Analisis Metode Serangan Hacker Web3: Cara Serangan Umum dan Strategi Pencegahan pada Paruh Pertama 2022

Pada paruh pertama tahun 2022, situasi keamanan di bidang Web3 tidak optimis. Data menunjukkan bahwa hanya karena kerentanan kontrak telah terjadi 42 insiden serangan besar, dengan total kerugian mencapai 644 juta dolar AS. Dalam serangan ini, cacat desain logika atau fungsi adalah kerentanan yang paling sering dimanfaatkan oleh Hacker, diikuti oleh masalah verifikasi dan kerentanan reentrancy.

Tinjauan Peristiwa Kerugian Besar

Pada 3 Februari, sebuah proyek jembatan lintas rantai mengalami serangan, dengan kerugian sekitar 3,26 juta dolar AS. Hacker memanfaatkan celah verifikasi tanda tangan dalam kontrak, berhasil memalsukan akun untuk mencetak token.

Pada 30 April, suatu protokol pinjaman mengalami serangan pinjaman kilat dan serangan masuk kembali, dengan kerugian sebesar 80,34 juta dolar. Serangan ini memberikan pukulan fatal pada proyek, yang akhirnya mengakibatkan proyek tersebut mengumumkan penutupan pada 20 Agustus.

Analisis Kasus Serangan

Sebagai contoh serangan pada perjanjian pinjaman di atas, penyerang terutama memanfaatkan langkah-langkah berikut:

1. Melakukan pinjaman kilat dari suatu pool dana
2. Memanfaatkan kerentanan reentrancy pada kontrak platform pinjaman untuk pinjam-meminjam dengan jaminan
3. Menggunakan fungsi serangan yang dibangun, ambil semua token dari kolam.
4. Mengembalikan pinjaman kilat, mentransfer keuntungan

Serangan kali ini terutama memanfaatkan kerentanan reentrancy dalam kontrak yang diimplementasikan oleh suatu platform peminjaman, menyebabkan kerugian lebih dari 28380ETH (sekitar 8034 juta dolar AS).

Jenis Kerentanan Umum

Empat kategori utama dari celah yang paling umum selama proses audit adalah:

1. Serangan reentrancy ERC721/ERC1155
2. Kerentanan logika (kurangnya pertimbangan untuk skenario khusus, desain fungsi yang tidak sempurna)
3. Kehilangan otentikasi
4. Manipulasi harga

Kerentanan yang Sebenarnya Digunakan dan Temuan Audit

Dalam serangan nyata, celah logika kontrak masih merupakan jenis yang paling sering dimanfaatkan. Perlu dicatat bahwa sebagian besar celah ini dapat ditemukan selama fase audit melalui platform verifikasi formal kontrak pintar dan tinjauan manual oleh para ahli.

Saran Pencegahan

1. Perkuat desain logika kontrak, terutama perhatikan penanganan skenario khusus
2. Ikuti dengan ketat mode pemeriksaan-berlaku-interaksi untuk mencegah serangan reentry.
3. Meningkatkan mekanisme otentikasi, terutama kontrol akses untuk fungsi kunci
4. Gunakan oracle harga yang dapat diandalkan, hindari manipulasi harga
5. Melakukan audit keamanan secara berkala dan segera memperbaiki celah yang ditemukan.

Dengan terus memantau situasi keamanan dan mengambil langkah-langkah perlindungan yang komprehensif, proyek Web3 dapat secara signifikan meningkatkan keamanan dan mengurangi risiko serangan.