Alerta de seguridad Web3: 42 ataques en la primera mitad de 2022 causaron pérdidas de 644 millones de dólares. Análisis de recomendaciones de prevención.
Análisis de las técnicas de ataque de hackers en Web3: Métodos de ataque comunes en la primera mitad de 2022 y recomendaciones de prevención
En la primera mitad de 2022, se produjeron frecuentes incidentes de seguridad en el ámbito de Web3, lo que causó enormes pérdidas al sector. Este artículo analizará los principales métodos de ataque de este período, con la esperanza de proporcionar referencias de prevención de seguridad para los proyectos.
Resumen de los datos de ataques principales
Según los datos de monitoreo de la plataforma de percepción de la situación de blockchain, en la primera mitad de 2022 se produjeron 42 incidentes importantes de ataques a contratos, causando pérdidas de aproximadamente 644 millones de dólares. De todas las vulnerabilidades explotadas, el diseño incorrecto de la lógica o funciones fue el más común, seguido de problemas de validación y vulnerabilidades de reentrada.
Análisis de incidentes de seguridad típicos
evento de ataque al puente Wormhole
El 3 de febrero de 2022, un proyecto de puente entre cadenas fue atacado, con pérdidas de hasta 326 millones de dólares. Los atacantes aprovecharon una vulnerabilidad de verificación de firma en el contrato del proyecto para realizar acuñaciones ilegales a través de la falsificación de cuentas sysvar.
El protocolo Fei fue atacado por un préstamo relámpago.
El 30 de abril de 2022, un protocolo de préstamos sufrió un ataque de reentrada mediante un préstamo relámpago, con una pérdida de 80,34 millones de dólares. El atacante implementó el ataque a través de los siguientes pasos:
Obtener un préstamo relámpago de Balancer
Utilizar la vulnerabilidad de reentrada en el contrato del pool de préstamos para realizar préstamos repetidos
Retirar fondos del pool y devolver el préstamo relámpago
El evento finalmente llevó al equipo del proyecto a anunciar su cierre.
Tipos comunes de vulnerabilidades
Las vulnerabilidades más comunes durante el proceso de auditoría incluyen:
Ataque de reentrada ERC721/ERC1155
Vulnerabilidad lógica del contrato
Falta de control de permisos
Vulnerabilidad de manipulación de precios
Estas vulnerabilidades también se utilizan con frecuencia en ataques reales, siendo las vulnerabilidades en la lógica de contratos el principal punto de ataque.
Recomendaciones de prevención
Seguir estrictamente el patrón de diseño "verificación-efectivo-interacción"
Considerar integralmente el procesamiento lógico en escenarios especiales
Mejorar el diseño de funciones del contrato, como agregar mecanismos de extracción y liquidación.
Fortalecer el control de permisos de funciones clave
Utilizar un mecanismo de oráculo de precios seguro
Realizar una auditoría de seguridad completa, incluyendo detección automatizada y revisión manual.
A través de una plataforma de verificación de contratos inteligentes profesional y auditorías de expertos en seguridad, la mayoría de las vulnerabilidades mencionadas pueden ser detectadas y corregidas en la fase de desarrollo. Las partes del proyecto deben prestar atención a la construcción de la seguridad, estableciendo mecanismos de defensa múltiple para reducir el riesgo de sufrir ataques.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
7 me gusta
Recompensa
7
3
Compartir
Comentar
0/400
UncommonNPC
· hace2h
Este círculo está demasiado salvaje, ¿quién lo va a arreglar?
Ver originalesResponder0
SolidityNewbie
· hace8h
¿Hay vulnerabilidades en el diseño de funciones? Operación típica de novato
Ver originalesResponder0
DeepRabbitHole
· hace8h
Otra vez comenzando a sacar provecho de las recompensas diarias. Todo el dinero ha sido arrasado por los hackers.
Alerta de seguridad Web3: 42 ataques en la primera mitad de 2022 causaron pérdidas de 644 millones de dólares. Análisis de recomendaciones de prevención.
Análisis de las técnicas de ataque de hackers en Web3: Métodos de ataque comunes en la primera mitad de 2022 y recomendaciones de prevención
En la primera mitad de 2022, se produjeron frecuentes incidentes de seguridad en el ámbito de Web3, lo que causó enormes pérdidas al sector. Este artículo analizará los principales métodos de ataque de este período, con la esperanza de proporcionar referencias de prevención de seguridad para los proyectos.
Resumen de los datos de ataques principales
Según los datos de monitoreo de la plataforma de percepción de la situación de blockchain, en la primera mitad de 2022 se produjeron 42 incidentes importantes de ataques a contratos, causando pérdidas de aproximadamente 644 millones de dólares. De todas las vulnerabilidades explotadas, el diseño incorrecto de la lógica o funciones fue el más común, seguido de problemas de validación y vulnerabilidades de reentrada.
Análisis de incidentes de seguridad típicos
evento de ataque al puente Wormhole
El 3 de febrero de 2022, un proyecto de puente entre cadenas fue atacado, con pérdidas de hasta 326 millones de dólares. Los atacantes aprovecharon una vulnerabilidad de verificación de firma en el contrato del proyecto para realizar acuñaciones ilegales a través de la falsificación de cuentas sysvar.
El protocolo Fei fue atacado por un préstamo relámpago.
El 30 de abril de 2022, un protocolo de préstamos sufrió un ataque de reentrada mediante un préstamo relámpago, con una pérdida de 80,34 millones de dólares. El atacante implementó el ataque a través de los siguientes pasos:
El evento finalmente llevó al equipo del proyecto a anunciar su cierre.
Tipos comunes de vulnerabilidades
Las vulnerabilidades más comunes durante el proceso de auditoría incluyen:
Estas vulnerabilidades también se utilizan con frecuencia en ataques reales, siendo las vulnerabilidades en la lógica de contratos el principal punto de ataque.
Recomendaciones de prevención
A través de una plataforma de verificación de contratos inteligentes profesional y auditorías de expertos en seguridad, la mayoría de las vulnerabilidades mencionadas pueden ser detectadas y corregidas en la fase de desarrollo. Las partes del proyecto deben prestar atención a la construcción de la seguridad, estableciendo mecanismos de defensa múltiple para reducir el riesgo de sufrir ataques.