Аналіз методів хакерських атак у Web3: поширені способи атак та стратегії запобігання у першій половині 2022 року

У першій половині 2022 року безпекова ситуація у сфері Web3 не викликала оптимізму. Дані свідчать, що лише через вразливості в контрактах сталося 42 значні атаки, загальні втрати склали 644 мільйони доларів. У цих атаках логічні або функціональні дефекти проектування були найчастіше використовуваними вразливостями хакерами, а також проблеми з верифікацією та повторними вхідними вразливостями.

Огляд подій значних збитків

3 лютого певний кросчейн міст проект зазнав атаки, в результаті якої було втрачено близько 3,26 мільярда доларів. Хакер скористався вразливістю перевірки підпису в контракті, успішно підробивши обліковий запис для випуску токенів.

30 квітня певний кредитний протокол зазнав атаки з використанням миттєвих кредитів та повторних входів, внаслідок чого було втрачено 80,34 мільйона доларів. Ця атака завдала проекту смертельного удару, що врешті-решт призвело до оголошення про закриття проекту 20 серпня.

Аналіз випадків атак

В якості прикладу атаки на вище згадану угоду про позики, зловмисник в основному використовував наступні кроки:

1. Взяти миттєвий кредит з певного фонду
2. Використання вразливості повторного входу в контракті платформи кредитування для забезпечення кредитування
3. Через побудовану атакувальну функцію, витягти всі токени з пулу
4. Повернення闪电贷, переказ прибутку

Ця атака в основному використовувала уразливість повторного входу в контракті, реалізовану на певній платформі кредитування, внаслідок чого було завдано збитків на понад 28380 ETH (приблизно 8034 мільйони доларів США).

Типи поширених вразливостей

Найпоширеніші вразливості під час аудиту можна поділити на чотири основні категорії:

1. Атака повторного входу ERC721/ERC1155
2. Логічні вразливості (недостатній розгляд спеціальних випадків, недосконалість функціонального дизайну)
3. Відсутність автентифікації
4. Маніпуляція цінами

Реально використані вразливості та виявлення під час аудиту

У фактичних атаках логічні вразливості контрактів все ще є основним типом, що використовується. Варто зазначити, що ці вразливості, як правило, можна виявити на етапі аудиту за допомогою платформи формальної верифікації смарт-контрактів та експертного ручного перегляду.

Рекомендації щодо запобігання

1. Посилити логіку проектування контрактів, зокрема звернути увагу на обробку спеціальних сценаріїв
2. Строго дотримуйтесь моделі перевірка-дія-взаємодія, щоб запобігти атакам повторного входу.
3. Удосконалення механізму аутентифікації, особливо контролю доступу до ключових функцій
4. Використовуйте надійні цінові оракули, щоб уникнути маніпуляцій з цінами
5. Регулярно проводити аудит безпеки, своєчасно усувати виявлені вразливості

Завдяки постійному моніторингу безпекової ситуації та впровадженню комплексних заходів захисту, проекти Web3 можуть значно підвищити безпеку та знизити ризик атак.