拆解「匿名者」套路：2022上半年Web3黑客常用的攻擊方式有哪些？_WEB

在剛剛發布的《2022年上半年Web3安全態勢深度研報》中，我們已經從各個維度展示和分析了區塊鏈安全領域的總體態勢，包括總損失金額、被攻擊項目類型、各鏈平臺損失金額、攻擊手法、資金流向、項目審計情況等。

今天，我們就2022上半年Web3黑客常用的攻擊方式展開分析，看看在所有被利用的漏洞中，哪些頻率最高，以及如何防范。

一、上半年因漏洞造成的總損失有多少？

據成都鏈安鷹眼區塊鏈態勢感知平臺監控顯示，2022上半年共監測到因合約漏洞造成的主要攻擊案例42次，約53%的攻擊方式為合約漏洞利用。

通過統計，2022上半年共監測到因合約漏洞造成的主要攻擊案例42次，總損失達到了6億4404萬美元。

西班牙銀行A&G將推出加密投資基金，CACEIS擔任托管方:7月25日消息，西班牙私人銀行A&G將在向監管機構國家證券市場委員會（CNMV）注冊后推出一款加密投資基金產品。據稱，這將是西班牙首個此類基金。

該銀行表示，投資者對加密貨幣投資表現出“極大的興趣”，加密投資“可以通過更安全、更受監管的投資產品，實現更有效的風險管理和控制。”A&G還稱，“受監管專業人士參與”的基金對加密貨幣投資者來說是一個安全的選擇。

另一家銀行CACEIS將擔任該基金的托管方，而普華永道將擔任其審計機構。據悉，CACEIS銀行是歐洲銀行業巨頭Crédit Agricole和桑坦德銀行的聯合資產服務部門。[2023/7/25 15:57:28]

在所有被利用的漏洞中，邏輯或函數設計不當被黑客利用次數最多，其次為驗證問題、重入漏洞。

阿聯酋自由區 RAK DAO 將探索運營比特幣全節點和閃電節點:金色財經報道，迪拜加密律師 Irina Heaver 稱，一旦 Ras AI Khaimah Digital Assets Oasis（RAK DAO）找到合適的合作伙伴，它將探索通過比特幣和其他穩定幣等加密支付用戶企業注冊、辦公室租金和其他服務，RAK DAO 還將探索運營比特幣全節點和閃電節點，以支持加密支付計劃。

RAK DAO 是一個新的元宇宙、區塊鏈、實用代幣、數字錢包、NFT、DAO、DApp 和其他 Web3 相關服務的數字和虛擬資產服務提供商的專用自由區，將促進受監管和不受監管的活動。[2023/3/3 12:40:48]

Solana跨鏈橋項目Wormhole遭到攻擊，累計損失約3.26億美元。黑客利用了Wormhole合約中的簽名驗證漏洞，這個漏洞允許黑客偽造sysvar帳戶來鑄造wETH。

國際足聯宣布授權推出四款世界杯主題Web3游戲:11月13日，據國際足聯（FIFA）官方網站消息，FIFA 已授權推出一系列新 Web 3.0 游戲，以在 2022 年卡塔爾世界杯 之前娛樂和吸引更廣泛的球迷。據悉，本次推出的 Web3 游戲共計四款，分別為：元宇宙游戲 Uplandme、比賽預測游戲 Matchday、球迷粉絲中心 Phygtl 和 4 對 4 休閑足球游戲 Altered State Machine。FIFA 表示所有這些游戲都是為 Web 3.0 和數字參與的未來而設計的，游戲和電子競技是 FIFA 增長最快的機會之一，FIFA 正在拓展到新的數字空間、平臺和游戲。[2022/11/14 13:00:09]

2022年4月30日，FeiProtocol官方的RariFusePool遭受閃電貸加重入攻擊，總共造成了8034萬美元的損失。本次攻擊對項目方造成了無法挽回的損失，8月20號，官方表示項目正式關閉了。

阿聯酋經濟部在元宇宙開設新總部:9月29日消息，據報道，阿聯酋經濟部在元宇宙開設新總部，它是在迪拜和阿布扎比辦公室的“數字孿生體”，人們可以通過他們的化身舉行會議、建立網絡甚至簽署具有法律約束力的協議文件。該總部每棟建筑都有不同的用途，參觀者將能夠拿到一張虛擬門票，員工可加入元宇宙并與游客互動。（gulfnews）[2022/9/29 22:39:59]

FeiProtocol事件回顧：

由于漏洞出現在項目基本協議中，攻擊者不止攻擊了一個合約，以下僅分析一例。

攻擊交易

0xab486012f21be741c9e674ffda227e30518e8a1e37a5f1d58d0b0d41f6e76530

攻擊者地址

0x6162759edad730152f0df8115c698a42e666157f

攻擊合約

0x32075bad9050d4767018084f0cb87b3182d36c45

被攻擊合約

0x26267e41CeCa7C8E0f143554Af707336f27Fa051

Balancer:Vault中進行閃電貸。

2.將閃電貸的資金用于RariCapital中進行抵押借貸，由于RariCapital的cEther實現合約存在重入。

攻擊者通過攻擊合約中構造的攻擊函數回調，提取出受協議影響的池子中所有的代幣。

3.歸還閃電貸，將攻擊所得發送到0xe39f合約中

本次攻擊主要利用了RariCapital的cEther實現合約中的重入漏洞，被盜資金超過28380?ETH。

擴展閱讀：“重入漏洞”如何破？損失約8034萬美元，FeiProtocol被攻擊事件分析

1.ERC721/ERC1155重入攻擊

在通過鏈必驗形式化驗證平臺檢測合約時不乏存在ERC721/ERC1155標準相關的業務合約，在ERC721中，ERC1155中存在分別存在一個onERC721Received()/onERC1155Received函數用于轉賬通知，類似于以太坊轉賬的fallback()函數，在相關的業務合約中使用ERC721/ERC1155標準中的_safeMint(),_safeTransfer(),safeTransferFrom()進行鑄幣或者轉賬時都會觸發轉賬通知函數。如果在轉賬的目標合約中的onERC721Received()/onERC1155Received中包含了惡意代碼，就可能形成重入攻擊。除此之外在相關業務函數未嚴格按照檢查-生效-交互模式設計，上述兩點共同導致了漏洞的產生。

3.鑒權缺失

鑄幣、設置合約特殊角色、設置合約參數的相關函數沒有鑒權，導致三方地址也可以調用。

四、實際被利用的漏洞有哪些？哪些漏洞能在審計階段發現？

根據成都鏈安鷹眼區塊鏈安全態勢感知平臺所感知的安全事件統計，審計過程中出現的漏洞幾乎都實際場景中被黑客利用過，其中合約邏輯漏洞利用仍然為主要部分。

通過成都鏈安鏈必驗-智能合約形式化驗證平臺檢測和安全專家人工檢測審計，以上漏洞均能在審計階段被發現，并且可由安全專家在做出安全評估后提出相關安全修補建議供客戶作為修復參考。

通過鏈必驗工具掃描出某合約存在重入漏洞

Tags：WEBFIF元宇宙WEB3WEB幣FIFTY價格元宇宙最新騙局WEB3.0

芝麻開門交易所下載