Analisis Metode Serangan Hacker di Bidang Web3 Paruh Pertama 2022

Pada paruh pertama tahun 2022, bidang Web3 mengalami beberapa insiden keamanan besar. Menurut statistik, terdapat 42 kasus serangan utama yang disebabkan oleh kerentanan kontrak pintar, yang mengakibatkan total kerugian mencapai 640 juta dolar AS. Dari serangan ini, sekitar 53% memanfaatkan kerentanan kontrak.

Di antara semua celah yang dieksploitasi, cacat desain logika atau fungsi adalah metode serangan yang paling umum digunakan oleh Hacker, diikuti oleh masalah verifikasi dan celah reentrancy. Celah-celah ini tidak hanya sering muncul, tetapi juga menyebabkan kerugian besar.

Tinjauan Kejadian Keamanan Besar

Pada bulan Februari 2022, sebuah proyek jembatan lintas rantai mengalami serangan, dengan kerugian sekitar 3,26 juta dolar AS. Hacker memanfaatkan celah verifikasi tanda tangan dalam kontrak untuk memalsukan akun dan mencetak aset.

Pada akhir April, sebuah protokol pinjaman mengalami serangan reentrancy yang dipadukan dengan pinjaman kilat, mengakibatkan kerugian lebih dari 80 juta dolar AS. Serangan ini memberikan pukulan fatal bagi proyek tersebut, yang akhirnya mengakibatkan penutupan proyek.

Penyerang melakukan serangan melalui langkah-langkah berikut:

1. Dapatkan pinjaman kilat dari protokol agregasi tertentu
2. Menggunakan kerentanan reentrancy pada protokol target untuk melakukan operasi pinjaman
3. Menggunakan fungsi serangan yang dibangun untuk menguras aset di dalam kolam yang terpengaruh.
4. Mengembalikan pinjaman kilat, memindahkan keuntungan

Jenis Kerentanan Umum

Kerentanan yang paling umum dalam audit kontrak pintar dibagi menjadi empat kategori:

1. Serangan reentrancy ERC721/ERC1155: Menyisipkan kode jahat dalam fungsi pemberitahuan transfer, dikombinasikan dengan logika bisnis yang tidak tepat untuk mencapai reentrancy.

2. Celah logika:
   • Pertimbangan kurang pada skenario khusus, seperti transfer antar akun yang menyebabkan peningkatan aset secara tiba-tiba
   • Desain fungsional tidak lengkap, seperti kurangnya implementasi fungsi operasi kunci

3. Kekurangan kontrol akses: Fungsi kunci (seperti pencetakan koin, pengaturan peran) kekurangan verifikasi akses yang efektif

4. Manipulasi Harga:
   • Penggunaan oracle yang tidak tepat, tidak menggunakan harga rata-rata tertimbang waktu
   • Menggunakan rasio saldo internal kontrak secara langsung sebagai dasar harga

Saran Pencegahan Kerentanan

Untuk mencegah celah ini, pihak proyek harus:

1. Mematuhi secara ketat model pengembangan keamanan "Pemeriksaan-efektif-interaksi"
2. Mempertimbangkan berbagai skenario batas secara menyeluruh, menyempurnakan desain fungsional.
3. Menerapkan mekanisme manajemen hak akses yang ketat
4. Menggunakan oracle harga yang andal dan menggunakan harga rata-rata tertimbang berdasarkan waktu dengan bijak

Selain itu, melakukan audit kontrak pintar yang profesional sangat penting. Dengan menggabungkan alat otomatis dan tinjauan manual dari para ahli, sebagian besar kerentanan potensial dapat ditemukan dan diperbaiki sebelum proyek diluncurkan, secara signifikan meningkatkan keamanan kontrak.