Web3 Hacker 2022 Yılı İlk Yarısı Yaygın Saldırı Yöntemleri Analizi
2022 yılının ilk yarısında, Web3 alanında birçok büyük Hacker saldırısı gerçekleşti ve büyük kayıplara yol açtı. Bu yazıda, bu dönemde Hacker'ların sıkça kullandığı saldırı yöntemlerini derinlemesine analiz edeceğiz ve sektöre güvenlik önlemleri için bir referans sağlamayı amaçlıyoruz.
Açık Kullanım Özeti
Bir blockchain güvenlik izleme platformunun verilerine göre, 2022 yılının ilk yarısında toplam 42 önemli sözleşme açığı saldırı olayı meydana geldi ve toplam kayıp 644 milyon dolara ulaştı. Kullanılan açıkların arasında, mantık veya fonksiyon tasarım hataları, doğrulama sorunları ve yeniden giriş açıkları, hacker'ların en sık kullandığı üç açık türüdür.
Tipik Vaka Analizi
Wormhole çapraz zincir köprüsü saldırıya uğradı
3 Şubat 2022'de, bir köprü projesi saldırıya uğradı ve yaklaşık 3.26 milyar dolar kaybedildi. Hacker, sözleşmedeki imza doğrulama açığını kullanarak sahte sistem hesapları oluşturup sahte token'lar bastı.
Fei Protocol saldırı olayı
30 Nisan 2022'de, bir borç verme protokolü flash kredi ağır geri alma saldırısına uğradı ve 80.34 milyon dolar kayba neden oldu. Bu saldırı projeye ölümcül bir darbe vurdu ve sonuç olarak proje 20 Ağustos'ta kapanacağını duyurdu.
Saldırganlar, protokoldeki cEther'i kullanarak sözleşmenin yeniden giriş açığını gerçekleştirdi. Saldırı süreci şunları içeriyor:
Bir agregat protokolden hızlı kredi alın
Hedef protokolde borç alınan fonları teminat olarak kullanarak borç verme
Oluşturulan geri çağırma fonksiyonu ile etkilenen havuzdaki tokenleri tekrar çıkarma
Lightning kredilerini geri verin ve kazançları transfer edin
Yaygın Açık Türleri
Akıllı sözleşme denetimi sürecinde, en yaygın açıklar genellikle şu birkaç kategoriye ayrılır:
ERC721/ERC1155 yeniden giriş saldırısı: Belirli fonksiyonların yanlış tasarımı nedeniyle yeniden giriş riski oluşabilir.
Mantık hatası: Özel durumların dikkate alınmaması ve işlev tasarımındaki eksiklikler gibi sorunları içerir.
Yetki yönetimi eksikliği: Ana işlevler için uygun yetki kontrolü ayarlanmamış.
Fiyat manipülasyonu: Oracle'in kötüye kullanımı veya fiyat hesaplama mantığında bir açık olması.
Açık Savunma Önerileri
"Kontrol-Etkileşim-İşlem" tasarım modeline kesinlikle uyulmalıdır.
Çeşitli sınır durumlarını ve özel senaryoları kapsamlı bir şekilde değerlendirin.
Anahtar işlevler için sıkı bir izin yönetimi uygulayın.
Güvenilir oracle'lar ve zaman ağırlıklı ortalama fiyat gibi mekanizmaları kullanın.
Kapsamlı bir akıllı sözleşme güvenlik denetimi gerçekleştirin, otomatik tespit ve uzman insan incelemesi dahil.
Yukarıda belirtilen önlemleri alarak, en yaygın açıkların çoğu projenin yayına alınmasından önce tespit edilip düzeltilebilir ve bu da hacker saldırısına maruz kalma riskini önemli ölçüde azaltır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
23 Likes
Reward
23
5
Share
Comment
0/400
WalletWhisperer
· 07-11 14:20
desenler yalan söylemez... 644m usd sözleşme hatalarıyla sızdı, bu istatistiksel olarak önemli açıkçası
View OriginalReply0
SighingCashier
· 07-09 19:13
300 milyon doları böyle mi uçtu? Uyan, rüyada kalma.
View OriginalReply0
NFT_Therapy
· 07-08 15:42
Bu kadar kaybı kim dayanabilir ki?
View OriginalReply0
GateUser-e51e87c7
· 07-08 15:41
Kayıptan bağımlı oldum.
View OriginalReply0
ZenZKPlayer
· 07-08 15:40
Tsk tsk bu kadar çok yün kim tarafından alındı? Sözleşmeyi kim denetledi?
Web3'te ilk yarıda Hacker saldırı yöntemleri analizi: Yeniden giriş açığı ana tehdit haline geldi
Web3 Hacker 2022 Yılı İlk Yarısı Yaygın Saldırı Yöntemleri Analizi
2022 yılının ilk yarısında, Web3 alanında birçok büyük Hacker saldırısı gerçekleşti ve büyük kayıplara yol açtı. Bu yazıda, bu dönemde Hacker'ların sıkça kullandığı saldırı yöntemlerini derinlemesine analiz edeceğiz ve sektöre güvenlik önlemleri için bir referans sağlamayı amaçlıyoruz.
Açık Kullanım Özeti
Bir blockchain güvenlik izleme platformunun verilerine göre, 2022 yılının ilk yarısında toplam 42 önemli sözleşme açığı saldırı olayı meydana geldi ve toplam kayıp 644 milyon dolara ulaştı. Kullanılan açıkların arasında, mantık veya fonksiyon tasarım hataları, doğrulama sorunları ve yeniden giriş açıkları, hacker'ların en sık kullandığı üç açık türüdür.
Tipik Vaka Analizi
Wormhole çapraz zincir köprüsü saldırıya uğradı
3 Şubat 2022'de, bir köprü projesi saldırıya uğradı ve yaklaşık 3.26 milyar dolar kaybedildi. Hacker, sözleşmedeki imza doğrulama açığını kullanarak sahte sistem hesapları oluşturup sahte token'lar bastı.
Fei Protocol saldırı olayı
30 Nisan 2022'de, bir borç verme protokolü flash kredi ağır geri alma saldırısına uğradı ve 80.34 milyon dolar kayba neden oldu. Bu saldırı projeye ölümcül bir darbe vurdu ve sonuç olarak proje 20 Ağustos'ta kapanacağını duyurdu.
Saldırganlar, protokoldeki cEther'i kullanarak sözleşmenin yeniden giriş açığını gerçekleştirdi. Saldırı süreci şunları içeriyor:
Yaygın Açık Türleri
Akıllı sözleşme denetimi sürecinde, en yaygın açıklar genellikle şu birkaç kategoriye ayrılır:
Açık Savunma Önerileri
"Kontrol-Etkileşim-İşlem" tasarım modeline kesinlikle uyulmalıdır.
Çeşitli sınır durumlarını ve özel senaryoları kapsamlı bir şekilde değerlendirin.
Anahtar işlevler için sıkı bir izin yönetimi uygulayın.
Güvenilir oracle'lar ve zaman ağırlıklı ortalama fiyat gibi mekanizmaları kullanın.
Kapsamlı bir akıllı sözleşme güvenlik denetimi gerçekleştirin, otomatik tespit ve uzman insan incelemesi dahil.
Yukarıda belirtilen önlemleri alarak, en yaygın açıkların çoğu projenin yayına alınmasından önce tespit edilip düzeltilebilir ve bu da hacker saldırısına maruz kalma riskini önemli ölçüde azaltır.