Análise da Situação de Segurança Web3: Métodos Comuns de Ataque e Medidas de Prevenção no Primeiro Semestre de 2022
No primeiro semestre de 2022, a situação de segurança no campo do Web3 continuou a ser severa. De acordo com estatísticas, o número principal de casos de ataque devido a vulnerabilidades de contrato atingiu 42, com perdas totais de 644 milhões e 404 mil dólares. Dentre esses ataques, a exploração de vulnerabilidades de contrato representou cerca de 53%, tornando-se o método de ataque mais utilizado pelos hackers.
Análise dos principais tipos de ataque
Entre todas as vulnerabilidades exploradas, a lógica ou o design inadequado de funções é a vulnerabilidade mais frequentemente explorada pelos hackers, seguida por problemas de validação e vulnerabilidades de reentrada. Essas vulnerabilidades não só aparecem com frequência, mas também resultaram em eventos de perdas significativas.
Por exemplo, em fevereiro de 2022, um projeto de ponte entre cadeias sofreu um ataque devido a uma vulnerabilidade na verificação de assinaturas, resultando em uma perda de cerca de 326 milhões de dólares. Os hackers conseguiram explorar a vulnerabilidade do contrato para falsificar contas e cunhar tokens. Outro evento significativo ocorreu em 30 de abril, quando um protocolo de empréstimo sofreu um ataque de empréstimo relâmpago com reentrada, resultando em uma perda de 80,34 milhões de dólares, levando finalmente ao fechamento do projeto.
Tipos Comuns de Vulnerabilidades
Ataques de reentrada ERC721/ERC1155: envolvem a exploração maliciosa de funções de notificação de transferência de tokens.
Falha lógica:
Consideração de cenários especiais em falta, como o problema de auto-transferência.
O design funcional não é completo, por exemplo, falta um mecanismo de extração ou liquidação.
Falta de autenticação: Funções chave como a cunhagem, configuração de papéis, etc., carecem de controlo de permissões.
Manipulação de preços: Uso inadequado de oráculos ou uso direto de métodos de cálculo de preços inseguros.
Descobertas da auditoria e utilização real
As vulnerabilidades encontradas durante o processo de auditoria coincidiu fortemente com as vulnerabilidades realmente exploradas pelos hackers. Dentre elas, as vulnerabilidades lógicas dos contratos continuam a ser o principal alvo de ataque. Vale a pena notar que, através de plataformas de verificação de contratos inteligentes especializadas e auditorias de especialistas em segurança, a maioria dessas vulnerabilidades pode ser detectada e corrigida na fase de desenvolvimento.
Sugestões de prevenção
Reforçar a auditoria de código: utilizar uma combinação de ferramentas especializadas e revisões manuais para verificar completamente o código do contrato.
Seguir os princípios de desenvolvimento seguro: aplicar rigorosamente o padrão de design de verificação - eficácia - interação, especialmente nas funcionalidades que envolvem a transferência de ativos.
Melhorar a gestão de permissões: estabelecer mecanismos de controlo de acesso rigorosos para funcionalidades críticas.
Usar oráculos de preços seguros: adotar mecanismos de preços mais confiáveis, como o preço médio ponderado pelo tempo.
Considere cenários extremos: ao projetar, leve em consideração todas as condições de limite e cenários especiais.
Avaliações de segurança periódicas: mesmo para projetos já lançados, devem ser realizadas verificações de segurança e atualizações regularmente.
Ao adotar essas medidas, os projetos Web3 podem aumentar significativamente sua segurança e reduzir o risco de ataques. Com o contínuo desenvolvimento da tecnologia, manter-se alerta e atualizar continuamente as estratégias de segurança será crucial para a operação estável a longo prazo do projeto.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
15 Curtidas
Recompensa
15
3
Compartilhar
Comentário
0/400
just_another_wallet
· 5h atrás
Há muitos bugs, já estou cansado.
Ver originalResponder0
ChainWallflower
· 07-31 15:25
As armadilhas para fazer as pessoas de parvas são realmente muitas.
Web3 segurança: Análise de ataques comuns e perdas de 640 milhões de dólares na primeira metade de 2022
Análise da Situação de Segurança Web3: Métodos Comuns de Ataque e Medidas de Prevenção no Primeiro Semestre de 2022
No primeiro semestre de 2022, a situação de segurança no campo do Web3 continuou a ser severa. De acordo com estatísticas, o número principal de casos de ataque devido a vulnerabilidades de contrato atingiu 42, com perdas totais de 644 milhões e 404 mil dólares. Dentre esses ataques, a exploração de vulnerabilidades de contrato representou cerca de 53%, tornando-se o método de ataque mais utilizado pelos hackers.
Análise dos principais tipos de ataque
Entre todas as vulnerabilidades exploradas, a lógica ou o design inadequado de funções é a vulnerabilidade mais frequentemente explorada pelos hackers, seguida por problemas de validação e vulnerabilidades de reentrada. Essas vulnerabilidades não só aparecem com frequência, mas também resultaram em eventos de perdas significativas.
Por exemplo, em fevereiro de 2022, um projeto de ponte entre cadeias sofreu um ataque devido a uma vulnerabilidade na verificação de assinaturas, resultando em uma perda de cerca de 326 milhões de dólares. Os hackers conseguiram explorar a vulnerabilidade do contrato para falsificar contas e cunhar tokens. Outro evento significativo ocorreu em 30 de abril, quando um protocolo de empréstimo sofreu um ataque de empréstimo relâmpago com reentrada, resultando em uma perda de 80,34 milhões de dólares, levando finalmente ao fechamento do projeto.
Tipos Comuns de Vulnerabilidades
Ataques de reentrada ERC721/ERC1155: envolvem a exploração maliciosa de funções de notificação de transferência de tokens.
Falha lógica:
Falta de autenticação: Funções chave como a cunhagem, configuração de papéis, etc., carecem de controlo de permissões.
Manipulação de preços: Uso inadequado de oráculos ou uso direto de métodos de cálculo de preços inseguros.
Descobertas da auditoria e utilização real
As vulnerabilidades encontradas durante o processo de auditoria coincidiu fortemente com as vulnerabilidades realmente exploradas pelos hackers. Dentre elas, as vulnerabilidades lógicas dos contratos continuam a ser o principal alvo de ataque. Vale a pena notar que, através de plataformas de verificação de contratos inteligentes especializadas e auditorias de especialistas em segurança, a maioria dessas vulnerabilidades pode ser detectada e corrigida na fase de desenvolvimento.
Sugestões de prevenção
Reforçar a auditoria de código: utilizar uma combinação de ferramentas especializadas e revisões manuais para verificar completamente o código do contrato.
Seguir os princípios de desenvolvimento seguro: aplicar rigorosamente o padrão de design de verificação - eficácia - interação, especialmente nas funcionalidades que envolvem a transferência de ativos.
Melhorar a gestão de permissões: estabelecer mecanismos de controlo de acesso rigorosos para funcionalidades críticas.
Usar oráculos de preços seguros: adotar mecanismos de preços mais confiáveis, como o preço médio ponderado pelo tempo.
Considere cenários extremos: ao projetar, leve em consideração todas as condições de limite e cenários especiais.
Avaliações de segurança periódicas: mesmo para projetos já lançados, devem ser realizadas verificações de segurança e atualizações regularmente.
Ao adotar essas medidas, os projetos Web3 podem aumentar significativamente sua segurança e reduzir o risco de ataques. Com o contínuo desenvolvimento da tecnologia, manter-se alerta e atualizar continuamente as estratégias de segurança será crucial para a operação estável a longo prazo do projeto.