Аналіз методів атаки хакерів у сфері Web3 за перше півріччя 2022 року
У першій половині 2022 року сфера Web3 зазнала кількох значних інцидентів безпеки. У цій статті буде проведено глибокий аналіз поширених способів хакерських атак у цей період, з метою надання рекомендацій для забезпечення безпеки в галузі.
Загальний огляд втрат
Згідно з даними певної платформи моніторингу безпеки блокчейну, у першій половині 2022 року сталося 42 основних інциденти атак на контракти, що призвели до загальних збитків у розмірі 6,44 мільярда доларів. Серед них експлуатація вразливостей контрактів становила 53% від усіх способів атак.
Серед усіх типів вразливостей, які використовуються, логічні або функціональні недоліки є найчастішими цілями для хакерів, за ними йдуть проблеми з валідацією та повторними вразливостями.
Типовий аналіз випадків
Атака на міст через Wormhole
3 лютого 2022 року, певний проект кросчейн-мосту зазнав нападу Хакера, в результаті якого було втрачено близько 326 мільйонів доларів. Атакуючий скористався уразливістю в перевірці підписів у контракті, успішно підробивши системний обліковий запис для випуску великої кількості wETH.
Напад на Fei Protocol
30 квітня 2022 року один з кредитних протоколів зазнав атаки комбінованого флеш-кредиту та повторного входу, внаслідок чого було втрачено до 80,34 мільйона доларів США. Ця атака завдала руйнівного удару по проєкту, що врешті-решт призвело до оголошення про закриття проєкту 20 серпня.
Атакуювачі в основному використали вразливість повторних викликів контракту, реалізовану в протоколі cEther. Вони отримали початкові кошти через миттєвий кредит, а потім виконали операції з заставного кредитування в цільовому контракті. Через наявність вразливості повторного виклику, атакуювачі змогли повторно викликати функцію виведення, в результаті чого викрали всі токени з пулу.
Типи поширених вразливостей
Реінвазія атаки ERC721/ERC1155: використання функцій зворотного виклику в стандартах токенів для проведення реінвазійної атаки.
Логічна вразливість:
Спеціальні ситуації не враховані, такі як самопереказ, що призводить до збільшення активів ні з того, ні з сього.
Дизайн функцій не завершений, наприклад, відсутня реалізація ключових операцій.
Відсутність контролю доступу: ключові функції, такі як випуск монет, налаштування ролей тощо, не мають ефективної аутентифікації.
Маніпуляція цінами:
Неправильне використання оракула, не застосовано обчислення зваженої середньої ціни за часом.
Безпосередньо використовувати відсоток залишку токена всередині контракту як ціновий орієнтир.
Аудит та запобігання
За статистикою, типи вразливостей, виявлені під час аудиту, сильно збігаються з вразливостями, які насправді були використані. Серед них логічні вразливості контракту залишаються головною метою атак.
Завдяки професійній платформі верифікації смарт-контрактів та ручному аудиті безпекових експертів, більшість вразливостей можуть бути виявлені та виправлені до запуску проекту. Це підкреслює важливість проведення всебічного аудиту безпеки під час розробки проекту.
Для підвищення безпеки проектів Web3 рекомендуємо командам розробників:
Використання формальної верифікації та інших сучасних технологій для аудиту коду.
Уважно ставтеся до безпеки тестування в особливих ситуаціях.
Запровадження суворого механізму управління правами.
Обережно обирайте та використовуйте оракули та інші зовнішні джерела даних.
Регулярно проводити оцінку безпеки та оновлення.
Шляхом постійного моніторингу питань безпеки та вжиття активних запобіжних заходів, проєкти Web3 можуть ефективно знизити ризик атак і забезпечити користувачів більш безпечними та надійними послугами.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
6
Поділіться
Прокоментувати
0/400
WhaleWatcher
· 7год тому
Обман для дурнів став ще більш витонченим.
Переглянути оригіналвідповісти на0
ConsensusDissenter
· 07-19 15:58
Ще одна хвиля обдурювання людей, як лохів, завершилася вдало.
Переглянути оригіналвідповісти на0
BearMarketLightning
· 07-19 15:58
Обман для дурнів щоденність.
Переглянути оригіналвідповісти на0
UncleWhale
· 07-19 15:55
Належить до тих, хто нічого не може, але займає перше місце в атаці
Переглянути оригіналвідповісти на0
BearMarketSage
· 07-19 15:43
знову обдурювали людей, як лохів, серце втомлене
Переглянути оригіналвідповісти на0
PoetryOnChain
· 07-19 15:34
Гроші були вкрадені хакером, це справді важко витримати.
Атаки Хакерів у Web3 відбуваються часто, за перше півріччя втрати склали 6,44 мільярда доларів.
Аналіз методів атаки хакерів у сфері Web3 за перше півріччя 2022 року
У першій половині 2022 року сфера Web3 зазнала кількох значних інцидентів безпеки. У цій статті буде проведено глибокий аналіз поширених способів хакерських атак у цей період, з метою надання рекомендацій для забезпечення безпеки в галузі.
Загальний огляд втрат
Згідно з даними певної платформи моніторингу безпеки блокчейну, у першій половині 2022 року сталося 42 основних інциденти атак на контракти, що призвели до загальних збитків у розмірі 6,44 мільярда доларів. Серед них експлуатація вразливостей контрактів становила 53% від усіх способів атак.
Серед усіх типів вразливостей, які використовуються, логічні або функціональні недоліки є найчастішими цілями для хакерів, за ними йдуть проблеми з валідацією та повторними вразливостями.
Типовий аналіз випадків
Атака на міст через Wormhole
3 лютого 2022 року, певний проект кросчейн-мосту зазнав нападу Хакера, в результаті якого було втрачено близько 326 мільйонів доларів. Атакуючий скористався уразливістю в перевірці підписів у контракті, успішно підробивши системний обліковий запис для випуску великої кількості wETH.
Напад на Fei Protocol
30 квітня 2022 року один з кредитних протоколів зазнав атаки комбінованого флеш-кредиту та повторного входу, внаслідок чого було втрачено до 80,34 мільйона доларів США. Ця атака завдала руйнівного удару по проєкту, що врешті-решт призвело до оголошення про закриття проєкту 20 серпня.
Атакуювачі в основному використали вразливість повторних викликів контракту, реалізовану в протоколі cEther. Вони отримали початкові кошти через миттєвий кредит, а потім виконали операції з заставного кредитування в цільовому контракті. Через наявність вразливості повторного виклику, атакуювачі змогли повторно викликати функцію виведення, в результаті чого викрали всі токени з пулу.
Типи поширених вразливостей
Аудит та запобігання
За статистикою, типи вразливостей, виявлені під час аудиту, сильно збігаються з вразливостями, які насправді були використані. Серед них логічні вразливості контракту залишаються головною метою атак.
Завдяки професійній платформі верифікації смарт-контрактів та ручному аудиті безпекових експертів, більшість вразливостей можуть бути виявлені та виправлені до запуску проекту. Це підкреслює важливість проведення всебічного аудиту безпеки під час розробки проекту.
Для підвищення безпеки проектів Web3 рекомендуємо командам розробників:
Шляхом постійного моніторингу питань безпеки та вжиття активних запобіжних заходів, проєкти Web3 можуть ефективно знизити ризик атак і забезпечити користувачів більш безпечними та надійними послугами.