Análisis de ataques Web3 en la primera mitad de 2022: Pérdidas por vulnerabilidades de 644 millones de dólares, la lógica de los contratos se convierte en el principal punto de entrada.
Análisis de las técnicas de ataque comunes en el ámbito de Web3 en la primera mitad de 2022
En la primera mitad de 2022, la situación de seguridad en el ámbito de Web3 sigue siendo grave. Este artículo analizará en profundidad los métodos de ataque comunes durante este período, explorando su frecuencia y las medidas de prevención.
Resumen de las pérdidas causadas por vulnerabilidades
Según los datos de la plataforma de monitoreo de seguridad blockchain, en la primera mitad de 2022 se produjeron 42 incidentes principales de ataques a contratos, lo que representa aproximadamente el 53% de todos los incidentes de ataque. Las pérdidas totales causadas por estos ataques ascendieron a 644 millones de dólares.
Entre todas las vulnerabilidades explotadas, los defectos de diseño lógico o de función son el tipo de vulnerabilidad más comúnmente aprovechado por los hackers, seguido de los problemas de validación y las vulnerabilidades de reentrada.
Análisis de eventos de pérdidas significativas
Incidente de ataque del puente cross-chain Wormhole
El 3 de febrero de 2022, el proyecto de puente entre cadenas del ecosistema Solana, Wormhole, fue atacado, con pérdidas de aproximadamente 326 millones de dólares. El atacante aprovechó una vulnerabilidad en la verificación de firmas del contrato para falsificar cuentas del sistema y acuñar una gran cantidad de wETH.
Evento de ataque de Fei Protocol
El 30 de abril de 2022, el Rari Fuse Pool de Fei Protocol sufrió un ataque de préstamo relámpago y reingreso, causando una pérdida de 80.34 millones de dólares. Este ataque tuvo un impacto devastador en el proyecto, lo que finalmente llevó a que se anunciara su cierre el 20 de agosto.
Los atacantes aprovecharon principalmente la vulnerabilidad de reentrada que existe en el contrato implementado por cEther de Rari Capital. El proceso de ataque es el siguiente:
El atacante obtiene un préstamo relámpago de Balancer.
Utilizar fondos de préstamos relámpago para realizar préstamos y depósitos en Rari Capital, al mismo tiempo que se aprovecha de una vulnerabilidad de reentrada.
Extraer todos los tokens del pool afectado a través de la función de ataque construida como callback.
Devolver el préstamo relámpago, transferir las ganancias del ataque.
Tipos de vulnerabilidades comunes en auditorías
Ataque de reentrada ERC721/ERC1155:
Realizar un ataque de reentrada utilizando la función de notificación de transferencia en el estándar
La función empresarial no sigue estrictamente el modo de revisión-efecto-interacción
Vulnerabilidad lógica:
Consideraciones inadecuadas para escenarios especiales, como transferencias propias que resultan en un aumento arbitrario de tokens.
Diseño de funciones incompleto, como la falta de mecanismos de extracción o liquidación
Falta de autenticación:
Falta control de permisos en funciones clave (como acuñación, configuración de roles)
Manipulación de precios:
Uso inadecuado o falta de oráculo
Utilizar directamente la proporción del saldo de tokens dentro del contrato como base para el precio
Explotación de vulnerabilidades en ataques reales
Según los datos de monitoreo de seguridad, los tipos de vulnerabilidades encontrados en la auditoría han sido casi todos utilizados en ataques reales, siendo las vulnerabilidades en la lógica de contratos el principal medio de ataque.
Es importante destacar que, a través de plataformas de verificación de contratos inteligentes profesionales y la revisión manual de expertos en seguridad, la mayoría de estas vulnerabilidades pueden ser detectadas y corregidas antes de que el proyecto se lance. Por lo tanto, realizar una auditoría de seguridad integral es crucial para prevenir ataques potenciales.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
15 me gusta
Recompensa
15
4
Compartir
Comentar
0/400
DataChief
· 07-28 15:06
No se puede reparar el agujero.
Ver originalesResponder0
ImpermanentTherapist
· 07-28 15:00
Otra tanda de tontos ha sido tomada a la gente por tonta.
Análisis de ataques Web3 en la primera mitad de 2022: Pérdidas por vulnerabilidades de 644 millones de dólares, la lógica de los contratos se convierte en el principal punto de entrada.
Análisis de las técnicas de ataque comunes en el ámbito de Web3 en la primera mitad de 2022
En la primera mitad de 2022, la situación de seguridad en el ámbito de Web3 sigue siendo grave. Este artículo analizará en profundidad los métodos de ataque comunes durante este período, explorando su frecuencia y las medidas de prevención.
Resumen de las pérdidas causadas por vulnerabilidades
Según los datos de la plataforma de monitoreo de seguridad blockchain, en la primera mitad de 2022 se produjeron 42 incidentes principales de ataques a contratos, lo que representa aproximadamente el 53% de todos los incidentes de ataque. Las pérdidas totales causadas por estos ataques ascendieron a 644 millones de dólares.
Entre todas las vulnerabilidades explotadas, los defectos de diseño lógico o de función son el tipo de vulnerabilidad más comúnmente aprovechado por los hackers, seguido de los problemas de validación y las vulnerabilidades de reentrada.
Análisis de eventos de pérdidas significativas
Incidente de ataque del puente cross-chain Wormhole
El 3 de febrero de 2022, el proyecto de puente entre cadenas del ecosistema Solana, Wormhole, fue atacado, con pérdidas de aproximadamente 326 millones de dólares. El atacante aprovechó una vulnerabilidad en la verificación de firmas del contrato para falsificar cuentas del sistema y acuñar una gran cantidad de wETH.
Evento de ataque de Fei Protocol
El 30 de abril de 2022, el Rari Fuse Pool de Fei Protocol sufrió un ataque de préstamo relámpago y reingreso, causando una pérdida de 80.34 millones de dólares. Este ataque tuvo un impacto devastador en el proyecto, lo que finalmente llevó a que se anunciara su cierre el 20 de agosto.
Los atacantes aprovecharon principalmente la vulnerabilidad de reentrada que existe en el contrato implementado por cEther de Rari Capital. El proceso de ataque es el siguiente:
Tipos de vulnerabilidades comunes en auditorías
Explotación de vulnerabilidades en ataques reales
Según los datos de monitoreo de seguridad, los tipos de vulnerabilidades encontrados en la auditoría han sido casi todos utilizados en ataques reales, siendo las vulnerabilidades en la lógica de contratos el principal medio de ataque.
Es importante destacar que, a través de plataformas de verificación de contratos inteligentes profesionales y la revisión manual de expertos en seguridad, la mayoría de estas vulnerabilidades pueden ser detectadas y corregidas antes de que el proyecto se lance. Por lo tanto, realizar una auditoría de seguridad integral es crucial para prevenir ataques potenciales.