Phân tích các phương pháp tấn công Hacker Web3: Các lỗ hổng phổ biến và chiến lược phòng ngừa trong nửa đầu năm 2022
Báo cáo nghiên cứu an ninh Web3 được phát hành gần đây đã phân tích sâu sắc tình hình tổng thể trong lĩnh vực an ninh blockchain trong nửa đầu năm 2022. Bài viết này sẽ tập trung vào các phương thức tấn công thường được hacker sử dụng trong giai đoạn này, thảo luận về các loại lỗ hổng thường gặp và các biện pháp phòng ngừa.
Quy mô tổn thất do lỗ hổng trong nửa đầu năm
Theo dữ liệu từ một nền tảng giám sát an ninh blockchain, trong nửa đầu năm 2022 đã xảy ra tổng cộng 42 sự kiện tấn công lỗ hổng hợp đồng chính, gây thiệt hại tổng cộng 644 triệu USD. Trong tất cả các lỗ hổng bị khai thác, lỗi thiết kế logic hoặc hàm là phổ biến nhất, tiếp theo là vấn đề xác thực và lỗ hổng tái nhập. Các cuộc tấn công này chiếm khoảng 53% trong tổng số sự kiện tấn công trong cùng kỳ.
Các trường hợp lỗ hổng điển hình gây ra tổn thất lớn
Vào ngày 3 tháng 2, một dự án cầu nối đa chuỗi đã bị tấn công, thiệt hại khoảng 326 triệu USD. Hacker đã lợi dụng lỗ hổng xác minh chữ ký trong hợp đồng, làm giả tài khoản để đúc ra một lượng lớn token.
Vào ngày 30 tháng 4, một giao thức cho vay đã bị tấn công kết hợp giữa vay chớp nhoáng và tấn công tái nhập, gây thiệt hại 80,34 triệu đô la. Cuộc tấn công này đã gây ra một đòn chí mạng cho dự án, cuối cùng dẫn đến việc nó tuyên bố đóng cửa vào tháng 8.
Lấy hợp đồng cho vay trên làm ví dụ, kẻ tấn công chủ yếu đã tận dụng các bước sau:
Thực hiện vay chớp nhoáng từ một sàn giao dịch phi tập trung
Sử dụng lỗ hổng tái nhập trong hợp đồng của nền tảng cho vay để vay mượn nhiều lần
Cuối cùng rút hết tất cả token trong quỹ bị ảnh hưởng
Hoàn trả khoản vay chớp nhoáng và chuyển giao số tiền thu được từ cuộc tấn công
Lỗ hổng cao trong quá trình kiểm toán
Các lỗ hổng phổ biến nhất trong kiểm toán hợp đồng thông minh chủ yếu được chia thành bốn loại:
Rủi ro tấn công tái nhập trong việc thực hiện tiêu chuẩn ERC721/ERC1155
Các lỗi thiết kế logic hợp đồng, chẳng hạn như xem xét kém các tình huống đặc biệt, chức năng không hoàn hảo, v.v.
Thiếu kiểm soát quyền truy cập đối với các chức năng quan trọng
Rủi ro thao túng giá, chẳng hạn như việc sử dụng oracle không đúng cách.
Lỗ hổng tần suất cao trong các cuộc tấn công thực tế và tỷ lệ phát hiện kiểm toán
Theo thống kê sự kiện an ninh, các loại lỗ hổng được phát hiện trong kiểm toán có sự trùng lặp cao với các lỗ hổng thực tế bị Hacker khai thác, trong đó lỗ hổng logic hợp đồng vẫn là điểm tấn công chính.
Cần lưu ý rằng, thông qua nền tảng xác thực chính thức chuyên nghiệp kết hợp với việc kiểm tra thủ công của các chuyên gia an ninh, hầu hết các lỗ hổng nêu trên đều có thể được phát hiện trong giai đoạn kiểm toán. Các chuyên gia an ninh cũng có thể cung cấp đề xuất sửa chữa cho các vấn đề đã phát hiện, giúp các bên dự án giảm thiểu rủi ro an ninh.
Tóm lại, mặc dù tình hình an ninh trong lĩnh vực Web3 vẫn còn nghiêm trọng, nhưng thông qua quy trình kiểm toán an ninh và sửa lỗi liên tục được hoàn thiện, các bên dự án vẫn có cơ hội nâng cao đáng kể mức độ bảo vệ an ninh của mình. Trong thế giới blockchain đang phát triển nhanh chóng, an ninh luôn là chủ đề vĩnh cửu cần được chú trọng.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
13 thích
Phần thưởng
13
9
Đăng lại
Chia sẻ
Bình luận
0/400
ForkYouPayMe
· 07-03 23:55
Thật sự là thiệt hại đầu năm không ít.
Xem bản gốcTrả lời0
CrossChainBreather
· 07-02 18:57
chơi đùa với mọi người tiền không có điểm dừng
Xem bản gốcTrả lời0
RebaseVictim
· 07-02 17:03
Chuyên nghiệp đồ ngốc lại bị chơi đùa với mọi người
Xem bản gốcTrả lời0
RugDocDetective
· 07-02 16:57
Lại bị hack một lần nữa, ngồi chờ bồi thường.
Xem bản gốcTrả lời0
Web3ExplorerLin
· 07-02 16:54
*điều chỉnh ống kính lý thuyết* thật hấp dẫn khi những khai thác này phản ánh cuộc chiến bao vây cổ đại, nhưng trong lĩnh vực kỹ thuật số...
Xem bản gốcTrả lời0
PaperHandsCriminal
· 07-02 16:52
Ăn dưa bở, công chúng đã đi đâu rồi? Hàng đầu bán thảm thương.
Báo cáo an ninh Web3: Phân tích phương pháp tấn công của Hacker và tổn thất 644 triệu đô la Mỹ trong nửa đầu năm 2022
Phân tích các phương pháp tấn công Hacker Web3: Các lỗ hổng phổ biến và chiến lược phòng ngừa trong nửa đầu năm 2022
Báo cáo nghiên cứu an ninh Web3 được phát hành gần đây đã phân tích sâu sắc tình hình tổng thể trong lĩnh vực an ninh blockchain trong nửa đầu năm 2022. Bài viết này sẽ tập trung vào các phương thức tấn công thường được hacker sử dụng trong giai đoạn này, thảo luận về các loại lỗ hổng thường gặp và các biện pháp phòng ngừa.
Quy mô tổn thất do lỗ hổng trong nửa đầu năm
Theo dữ liệu từ một nền tảng giám sát an ninh blockchain, trong nửa đầu năm 2022 đã xảy ra tổng cộng 42 sự kiện tấn công lỗ hổng hợp đồng chính, gây thiệt hại tổng cộng 644 triệu USD. Trong tất cả các lỗ hổng bị khai thác, lỗi thiết kế logic hoặc hàm là phổ biến nhất, tiếp theo là vấn đề xác thực và lỗ hổng tái nhập. Các cuộc tấn công này chiếm khoảng 53% trong tổng số sự kiện tấn công trong cùng kỳ.
Các trường hợp lỗ hổng điển hình gây ra tổn thất lớn
Vào ngày 3 tháng 2, một dự án cầu nối đa chuỗi đã bị tấn công, thiệt hại khoảng 326 triệu USD. Hacker đã lợi dụng lỗ hổng xác minh chữ ký trong hợp đồng, làm giả tài khoản để đúc ra một lượng lớn token.
Vào ngày 30 tháng 4, một giao thức cho vay đã bị tấn công kết hợp giữa vay chớp nhoáng và tấn công tái nhập, gây thiệt hại 80,34 triệu đô la. Cuộc tấn công này đã gây ra một đòn chí mạng cho dự án, cuối cùng dẫn đến việc nó tuyên bố đóng cửa vào tháng 8.
Lấy hợp đồng cho vay trên làm ví dụ, kẻ tấn công chủ yếu đã tận dụng các bước sau:
Lỗ hổng cao trong quá trình kiểm toán
Các lỗ hổng phổ biến nhất trong kiểm toán hợp đồng thông minh chủ yếu được chia thành bốn loại:
Lỗ hổng tần suất cao trong các cuộc tấn công thực tế và tỷ lệ phát hiện kiểm toán
Theo thống kê sự kiện an ninh, các loại lỗ hổng được phát hiện trong kiểm toán có sự trùng lặp cao với các lỗ hổng thực tế bị Hacker khai thác, trong đó lỗ hổng logic hợp đồng vẫn là điểm tấn công chính.
Cần lưu ý rằng, thông qua nền tảng xác thực chính thức chuyên nghiệp kết hợp với việc kiểm tra thủ công của các chuyên gia an ninh, hầu hết các lỗ hổng nêu trên đều có thể được phát hiện trong giai đoạn kiểm toán. Các chuyên gia an ninh cũng có thể cung cấp đề xuất sửa chữa cho các vấn đề đã phát hiện, giúp các bên dự án giảm thiểu rủi ro an ninh.
Tóm lại, mặc dù tình hình an ninh trong lĩnh vực Web3 vẫn còn nghiêm trọng, nhưng thông qua quy trình kiểm toán an ninh và sửa lỗi liên tục được hoàn thiện, các bên dự án vẫn có cơ hội nâng cao đáng kể mức độ bảo vệ an ninh của mình. Trong thế giới blockchain đang phát triển nhanh chóng, an ninh luôn là chủ đề vĩnh cửu cần được chú trọng.