Analisis Metode Serangan Hacker di Bidang Web3 Pada Paruh Pertama Tahun 2022
Pada paruh pertama tahun 2022, bidang Web3 mengalami beberapa insiden keamanan besar yang mengakibatkan kerugian besar. Artikel ini akan menganalisis secara mendalam teknik serangan yang umum digunakan oleh Hacker selama periode ini, dengan harapan dapat memberikan referensi pencegahan keamanan bagi industri.
Gambaran Umum Exploit
Menurut data dari platform pemantauan keamanan blockchain tertentu, terjadi 42 insiden serangan kerentanan kontrak utama pada paruh pertama tahun 2022, yang menyumbang 53% dari semua jenis serangan. Serangan ini menyebabkan kerugian sekitar 6,44 juta dolar AS.
Di antara semua celah yang dimanfaatkan, cacat desain logika atau fungsi adalah target yang paling sering dimanfaatkan oleh Hacker, diikuti oleh masalah validasi dan celah reentrasi.
Analisis Kasus Kerugian Besar
Peristiwa serangan jembatan lintas rantai Wormhole
Pada 3 Februari 2022, sebuah proyek jembatan lintas rantai diserang, dengan kerugian mencapai 326 juta dolar AS. Hacker memanfaatkan celah verifikasi tanda tangan dalam kontrak proyek tersebut untuk berhasil memalsukan akun sistem dan mencetak sejumlah besar token.
Fei Protocol mengalami serangan pinjaman kilat
Pada 30 April 2022, kolam dana dari suatu protokol pinjaman mengalami serangan kombinasi pinjaman kilat dan reentrancy, mengakibatkan kerugian sebesar 80,34 juta dolar AS. Serangan ini memberikan dampak fatal pada proyek tersebut, yang akhirnya mengumumkan penutupan pada 20 Agustus.
Penyerang pertama-tama melakukan pinjaman kilat dari suatu kolam dana, kemudian memanfaatkan kerentanan reentrancy yang ada di platform pinjaman, melalui fungsi serangan yang dibangun untuk memanggil kembali, berhasil mengekstrak semua token dari kolam dana yang terpengaruh. Akhirnya, pinjaman kilat dikembalikan, dan keuntungan dipindahkan ke kontrak yang ditentukan.
Jenis Kerentanan Umum
Serangan reentrancy ERC721/ERC1155: Memanfaatkan fungsi pemberitahuan transfer dalam standar token untuk melakukan serangan reentrancy.
Celah logika:
Pertimbangan yang tidak lengkap dalam situasi khusus, seperti mentransfer uang kepada diri sendiri yang mengakibatkan sesuatu yang tidak ada.
Desain fungsional tidak lengkap, seperti kurangnya mekanisme penarikan atau penyelesaian.
Kerentanan manajemen izin: Fitur kunci seperti pencetakan koin, pengaturan peran, dll. kurang kontrol izin yang efektif.
Manipulasi harga:
Oracle harga rata-rata tertimbang waktu yang tidak digunakan.
Menggunakan proporsi saldo token dalam kontrak secara langsung sebagai dasar harga.
Pencegahan Audit
Kebanyakan kerentanan di atas dapat ditemukan sebelum proyek diluncurkan dengan menggunakan platform verifikasi formal kontrak pintar yang profesional bersama dengan audit manual dari para ahli keamanan. Disarankan agar pihak proyek memperhatikan audit keamanan dan segera memperbaiki potensi risiko berdasarkan saran dari para ahli.
Dengan memperkuat desain logika kontrak, menyempurnakan manajemen hak akses, dan mengoptimalkan mekanisme harga serta langkah-langkah keamanan lainnya, risiko serangan dapat dikurangi secara efektif. Pada saat yang sama, pemantauan keamanan yang berkelanjutan dan perbaikan kerentanan yang tepat waktu juga merupakan kunci untuk memastikan operasi proyek yang aman dalam jangka panjang.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
14 Suka
Hadiah
14
3
Bagikan
Komentar
0/400
TokenAlchemist
· 13jam yang lalu
smh... sekali lagi vektor transisi status yang dioptimalkan dengan buruk. 644m dalam eksploitasi? amatir yang menulis kontrak ini perlu mempelajari mekanika MEV fr
Lihat AsliBalas0
SmartMoneyWallet
· 08-02 16:12
Uang yang hilang oleh investor ritel ini pergi ke mana? 6,4 miliar?
Lihat AsliBalas0
TokenomicsTrapper
· 08-02 16:09
disebut saja - bridge benar-benar hanya honeypot yang menunggu untuk di-rekt... klasik 2022 L jujur saja
Analisis Serangan Hacker di Bidang Web3 Paruh Pertama 2022: Kerentanan Kontrak Menjadi Target Utama
Analisis Metode Serangan Hacker di Bidang Web3 Pada Paruh Pertama Tahun 2022
Pada paruh pertama tahun 2022, bidang Web3 mengalami beberapa insiden keamanan besar yang mengakibatkan kerugian besar. Artikel ini akan menganalisis secara mendalam teknik serangan yang umum digunakan oleh Hacker selama periode ini, dengan harapan dapat memberikan referensi pencegahan keamanan bagi industri.
Gambaran Umum Exploit
Menurut data dari platform pemantauan keamanan blockchain tertentu, terjadi 42 insiden serangan kerentanan kontrak utama pada paruh pertama tahun 2022, yang menyumbang 53% dari semua jenis serangan. Serangan ini menyebabkan kerugian sekitar 6,44 juta dolar AS.
Di antara semua celah yang dimanfaatkan, cacat desain logika atau fungsi adalah target yang paling sering dimanfaatkan oleh Hacker, diikuti oleh masalah validasi dan celah reentrasi.
Analisis Kasus Kerugian Besar
Peristiwa serangan jembatan lintas rantai Wormhole
Pada 3 Februari 2022, sebuah proyek jembatan lintas rantai diserang, dengan kerugian mencapai 326 juta dolar AS. Hacker memanfaatkan celah verifikasi tanda tangan dalam kontrak proyek tersebut untuk berhasil memalsukan akun sistem dan mencetak sejumlah besar token.
Fei Protocol mengalami serangan pinjaman kilat
Pada 30 April 2022, kolam dana dari suatu protokol pinjaman mengalami serangan kombinasi pinjaman kilat dan reentrancy, mengakibatkan kerugian sebesar 80,34 juta dolar AS. Serangan ini memberikan dampak fatal pada proyek tersebut, yang akhirnya mengumumkan penutupan pada 20 Agustus.
Penyerang pertama-tama melakukan pinjaman kilat dari suatu kolam dana, kemudian memanfaatkan kerentanan reentrancy yang ada di platform pinjaman, melalui fungsi serangan yang dibangun untuk memanggil kembali, berhasil mengekstrak semua token dari kolam dana yang terpengaruh. Akhirnya, pinjaman kilat dikembalikan, dan keuntungan dipindahkan ke kontrak yang ditentukan.
Jenis Kerentanan Umum
Pencegahan Audit
Kebanyakan kerentanan di atas dapat ditemukan sebelum proyek diluncurkan dengan menggunakan platform verifikasi formal kontrak pintar yang profesional bersama dengan audit manual dari para ahli keamanan. Disarankan agar pihak proyek memperhatikan audit keamanan dan segera memperbaiki potensi risiko berdasarkan saran dari para ahli.
Dengan memperkuat desain logika kontrak, menyempurnakan manajemen hak akses, dan mengoptimalkan mekanisme harga serta langkah-langkah keamanan lainnya, risiko serangan dapat dikurangi secara efektif. Pada saat yang sama, pemantauan keamanan yang berkelanjutan dan perbaikan kerentanan yang tepat waktu juga merupakan kunci untuk memastikan operasi proyek yang aman dalam jangka panjang.