Аналіз методів атак веб3: поширені вразливості та стратегії захисту в першій половині 2022 року
В першій половині 2022 року сфера Web3 зазнала кількох значних хакерських атак, що призвели до величезних втрат. У цій статті буде проведено глибокий аналіз найбільш поширених способів атак, які використовувалися хакерами в цей період, а також обговорено, які вразливості були найбільш частими і як ефективно запобігти їм.
Загальна інформація про втрати від атаки вразливостей за перше півріччя
Згідно з даними певної платформи моніторингу безпеки блокчейна, у першій половині 2022 року відбулося 42 основних випадки атак на контракти, що становить 53% від усіх способів атак. Ці атаки завдали загальних збитків у розмірі 644 мільйонів доларів.
Серед усіх використаних вразливостей логічні або функціональні недоліки є найбільш поширеними вразливостями, які експлуатують хакери, за ними йдуть проблеми з валідацією та вразливості повторного входу.
Аналіз випадків великих втрат
Атака на міст між ланцюгами Wormhole
3 лютого 2022 року певний кросчейн місток проект зазнав атаки, в результаті якої було втрачено близько 3,26 мільярда доларів США. Хакер використав уразливість перевірки підпису в контракті, підробивши системний рахунок для карбування wETH.
Fei Protocol атака на блискавичні кредити
30 квітня 2022 року певний кредитний протокол зазнав атаки з використанням швидкісного кредиту, що призвело до збитків у 80,34 мільйона доларів. Ця атака завдала проекту смертельного удару, в результаті чого 20 серпня проект офіційно оголосив про закриття.
Атакуюча особа реалізує атаку через такі кроки:
Отправити миттєвий кредит з певного фонду
Використання реін'єкційного вразливості контракту через cEther в угоді про позики
Через атакуючий контракт, побудований з функції зворотного виклику, витягти всі токени з ураженого пулу.
Повернення кредиту на блискавичні позики, переміщення прибутку від атаки
Поширені типи вразливостей
Найпоширеніші вразливості в процесі аудиту можна поділити на чотири основні категорії:
ERC721/ERC1155 повторний напад: при використанні функцій _safeMint(), _safeTransfer() тощо, можуть бути активовані зворотні виклики в зловмисному контракті, що призводить до повторного нападу.
Логічна вразливість:
Недостатня увага до особливих ситуацій, таких як самопереказ, що призводить до виникнення чогось з нічого
Дизайн функцій не завершений, наприклад, відсутні функції витягування або ліквідації.
Відсутність авторизації: ключові функції, такі як випуск монет, налаштування ролей тощо, не мають контролю доступу.
Маніпуляція цінами:
Невикористана ціна зважена за часом
Прямо використовувати пропорцію залишку токенів у контракті як ціну
Рекомендації щодо запобігання вразливостям
Суворо дотримуйтесь моделі "перевірка-дія-інтеракція" при проєктуванні бізнес-функцій.
Повністю врахувати спеціальні сценарії, вдосконалити функціональний дизайн
Впровадження строгого контролю доступу до ключових функцій
Використовуйте надійні цінові оракули, щоб уникнути маніпуляцій цінами
Провести всебічний аудит безпеки, включаючи автоматизоване виявлення та експертну ручну перевірку.
Регулярно проводити оцінку безпеки, своєчасно усувати виявлені вразливості
Вживаючи ці заходи, проектна команда може значно знизити ризик атак і забезпечити безпеку активів. З розвитком екосистеми Web3 усвідомлення безпеки та підвищення захисних можливостей стають дедалі важливішими.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
14 лайків
Нагородити
14
4
Репост
Поділіться
Прокоментувати
0/400
OneBlockAtATime
· 8год тому
Ой, ця втрата мені болить, нічого не поробиш.
Переглянути оригіналвідповісти на0
DogeBachelor
· 08-09 15:03
Хакер десь ховається, щоб поїсти. Давай підемо стежити.
Переглянути оригіналвідповісти на0
ClassicDumpster
· 08-09 14:59
Рік Тигра починається з вибуху мосту, яскраво і святково відзначаємо Новий рік.
Переглянути оригіналвідповісти на0
LuckyBearDrawer
· 08-09 14:43
Багаті брати всі піддаються атакам, роздрібні інвестори заявляють, що лежать спокійно та в безпеці~
Web3 безпекове попередження: аналіз методів атак хакерів та стратегій запобігання за перше півріччя 2022 року
Аналіз методів атак веб3: поширені вразливості та стратегії захисту в першій половині 2022 року
В першій половині 2022 року сфера Web3 зазнала кількох значних хакерських атак, що призвели до величезних втрат. У цій статті буде проведено глибокий аналіз найбільш поширених способів атак, які використовувалися хакерами в цей період, а також обговорено, які вразливості були найбільш частими і як ефективно запобігти їм.
Загальна інформація про втрати від атаки вразливостей за перше півріччя
Згідно з даними певної платформи моніторингу безпеки блокчейна, у першій половині 2022 року відбулося 42 основних випадки атак на контракти, що становить 53% від усіх способів атак. Ці атаки завдали загальних збитків у розмірі 644 мільйонів доларів.
Серед усіх використаних вразливостей логічні або функціональні недоліки є найбільш поширеними вразливостями, які експлуатують хакери, за ними йдуть проблеми з валідацією та вразливості повторного входу.
Аналіз випадків великих втрат
Атака на міст між ланцюгами Wormhole
3 лютого 2022 року певний кросчейн місток проект зазнав атаки, в результаті якої було втрачено близько 3,26 мільярда доларів США. Хакер використав уразливість перевірки підпису в контракті, підробивши системний рахунок для карбування wETH.
Fei Protocol атака на блискавичні кредити
30 квітня 2022 року певний кредитний протокол зазнав атаки з використанням швидкісного кредиту, що призвело до збитків у 80,34 мільйона доларів. Ця атака завдала проекту смертельного удару, в результаті чого 20 серпня проект офіційно оголосив про закриття.
Атакуюча особа реалізує атаку через такі кроки:
Поширені типи вразливостей
Найпоширеніші вразливості в процесі аудиту можна поділити на чотири основні категорії:
Рекомендації щодо запобігання вразливостям
Вживаючи ці заходи, проектна команда може значно знизити ризик атак і забезпечити безпеку активів. З розвитком екосистеми Web3 усвідомлення безпеки та підвищення захисних можливостей стають дедалі важливішими.