Análise das Técnicas de Ataque de Hacker no Setor Web3 no Primeiro Semestre de 2022

No primeiro semestre de 2022, o setor Web3 teve vários incidentes de segurança significativos. De acordo com estatísticas, houve 42 casos principais de ataques devido a vulnerabilidades de contratos inteligentes, resultando em perdas totais de até 640 milhões de dólares. Desses ataques, cerca de 53% exploraram vulnerabilidades de contratos.

Entre todas as vulnerabilidades exploradas, falhas de design lógicas ou de função são os meios de ataque mais frequentemente utilizados pelos hackers, seguidos por problemas de validação e vulnerabilidades de reentrada. Essas vulnerabilidades não apenas ocorrem com frequência, mas também resultam em grandes perdas.

Revisão de Eventos de Segurança Importantes

Em fevereiro de 2022, um projeto de ponte cross-chain foi atacado, resultando em uma perda de cerca de 326 milhões de dólares. O Hacker explorou uma vulnerabilidade na verificação de assinatura do contrato para falsificar contas e cunhar ativos.

No final de abril, um protocolo de empréstimo sofreu um ataque de empréstimo relâmpago combinado com um ataque de reentrada, resultando em perdas superiores a 80 milhões de dólares. Este ataque causou um golpe fatal ao projeto, levando à sua eventual encerramento.

O atacante realiza o ataque através dos seguintes passos:

1. Obter um empréstimo relâmpago de um protocolo de agregação
2. Realizar operações de empréstimo utilizando a vulnerabilidade de reentrância do protocolo alvo
3. Através da função de ataque construída como um callback, drenar os ativos do pool afetado.
4. Devolução do empréstimo relâmpago, transferência dos lucros

Tipos Comuns de Vulnerabilidades

As vulnerabilidades mais comuns em auditorias de contratos inteligentes dividem-se em quatro categorias:

1. Ataque de reentrada ERC721/ERC1155: Injetar código malicioso na função de notificação de transferência, em conjunto com lógica de negócios inadequada para realizar reentrada.

2. Falha lógica:
   • Consideração insuficiente para cenários especiais, como a auto-transferência que leva ao aumento do ativo do nada.
   • O design da funcionalidade não é completo, como a falta de implementação de funções de operações essenciais

3. Falta de controle de permissões: funcionalidades chave (como cunhagem, configuração de papéis) carecem de validação eficaz de permissões.

4. Manipulação de preços:
   • Uso indevido do oráculo, não adotou o preço médio ponderado pelo tempo
   • Utilizar diretamente a proporção do saldo interno do contrato como base para o preço

Sugestões para Prevenção de Vulnerabilidades

Para prevenir essas vulnerabilidades, a equipe do projeto deve:

1. Seguir rigorosamente o modo de desenvolvimento seguro "verificação-efetivação-interação"
2. Considerar todos os cenários de fronteira e aprimorar o design funcional.
3. Implementar um mecanismo rigoroso de gestão de permissões
4. Utilize oráculos de preço confiáveis e use de forma razoável o preço médio ponderado pelo tempo

Além disso, a realização de auditorias profissionais de contratos inteligentes é crucial. Ao combinar ferramentas automatizadas com revisões manuais de especialistas, é possível identificar e corrigir a maioria das vulnerabilidades potenciais antes do lançamento do projeto, melhorando significativamente a segurança do contrato.