Análisis de las técnicas de ataque de hackers en Web3: Métodos de ataque comunes en la primera mitad de 2022 y estrategias de prevención

En la primera mitad de 2022, la situación de seguridad en el campo de Web3 no es alentadora. Los datos muestran que solo debido a vulnerabilidades en contratos, se produjeron 42 incidentes de ataques importantes, con pérdidas totales que alcanzan los 644 millones de dólares. En estos ataques, las deficiencias en el diseño lógico o de funciones son las vulnerabilidades más comúnmente explotadas por los hackers, seguidas de problemas de verificación y vulnerabilidades de reentrada.

Revisión de eventos de pérdidas significativas

El 3 de febrero, un proyecto de puente entre cadenas sufrió un ataque, con pérdidas de aproximadamente 326 millones de dólares. El Hacker aprovechó una vulnerabilidad en la verificación de firmas del contrato para falsificar cuentas y acuñar tokens.

El 30 de abril, un protocolo de préstamo sufrió un ataque de préstamo relámpago y reentrada, con una pérdida de 80.34 millones de dólares. Este ataque causó un golpe fatal al proyecto, que finalmente anunció su cierre el 20 de agosto.

Análisis de casos de ataque

Tomando como ejemplo el ataque al protocolo de préstamo mencionado, el atacante aprovechó principalmente los siguientes pasos:

1. Realizar un préstamo relámpago desde un fondo de capital.
2. Utilizar la vulnerabilidad de reentrada de contrato de la plataforma de préstamos para el préstamo colateral
3. Extraer todos los tokens del pool a través de la función de ataque construida.
4. Devolver el préstamo relámpago, transferir las ganancias

Este ataque aprovechó principalmente una vulnerabilidad de reentrada en el contrato de una plataforma de préstamos, causando pérdidas de más de 28380ETH (aproximadamente 8034 millones de dólares).

Tipos comunes de vulnerabilidades

Las vulnerabilidades más comunes en el proceso de auditoría se pueden clasificar en cuatro grandes categorías:

1. Ataque de reentrada ERC721/ERC1155
2. Vulnerabilidades lógicas (falta de consideración en escenarios especiales, diseño de funciones incompleto)
3. Falta de autenticación
4. Manipulación de precios

Vulnerabilidades realmente explotadas y hallazgos de auditoría

En los ataques reales, las vulnerabilidades lógicas de los contratos todavía son el tipo más utilizado. Cabe destacar que la mayoría de estas vulnerabilidades pueden ser detectadas en la etapa de auditoría a través de plataformas de verificación formal de contratos inteligentes y revisiones manuales por expertos.

Sugerencias de prevención

1. Fortalecer el diseño lógico del contrato, prestando especial atención al manejo de escenarios especiales.
2. Seguir estrictamente el modo de verificación-efectivo-interacción para prevenir ataques de reentrada.
3. Mejorar el mecanismo de autenticación, especialmente el control de acceso a funciones clave
4. Utilizar oráculos de precios confiables para evitar la manipulación de precios
5. Realizar auditorías de seguridad periódicas y corregir oportunamente las vulnerabilidades encontradas.

Al prestar atención continua a la situación de seguridad y adoptar medidas de protección integrales, los proyectos de Web3 pueden aumentar significativamente su seguridad y reducir el riesgo de ser atacados.