Análisis de las técnicas de ataque comunes en el campo de Web3 en la primera mitad de 2022
En la primera mitad de 2022, el campo de la seguridad de Web3 enfrentó desafíos severos. Los datos muestran que solo por fallos en contratos se produjeron 42 incidentes de ataque importantes, con una pérdida total de hasta 644 millones de dólares. En estos ataques, las fallas de diseño lógico o de funciones son las vulnerabilidades más comúnmente explotadas por los hackers, seguidas de problemas de validación y vulnerabilidades de reentrada.
Casos de grandes pérdidas
El 3 de febrero, un proyecto de puente entre cadenas sufrió un ataque, con pérdidas de aproximadamente 326 millones de dólares. Los hackers explotaron una vulnerabilidad en la verificación de firmas del contrato, logrando falsificar cuentas para acuñar tokens.
El 30 de abril, un protocolo de préstamos sufrió un ataque de reentrada mediante un préstamo relámpago, causando una pérdida de 80.34 millones de dólares. Este ataque tuvo un impacto devastador en el proyecto, lo que finalmente llevó al cierre del mismo.
Los atacantes llevan a cabo el ataque mediante los siguientes pasos:
Realizar un préstamo relámpago desde un fondo de inversión.
Utilizar cEther en plataformas de préstamos para realizar una vulnerabilidad de reentrada en contratos
Extraer todos los tokens del pool afectado a través de un ataque al contrato
Devolver el préstamo relámpago, transferir las ganancias del ataque
Tipos de vulnerabilidades comunes
En el proceso de auditoría de contratos inteligentes, las vulnerabilidades más comunes se pueden dividir en cuatro grandes categorías:
Ataques de reentrada ERC721/ERC1155: implican código malicioso en la función de notificación de transferencia de tokens.
Fallo lógico:
Consideraciones insuficientes para escenarios especiales, como la creación de algo de la nada debido a transferencias internas.
Diseño de funciones incompleto, como la falta de mecanismos de extracción o liquidación
Falta de autenticación: funciones clave sin control de permisos.
Manipulación de precios:
Precio promedio ponderado por tiempo no utilizado
Utilizar directamente la proporción del saldo de tokens en el contrato como precio
Prevención de Vulnerabilidades
Casi todas las vulnerabilidades encontradas en las auditorías han sido explotadas por hackers en escenarios reales. Entre ellas, las vulnerabilidades en la lógica de los contratos siguen siendo el principal punto de ataque. A través de plataformas de verificación formal profesionales y la revisión manual de expertos en seguridad, la mayoría de estas vulnerabilidades pueden ser detectadas en la etapa de auditoría.
Para mejorar la seguridad de los proyectos Web3, se recomienda al equipo de desarrollo:
Realizar una auditoría de seguridad completa del contrato
Dar importancia a las pruebas en escenarios especiales
Implementar una gestión de permisos estricta
Utilizar oráculos de precios confiables
Seguir el patrón de diseño "revisar-efectuar-interactuar"
A medida que las técnicas de ataque evolucionan continuamente, la conciencia de seguridad constante y la actualización de las medidas de protección son cruciales para el desarrollo saludable del ecosistema Web3.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
8 me gusta
Recompensa
8
6
Republicar
Compartir
Comentar
0/400
BakedCatFanboy
· En este momento
El equipo detrás del proyecto está ocupado haciendo Rug Pull.
Ver originalesResponder0
InscriptionGriller
· hace8h
Otra ola de tontos ha sido tomada por tonta. Desbloquea lo clásico.
Ver originalesResponder0
OPsychology
· hace8h
El dinero se ha ido, el dinero se ha ido, pero el contrato sigue ahí.
Ver originalesResponder0
SigmaBrain
· hace8h
El dinero se fue, pues se fue, vida diaria.
Ver originalesResponder0
MEVHunter
· hace8h
solo otro día en defi... contratos débiles son eliminados, filtraciones de alpha por todas partes smh
Ver originalesResponder0
GateUser-40edb63b
· hace9h
Solo sé que es realmente molesto explotar vulnerabilidades.
Web3 perdió 644 millones de dólares en seis meses, los errores lógicos en los contratos se convierten en el principal objetivo de los hackers.
Análisis de las técnicas de ataque comunes en el campo de Web3 en la primera mitad de 2022
En la primera mitad de 2022, el campo de la seguridad de Web3 enfrentó desafíos severos. Los datos muestran que solo por fallos en contratos se produjeron 42 incidentes de ataque importantes, con una pérdida total de hasta 644 millones de dólares. En estos ataques, las fallas de diseño lógico o de funciones son las vulnerabilidades más comúnmente explotadas por los hackers, seguidas de problemas de validación y vulnerabilidades de reentrada.
Casos de grandes pérdidas
El 3 de febrero, un proyecto de puente entre cadenas sufrió un ataque, con pérdidas de aproximadamente 326 millones de dólares. Los hackers explotaron una vulnerabilidad en la verificación de firmas del contrato, logrando falsificar cuentas para acuñar tokens.
El 30 de abril, un protocolo de préstamos sufrió un ataque de reentrada mediante un préstamo relámpago, causando una pérdida de 80.34 millones de dólares. Este ataque tuvo un impacto devastador en el proyecto, lo que finalmente llevó al cierre del mismo.
Los atacantes llevan a cabo el ataque mediante los siguientes pasos:
Tipos de vulnerabilidades comunes
En el proceso de auditoría de contratos inteligentes, las vulnerabilidades más comunes se pueden dividir en cuatro grandes categorías:
Prevención de Vulnerabilidades
Casi todas las vulnerabilidades encontradas en las auditorías han sido explotadas por hackers en escenarios reales. Entre ellas, las vulnerabilidades en la lógica de los contratos siguen siendo el principal punto de ataque. A través de plataformas de verificación formal profesionales y la revisión manual de expertos en seguridad, la mayoría de estas vulnerabilidades pueden ser detectadas en la etapa de auditoría.
Para mejorar la seguridad de los proyectos Web3, se recomienda al equipo de desarrollo:
A medida que las técnicas de ataque evolucionan continuamente, la conciencia de seguridad constante y la actualización de las medidas de protección son cruciales para el desarrollo saludable del ecosistema Web3.