Analisis Metode Serangan Ekosistem Web3: Strategi Umum Hacker dan Tindakan Pencegahan pada Paruh Pertama Tahun 2022

Pada paruh pertama tahun 2022, ekosistem Web3 mengalami beberapa insiden keamanan besar. Artikel ini akan menganalisis secara mendalam metode serangan yang paling umum digunakan oleh hacker selama periode ini, mengeksplorasi kerentanan apa yang menyebabkan kerugian besar, serta bagaimana cara mencegah risiko ini secara efektif selama tahap pengembangan dan audit proyek.

Kerugian Total Akibat Serangan Kerentanan

Data menunjukkan bahwa pada paruh pertama tahun 2022, terjadi 42 insiden serangan kerentanan kontrak utama, yang merupakan sekitar 53% dari semua jenis serangan. Serangan ini menyebabkan total kerugian sebesar 644 juta dolar. Dari kerentanan yang dieksploitasi, cacat logika atau desain fungsi adalah target yang paling sering dimanfaatkan oleh Hacker, diikuti oleh masalah verifikasi dan kerentanan reentrancy.

Kasus tipikal yang menyebabkan kerugian besar

Serangan jembatan lintas rantai Wormhole

Pada 3 Februari 2022, proyek jembatan lintas rantai ekosistem Solana, Wormhole, diserang, dengan kerugian mencapai 326 juta dolar AS. Hacker memanfaatkan celah verifikasi tanda tangan dalam kontrak, berhasil memalsukan akun sistem untuk mencetak wETH.

Protokol Fei diserang oleh pinjaman kilat

Pada 30 April 2022, Rari Fuse Pool dari Fei Protocol mengalami serangan kombinasi pinjaman kilat dan serangan reentrancy, dengan kerugian mencapai 80,34 juta dolar. Serangan ini memberikan dampak yang menghancurkan bagi proyek, yang akhirnya menyebabkan proyek mengumumkan penutupan pada 20 Agustus.

Penyerang terutama memanfaatkan langkah-langkah berikut:

1. Dapatkan pinjaman kilat dari Balancer: Vault
2. Memanfaatkan pinjaman untuk melakukan pinjaman dengan jaminan di Rari Capital, sambil menggunakan cEther untuk mengeksploitasi kerentanan reentrancy dalam kontrak.
3. Dengan menyerang fungsi tertentu dalam kontrak, mengekstrak semua token dari pool yang terpengaruh.
4. Mengembalikan pinjaman kilat dan mentransfer keuntungan ke kontrak yang ditentukan

Jenis Kerentanan yang Umum Ditemui Selama Proses Audit

1. Serangan reentrancy ERC721/ERC1155: Saat menggunakan fungsi minting atau transfer yang sesuai dengan standar ini, kode jahat dapat diaktifkan yang menyebabkan serangan reentrancy.

2. Celah logika:

   • Pertimbangan yang tidak memadai dalam situasi khusus, seperti hasil tak terduga akibat transfer diri sendiri
   • Desain fungsional tidak lengkap, seperti kurangnya mekanisme penarikan atau penyelesaian.

3. Kehilangan otentikasi: Fungsi penting seperti pencetakan koin, pengaturan peran, dll. kekurangan kontrol hak yang memadai.

4. Manipulasi harga:

   • Harga rata-rata tertimbang waktu yang tidak digunakan
   • Menggunakan proporsi saldo token dalam kontrak secara langsung sebagai dasar harga

Kerentanan yang Sebenarnya Dimanfaatkan dan Kemampuan Pencegahannya

Menurut statistik, hampir semua jenis kerentanan yang ditemukan selama proses audit telah dimanfaatkan oleh hacker dalam skenario nyata, di mana kerentanan logika kontrak masih menjadi target serangan utama.

Perlu dicatat bahwa sebagian besar kerentanan ini dapat ditemukan pada tahap audit proyek melalui verifikasi formal platform smart contract dan pemeriksaan manual oleh ahli keamanan. Ahli keamanan dapat memberikan saran perbaikan yang spesifik untuk masalah yang ditemukan, membantu pihak proyek meningkatkan keamanan kontrak.

Secara keseluruhan, dengan perkembangan cepat ekosistem Web3, masalah keamanan semakin menonjol. Pihak proyek harus memperhatikan pekerjaan audit kontrak, menggunakan alat dan metode deteksi yang canggih, serta menggabungkan saran dari tim keamanan profesional untuk meningkatkan kemampuan perlindungan keamanan proyek secara menyeluruh. Selain itu, terus memantau teknik serangan baru dan jenis kerentanan yang muncul, serta memperbarui strategi keamanan secara tepat waktu, agar tetap kompetitif di bidang yang penuh tantangan ini.