Análisis de las técnicas de ataque comúnmente utilizadas por los hackers de Web3: Interpretación de la situación de seguridad en la primera mitad de 2022
En la primera mitad de 2022, la situación de seguridad en el campo de Web3 no es alentadora. Según los datos de monitoreo de la plataforma de conciencia situacional de blockchain, se produjeron 42 incidentes importantes de ataques a contratos, causando pérdidas de hasta 644 millones de dólares. En estos ataques, la explotación de vulnerabilidades en contratos representó más de la mitad, convirtiéndose en el método preferido por los Hacker.
Análisis de los principales tipos de ataque
Entre todas las vulnerabilidades explotadas, los defectos de diseño lógico o funcional son los objetivos más comunes que los hackers utilizan. En segundo lugar están los problemas de validación y las vulnerabilidades de reentrada. Estas vulnerabilidades no solo ocurren con frecuencia, sino que a menudo resultan en enormes pérdidas.
Por ejemplo, en febrero de 2022, el proyecto de puente entre cadenas Wormhole en el ecosistema de Solana fue atacado, con pérdidas de hasta 326 millones de dólares. Los atacantes aprovecharon una vulnerabilidad en la verificación de firmas del contrato, logrando falsificar cuentas del sistema para acuñar una gran cantidad de wETH.
Otro evento importante ocurrió a finales de abril, cuando el Rari Fuse Pool de Fei Protocol sufrió un ataque combinado de préstamo relámpago y reentrada, con pérdidas que alcanzaron los 80.34 millones de dólares. Este ataque causó un golpe mortal al proyecto, que finalmente llevó a la anunciación de su cierre en agosto.
Análisis profundo de casos de ataque de Fei Protocol
Los atacantes primero obtienen un préstamo relámpago de Balancer y luego utilizan esos fondos para realizar préstamos colaterales en Rari Capital. Debido a que el contrato de implementación de cEther de Rari Capital tiene una vulnerabilidad de reentrada, los atacantes, a través de una función de callback cuidadosamente construida, logran extraer todos los tokens del pool afectado.
El proceso de ataque es aproximadamente el siguiente:
Obtener un préstamo relámpago de Balancer
Utilizar fondos prestados para operar en Rari Capital y activar la vulnerabilidad de reentrada.
A través de la explotación de funciones específicas en el contrato, extraer repetidamente los tokens del fondo.
Devolver el préstamo relámpago, transferir las ganancias al contrato designado
Este ataque resultó en el robo de más de 28380 ETH (aproximadamente 8034 millones de dólares).
Tipos de vulnerabilidades comunes
En el proceso de auditoría de contratos inteligentes, los tipos de vulnerabilidades más comunes incluyen:
Ataques de reentrada ERC721/ERC1155: implican el uso malicioso de las funciones de llamada en el estándar.
Vulnerabilidades lógicas: incluyen consideraciones inadecuadas en escenarios especiales y un diseño de funciones incompleto.
Falta de autenticación: Funciones clave carecen de un control de permisos efectivo.
Manipulación de precios: uso inadecuado de oráculos o defectos en el método de cálculo de precios.
Estas vulnerabilidades no solo aparecen con frecuencia en las auditorías, sino que también son los puntos débiles más utilizados en ataques reales. Entre ellas, las vulnerabilidades en la lógica del contrato siguen siendo el objetivo de ataque más preferido por los hackers.
Sugerencias de prevención
Para mejorar la seguridad de los contratos inteligentes, se sugiere que los proyectos tomen las siguientes medidas:
Realizar una verificación formal exhaustiva y una auditoría manual
Prestar especial atención al comportamiento del contrato en escenarios especiales
Mejorar el diseño de funciones del contrato, especialmente en lo que respecta a las operaciones de fondos.
Implementar estrictamente el mecanismo de control de permisos
Utilizar oráculos de precios confiables, evitando usar proporciones de saldo simples como base de precios
A través de plataformas de auditoría de seguridad y verificación profesionales, combinadas con la detección manual por parte de expertos en seguridad, la mayoría de las vulnerabilidades pueden ser identificadas y corregidas antes del lanzamiento del proyecto. Esto no solo puede reducir eficazmente los riesgos del proyecto, sino que también puede contribuir al desarrollo saludable de todo el ecosistema Web3.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
15 me gusta
Recompensa
15
3
Compartir
Comentar
0/400
MemeEchoer
· 07-24 15:53
Auditar y ya está, Rug Pull.
Ver originalesResponder0
AllInAlice
· 07-24 15:44
Otra vez es el momento mágico de tomar a la gente por tonta.
Ver originalesResponder0
MindsetExpander
· 07-24 15:40
alcista y proyecto de caballos realmente cuesta dinero
Web3 seguridad en peligro: 42 ataques en la primera mitad del año causaron 644 millones de dólares en pérdidas
Análisis de las técnicas de ataque comúnmente utilizadas por los hackers de Web3: Interpretación de la situación de seguridad en la primera mitad de 2022
En la primera mitad de 2022, la situación de seguridad en el campo de Web3 no es alentadora. Según los datos de monitoreo de la plataforma de conciencia situacional de blockchain, se produjeron 42 incidentes importantes de ataques a contratos, causando pérdidas de hasta 644 millones de dólares. En estos ataques, la explotación de vulnerabilidades en contratos representó más de la mitad, convirtiéndose en el método preferido por los Hacker.
Análisis de los principales tipos de ataque
Entre todas las vulnerabilidades explotadas, los defectos de diseño lógico o funcional son los objetivos más comunes que los hackers utilizan. En segundo lugar están los problemas de validación y las vulnerabilidades de reentrada. Estas vulnerabilidades no solo ocurren con frecuencia, sino que a menudo resultan en enormes pérdidas.
Por ejemplo, en febrero de 2022, el proyecto de puente entre cadenas Wormhole en el ecosistema de Solana fue atacado, con pérdidas de hasta 326 millones de dólares. Los atacantes aprovecharon una vulnerabilidad en la verificación de firmas del contrato, logrando falsificar cuentas del sistema para acuñar una gran cantidad de wETH.
Otro evento importante ocurrió a finales de abril, cuando el Rari Fuse Pool de Fei Protocol sufrió un ataque combinado de préstamo relámpago y reentrada, con pérdidas que alcanzaron los 80.34 millones de dólares. Este ataque causó un golpe mortal al proyecto, que finalmente llevó a la anunciación de su cierre en agosto.
Análisis profundo de casos de ataque de Fei Protocol
Los atacantes primero obtienen un préstamo relámpago de Balancer y luego utilizan esos fondos para realizar préstamos colaterales en Rari Capital. Debido a que el contrato de implementación de cEther de Rari Capital tiene una vulnerabilidad de reentrada, los atacantes, a través de una función de callback cuidadosamente construida, logran extraer todos los tokens del pool afectado.
El proceso de ataque es aproximadamente el siguiente:
Este ataque resultó en el robo de más de 28380 ETH (aproximadamente 8034 millones de dólares).
Tipos de vulnerabilidades comunes
En el proceso de auditoría de contratos inteligentes, los tipos de vulnerabilidades más comunes incluyen:
Estas vulnerabilidades no solo aparecen con frecuencia en las auditorías, sino que también son los puntos débiles más utilizados en ataques reales. Entre ellas, las vulnerabilidades en la lógica del contrato siguen siendo el objetivo de ataque más preferido por los hackers.
Sugerencias de prevención
Para mejorar la seguridad de los contratos inteligentes, se sugiere que los proyectos tomen las siguientes medidas:
A través de plataformas de auditoría de seguridad y verificación profesionales, combinadas con la detección manual por parte de expertos en seguridad, la mayoría de las vulnerabilidades pueden ser identificadas y corregidas antes del lanzamiento del proyecto. Esto no solo puede reducir eficazmente los riesgos del proyecto, sino que también puede contribuir al desarrollo saludable de todo el ecosistema Web3.