Analisis Metode Serangan Umum Hacker Web3: Laporan Situasi Keamanan Paruh Pertama 2022

Pada paruh pertama tahun 2022, insiden keamanan di bidang Web3 sering terjadi, teknik serangan Hacker bermunculan satu demi satu. Berdasarkan laporan penelitian situasi keamanan terbaru yang dirilis, kami telah menganalisis secara mendalam cara-cara serangan utama selama periode ini, dengan harapan dapat memberikan referensi dan peringatan bagi industri.

Gambaran Umum Serangan Kerentanan

Data menunjukkan, pada paruh pertama tahun 2022 terjadi 42 serangan utama terhadap celah kontrak, yang menyebabkan total kerugian sebesar 644 juta USD. Dari semua metode serangan, pemanfaatan celah kontrak mencapai 53%. Di antara itu, kesalahan logika atau desain fungsi adalah jenis celah yang paling sering dimanfaatkan oleh Hacker, diikuti oleh masalah verifikasi dan celah reentrant.

Analisis Kasus Kerugian Besar

1. Jembatan lintas rantai Wormhole diserang: Pada 3 Februari 2022, Hacker memanfaatkan kerentanan verifikasi tanda tangan untuk memalsukan akun dan mencetak wETH, menyebabkan kerugian sekitar 326 juta dolar.

2. Protokol Fei diserang: Pada 30 April 2022, Rari Fuse Pool mengalami serangan flash loan reentrancy, dengan kerugian sebesar 80,34 juta dolar. Peristiwa ini akhirnya menyebabkan proyek tersebut mengumumkan penutupan pada 20 Agustus.

Detail serangan Fei Protocol

Penyerang memanfaatkan cEther dari Rari Capital untuk mengeksploitasi kerentanan reentrancy yang ada dalam kontrak dengan melakukan langkah-langkah berikut:

1. Melakukan pinjaman kilat dari Balancer: Vault
2. Menggunakan dana yang dipinjam untuk melakukan pinjaman dan jaminan di Rari Capital
3. Melalui serangan pada fungsi callback dalam kontrak, mengekstrak semua token dari pool yang terpengaruh.
4. Kembalikan pinjaman kilat, pindahkan hasil serangan ke kontrak yang ditentukan

Jenis Kerentanan Umum

Dalam proses audit kontrak pintar, jenis kerentanan yang paling umum termasuk:

1. Serangan reentrancy ERC721/ERC1155
2. Kerentanan logika (seperti kurangnya pertimbangan untuk skenario khusus, desain fungsi yang tidak sempurna)
3. Kekurangan otentikasi
4. Masalah manipulasi harga

Eksploitasi Kerentanan dan Temuan Audit

Dalam kerentanan yang benar-benar dimanfaatkan, kerentanan logika kontrak tetap menjadi bagian utama. Perlu dicatat bahwa melalui platform verifikasi formal kontrak pintar yang profesional dan audit manual oleh ahli keamanan, kerentanan ini dapat ditemukan pada tahap audit.

Para ahli keamanan biasanya akan memberikan laporan penilaian keamanan yang rinci dan saran perbaikan setelah menemukan celah, sebagai referensi penting bagi pihak proyek.

Kesimpulan

Dengan perkembangan cepat ekosistem Web3, masalah keamanan semakin penting. Pihak proyek harus memperhatikan pekerjaan audit keamanan kontrak pintar, mengambil langkah-langkah perlindungan ganda untuk mengurangi risiko serangan. Selain itu, terus memantau dinamika keamanan industri dan memperbarui strategi keamanan secara tepat waktu juga merupakan kunci untuk menjaga keamanan proyek.