Phân tích các phương pháp tấn công thường dùng của Hacker Web3 nửa đầu năm 2022
Trong nửa đầu năm 2022, tình hình an ninh trong lĩnh vực Web3 rất nghiêm trọng. Dữ liệu cho thấy, có tổng cộng 42 sự kiện tấn công lớn do lỗ hổng hợp đồng thông minh, gây ra tổng thiệt hại lên tới 644 triệu USD. Trong số những cuộc tấn công này, tỷ lệ khai thác lỗ hổng hợp đồng chiếm hơn một nửa, đạt 53%.
Các phương pháp tấn công phổ biến
Phân tích cho thấy, các loại lỗ hổng mà Hacker thường khai thác bao gồm:
Thiết kế hàm logic hoặc không phù hợp
Câu hỏi xác minh
Lỗ hổng tái nhập
Trường hợp tổn thất lớn
Sự kiện Wormhole
Vào ngày 3 tháng 2 năm 2022, dự án cầu liên chuỗi Solana Wormhole đã bị tấn công, thiệt hại khoảng 326 triệu USD. Hacker đã tận dụng lỗ hổng xác minh chữ ký trong hợp đồng, thành công giả mạo tài khoản để đúc wETH.
Sự kiện Fei Protocol
Vào ngày 30 tháng 4 năm 2022, Rari Fuse Pool thuộc Fei Protocol đã chịu một cuộc tấn công kết hợp vay mượn chớp nhoáng và tái nhập, gây thiệt hại 80,34 triệu USD. Sự kiện này cuối cùng đã dẫn đến việc dự án thông báo đóng cửa vào ngày 20 tháng 8.
Kẻ tấn công thực hiện cuộc tấn công qua các bước sau:
Lấy khoản vay chớp nhoáng từ Balancer
Lợi dụng lỗ hổng tái nhập của hợp đồng cEther của Rari Capital
Thông qua hàm callback để trích xuất tất cả các token trong pool bị ảnh hưởng
Hoàn trả khoản vay chớp nhoáng và chuyển nhượng lợi nhuận
Lỗ hổng thường gặp trong kiểm toán
Trong quá trình kiểm tra hợp đồng thông minh, các loại lỗ hổng phổ biến nhất bao gồm:
Tấn công tái nhập ERC721/ERC1155
Lỗ hổng logic ( xem xét không đủ các tình huống đặc biệt, thiết kế chức năng không hoàn thiện )
Thiếu xác thực
Kiểm soát giá
Phòng ngừa lỗ hổng
Hầu hết các lỗ hổng thực tế được khai thác đều có thể được phát hiện trong giai đoạn kiểm toán. Các nhà phát triển hợp đồng nên chú trọng:
Tuân thủ nghiêm ngặt chế độ kiểm tra - có hiệu lực - tương tác
Hoàn thiện xử lý tình huống đặc biệt
Tăng cường quản lý quyền
Sử dụng oracle giá cả đáng tin cậy
Thông qua nền tảng xác thực hợp đồng thông minh chuyên nghiệp và việc đánh giá thủ công của các chuyên gia an ninh, có thể nhận diện hiệu quả các rủi ro tiềm ẩn và kịp thời thực hiện các biện pháp khắc phục, nâng cao độ an toàn của hợp đồng.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
9 thích
Phần thưởng
9
7
Đăng lại
Chia sẻ
Bình luận
0/400
LongTermDreamer
· 5giờ trước
Cơ hội đến từ lỗ hổng, nhìn lại sau ba năm đều là chuyện nhỏ.
Xem bản gốcTrả lời0
LightningPacketLoss
· 9giờ trước
Cỏ lại có người bị trộm nữa
Xem bản gốcTrả lời0
ParanoiaKing
· 9giờ trước
6 cái tỷ mất rồi, còn chơi cái gì nữa, giải tán thôi.
Báo cáo an ninh Web3: Các cuộc tấn công của Hacker trong nửa đầu năm 2022 gây ra thiệt hại 644 triệu USD
Phân tích các phương pháp tấn công thường dùng của Hacker Web3 nửa đầu năm 2022
Trong nửa đầu năm 2022, tình hình an ninh trong lĩnh vực Web3 rất nghiêm trọng. Dữ liệu cho thấy, có tổng cộng 42 sự kiện tấn công lớn do lỗ hổng hợp đồng thông minh, gây ra tổng thiệt hại lên tới 644 triệu USD. Trong số những cuộc tấn công này, tỷ lệ khai thác lỗ hổng hợp đồng chiếm hơn một nửa, đạt 53%.
Các phương pháp tấn công phổ biến
Phân tích cho thấy, các loại lỗ hổng mà Hacker thường khai thác bao gồm:
Trường hợp tổn thất lớn
Sự kiện Wormhole
Vào ngày 3 tháng 2 năm 2022, dự án cầu liên chuỗi Solana Wormhole đã bị tấn công, thiệt hại khoảng 326 triệu USD. Hacker đã tận dụng lỗ hổng xác minh chữ ký trong hợp đồng, thành công giả mạo tài khoản để đúc wETH.
Sự kiện Fei Protocol
Vào ngày 30 tháng 4 năm 2022, Rari Fuse Pool thuộc Fei Protocol đã chịu một cuộc tấn công kết hợp vay mượn chớp nhoáng và tái nhập, gây thiệt hại 80,34 triệu USD. Sự kiện này cuối cùng đã dẫn đến việc dự án thông báo đóng cửa vào ngày 20 tháng 8.
Kẻ tấn công thực hiện cuộc tấn công qua các bước sau:
Lỗ hổng thường gặp trong kiểm toán
Trong quá trình kiểm tra hợp đồng thông minh, các loại lỗ hổng phổ biến nhất bao gồm:
Phòng ngừa lỗ hổng
Hầu hết các lỗ hổng thực tế được khai thác đều có thể được phát hiện trong giai đoạn kiểm toán. Các nhà phát triển hợp đồng nên chú trọng:
Thông qua nền tảng xác thực hợp đồng thông minh chuyên nghiệp và việc đánh giá thủ công của các chuyên gia an ninh, có thể nhận diện hiệu quả các rủi ro tiềm ẩn và kịp thời thực hiện các biện pháp khắc phục, nâng cao độ an toàn của hợp đồng.