Análise das técnicas de ataque comuns de hackers Web3: Relatório de situação de segurança do primeiro semestre de 2022

No primeiro semestre de 2022, ocorreram frequentes incidentes de segurança no campo do Web3, com técnicas de ataque de hackers surgindo uma após a outra. De acordo com o mais recente relatório de pesquisa sobre a situação de segurança, realizamos uma análise aprofundada das principais formas de ataque durante este período, com o objetivo de fornecer referências e alertas para a indústria.

Visão Geral dos Ataques de Vulnerabilidade

Os dados mostram que, no primeiro semestre de 2022, ocorreram 42 ataques significativos a contratos, resultando em perdas totais de 644 milhões de dólares. Entre todos os métodos de ataque, a exploração de vulnerabilidades em contratos representou 53%. Dentre esses, o design inadequado de lógica ou funções é o tipo de vulnerabilidade mais frequentemente explorado pelos hackers, seguido por problemas de validação e vulnerabilidades de reentrada.

Análise de Casos de Grandes Perdas

1. Wormhole ponte entre cadeias foi atacada: em 3 de fevereiro de 2022, hackers exploraram uma vulnerabilidade de verificação de assinatura para falsificar contas e cunhar wETH, resultando em uma perda de cerca de 326 milhões de dólares.

2. O Protocolo Fei foi atacado: em 30 de abril de 2022, o Rari Fuse Pool sofreu um ataque de empréstimo relâmpago com reentrada, resultando em uma perda de 80,34 milhões de dólares. O evento acabou levando o projeto a anunciar seu encerramento em 20 de agosto.

Detalhes do ataque ao Fei Protocol

Os atacantes exploraram a vulnerabilidade de reentrada existente no contrato do cEther da Rari Capital, implementando o ataque através dos seguintes passos:

1. Fazer um empréstimo relâmpago a partir do Balancer: Vault
2. Utilizar fundos emprestados para realizar empréstimos com colateral na Rari Capital
3. Extrair todos os tokens do pool afetado através do ataque à função de callback no contrato.
4. Devolver o empréstimo relâmpago e transferir os ganhos do ataque para o contrato designado

Tipos Comuns de Vulnerabilidades

Durante o processo de auditoria de contratos inteligentes, os tipos de vulnerabilidades mais comuns incluem:

1. Ataque de reentrada ERC721/ERC1155
2. Vulnerabilidades lógicas (como a falta de consideração para cenários especiais, design de funcionalidades incompleto)
3. Falta de autenticação
4. Problema de manipulação de preços

Exploração de Vulnerabilidades e Descobertas de Auditoria

Nas vulnerabilidades realmente exploradas, as vulnerabilidades lógicas de contratos ainda são a parte principal. Vale a pena notar que, através de plataformas de verificação formal de contratos inteligentes e auditorias manuais por especialistas em segurança, essas vulnerabilidades podem ser detectadas na fase de auditoria.

Os especialistas em segurança, após descobrirem vulnerabilidades, geralmente fornecem relatórios detalhados de avaliação de segurança e recomendações de correção, oferecendo referências importantes para as partes do projeto.

Conclusão

Com o rápido desenvolvimento do ecossistema Web3, as questões de segurança tornam-se cada vez mais importantes. As equipes de projeto devem dar atenção à auditoria de segurança dos contratos inteligentes, adotando múltiplas medidas de proteção para reduzir o risco de ataques. Ao mesmo tempo, acompanhar continuamente as dinâmicas de segurança do setor e atualizar as estratégias de segurança em tempo hábil também é fundamental para garantir a segurança do projeto.