Аналіз поширених атак хакерів Web3 у першій половині 2022 року
У першій половині 2022 року ситуація з безпекою в сфері Web3 була серйозною. Дані показують, що через вразливості в смарт-контрактах сталося 42 основних атаки, загальні збитки сягнули 644 мільйонів доларів. У цих атаках використання вразливостей контрактів становило понад половину, досягнувши 53%.
Поширені методи атак
Аналіз показує, що найбільш поширеними типами вразливостей, які використовують хакери, є:
Неправильне проектування логічних або функціональних елементів
Перевірка питання
Вразливість повторного входу
Важкі випадки збитків
Подія Wormhole
3 лютого 2022 року проект міжмережевого мосту Solana Wormhole зазнав атаки, в результаті якої було втрачено близько 326 мільйонів доларів. Хакер скористався вразливістю перевірки підписів у контракті, успішно підробивши обліковий запис для випуску wETH.
Подія ### Fei Protocol
30 квітня 2022 року пул Rari Fuse, що належить Fei Protocol, зазнав атаки з використанням швидкого кредиту в поєднанні з атакою повторного входу, що призвело до збитків у розмірі 80,34 мільйона доларів. Ця подія зрештою призвела до оголошення про закриття проєкту 20 серпня.
Зловмисник реалізує атаку наступними кроками:
Отримати闪电贷 від Balancer
Використання вразливості повторного входу в контракті cEther від Rari Capital
Витягти всі токени з постраждалого пулу за допомогою функції зворотного виклику
Повернення блискавичного кредиту та переведення прибутку
Поширені вразливості під час аудиту
У процесі аудиту смарт-контрактів найпоширенішими типами вразливостей є:
Атака повторного входу ERC721/ERC1155
Логічна помилка ( недостатній розгляд спеціальних випадків, незавершений дизайн функцій )
Відсутність автентифікації
Маніпуляція цінами
Запобігання вразливостям
Більшість вразливостей, які насправді використовуються, можуть бути виявлені на етапі аудиту. Розробники контрактів повинні звертати увагу на:
Строго дотримуватись перевірки-дії-інтерактивного режиму
Поліпшення обробки спеціальних сцен
Посилити управління правами
Використовуйте надійні цінові оракули
Завдяки професійній платформі формалізованої верифікації смарт-контрактів та ручному аудиті від експертів з безпеки, можна ефективно виявляти потенційні ризики та своєчасно вживати заходів для їх усунення, підвищуючи безпеку контракту.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
9 лайків
Нагородити
9
7
Репост
Поділіться
Прокоментувати
0/400
LongTermDreamer
· 9год тому
Ще можливості, які виникають через дірки, через три роки це буде смішно.
Переглянути оригіналвідповісти на0
LightningPacketLoss
· 12год тому
Чорт, знову вкрали людину.
Переглянути оригіналвідповісти на0
ParanoiaKing
· 12год тому
6 мільйонів монет зникло, що ще грати в монети, розходимося.
Web3 звіт з безпеки: У першій половині 2022 року хакерські атаки завдали збитків у розмірі 644 мільйонів доларів
Аналіз поширених атак хакерів Web3 у першій половині 2022 року
У першій половині 2022 року ситуація з безпекою в сфері Web3 була серйозною. Дані показують, що через вразливості в смарт-контрактах сталося 42 основних атаки, загальні збитки сягнули 644 мільйонів доларів. У цих атаках використання вразливостей контрактів становило понад половину, досягнувши 53%.
Поширені методи атак
Аналіз показує, що найбільш поширеними типами вразливостей, які використовують хакери, є:
Важкі випадки збитків
Подія Wormhole
3 лютого 2022 року проект міжмережевого мосту Solana Wormhole зазнав атаки, в результаті якої було втрачено близько 326 мільйонів доларів. Хакер скористався вразливістю перевірки підписів у контракті, успішно підробивши обліковий запис для випуску wETH.
Подія ### Fei Protocol
30 квітня 2022 року пул Rari Fuse, що належить Fei Protocol, зазнав атаки з використанням швидкого кредиту в поєднанні з атакою повторного входу, що призвело до збитків у розмірі 80,34 мільйона доларів. Ця подія зрештою призвела до оголошення про закриття проєкту 20 серпня.
Зловмисник реалізує атаку наступними кроками:
Поширені вразливості під час аудиту
У процесі аудиту смарт-контрактів найпоширенішими типами вразливостей є:
Запобігання вразливостям
Більшість вразливостей, які насправді використовуються, можуть бути виявлені на етапі аудиту. Розробники контрактів повинні звертати увагу на:
Завдяки професійній платформі формалізованої верифікації смарт-контрактів та ручному аудиті від експертів з безпеки, можна ефективно виявляти потенційні ризики та своєчасно вживати заходів для їх усунення, підвищуючи безпеку контракту.