Анализ распространенных методов атак Хакеров Web3: Отчет о безопасности за первую половину 2022 года

В первой половине 2022 года в области Web3 часто происходили инциденты безопасности, и методы атак Хакеров множились. Согласно недавно опубликованному отчету о состоянии безопасности, мы провели глубокий анализ основных способов атак за этот период, чтобы предоставить отрасли справочные материалы и предупреждения.

Обзор атак с использованием уязвимостей

Данные показывают, что в первой половине 2022 года произошло 42 случая атак на основные контракты, что привело к общим потерям в 644 миллиона долларов. Из всех методов атак использование уязвимостей контрактов составляет 53%. При этом наибольшее количество атак связано с ошибками логики или проектирования функций, за которыми следуют проблемы верификации и уязвимости повторного входа.

Анализ случаев значительных потерь

1. Атака на кросс-чейн мост Wormhole: 3 февраля 2022 года Хакер использовал уязвимость проверки подписи для подделки учетной записи и выпуска wETH, что привело к убыткам около 326 миллионов долларов.

2. Fei Protocol подвергся атаке: 30 апреля 2022 года, Rari Fuse Pool подвергся атаке с использованием флеш-займов и повторного входа, что привело к убыткам в 80,34 миллиона долларов. Это событие в конечном итоге привело к тому, что проект объявил о закрытии 20 августа.

Детали атаки на Fei Protocol

Атакующий использует cEther от Rari Capital для реализации уязвимости повторного входа в контракте, проводя атаку по следующим шагам:

1. Получить флеш-кредит из Balancer: Vault
2. Используйте заимствованные средства для залогового кредитования в Rari Capital
3. Извлечение всех токенов из затронутого пула через атаку на обратную функцию в контракте.
4. Вернуть займ на мгновенные кредиты и перевести полученные средства на указанный контракт

Типы распространенных уязвимостей

В процессе аудита смарт-контрактов наиболее распространенные типы уязвимостей включают:

1. Атака повторного входа ERC721/ERC1155
2. Логические уязвимости (например, отсутствие учета специальных сценариев, недостатки в проектировании функций)
3. Отсутствие аутентификации
4. Проблема манипуляции ценами

Использование уязвимостей и обнаружение аудита

На практике уязвимости, которые были использованы, в основном связаны с логическими ошибками в контрактах. Примечательно, что такие уязвимости могут быть обнаружены на этапе аудита с помощью профессиональных платформ формальной проверки смарт-контрактов и ручного аудита со стороны экспертов по безопасности.

Эксперты по безопасности после обнаружения уязвимостей обычно предоставляют подробные отчеты по безопасности и рекомендации по исправлению, предоставляя проектной стороне важные рекомендации.

Заключение

С развитием экосистемы Web3 вопросы безопасности становятся все более важными. Проектные команды должны уделять внимание аудиту безопасности смарт-контрактов и принимать многоуровневые меры защиты, чтобы снизить риск атак. В то же время, постоянное внимание к динамике безопасности в отрасли и своевременное обновление стратегий безопасности являются ключевыми для обеспечения безопасности проекта.