Аналіз безпекової ситуації в сфері Web3 за перше півріччя: способи атак Хакерів та заходи запобігання
У першій половині 2022 року в Web3 часто траплялися інциденти безпеки, що призвели до величезних втрат. У цій статті буде детально проаналізовано методи атаки, які часто використовують хакери, а також обговорено відповідні заходи запобігання.
Загальний огляд безпекових подій за перше півріччя
Дані з платформи моніторингу безпеки блокчейн показують, що в першій половині 2022 року сталося 42 основних напади на вразливості контрактів, загальні втрати сягнули 6,44 мільярда доларів. З них 53% атак використовували вразливості контрактів.
Серед усіх вразливостей, які були використані, логічні або неналежно спроектовані функції є найпоширенішим способом атаки хакерів, за ними йдуть проблеми з верифікацією та вразливості повторного входу.
Аналіз подій з великими втратами
Подія атаки на крос-ланковий міст Wormhole
3 лютого 2022 року, певний кросчейн міст проект зазнав атаки, в результаті якої було втрачено близько 326 мільйонів доларів. Зловмисники скористалися вразливістю перевірки підписів у контракті, успішно підробивши системний обліковий запис для випуску великої кількості токенів.
Інцидент атаки блискавичних кредитів Fei Protocol
30 квітня 2022 року певний кредитний протокол зазнав атаки через флеш-кредити з повторним входом, що призвело до збитків у розмірі 80,34 мільйона доларів. Ця подія в підсумку призвела до того, що проект оголосив про закриття 20 серпня.
Зловмисники в основному скористалися вразливістю повторного входу в контракті проєкту. Процес атаки виглядає наступним чином:
Взяти миттєвий кредит з певного DEX
Використання позичених коштів для заставного кредитування в цільовому протоколі
За допомогою конструкції функції атаки зворотного виклику, витягти всі токени з ураженого пулу.
Повернення флеш-кредиту, перенесення доходів від атаки
Типи поширених вразливостей
Під час аудиту найпоширеніші вразливості поділяються на чотири категорії:
ERC721/ERC1155 повторний напад: зловмисні дії через функцію зворотного виклику
Логічна вразливість: недостатнє врахування особливих ситуацій або неповнота функціонального дизайну
Відсутність аутентифікації: ключові функції не мають контролю доступу
Маніпуляція цінами: неналежне використання оракула або дефекти в методах розрахунку цін
Важливість аудиту
Вищезгадані вразливості переважно можуть бути виявлені на етапі аудиту. Завдяки професійним платформам верифікації смарт-контрактів та ручному перегляду експертів з безпеки, потенційні ризики можуть бути виявлені своєчасно та запропоновані рекомендації щодо їх виправлення.
Рекомендації щодо запобігання
Покращити логіку проектування контрактів, враховуючи різні крайні ситуації
Регулярно проводити аудит безпеки, своєчасно виправляти виявлені вразливості
З розвитком екосистеми Web3 питання безпеки залишатиметься в центрі уваги. Проектам слід приділяти увагу безпеці контрактів, вживаючи комплексних заходів захисту для зменшення ризику атак.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
7 лайків
Нагородити
7
4
Поділіться
Прокоментувати
0/400
SillyWhale
· 07-31 04:57
Уразливостей занадто багато8 Контракт справді небезпечний
Переглянути оригіналвідповісти на0
IronHeadMiner
· 07-31 04:52
Знову обдурили людей, як лохів. Хто ще наважиться увійти в позицію?
Переглянути оригіналвідповісти на0
GhostAddressHunter
· 07-31 04:29
Стільки вразливостей у контрактах? Хочете Кліпові купони?
Безпекова ситуація Web3 у першій половині року: втрата 644 мільйонів доларів, вразливості контрактів стали основними точками атаки.
Аналіз безпекової ситуації в сфері Web3 за перше півріччя: способи атак Хакерів та заходи запобігання
У першій половині 2022 року в Web3 часто траплялися інциденти безпеки, що призвели до величезних втрат. У цій статті буде детально проаналізовано методи атаки, які часто використовують хакери, а також обговорено відповідні заходи запобігання.
Загальний огляд безпекових подій за перше півріччя
Дані з платформи моніторингу безпеки блокчейн показують, що в першій половині 2022 року сталося 42 основних напади на вразливості контрактів, загальні втрати сягнули 6,44 мільярда доларів. З них 53% атак використовували вразливості контрактів.
Серед усіх вразливостей, які були використані, логічні або неналежно спроектовані функції є найпоширенішим способом атаки хакерів, за ними йдуть проблеми з верифікацією та вразливості повторного входу.
Аналіз подій з великими втратами
Подія атаки на крос-ланковий міст Wormhole
3 лютого 2022 року, певний кросчейн міст проект зазнав атаки, в результаті якої було втрачено близько 326 мільйонів доларів. Зловмисники скористалися вразливістю перевірки підписів у контракті, успішно підробивши системний обліковий запис для випуску великої кількості токенів.
Інцидент атаки блискавичних кредитів Fei Protocol
30 квітня 2022 року певний кредитний протокол зазнав атаки через флеш-кредити з повторним входом, що призвело до збитків у розмірі 80,34 мільйона доларів. Ця подія в підсумку призвела до того, що проект оголосив про закриття 20 серпня.
Зловмисники в основному скористалися вразливістю повторного входу в контракті проєкту. Процес атаки виглядає наступним чином:
Типи поширених вразливостей
Під час аудиту найпоширеніші вразливості поділяються на чотири категорії:
Важливість аудиту
Вищезгадані вразливості переважно можуть бути виявлені на етапі аудиту. Завдяки професійним платформам верифікації смарт-контрактів та ручному перегляду експертів з безпеки, потенційні ризики можуть бути виявлені своєчасно та запропоновані рекомендації щодо їх виправлення.
Рекомендації щодо запобігання
З розвитком екосистеми Web3 питання безпеки залишатиметься в центрі уваги. Проектам слід приділяти увагу безпеці контрактів, вживаючи комплексних заходів захисту для зменшення ризику атак.