Анализ методов хакерских атак в области Web3 за первое полугодие 2022 года
В первой половине 2022 года в области Web3 произошло несколько крупных инцидентов безопасности. В данной статье будет проведен глубокий анализ распространенных способов хакерских атак в этот период, с целью предоставить рекомендации для обеспечения безопасности в отрасли.
Общая информация о потерях
Согласно данным одной платформы мониторинга безопасности блокчейна, в первой половине 2022 года произошло 42 основных инцидента с уязвимостями контрактов, которые привели к общим потерям в 644 миллиона долларов. Из них использование уязвимостей контрактов составило 53% от всех способов атак.
Среди различных уязвимостей, которые используются, логические или функциональные недостатки проектирования являются наиболее распространенными целями для Хакеров, за ними следуют проблемы валидации и уязвимости повторного входа.
Анализ типичных случаев
Событие атаки на кросс-чейн мост Wormhole
3 февраля 2022 года, проект кроссчейн моста подвергся атаке Хакера, в результате которой был нанесен ущерб около 326 миллионов долларов. Атакующий использовал уязвимость проверки подписи в контракте, успешно подделав системный аккаунт и выпустив большое количество wETH.
Инцидент с атакой Fei Protocol
30 апреля 2022 года, один из кредитных протоколов подвергся атаке, сочетающей в себе флеш-кредиты и повторный вход, с убытками до 80,34 миллиона долларов США. Эта атака нанесла проекту разрушительный удар, в результате чего проект объявил о закрытии 20 августа.
Атакующий в основном использовал уязвимость повторного входа в контракте cEther протокола. Получив начальные средства через флеш-кредиты, он затем совершил операции по залогу и кредитованию в целевом контракте. Из-за уязвимости повторного входа атакующий смог многократно вызывать функцию вывода, в конечном итоге похитив все токены из пула.
Типы распространенных уязвимостей
Реентрантная атака ERC721/ERC1155: использование функции обратного вызова в стандартах токенов для проведения реентрантной атаки.
Логическая уязвимость:
Специальные сценарии не учтены, такие как самопереводы, приводящие к увеличению активов из ниоткуда.
Дизайн функционала не завершен, например, отсутствует реализация ключевых операций.
Отсутствие контроля доступа: ключевые функции, такие как эмиссия монет, настройка ролей и т.д., не имеют эффективной аутентификации.
Манипуляция ценами:
Неправильное использование оракула, не применена взвешенная по времени средняя цена.
Используйте пропорцию баланса внутреннего токена контракта в качестве ценового ориентира.
Аудит и предотвращение
Согласно статистике, типы уязвимостей, обнаруженные в процессе аудита, высоко коррелируют с фактически использованными уязвимостями. При этом логические уязвимости контрактов по-прежнему являются основной целью атак.
С помощью профессиональной платформы верификации смарт-контрактов и ручного аудита со стороны экспертов по безопасности большинство уязвимостей можно обнаружить и исправить до запуска проекта. Это подчеркивает важность проведения комплексного аудита безопасности в процессе разработки проекта.
Для повышения безопасности проектов Web3 рекомендуется командам разработчиков:
Использование передовых технологий, таких как формальная верификация, для аудита кода.
Уделяйте внимание тестированию безопасности в особых сценариях.
Реализовать строгую систему управления правами.
Осторожно выбирайте и используйте такие внешние источники данных, как оракулы.
Регулярно проводить оценки безопасности и обновления.
Путем постоянного внимания к вопросам безопасности и принятия активных мер по предотвращению, проекты Web3 могут эффективно снизить риск атак и предоставить пользователям более безопасные и надежные услуги.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
6
Поделиться
комментарий
0/400
WhaleWatcher
· 7ч назад
Будут играть для лохов методы стали более продвинутыми
Посмотреть ОригиналОтветить0
ConsensusDissenter
· 07-19 15:58
又一波 неудачники разыгрывайте людей как лохов完美收场
Посмотреть ОригиналОтветить0
BearMarketLightning
· 07-19 15:58
Будут играть для лохов日常罢了
Посмотреть ОригиналОтветить0
UncleWhale
· 07-19 15:55
Принадлежит к тем, кто ничего не может сделать, но в атаке на первом месте.
Посмотреть ОригиналОтветить0
BearMarketSage
· 07-19 15:43
又被 разыгрывайте людей как лохов 了心累
Посмотреть ОригиналОтветить0
PoetryOnChain
· 07-19 15:34
Деньги были украдены хакером, это действительно тяжело.
Частые хакерские атаки в Web3, убытки за первое полугодие составили 644 миллиона долларов.
Анализ методов хакерских атак в области Web3 за первое полугодие 2022 года
В первой половине 2022 года в области Web3 произошло несколько крупных инцидентов безопасности. В данной статье будет проведен глубокий анализ распространенных способов хакерских атак в этот период, с целью предоставить рекомендации для обеспечения безопасности в отрасли.
Общая информация о потерях
Согласно данным одной платформы мониторинга безопасности блокчейна, в первой половине 2022 года произошло 42 основных инцидента с уязвимостями контрактов, которые привели к общим потерям в 644 миллиона долларов. Из них использование уязвимостей контрактов составило 53% от всех способов атак.
Среди различных уязвимостей, которые используются, логические или функциональные недостатки проектирования являются наиболее распространенными целями для Хакеров, за ними следуют проблемы валидации и уязвимости повторного входа.
Анализ типичных случаев
Событие атаки на кросс-чейн мост Wormhole
3 февраля 2022 года, проект кроссчейн моста подвергся атаке Хакера, в результате которой был нанесен ущерб около 326 миллионов долларов. Атакующий использовал уязвимость проверки подписи в контракте, успешно подделав системный аккаунт и выпустив большое количество wETH.
Инцидент с атакой Fei Protocol
30 апреля 2022 года, один из кредитных протоколов подвергся атаке, сочетающей в себе флеш-кредиты и повторный вход, с убытками до 80,34 миллиона долларов США. Эта атака нанесла проекту разрушительный удар, в результате чего проект объявил о закрытии 20 августа.
Атакующий в основном использовал уязвимость повторного входа в контракте cEther протокола. Получив начальные средства через флеш-кредиты, он затем совершил операции по залогу и кредитованию в целевом контракте. Из-за уязвимости повторного входа атакующий смог многократно вызывать функцию вывода, в конечном итоге похитив все токены из пула.
Типы распространенных уязвимостей
Аудит и предотвращение
Согласно статистике, типы уязвимостей, обнаруженные в процессе аудита, высоко коррелируют с фактически использованными уязвимостями. При этом логические уязвимости контрактов по-прежнему являются основной целью атак.
С помощью профессиональной платформы верификации смарт-контрактов и ручного аудита со стороны экспертов по безопасности большинство уязвимостей можно обнаружить и исправить до запуска проекта. Это подчеркивает важность проведения комплексного аудита безопасности в процессе разработки проекта.
Для повышения безопасности проектов Web3 рекомендуется командам разработчиков:
Путем постоянного внимания к вопросам безопасности и принятия активных мер по предотвращению, проекты Web3 могут эффективно снизить риск атак и предоставить пользователям более безопасные и надежные услуги.