Analisando as Táticas de Ataque no Ecossistema Web3: Estratégias Comuns de Hackers e Medidas de Prevenção no Primeiro Semestre de 2022

No primeiro semestre de 2022, o ecossistema Web3 enfrentou várias grandes incidentes de segurança. Este artigo irá analisar em profundidade os métodos de ataque mais comumente utilizados pelos hackers durante este período, discutir quais vulnerabilidades causaram grandes perdas e como prevenir efetivamente esses riscos nas fases de desenvolvimento e auditoria do projeto.

Perdas totais causadas por ataques de vulnerabilidades

Os dados mostram que, no primeiro semestre de 2022, ocorreram 42 ataques significativos a contratos inteligentes, representando cerca de 53% de todos os métodos de ataque. Esses ataques resultaram em perdas totais de 644 milhões de dólares. Entre as vulnerabilidades exploradas, as falhas de lógica ou de design de funções são os alvos mais frequentemente aproveitados pelos hackers, seguidas por problemas de validação e vulnerabilidades de reentrada.

Casos típicos que causaram grandes perdas

Ataque ao Wormhole, a ponte cross-chain

No dia 3 de fevereiro de 2022, o projeto de ponte cross-chain Wormhole do ecossistema Solana foi atacado, resultando em perdas de até 326 milhões de dólares. O Hacker explorou uma vulnerabilidade na verificação de assinatura do contrato, conseguindo forjar a conta do sistema para cunhar wETH.

O Fei Protocol foi alvo de um ataque de empréstimo relâmpago.

Em 30 de abril de 2022, o Rari Fuse Pool do Fei Protocol sofreu um ataque de empréstimo relâmpago combinado com um ataque de reentrada, resultando em perdas de 80,34 milhões de dólares. Este ataque teve um impacto devastador no projeto, levando à sua decisão de encerrar em 20 de agosto.

Os atacantes aproveitaram principalmente os seguintes passos:

1. Obter um empréstimo relâmpago do Balancer: Vault
2. Utilizar empréstimos para fazer empréstimo colateral na Rari Capital, ao mesmo tempo que se utiliza cEther para explorar a vulnerabilidade de reentrada no contrato.
3. Extrair todos os tokens do pool afetado atacando funções específicas no contrato.
4. Devolver o empréstimo relâmpago e transferir os lucros para o contrato designado

Tipos comuns de vulnerabilidades durante o processo de auditoria

1. Ataque de reentrada ERC721/ERC1155: Ao usar funções de cunhagem ou transferência desses padrões, pode-se ativar código malicioso que leva a ataques de reentrada.

2. Falha lógica:

   • Falta de consideração para cenários especiais, como resultados inesperados devido a transferências pessoais.
   • Design de funcionalidades incompleto, como a falta de mecanismos de extração ou liquidação

3. Falta de autenticação: funções-chave como cunhagem, configuração de papéis, etc., carecem de controle de permissões adequado.

4. Manipulação de preços:

   • Preço médio ponderado pelo tempo não utilizado
   • Usar diretamente a proporção do saldo de tokens no contrato como base de preço

Vulnerabilidades realmente exploradas e sua prevenibilidade

De acordo com as estatísticas, quase todos os tipos de vulnerabilidades descobertas durante o processo de auditoria foram exploradas por hackers em cenários reais, sendo que as vulnerabilidades lógicas de contrato continuam a ser o principal alvo de ataque.

É importante notar que a maioria dessas vulnerabilidades pode ser identificada durante a fase de auditoria do projeto através de plataformas de verificação formal de contratos inteligentes e detecções manuais por especialistas em segurança. Os especialistas em segurança podem fornecer recomendações específicas de correção para os problemas identificados, ajudando a equipe do projeto a melhorar a segurança do contrato.

De forma geral, à medida que o ecossistema Web3 se desenvolve rapidamente, os problemas de segurança tornam-se cada vez mais evidentes. As equipes de projeto devem dar importância ao trabalho de auditoria de contratos, utilizando ferramentas e métodos de detecção avançados, juntamente com as recomendações de equipes de segurança profissionais, para melhorar de forma abrangente a capacidade de proteção de segurança do projeto. Ao mesmo tempo, é essencial manter a atenção nas novas técnicas de ataque e tipos de vulnerabilidades que surgem, atualizando as estratégias de segurança de forma oportuna para manter a competitividade neste campo repleto de desafios.