Phân tích các phương pháp tấn công Hacker Web3: Các hình thức tấn công phổ biến trong nửa đầu năm 2022 và chiến lược phòng ngừa

Trong nửa đầu năm 2022, tình hình an ninh trong lĩnh vực Web3 không mấy khả quan. Dữ liệu cho thấy chỉ riêng do lỗ hổng hợp đồng đã gây ra 42 sự kiện tấn công lớn, tổng thiệt hại lên tới 644 triệu USD. Trong số các cuộc tấn công này, lỗi thiết kế logic hoặc hàm là lỗ hổng thường được Hacker khai thác nhất, tiếp theo là vấn đề xác thực và lỗ hổng tái nhập.

Tổng quan về sự kiện tổn thất lớn

Vào ngày 3 tháng 2, một dự án cầu nối đa chuỗi đã bị tấn công, thiệt hại khoảng 3,26 triệu USD. Hacker đã lợi dụng lỗ hổng xác thực chữ ký trong hợp đồng, thành công trong việc giả mạo tài khoản để đúc token.

Vào ngày 30 tháng 4, một giao thức cho vay đã bị tấn công bằng vay chớp nhoáng và tấn công tái nhập, gây thiệt hại 80,34 triệu USD. Cuộc tấn công này đã gây ra một đòn chí mạng cho dự án, cuối cùng dẫn đến việc dự án thông báo đóng cửa vào ngày 20 tháng 8.

Phân tích trường hợp tấn công

Lấy ví dụ về cuộc tấn công vào giao thức cho vay trên, kẻ tấn công chủ yếu đã lợi dụng các bước sau:

1. Thực hiện vay chớp nhoáng từ một quỹ tài chính
2. Sử dụng lỗ hổng tái nhập hợp đồng của nền tảng cho vay để thế chấp vay
3. Thông qua hàm tấn công được xây dựng, trích xuất tất cả token trong pool.
4. Hoàn trả khoản vay chớp nhoáng, chuyển lợi nhuận

Cuộc tấn công lần này chủ yếu khai thác lỗ hổng tái nhập trong hợp đồng của một nền tảng cho vay, gây ra thiệt hại hơn 28380ETH (khoảng 8034 triệu USD).

Các loại lỗ hổng phổ biến

Các lỗ hổng phổ biến nhất trong quá trình kiểm toán có thể được chia thành bốn loại lớn:

1. Tấn công tái nhập ERC721/ERC1155
2. Lỗ hổng logic (Thiếu sót trong việc xem xét các tình huống đặc biệt, thiết kế chức năng không hoàn thiện)
3. Thiếu xác thực
4. Kiểm soát giá

Lỗ hổng thực tế đã bị khai thác và phát hiện trong kiểm toán

Trong các cuộc tấn công thực tế, lỗ hổng logic trong hợp đồng vẫn là loại được khai thác chủ yếu. Cần lưu ý rằng hầu hết các lỗ hổng này có thể được phát hiện trong giai đoạn kiểm toán thông qua nền tảng xác minh hình thức hợp đồng thông minh và kiểm tra bằng tay của các chuyên gia.

Đề xuất phòng ngừa

1. Tăng cường thiết kế logic hợp đồng, đặc biệt chú ý đến xử lý các tình huống đặc biệt
2. Tuân thủ nghiêm ngặt mô hình kiểm tra - có hiệu lực - tương tác, ngăn chặn tấn công tái nhập.
3. Hoàn thiện cơ chế xác thực, đặc biệt là kiểm soát truy cập đến các chức năng quan trọng
4. Sử dụng oracle giá cả đáng tin cậy, tránh thao túng giá
5. Thực hiện kiểm tra an ninh định kỳ, kịp thời khắc phục các lỗ hổng phát hiện.

Bằng cách liên tục theo dõi tình hình an ninh và thực hiện các biện pháp bảo vệ toàn diện, các dự án Web3 có thể nâng cao đáng kể tính an toàn và giảm thiểu rủi ro bị tấn công.