Análise das principais técnicas de ataque e estratégias de prevenção no campo do Web3 no primeiro semestre de 2022
No campo da segurança do blockchain, o primeiro semestre de 2022 apresentou algumas tendências dignas de nota. Através da análise de eventos de segurança durante este período, podemos perceber os métodos de ataque comumente utilizados pelos hackers, bem como como prevenir melhor essas ameaças.
Visão geral das perdas causadas por vulnerabilidades
De acordo com a monitorização de dados, ocorreram 42 incidentes principais de ataques a vulnerabilidades em contratos no primeiro semestre de 2022, resultando em perdas de aproximadamente 644 milhões de dólares. Entre todas as vulnerabilidades exploradas, as falhas de lógica ou de design de funções foram as mais comuns, seguidas por problemas de validação e vulnerabilidades de reentrada. Isso indica que ainda há uma grande margem de melhoria na segurança durante as fases de design e desenvolvimento de contratos.
Análise de Eventos de Segurança Típicos
No início de fevereiro, um projeto de ponte cross-chain sofreu um ataque em larga escala, resultando em perdas de até 326 milhões de dólares. Os hackers exploraram uma vulnerabilidade na verificação de assinaturas do contrato, conseguindo falsificar contas e cunhar tokens. Isso destaca a vulnerabilidade no design dos projetos cross-chain.
No final de abril, um determinado protocolo de empréstimo sofreu um ataque de empréstimo relâmpago, resultando em perdas superiores a 80 milhões de dólares. O atacante explorou uma vulnerabilidade de reentrada no protocolo, levando finalmente ao encerramento forçado do projeto. Este evento reafirmou mais uma vez a perigosidade das vulnerabilidades de reentrada, bem como o poder dos ataques de empréstimo relâmpago.
Tipos comuns de vulnerabilidades
As vulnerabilidades mais comuns durante o processo de auditoria podem ser aproximadamente divididas em quatro categorias:
Ataques de reentrada relacionados aos padrões ERC721/ERC1155
Defeitos de design na lógica do contrato
Falta de controlo de permissões nas funcionalidades chave
Vulnerabilidade de manipulação de preços
Entre eles, as vulnerabilidades lógicas de contratos ainda são o vetor de ataque mais comum utilizado por hackers. A boa notícia é que, através de auditorias profissionais de contratos inteligentes e validação formal, a maioria dessas vulnerabilidades pode ser descoberta e corrigida na fase de desenvolvimento.
Sugestões de Prevenção
Seguir rigorosamente o padrão de design "verificação-efetivação-interação" para prevenir ataques de reentrada.
Considerar plenamente cenários especiais, aprimorar o design das funcionalidades do contrato.
Adicionar controle de permissões rigoroso para funções críticas
Use oráculos confiáveis, evite a manipulação de preços
Realizar uma auditoria de segurança abrangente, com especial atenção a vulnerabilidades lógicas.
Mantenha-se alerta, monitore continuamente o estado de execução do contrato
Em geral, com o rápido desenvolvimento do ecossistema Web3, as questões de segurança continuam a ser um grande desafio. As equipes de projeto precisam dar mais atenção à segurança dos contratos, melhorando a segurança de forma abrangente através de auditorias profissionais e outros métodos. Ao mesmo tempo, toda a indústria também precisa continuar a aprender com as experiências passadas, construindo conjuntamente um ecossistema Web3 mais seguro e confiável.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
17 gostos
Recompensa
17
4
Partilhar
Comentar
0/400
mev_me_maybe
· 07-16 09:54
Há tantos buracos assim?
Ver originalResponder0
PumpAnalyst
· 07-14 15:10
Com esta segurança, ainda têm coragem de fazer as pessoas de parvas?
Ver originalResponder0
BearEatsAll
· 07-14 15:10
42 ataques é sério?
Ver originalResponder0
SignatureCollector
· 07-14 15:06
A verificação teve problemas novamente, é realmente difícil de suportar.
Análise de segurança de contratos Web3: Interpretação das técnicas de ataque e estratégias de prevenção no primeiro semestre de 2022
Análise das principais técnicas de ataque e estratégias de prevenção no campo do Web3 no primeiro semestre de 2022
No campo da segurança do blockchain, o primeiro semestre de 2022 apresentou algumas tendências dignas de nota. Através da análise de eventos de segurança durante este período, podemos perceber os métodos de ataque comumente utilizados pelos hackers, bem como como prevenir melhor essas ameaças.
Visão geral das perdas causadas por vulnerabilidades
De acordo com a monitorização de dados, ocorreram 42 incidentes principais de ataques a vulnerabilidades em contratos no primeiro semestre de 2022, resultando em perdas de aproximadamente 644 milhões de dólares. Entre todas as vulnerabilidades exploradas, as falhas de lógica ou de design de funções foram as mais comuns, seguidas por problemas de validação e vulnerabilidades de reentrada. Isso indica que ainda há uma grande margem de melhoria na segurança durante as fases de design e desenvolvimento de contratos.
Análise de Eventos de Segurança Típicos
No início de fevereiro, um projeto de ponte cross-chain sofreu um ataque em larga escala, resultando em perdas de até 326 milhões de dólares. Os hackers exploraram uma vulnerabilidade na verificação de assinaturas do contrato, conseguindo falsificar contas e cunhar tokens. Isso destaca a vulnerabilidade no design dos projetos cross-chain.
No final de abril, um determinado protocolo de empréstimo sofreu um ataque de empréstimo relâmpago, resultando em perdas superiores a 80 milhões de dólares. O atacante explorou uma vulnerabilidade de reentrada no protocolo, levando finalmente ao encerramento forçado do projeto. Este evento reafirmou mais uma vez a perigosidade das vulnerabilidades de reentrada, bem como o poder dos ataques de empréstimo relâmpago.
Tipos comuns de vulnerabilidades
As vulnerabilidades mais comuns durante o processo de auditoria podem ser aproximadamente divididas em quatro categorias:
Entre eles, as vulnerabilidades lógicas de contratos ainda são o vetor de ataque mais comum utilizado por hackers. A boa notícia é que, através de auditorias profissionais de contratos inteligentes e validação formal, a maioria dessas vulnerabilidades pode ser descoberta e corrigida na fase de desenvolvimento.
Sugestões de Prevenção
Em geral, com o rápido desenvolvimento do ecossistema Web3, as questões de segurança continuam a ser um grande desafio. As equipes de projeto precisam dar mais atenção à segurança dos contratos, melhorando a segurança de forma abrangente através de auditorias profissionais e outros métodos. Ao mesmo tempo, toda a indústria também precisa continuar a aprender com as experiências passadas, construindo conjuntamente um ecossistema Web3 mais seguro e confiável.