Аналіз поширених атак хакерів Web3 у першій половині 2022 року
У першій половині 2022 року сфера Web3 зазнала декількох значних хакерських атак, що призвели до величезних збитків. У цій статті буде проведено глибокий аналіз поширених методів атаки хакерів у цей період з метою надання рекомендацій щодо безпеки в галузі.
Огляд експлуатації вразливостей
Дані з певної платформи моніторингу безпеки блокчейну показують, що в першій половині 2022 року сталося 42 основних випадки атак на контракти, загальні збитки склали 644 мільйони доларів. Серед усіх експлуатованих вразливостей, найчастіше хакери використовували три типи вразливостей: логічні або функціональні помилки в дизайні, проблеми з верифікацією та вразливості повторного входу.
Типові випадки аналізу
Міст Wormhole був атакований
3 лютого 2022 року один з міжланцюгових мостів зазнав атаки, внаслідок чого були втрачені близько 326 мільйонів доларів. Хакер скористався вразливістю в перевірці підписів у контракті, підробивши системний обліковий запис для емісії фальшивих токенів.
Інцидент з атакою на Fei Protocol
30 квітня 2022 року певний кредитний протокол зазнав атаки з використанням флеш-кредитів, що призвела до втрат у розмірі 80,34 мільйона доларів. Ця атака завдала проекту смертельного удару, в результаті чого 20 серпня проект оголосив про закриття.
Зловмисники в основному скористалися вразливістю повторного входу в контракті, реалізованому в протоколі cEther. Процес атаки включає:
Отримати闪电贷 з певного агрегованого протоколу
Використання запозичених коштів для застави та кредитування в цільовому протоколі
Повторно витягувати токени з постраждалих пулів за допомогою конструкції зворотного виклику.
Повернення миттєвого кредиту та переказ прибутку
Поширені типи вразливостей
У процесі аудиту смарт-контрактів найпоширеніші вразливості в основному поділяються на кілька категорій:
Атака повторного входу ERC721/ERC1155: через неналежний дизайн певних функцій може виникнути ризик повторного входу.
Логічні вразливості: включають проблеми, такі як недостатнє врахування спеціальних ситуацій та недосконалий функціональний дизайн.
Недоліки управління доступом: ключові функції не мають належного контролю доступу.
Маніпуляція цінами: неналежне використання оракула або наявність вразливостей у логіці розрахунку цін.
Рекомендації щодо запобігання вразливостям
Строго дотримуйтесь дизайну "Перевірка - Дія - Взаємодія".
Всебічно розглянути всі граничні ситуації та особливі сценарії.
Реалізуйте суворе управління правами доступу для ключових функцій.
Використовуйте надійні оракули та механізми, такі як середня ціна зважена за часом.
Провести всебічний аудит безпеки смарт-контрактів, включаючи автоматизоване виявлення та експертну ручну перевірку.
Завдяки вжиттю зазначених заходів, більшість поширених вразливостей можна виявити та виправити до виходу проєкту на ринок, що значно знижує ризик атаки хакерів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
23 лайків
Нагородити
23
5
Поділіться
Прокоментувати
0/400
WalletWhisperer
· 07-11 14:20
шаблони не брешуть... 644 млн доларів США витекли через помилки в контракті, що статистично значимо, чесно кажучи
Переглянути оригіналвідповісти на0
SighingCashier
· 07-09 19:13
300 мільйонів доларів просто так зникло? Прокинься, не мрій.
Переглянути оригіналвідповісти на0
NFT_Therapy
· 07-08 15:42
Стільки втрат, хто це витримає?
Переглянути оригіналвідповісти на0
GateUser-e51e87c7
· 07-08 15:41
Витрачати гроші стало звичкою.
Переглянути оригіналвідповісти на0
ZenZKPlayer
· 07-08 15:40
Цікаво, як багато вовни було зібрано, хто перевіряв контракт?
Аналіз методів хакерських атак в Web3 за перше півріччя: вразливості повторного входу стали основною загрозою
Аналіз поширених атак хакерів Web3 у першій половині 2022 року
У першій половині 2022 року сфера Web3 зазнала декількох значних хакерських атак, що призвели до величезних збитків. У цій статті буде проведено глибокий аналіз поширених методів атаки хакерів у цей період з метою надання рекомендацій щодо безпеки в галузі.
Огляд експлуатації вразливостей
Дані з певної платформи моніторингу безпеки блокчейну показують, що в першій половині 2022 року сталося 42 основних випадки атак на контракти, загальні збитки склали 644 мільйони доларів. Серед усіх експлуатованих вразливостей, найчастіше хакери використовували три типи вразливостей: логічні або функціональні помилки в дизайні, проблеми з верифікацією та вразливості повторного входу.
Типові випадки аналізу
Міст Wormhole був атакований
3 лютого 2022 року один з міжланцюгових мостів зазнав атаки, внаслідок чого були втрачені близько 326 мільйонів доларів. Хакер скористався вразливістю в перевірці підписів у контракті, підробивши системний обліковий запис для емісії фальшивих токенів.
Інцидент з атакою на Fei Protocol
30 квітня 2022 року певний кредитний протокол зазнав атаки з використанням флеш-кредитів, що призвела до втрат у розмірі 80,34 мільйона доларів. Ця атака завдала проекту смертельного удару, в результаті чого 20 серпня проект оголосив про закриття.
Зловмисники в основному скористалися вразливістю повторного входу в контракті, реалізованому в протоколі cEther. Процес атаки включає:
Поширені типи вразливостей
У процесі аудиту смарт-контрактів найпоширеніші вразливості в основному поділяються на кілька категорій:
Рекомендації щодо запобігання вразливостям
Строго дотримуйтесь дизайну "Перевірка - Дія - Взаємодія".
Всебічно розглянути всі граничні ситуації та особливі сценарії.
Реалізуйте суворе управління правами доступу для ключових функцій.
Використовуйте надійні оракули та механізми, такі як середня ціна зважена за часом.
Провести всебічний аудит безпеки смарт-контрактів, включаючи автоматизоване виявлення та експертну ручну перевірку.
Завдяки вжиттю зазначених заходів, більшість поширених вразливостей можна виявити та виправити до виходу проєкту на ринок, що значно знижує ризик атаки хакерів.