Análisis de las técnicas de ataque de hackers en el ámbito de Web3 en la primera mitad de 2022

En la primera mitad de 2022, el campo de Web3 experimentó varios eventos de seguridad importantes. Según las estadísticas, hubo un total de 42 casos principales de ataques debido a vulnerabilidades en contratos inteligentes, causando pérdidas totales de hasta 640 millones de dólares. De estos ataques, aproximadamente el 53% aprovecharon las vulnerabilidades de los contratos.

Entre todas las vulnerabilidades explotadas, las deficiencias de diseño lógico o de funciones son los métodos de ataque más utilizados por los Hackers, seguidos de problemas de validación y vulnerabilidades de reentrada. Estas vulnerabilidades no solo ocurren con frecuencia, sino que también provocan enormes pérdidas.

Revisión de eventos de seguridad significativos

En febrero de 2022, un proyecto de puente entre cadenas sufrió un ataque, con pérdidas de aproximadamente 326 millones de dólares. El Hacker aprovechó una vulnerabilidad en la verificación de firmas del contrato para falsificar cuentas y acuñar activos.

A finales de abril, un protocolo de préstamos sufrió un ataque de préstamo relámpago combinado con un ataque de reentrada, con pérdidas que superan los 80 millones de dólares. Este ataque causó un golpe mortal al proyecto, lo que finalmente llevó al cierre del mismo.

El atacante lleva a cabo el ataque a través de los siguientes pasos:

1. Obtener un préstamo relámpago de un protocolo de agregación
2. Realizar operaciones de préstamo aprovechando la vulnerabilidad de reentrada del protocolo objetivo
3. A través de la función de ataque construida, despojar de activos al fondo afectado.
4. Devolver el préstamo relámpago, transferir las ganancias

Tipos comunes de vulnerabilidades

Las vulnerabilidades más comunes en la auditoría de contratos inteligentes se dividen principalmente en cuatro categorías:

1. Ataques de reentrada ERC721/ERC1155: Inyectar código malicioso en la función de notificación de transferencia, combinando con una lógica de negocio inadecuada para lograr la reentrada.

2. Fallo lógico:
   • Consideraciones insuficientes en escenarios especiales, como el aumento de activos debido a transferencias internas.
   • El diseño de la funcionalidad no está completo, como la falta de la implementación de funciones clave.

3. Falta de control de acceso: las funciones clave (como la acuñación y la configuración de roles) carecen de una verificación de permisos efectiva.

4. Manipulación de precios:
   • Uso inadecuado del oráculo, no se utilizó el precio promedio ponderado por tiempo
   • Utilizar directamente la proporción del saldo interno del contrato como base para el precio

Sugerencias para la prevención de vulnerabilidades

Para prevenir estas vulnerabilidades, el equipo del proyecto debe:

1. Seguir estrictamente el modelo de desarrollo seguro de "inspección-efectividad-interacción"
2. Considerar de manera integral diversos escenarios de frontera y mejorar el diseño de funciones.
3. Implementar un mecanismo de gestión de permisos estricto
4. Utilizar oráculos de precios confiables y hacer un uso razonable del precio promedio ponderado por tiempo

Además, es crucial realizar auditorías profesionales de contratos inteligentes. Al combinar herramientas automatizadas con revisiones manuales de expertos, se pueden identificar y corregir la mayoría de las vulnerabilidades potenciales antes de que el proyecto se lance, lo que mejora significativamente la seguridad del contrato.