Análisis de ataques de vulnerabilidad en el ecosistema Web3 en la primera mitad de 2022: pérdidas de 644 millones de dólares, explicación de estrategias de prevención
Análisis de las técnicas de ataque en el ecosistema Web3: Estrategias comunes de los Hacker y medidas de prevención en la primera mitad de 2022
En la primera mitad de 2022, el ecosistema Web3 enfrentó múltiples incidentes de seguridad importantes. Este artículo analizará en profundidad los métodos de ataque más utilizados por los hackers durante este período, explorará qué vulnerabilidades causaron grandes pérdidas y cómo prevenir eficazmente estos riesgos en las etapas de desarrollo y auditoría de proyectos.
Pérdidas totales causadas por ataques de vulnerabilidad
Los datos muestran que en la primera mitad de 2022 ocurrieron 42 incidentes principales de ataques a contratos, lo que representa aproximadamente el 53% de todos los métodos de ataque. Estos ataques causaron pérdidas totales de 644 millones de dólares. Entre las vulnerabilidades utilizadas, los defectos de diseño lógico o de funciones son el objetivo más comúnmente explotado por los hackers, seguidos de problemas de validación y vulnerabilidades de reentrada.
Casos típicos que causaron pérdidas significativas
Incidente de ataque del puente cruzado Wormhole
El 3 de febrero de 2022, el proyecto de puente跨链 de Solana, Wormhole, sufrió un ataque, con pérdidas que alcanzaron los 326 millones de dólares. El hacker aprovechó una vulnerabilidad en la verificación de firmas del contrato para falsificar con éxito las cuentas del sistema y acuñar wETH.
El Protocolo Fei fue atacado por un préstamo relámpago.
El 30 de abril de 2022, el Rari Fuse Pool de Fei Protocol sufrió un ataque de préstamo relámpago combinado con una reentrada, causando pérdidas de 80.34 millones de dólares. Este ataque tuvo un impacto devastador en el proyecto, lo que finalmente llevó a la clausura del mismo el 20 de agosto.
Los atacantes utilizaron principalmente los siguientes pasos:
Obtener un préstamo relámpago de Balancer: Vault
Utilizar préstamos para realizar préstamos colateralizados en Rari Capital, al mismo tiempo que se utiliza cEther para aprovechar la vulnerabilidad de reentrada en el contrato.
Extraer todos los tokens del pool afectado mediante el ataque a funciones específicas en el contrato.
Devolver el préstamo relámpago y transferir las ganancias al contrato designado
Tipos comunes de vulnerabilidades durante el proceso de auditoría
Ataque de reentrada ERC721/ERC1155: Al usar las funciones de acuñación o transferencia de estos estándares, puede activarse código malicioso que provoca un ataque de reentrada.
Vulnerabilidades lógicas:
Consideraciones insuficientes para escenarios especiales, como resultados inesperados derivados de transferencias internas.
El diseño de la funcionalidad no está completo, por ejemplo, falta un mecanismo de extracción o liquidación.
Falta de autenticación: funciones clave como la acuñación, configuración de roles, etc., carecen de un control de permisos adecuado.
Manipulación de precios:
Precio medio ponderado por el tiempo no utilizado
Usar directamente la proporción del saldo de tokens en el contrato como base de precio
Vulnerabilidades realmente explotadas y su prevención
Según las estadísticas, casi todos los tipos de vulnerabilidades descubiertas durante el proceso de auditoría han sido explotadas por hackers en escenarios reales, siendo las vulnerabilidades lógicas de los contratos el principal objetivo de ataque.
Es importante notar que la mayoría de estas vulnerabilidades se pueden detectar en la fase de auditoría del proyecto mediante plataformas de verificación formal de contratos inteligentes y la detección manual de expertos en seguridad. Los expertos en seguridad pueden proporcionar recomendaciones específicas de reparación para los problemas encontrados, ayudando al equipo del proyecto a mejorar la seguridad del contrato.
En general, con el rápido desarrollo del ecosistema Web3, los problemas de seguridad se han vuelto cada vez más prominentes. Los equipos de proyecto deben dar importancia al trabajo de auditoría de contratos, utilizar herramientas y métodos de detección avanzados, y combinar las recomendaciones de equipos de seguridad profesionales para mejorar integralmente la capacidad de protección de seguridad del proyecto. Al mismo tiempo, es fundamental mantenerse al tanto de las nuevas técnicas de ataque y tipos de vulnerabilidades que surgen, y actualizar las estrategias de seguridad a tiempo para mantener la competitividad en este campo lleno de desafíos.
Ver originales
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
13 me gusta
Recompensa
13
4
Compartir
Comentar
0/400
DegenRecoveryGroup
· 07-06 14:56
Ser engañados hasta que las manos se cansen.
Ver originalesResponder0
consensus_whisperer
· 07-06 14:43
Es realmente mortal, vender un puente cross-chain y que te roben varios cientos de millones.
Ver originalesResponder0
TokenToaster
· 07-06 14:41
艹 Ahora los hackers son demasiado buenos
Ver originalesResponder0
WalletInspector
· 07-06 14:38
Perdiste, perdiste. ¿Quién te mandó a jugar cross-chain?
Análisis de ataques de vulnerabilidad en el ecosistema Web3 en la primera mitad de 2022: pérdidas de 644 millones de dólares, explicación de estrategias de prevención
Análisis de las técnicas de ataque en el ecosistema Web3: Estrategias comunes de los Hacker y medidas de prevención en la primera mitad de 2022
En la primera mitad de 2022, el ecosistema Web3 enfrentó múltiples incidentes de seguridad importantes. Este artículo analizará en profundidad los métodos de ataque más utilizados por los hackers durante este período, explorará qué vulnerabilidades causaron grandes pérdidas y cómo prevenir eficazmente estos riesgos en las etapas de desarrollo y auditoría de proyectos.
Pérdidas totales causadas por ataques de vulnerabilidad
Los datos muestran que en la primera mitad de 2022 ocurrieron 42 incidentes principales de ataques a contratos, lo que representa aproximadamente el 53% de todos los métodos de ataque. Estos ataques causaron pérdidas totales de 644 millones de dólares. Entre las vulnerabilidades utilizadas, los defectos de diseño lógico o de funciones son el objetivo más comúnmente explotado por los hackers, seguidos de problemas de validación y vulnerabilidades de reentrada.
Casos típicos que causaron pérdidas significativas
Incidente de ataque del puente cruzado Wormhole
El 3 de febrero de 2022, el proyecto de puente跨链 de Solana, Wormhole, sufrió un ataque, con pérdidas que alcanzaron los 326 millones de dólares. El hacker aprovechó una vulnerabilidad en la verificación de firmas del contrato para falsificar con éxito las cuentas del sistema y acuñar wETH.
El Protocolo Fei fue atacado por un préstamo relámpago.
El 30 de abril de 2022, el Rari Fuse Pool de Fei Protocol sufrió un ataque de préstamo relámpago combinado con una reentrada, causando pérdidas de 80.34 millones de dólares. Este ataque tuvo un impacto devastador en el proyecto, lo que finalmente llevó a la clausura del mismo el 20 de agosto.
Los atacantes utilizaron principalmente los siguientes pasos:
Tipos comunes de vulnerabilidades durante el proceso de auditoría
Ataque de reentrada ERC721/ERC1155: Al usar las funciones de acuñación o transferencia de estos estándares, puede activarse código malicioso que provoca un ataque de reentrada.
Vulnerabilidades lógicas:
Falta de autenticación: funciones clave como la acuñación, configuración de roles, etc., carecen de un control de permisos adecuado.
Manipulación de precios:
Vulnerabilidades realmente explotadas y su prevención
Según las estadísticas, casi todos los tipos de vulnerabilidades descubiertas durante el proceso de auditoría han sido explotadas por hackers en escenarios reales, siendo las vulnerabilidades lógicas de los contratos el principal objetivo de ataque.
Es importante notar que la mayoría de estas vulnerabilidades se pueden detectar en la fase de auditoría del proyecto mediante plataformas de verificación formal de contratos inteligentes y la detección manual de expertos en seguridad. Los expertos en seguridad pueden proporcionar recomendaciones específicas de reparación para los problemas encontrados, ayudando al equipo del proyecto a mejorar la seguridad del contrato.
En general, con el rápido desarrollo del ecosistema Web3, los problemas de seguridad se han vuelto cada vez más prominentes. Los equipos de proyecto deben dar importancia al trabajo de auditoría de contratos, utilizar herramientas y métodos de detección avanzados, y combinar las recomendaciones de equipos de seguridad profesionales para mejorar integralmente la capacidad de protección de seguridad del proyecto. Al mismo tiempo, es fundamental mantenerse al tanto de las nuevas técnicas de ataque y tipos de vulnerabilidades que surgen, y actualizar las estrategias de seguridad a tiempo para mantener la competitividad en este campo lleno de desafíos.