Análisis de las técnicas de ataque de hackers en Web3 en la primera mitad del año: las vulnerabilidades de reentrada se convierten en la principal amenaza
Análisis de las técnicas de ataque comunes de los Hacker Web3 en la primera mitad de 2022
En la primera mitad de 2022, el campo de Web3 sufrió varios ataques de hackers significativos, causando enormes pérdidas. Este artículo analizará en profundidad los métodos de ataque comúnmente utilizados por los hackers durante este período, con el fin de proporcionar referencias para la prevención de seguridad en la industria.
Resumen de la explotación de vulnerabilidades
Los datos de una plataforma de monitoreo de seguridad de blockchain muestran que en la primera mitad de 2022 ocurrieron 42 ataques importantes a contratos inteligentes, con pérdidas totales que alcanzan los 644 millones de dólares. De todas las vulnerabilidades explotadas, los errores de lógica o diseño de funciones, problemas de validación y vulnerabilidades de reentrada son los tres tipos de vulnerabilidades más comúnmente explotados por hackers.
Análisis de casos típicos
Wormhole puente de cadena cruzada fue atacado
El 3 de febrero de 2022, un proyecto de puente entre cadenas fue atacado, con pérdidas de aproximadamente 326 millones de dólares. El Hacker aprovechó una vulnerabilidad en la verificación de firmas del contrato para acuñar tokens falsos mediante la falsificación de cuentas del sistema.
El incidente de ataque a Fei Protocol
El 30 de abril de 2022, un protocolo de préstamos sufrió un ataque de reingreso mediante un préstamo relámpago, causando pérdidas de 80.34 millones de dólares. Este ataque tuvo un golpe mortal para el proyecto, que finalmente anunció su cierre el 20 de agosto.
Los atacantes aprovecharon principalmente la vulnerabilidad de reentrada del contrato implementada en cEther del protocolo. El proceso de ataque incluye:
Obtener un préstamo relámpago de un protocolo de agregación
Utilizar fondos prestados para realizar préstamos colaterales en el protocolo objetivo.
Extraer repetidamente los tokens del grupo afectado a través de la función de callback construida.
Devolver el préstamo relámpago y transferir las ganancias
Tipos de vulnerabilidades comunes
En el proceso de auditoría de contratos inteligentes, las vulnerabilidades más comunes se dividen principalmente en las siguientes categorías:
Ataque de reentrada ERC721/ERC1155: el diseño inadecuado de funciones específicas puede llevar a un riesgo de reentrada.
Vulnerabilidades lógicas: incluyen problemas como la falta de consideración de escenarios especiales y un diseño de funciones incompleto.
Defectos en la gestión de permisos: Funciones clave no tienen un control de permisos adecuado.
Manipulación de precios: uso inapropiado de oráculos o existen fallos en la lógica de cálculo de precios.
Sugerencias para la prevención de vulnerabilidades
Seguir estrictamente el patrón de diseño "inspección-efecto-interacción".
Considerar exhaustivamente diversas situaciones límite y escenarios especiales.
Implementar una gestión de permisos estricta para funciones clave.
Utilizar mecanismos confiables como oráculos y precios promedio ponderados por tiempo.
Realizar una auditoría de seguridad de contratos inteligentes completa, que incluya detección automatizada y revisión manual por expertos.
Al tomar las medidas mencionadas anteriormente, la mayoría de las vulnerabilidades comunes pueden ser detectadas y corregidas antes del lanzamiento del proyecto, lo que reduce significativamente el riesgo de ser atacado por un Hacker.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
23 me gusta
Recompensa
23
5
Compartir
Comentar
0/400
WalletWhisperer
· 07-11 14:20
los patrones no mienten... 644m usd filtrados a través de errores en contratos son estadísticamente significativos, para ser honesto
Ver originalesResponder0
SighingCashier
· 07-09 19:13
¿Se fueron 300 millones de dólares así? Despierta, no estés en un sueño.
Ver originalesResponder0
NFT_Therapy
· 07-08 15:42
¿Quién puede soportar perder tanto?
Ver originalesResponder0
GateUser-e51e87c7
· 07-08 15:41
Me he vuelto adicto a perder dinero.
Ver originalesResponder0
ZenZKPlayer
· 07-08 15:40
Vaya, ¿quién revisó el contrato para que se extrajeran tantas ganancias?
Análisis de las técnicas de ataque de hackers en Web3 en la primera mitad del año: las vulnerabilidades de reentrada se convierten en la principal amenaza
Análisis de las técnicas de ataque comunes de los Hacker Web3 en la primera mitad de 2022
En la primera mitad de 2022, el campo de Web3 sufrió varios ataques de hackers significativos, causando enormes pérdidas. Este artículo analizará en profundidad los métodos de ataque comúnmente utilizados por los hackers durante este período, con el fin de proporcionar referencias para la prevención de seguridad en la industria.
Resumen de la explotación de vulnerabilidades
Los datos de una plataforma de monitoreo de seguridad de blockchain muestran que en la primera mitad de 2022 ocurrieron 42 ataques importantes a contratos inteligentes, con pérdidas totales que alcanzan los 644 millones de dólares. De todas las vulnerabilidades explotadas, los errores de lógica o diseño de funciones, problemas de validación y vulnerabilidades de reentrada son los tres tipos de vulnerabilidades más comúnmente explotados por hackers.
Análisis de casos típicos
Wormhole puente de cadena cruzada fue atacado
El 3 de febrero de 2022, un proyecto de puente entre cadenas fue atacado, con pérdidas de aproximadamente 326 millones de dólares. El Hacker aprovechó una vulnerabilidad en la verificación de firmas del contrato para acuñar tokens falsos mediante la falsificación de cuentas del sistema.
El incidente de ataque a Fei Protocol
El 30 de abril de 2022, un protocolo de préstamos sufrió un ataque de reingreso mediante un préstamo relámpago, causando pérdidas de 80.34 millones de dólares. Este ataque tuvo un golpe mortal para el proyecto, que finalmente anunció su cierre el 20 de agosto.
Los atacantes aprovecharon principalmente la vulnerabilidad de reentrada del contrato implementada en cEther del protocolo. El proceso de ataque incluye:
Tipos de vulnerabilidades comunes
En el proceso de auditoría de contratos inteligentes, las vulnerabilidades más comunes se dividen principalmente en las siguientes categorías:
Sugerencias para la prevención de vulnerabilidades
Seguir estrictamente el patrón de diseño "inspección-efecto-interacción".
Considerar exhaustivamente diversas situaciones límite y escenarios especiales.
Implementar una gestión de permisos estricta para funciones clave.
Utilizar mecanismos confiables como oráculos y precios promedio ponderados por tiempo.
Realizar una auditoría de seguridad de contratos inteligentes completa, que incluya detección automatizada y revisión manual por expertos.
Al tomar las medidas mencionadas anteriormente, la mayoría de las vulnerabilidades comunes pueden ser detectadas y corregidas antes del lanzamiento del proyecto, lo que reduce significativamente el riesgo de ser atacado por un Hacker.