Phân tích phương pháp tấn công Hacker trong lĩnh vực Web3 nửa đầu năm 2022

Trong nửa đầu năm 2022, tình hình an ninh trong lĩnh vực Web3 rất nghiêm trọng. Dữ liệu cho thấy, có tới 42 vụ tấn công lớn do lỗi hợp đồng thông minh gây ra, với tổng thiệt hại đạt 644 triệu USD. Trong số các vụ tấn công này, tỷ lệ khai thác lỗi hợp đồng chiếm hơn một nửa.

Các phương pháp tấn công phổ biến

Phân tích cho thấy, các loại lỗ hổng mà hacker thường khai thác bao gồm:

1. Thiết kế lỗi hàm logic hoặc
2. Vấn đề cơ chế xác thực
3. Lỗ hổng tái nhập

Trong đó, lỗi thiết kế logic là loại lỗ hổng được khai thác nhiều nhất.

Các trường hợp thiệt hại lớn

1. Cầu nối đa chuỗi Solana Wormhole bị tấn công, thiệt hại 3.26 triệu đô la. Kẻ tấn công đã lợi dụng lỗ hổng xác thực chữ ký để giả mạo tài khoản đúc wETH.

2. Rari Fuse Pool của Fei Protocol đã bị tấn công bằng vay chớp nhoáng, thiệt hại 80,34 triệu USD. Cuộc tấn công này đã dẫn đến việc dự án phải đóng cửa hoàn toàn. Kẻ tấn công đã lợi dụng lỗ hổng gọi lại bằng cách sử dụng vay chớp nhoáng và xây dựng hàm gọi lại, rút hết tất cả các token trong hồ bị ảnh hưởng.

Các lỗ hổng thường gặp trong kiểm toán

1. Tấn công tái nhập ERC721/ERC1155: Hàm thông báo chuyển tiền có thể bị lợi dụng bởi kẻ xấu.

2. Lỗ hổng logic:
   • Thiếu sót trong việc xem xét các tình huống đặc biệt
   • Thiết kế chức năng chưa hoàn thiện

3. Thiếu kiểm soát quyền: Các thao tác quan trọng chưa được thiết lập kiểm tra quyền hợp lý.

4. Thao túng giá:
   • Oracle sử dụng không đúng cách
   • Cách tính giá không hợp lý

Phòng ngừa lỗ hổng

Hầu hết các lỗ hổng bị khai thác có thể được phát hiện trong giai đoạn kiểm toán. Khuyến nghị cho các bên dự án:

1. Tiến hành kiểm toán hợp đồng thông minh toàn diện
2. Sử dụng công cụ xác minh hình thức
3. Kết hợp kiểm tra thủ công của chuyên gia
4. Đánh giá cao và kịp thời sửa chữa các vấn đề được phát hiện trong quá trình kiểm toán.

Bằng cách thực hiện các biện pháp an ninh nghiêm ngặt, có thể giảm thiểu hiệu quả rủi ro bị tấn công, bảo vệ an toàn tài sản của người dùng.