấn công này đã gây ra một cú sốc chết người cho dự án, cuối cùng dẫn đến việc dự án phải đóng cửa.
Kẻ tấn công thực hiện cuộc tấn công qua các bước sau:
Thực hiện vay chớp nhoáng từ một quỹ tài chính nào đó
Sử dụng cEther trong nền tảng cho vay để khai thác lỗ hổng tái nhập của hợp đồng
Trích xuất tất cả token từ các pool bị ảnh hưởng thông qua hợp đồng tấn công.
Hoàn trả khoản vay chớp nhoáng, chuyển giao số tiền thu được từ cuộc tấn công
Các loại lỗ hổng phổ biến
Trong quá trình kiểm tra hợp đồng thông minh, các lỗ hổng phổ biến nhất có thể được chia thành bốn loại lớn:
Tấn công tái nhập ERC721/ERC1155: liên quan đến mã độc trong chức năng thông báo chuyển tiền.
Lỗi logic:
Thiếu xem xét các tình huống đặc biệt, chẳng hạn như tự chuyển khoản dẫn đến vô hình sinh hữu.
Thiết kế chức năng chưa hoàn thiện, chẳng hạn như thiếu cơ chế rút tiền hoặc thanh lý
Thiếu xác thực: Chức năng quan trọng chưa được thiết lập kiểm soát quyền truy cập
Kiểm soát giá:
Giá trung bình thời gian không sử dụng
Sử dụng tỷ lệ số dư token trong hợp đồng trực tiếp làm giá
Phòng ngừa lỗ hổng
Hầu như tất cả các lỗ hổng được phát hiện trong quá trình kiểm toán đều đã từng bị hacker khai thác trong các tình huống thực tế. Trong đó, lỗ hổng logic hợp đồng vẫn là mục tiêu tấn công chính. Thông qua nền tảng xác minh hình thức chuyên nghiệp và kiểm tra thủ công của các chuyên gia an ninh, hầu hết các lỗ hổng này có thể được phát hiện trong giai đoạn kiểm toán.
Để nâng cao tính bảo mật của các dự án Web3, các nhóm phát triển nên:
Tiến hành kiểm toán an toàn hợp đồng toàn diện
Chú trọng đến kiểm tra trong các tình huống đặc biệt
Thực hiện quản lý quyền hạn nghiêm ngặt
Sử dụng oracle giá đáng tin cậy
Tuân theo mô hình thiết kế "Kiểm tra - Hiệu lực - Tương tác"
Với sự tiến hóa liên tục của các phương thức tấn công, nhận thức an ninh liên tục và việc nâng cấp các biện pháp bảo vệ là rất quan trọng cho sự phát triển lành mạnh của hệ sinh thái Web3.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
9 thích
Phần thưởng
9
6
Đăng lại
Chia sẻ
Bình luận
0/400
BakedCatFanboy
· 11giờ trước
Bên dự án各忙着Rug Pull吧
Xem bản gốcTrả lời0
InscriptionGriller
· 19giờ trước
Một đợt đồ ngốc nữa bị chơi đùa với mọi người, mở khóa kinh điển
Xem bản gốcTrả lời0
OPsychology
· 20giờ trước
Tiền đã mất, tiền đã mất, hợp đồng vẫn còn.
Xem bản gốcTrả lời0
SigmaBrain
· 20giờ trước
Tiền đã hết thì hết thôi mà, hàng ngày.
Xem bản gốcTrả lời0
MEVHunter
· 20giờ trước
chỉ là một ngày nữa trong defi... hợp đồng yếu bị rekt, thông tin alpha rò rỉ khắp nơi smh
Web3 trong 6 tháng đã mất 644 triệu đô la, lỗ hổng logic hợp đồng trở thành điểm tấn công chính của Hacker
Phân tích các phương pháp tấn công phổ biến trong lĩnh vực Web3 nửa đầu năm 2022
Trong nửa đầu năm 2022, lĩnh vực an ninh Web3 đã phải đối mặt với những thách thức nghiêm trọng. Dữ liệu cho thấy chỉ riêng do lỗ hổng hợp đồng đã gây ra 42 sự kiện tấn công lớn, tổng thiệt hại lên đến 644 triệu đô la. Trong số các cuộc tấn công này, thiếu sót trong thiết kế logic hoặc hàm là lỗ hổng thường được hacker khai thác nhất, tiếp theo là vấn đề xác thực và lỗ hổng tái nhập.
Các trường hợp mất mát nghiêm trọng
Vào ngày 3 tháng 2, một dự án cầu nối đa chuỗi đã bị tấn công, thiệt hại khoảng 326 triệu USD. Hacker đã lợi dụng lỗ hổng xác thực chữ ký trong hợp đồng để thành công giả mạo tài khoản và đúc token.
Vào ngày 30 tháng 4, một giao thức cho vay đã bị tấn công bởi một cuộc tấn công vay chớp nhoáng, gây thiệt hại 80,34 triệu đô la Mỹ. Cuộc tấn công này đã gây ra một cú sốc chết người cho dự án, cuối cùng dẫn đến việc dự án phải đóng cửa.
Kẻ tấn công thực hiện cuộc tấn công qua các bước sau:
Các loại lỗ hổng phổ biến
Trong quá trình kiểm tra hợp đồng thông minh, các lỗ hổng phổ biến nhất có thể được chia thành bốn loại lớn:
Phòng ngừa lỗ hổng
Hầu như tất cả các lỗ hổng được phát hiện trong quá trình kiểm toán đều đã từng bị hacker khai thác trong các tình huống thực tế. Trong đó, lỗ hổng logic hợp đồng vẫn là mục tiêu tấn công chính. Thông qua nền tảng xác minh hình thức chuyên nghiệp và kiểm tra thủ công của các chuyên gia an ninh, hầu hết các lỗ hổng này có thể được phát hiện trong giai đoạn kiểm toán.
Để nâng cao tính bảo mật của các dự án Web3, các nhóm phát triển nên:
Với sự tiến hóa liên tục của các phương thức tấn công, nhận thức an ninh liên tục và việc nâng cấp các biện pháp bảo vệ là rất quan trọng cho sự phát triển lành mạnh của hệ sinh thái Web3.