Phân tích phương pháp tấn công Hacker Web3: Các phương thức tấn công phổ biến trong nửa đầu năm 2022 và các đề xuất phòng ngừa
Trong nửa đầu năm 2022, lĩnh vực Web3 đã xảy ra nhiều sự kiện an ninh, gây ra tổn thất lớn cho ngành. Bài viết này sẽ phân tích các phương pháp tấn công chính trong thời gian này, nhằm cung cấp tài liệu tham khảo về phòng ngừa an ninh cho các dự án.
Tổng quan dữ liệu tấn công chính
Theo dữ liệu giám sát của nền tảng nhận thức tình hình blockchain, trong nửa đầu năm 2022 đã xảy ra tổng cộng 42 sự kiện tấn công lỗ hổng hợp đồng chính, gây thiệt hại khoảng 644 triệu USD. Trong số tất cả các lỗ hổng bị khai thác, thiết kế logic hoặc hàm không đúng cách là phổ biến nhất, tiếp theo là vấn đề xác thực và lỗ hổng tái nhập.
Phân tích sự kiện an ninh điển hình
Sự kiện tấn công cầu Wormhole
Vào ngày 3 tháng 2 năm 2022, một dự án cầu nối đa chuỗi đã bị tấn công, gây thiệt hại lên tới 326 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng xác thực chữ ký trong hợp đồng của dự án, thông qua việc làm giả tài khoản sysvar để thực hiện việc đúc tiền bất hợp pháp.
Fei Protocol bị tấn công bởi tín dụng nhanh
Vào ngày 30 tháng 4 năm 2022, một giao thức cho vay đã bị tấn công bởi cuộc tấn công cho vay chớp nhoáng và bị mất 80,34 triệu đô la. Kẻ tấn công đã thực hiện cuộc tấn công qua các bước sau:
Lấy khoản vay chớp nhoáng từ Balancer
Sử dụng lỗ hổng reentrancy trong hợp đồng pool cho vay để thực hiện vay mượn lặp lại
Rút tiền từ pool và trả lại khoản vay chớp nhoáng
Sự kiện này cuối cùng đã dẫn đến việc bên dự án tuyên bố đóng cửa.
Các loại lỗ hổng phổ biến
Các lỗ hổng phổ biến nhất trong quá trình kiểm toán chủ yếu bao gồm:
Tấn công tái nhập ERC721/ERC1155
Lỗ hổng logic hợp đồng
Thiếu kiểm soát quyền
Lỗ hổng thao túng giá
Các lỗ hổng này cũng thường được khai thác trong các cuộc tấn công thực tế, trong đó lỗ hổng logic hợp đồng là điểm tấn công chính.
Đề xuất phòng ngừa
Tuân thủ nghiêm ngặt mô hình thiết kế "Kiểm tra - Hiệu lực - Tương tác"
Xem xét toàn diện xử lý logic trong các tình huống đặc biệt
Hoàn thiện thiết kế chức năng hợp đồng, chẳng hạn như thêm cơ chế rút tiền và thanh lý.
Tăng cường kiểm soát quyền truy cập cho các chức năng quan trọng
Sử dụng cơ chế oracle giá an toàn
Thực hiện kiểm toán an ninh toàn diện, bao gồm kiểm tra tự động và đánh giá thủ công
Thông qua nền tảng xác minh hợp đồng thông minh chuyên nghiệp và kiểm toán của các chuyên gia an ninh, hầu hết các lỗ hổng trên có thể được phát hiện và khắc phục trong giai đoạn phát triển. Các bên dự án nên coi trọng xây dựng an ninh, xây dựng cơ chế bảo vệ đa lớp để giảm thiểu rủi ro bị tấn công.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
7 thích
Phần thưởng
7
3
Chia sẻ
Bình luận
0/400
UncommonNPC
· 1giờ trước
Quá hoang dã rồi, ai đó hãy quản lý nó đi.
Xem bản gốcTrả lời0
SolidityNewbie
· 6giờ trước
Thiết kế hàm có lỗ hổng? Hành động điển hình của người mới.
Xem bản gốcTrả lời0
DeepRabbitHole
· 7giờ trước
Lại bắt đầu công việc kiếm tiền thường ngày rồi, tiền đã bị Hacker cuỗm đi mất.
Cảnh báo an ninh Web3: 42 cuộc tấn công trong nửa đầu năm 2022 gây thiệt hại 644 triệu USD Phân tích các đề xuất phòng ngừa
Phân tích phương pháp tấn công Hacker Web3: Các phương thức tấn công phổ biến trong nửa đầu năm 2022 và các đề xuất phòng ngừa
Trong nửa đầu năm 2022, lĩnh vực Web3 đã xảy ra nhiều sự kiện an ninh, gây ra tổn thất lớn cho ngành. Bài viết này sẽ phân tích các phương pháp tấn công chính trong thời gian này, nhằm cung cấp tài liệu tham khảo về phòng ngừa an ninh cho các dự án.
Tổng quan dữ liệu tấn công chính
Theo dữ liệu giám sát của nền tảng nhận thức tình hình blockchain, trong nửa đầu năm 2022 đã xảy ra tổng cộng 42 sự kiện tấn công lỗ hổng hợp đồng chính, gây thiệt hại khoảng 644 triệu USD. Trong số tất cả các lỗ hổng bị khai thác, thiết kế logic hoặc hàm không đúng cách là phổ biến nhất, tiếp theo là vấn đề xác thực và lỗ hổng tái nhập.
Phân tích sự kiện an ninh điển hình
Sự kiện tấn công cầu Wormhole
Vào ngày 3 tháng 2 năm 2022, một dự án cầu nối đa chuỗi đã bị tấn công, gây thiệt hại lên tới 326 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng xác thực chữ ký trong hợp đồng của dự án, thông qua việc làm giả tài khoản sysvar để thực hiện việc đúc tiền bất hợp pháp.
Fei Protocol bị tấn công bởi tín dụng nhanh
Vào ngày 30 tháng 4 năm 2022, một giao thức cho vay đã bị tấn công bởi cuộc tấn công cho vay chớp nhoáng và bị mất 80,34 triệu đô la. Kẻ tấn công đã thực hiện cuộc tấn công qua các bước sau:
Sự kiện này cuối cùng đã dẫn đến việc bên dự án tuyên bố đóng cửa.
Các loại lỗ hổng phổ biến
Các lỗ hổng phổ biến nhất trong quá trình kiểm toán chủ yếu bao gồm:
Các lỗ hổng này cũng thường được khai thác trong các cuộc tấn công thực tế, trong đó lỗ hổng logic hợp đồng là điểm tấn công chính.
Đề xuất phòng ngừa
Thông qua nền tảng xác minh hợp đồng thông minh chuyên nghiệp và kiểm toán của các chuyên gia an ninh, hầu hết các lỗ hổng trên có thể được phát hiện và khắc phục trong giai đoạn phát triển. Các bên dự án nên coi trọng xây dựng an ninh, xây dựng cơ chế bảo vệ đa lớp để giảm thiểu rủi ro bị tấn công.