Análisis de las técnicas de ataque comunes de los hackers en Web3: Informe de situación de seguridad del primer semestre de 2022

En la primera mitad de 2022, los incidentes de seguridad en el campo de Web3 fueron frecuentes, y las técnicas de ataque de los hackers aparecieron continuamente. Según el último informe de investigación sobre la situación de seguridad publicado, hemos realizado un análisis profundo de los principales métodos de ataque durante este período, con la esperanza de proporcionar referencias y advertencias a la industria.

Resumen de ataques de vulnerabilidad

Los datos muestran que en la primera mitad de 2022 se produjeron 42 eventos importantes de ataques a contratos, causando un total de 644 millones de dólares en pérdidas. De todas las técnicas de ataque, la explotación de vulnerabilidades en contratos representa el 53%. Entre ellas, los errores de diseño lógico o de función son el tipo de vulnerabilidad más comúnmente explotado por los hackers, seguido por problemas de validación y vulnerabilidades de reentrada.

Análisis de casos de pérdidas significativas

1. El puente跨链桥 de Wormhole fue atacado: el 3 de febrero de 2022, un Hacker aprovechó una vulnerabilidad en la verificación de firmas para falsificar cuentas y acuñar wETH, causando una pérdida de aproximadamente 326 millones de dólares.

2. Protocolo Fei fue atacado: el 30 de abril de 2022, el Rari Fuse Pool sufrió un ataque de reentrada por préstamo relámpago, con una pérdida de 80.34 millones de dólares. Este evento llevó a que el proyecto anunciara su cierre el 20 de agosto.

Detalles del ataque del Protocolo Fei

El atacante aprovechó la vulnerabilidad de reentrada existente en el contrato de cEther de Rari Capital, llevando a cabo el ataque mediante los siguientes pasos:

1. Realizar un préstamo relámpago desde Balancer: Vault
2. Utilizar fondos prestados para realizar préstamos colaterales en Rari Capital
3. A través de un ataque a la función de retorno en el contrato, extraer todos los tokens del grupo afectado.
4. Devolver el préstamo relámpago, transferir los ingresos del ataque al contrato designado

Tipos de vulnerabilidades comunes

Durante el proceso de auditoría de contratos inteligentes, los tipos de vulnerabilidades más comunes incluyen:

1. Ataque de reentrada ERC721/ERC1155
2. Vulnerabilidades lógicas (como la falta de consideración de escenarios especiales, diseño funcional incompleto)
3. Falta de autenticación
4. Problemas de manipulación de precios

Explotación de vulnerabilidades y hallazgos de auditoría

En las vulnerabilidades realmente explotadas, las vulnerabilidades lógicas de los contratos siguen siendo la parte principal. Cabe destacar que, a través de plataformas de verificación formal de contratos inteligentes y auditorías manuales realizadas por expertos en seguridad, estas vulnerabilidades pueden ser detectadas en la etapa de auditoría.

Los expertos en seguridad, después de descubrir vulnerabilidades, suelen proporcionar informes de evaluación de seguridad detallados y recomendaciones de reparación, ofreciendo una referencia importante para las partes del proyecto.

Conclusión

Con el rápido desarrollo del ecosistema Web3, los problemas de seguridad son cada vez más importantes. Los equipos de proyecto deben prestar atención a la auditoría de seguridad de los contratos inteligentes y adoptar múltiples medidas de protección para reducir el riesgo de ser atacados. Al mismo tiempo, seguir de cerca las dinámicas de seguridad de la industria y actualizar oportunamente las políticas de seguridad también es clave para garantizar la seguridad del proyecto.