Phân tích các phương thức tấn công thường gặp trong lĩnh vực Web3 nửa đầu năm 2022
Trong nửa đầu năm 2022, tình hình an ninh trong lĩnh vực Web3 vẫn rất nghiêm trọng. Bài viết này sẽ phân tích sâu về các phương thức tấn công phổ biến trong giai đoạn này, khám phá tần suất và các biện pháp phòng ngừa.
Tổng quan về thiệt hại do lỗ hổng gây ra
Theo dữ liệu từ nền tảng giám sát an ninh blockchain, trong nửa đầu năm 2022 đã xảy ra 42 sự kiện tấn công lỗ hổng hợp đồng chính, chiếm khoảng 53% tổng số sự kiện tấn công. Tổng thiệt hại do những cuộc tấn công này lên tới 644 triệu đô la.
Trong tất cả các lỗ hổng được khai thác, lỗ hổng thiết kế logic hoặc hàm là loại lỗ hổng mà hacker thường khai thác nhất, tiếp theo là vấn đề xác thực và lỗ hổng tái nhập.
Phân tích sự kiện tổn thất lớn
Sự cố tấn công cầu chuỗi Wormhole
Vào ngày 3 tháng 2 năm 2022, dự án cầu nối đa chuỗi Wormhole trong hệ sinh thái Solana đã bị tấn công, thiệt hại khoảng 326 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng xác thực chữ ký trong hợp đồng để làm giả tài khoản hệ thống và đúc một lượng lớn wETH.
Sự kiện tấn công Fei Protocol
Vào ngày 30 tháng 4 năm 2022, Rari Fuse Pool thuộc Fei Protocol đã bị tấn công bằng vay nhanh và tấn công tái nhập, gây thiệt hại 80.34 triệu đô la. Cuộc tấn công này đã gây ra một cú sốc chí mạng cho dự án, cuối cùng dẫn đến việc dự án tuyên bố đóng cửa vào ngày 20 tháng 8.
Kẻ tấn công chủ yếu đã khai thác lỗ hổng tái nhập có trong hợp đồng cEther của Rari Capital. Quy trình tấn công như sau:
Kẻ tấn công lấy vay chớp nhoáng từ Balancer.
Sử dụng vốn vay chớp nhoáng để thế chấp vay mượn tại Rari Capital, đồng thời tận dụng lỗ hổng tái nhập.
Thông qua hàm tấn công được xây dựng, trích xuất tất cả các token trong pool bị ảnh hưởng.
Hoàn trả khoản vay chớp nhoáng, chuyển giao số tiền thu được từ cuộc tấn công.
Các loại lỗ hổng phổ biến trong kiểm toán
Tấn công tái nhập ERC721/ERC1155:
Sử dụng hàm thông báo chuyển khoản trong tiêu chuẩn để thực hiện tấn công tái nhập
Chức năng kinh doanh không tuân thủ nghiêm ngặt mô hình kiểm tra - hiệu lực - tương tác
Lỗ hổng logic:
Xem xét các tình huống đặc biệt không đầy đủ, ví dụ như chuyển khoản tự thực hiện dẫn đến việc tăng số lượng token một cách không hợp lý.
Thiết kế chức năng chưa hoàn thiện, như thiếu cơ chế rút tiền hoặc thanh lý
Thiếu xác thực:
Các chức năng chính (như đúc tiền, thiết lập nhân vật) thiếu kiểm soát quyền truy cập.
Kiểm soát giá:
Sử dụng sai hoặc thiếu oracle
Sử dụng tỷ lệ số dư token trong hợp đồng làm cơ sở giá
Khai thác lỗ hổng trong tấn công thực tế
Theo dữ liệu giám sát an ninh, các loại lỗ hổng được phát hiện trong quá trình kiểm toán hầu như đều đã bị khai thác trong các cuộc tấn công thực tế, trong đó lỗ hổng logic hợp đồng vẫn là phương thức tấn công chính.
Cần lưu ý rằng, thông qua nền tảng xác thực hợp đồng thông minh chuyên nghiệp và sự kiểm tra thủ công của các chuyên gia an ninh, hầu hết các lỗ hổng này có thể được phát hiện và khắc phục trước khi dự án được ra mắt. Do đó, việc tiến hành kiểm toán an ninh toàn diện là rất quan trọng để phòng ngừa các cuộc tấn công tiềm ẩn.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Phân tích tấn công Web3 nửa đầu năm 2022: Thiệt hại do lỗ hổng 644 triệu USD, logic hợp đồng là điểm đột phá chính.
Phân tích các phương thức tấn công thường gặp trong lĩnh vực Web3 nửa đầu năm 2022
Trong nửa đầu năm 2022, tình hình an ninh trong lĩnh vực Web3 vẫn rất nghiêm trọng. Bài viết này sẽ phân tích sâu về các phương thức tấn công phổ biến trong giai đoạn này, khám phá tần suất và các biện pháp phòng ngừa.
Tổng quan về thiệt hại do lỗ hổng gây ra
Theo dữ liệu từ nền tảng giám sát an ninh blockchain, trong nửa đầu năm 2022 đã xảy ra 42 sự kiện tấn công lỗ hổng hợp đồng chính, chiếm khoảng 53% tổng số sự kiện tấn công. Tổng thiệt hại do những cuộc tấn công này lên tới 644 triệu đô la.
Trong tất cả các lỗ hổng được khai thác, lỗ hổng thiết kế logic hoặc hàm là loại lỗ hổng mà hacker thường khai thác nhất, tiếp theo là vấn đề xác thực và lỗ hổng tái nhập.
Phân tích sự kiện tổn thất lớn
Sự cố tấn công cầu chuỗi Wormhole
Vào ngày 3 tháng 2 năm 2022, dự án cầu nối đa chuỗi Wormhole trong hệ sinh thái Solana đã bị tấn công, thiệt hại khoảng 326 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng xác thực chữ ký trong hợp đồng để làm giả tài khoản hệ thống và đúc một lượng lớn wETH.
Sự kiện tấn công Fei Protocol
Vào ngày 30 tháng 4 năm 2022, Rari Fuse Pool thuộc Fei Protocol đã bị tấn công bằng vay nhanh và tấn công tái nhập, gây thiệt hại 80.34 triệu đô la. Cuộc tấn công này đã gây ra một cú sốc chí mạng cho dự án, cuối cùng dẫn đến việc dự án tuyên bố đóng cửa vào ngày 20 tháng 8.
Kẻ tấn công chủ yếu đã khai thác lỗ hổng tái nhập có trong hợp đồng cEther của Rari Capital. Quy trình tấn công như sau:
Các loại lỗ hổng phổ biến trong kiểm toán
Khai thác lỗ hổng trong tấn công thực tế
Theo dữ liệu giám sát an ninh, các loại lỗ hổng được phát hiện trong quá trình kiểm toán hầu như đều đã bị khai thác trong các cuộc tấn công thực tế, trong đó lỗ hổng logic hợp đồng vẫn là phương thức tấn công chính.
Cần lưu ý rằng, thông qua nền tảng xác thực hợp đồng thông minh chuyên nghiệp và sự kiểm tra thủ công của các chuyên gia an ninh, hầu hết các lỗ hổng này có thể được phát hiện và khắc phục trước khi dự án được ra mắt. Do đó, việc tiến hành kiểm toán an ninh toàn diện là rất quan trọng để phòng ngừa các cuộc tấn công tiềm ẩn.