Анализ распространенных методов атак хакеров Web3: Обзор первой половины 2022 года
В первой половине 2022 года в области Web3 часто происходили инциденты безопасности, и методы атак Хакеров появлялись один за другим. В этой статье будет проведен глубокий анализ распространенных методов атак за этот период, с целью предоставления полезных рекомендаций для отрасли.
Обзор инцидентов безопасности за первое полугодие
Согласно данным одной платформы мониторинга безопасности блокчейна, в первой половине 2022 года произошло 42 основных инцидента атак, вызванных уязвимостями смарт-контрактов, что составляет примерно 53% от всех видов атак. Общие убытки от этих инцидентов составили 644 миллиона долларов.
Среди всех использованных уязвимостей логические или функциональные дефекты проектирования являются наиболее распространенной целью для Хакеров, за ними следуют проблемы валидации и уязвимости повторного входа.
Анализ событий с серьезными потерями
Мост Wormhole между цепочками подвергся атаке
3 февраля 2022 года проект кросс-чейн моста Wormhole в экосистеме Solana подвергся атаке Хакера, в результате чего было потеряно около 326 миллионов долларов. Злоумышленники использовали уязвимость в проверке подписи контракта, успешно подделав системный аккаунт для выпуска большого количества wETH токенов.
Протокол Fei подвергся атаке через молниеносный кредит
30 апреля 2022 года пул Rari Fuse, принадлежащий Fei Protocol, подвергся атаке с использованием флеш-займов и повторного входа, что привело к убыткам в размере 80,34 миллиона долларов. Эта атака нанесла смертельный удар по проекту, в результате чего Fei Protocol 20 августа объявил о своем официальном закрытии.
Атакующий осуществил эту атаку следующими шагами:
Получитьflash-займ от протокола Balancer
Использование заемных средств для залога и кредитования в Rari Capital
Из-за уязвимости повторного входа в контракт cEther Rari Capital, злоумышленник, построив обратный вызов, успешно извлек все токены из затронутого пула.
Возврат闪电贷, прибыль будет переведена на указанный контракт
В этой атаке было украдено более 28380 ETH, что составляет около 8034 миллионов долларов.
Распространенные уязвимости в процессе аудита
Наиболее часто встречаемые уязвимости в аудите смарт-контрактов делятся на четыре категории:
Атака повторного входа ERC721/ERC1155: при использовании безопасных функций перевода этих стандартов, если в контракте получателя содержится вредоносный код, это может привести к атаке повторного входа.
Логические уязвимости: включают в себя недостаточное внимание к специальным сценариям (например, самопереводы, приводящие к появлению средств из ниоткуда) и недостатки в проектировании функций (например, отсутствие механизмов вывода или расчета).
Отсутствие контроля доступа: ключевые функции (например, создание монет, настройка ролей и т.д.) не имеют соответствующей проверки прав.
Риск манипуляции ценами: если не используется взвешенная по времени средняя цена или напрямую используется пропорция баланса токенов в контракте в качестве ценового основания.
Использование уязвимостей в реальных атаках
Согласно данным мониторинга, уязвимости, выявленные в ходе аудита, почти все были использованы Хакерами в реальных сценариях, при этом логические уязвимости контрактов по-прежнему остаются основной целью атак.
Важно отметить, что с помощью профессиональной платформы формальной верификации смарт-контрактов в сочетании с ручной проверкой безопасности экспертов, эти уязвимости могут быть обнаружены на этапе аудита. Эксперты по безопасности также могут предоставить соответствующие рекомендации по исправлению после оценки, что является важной справкой для команды проекта.
Заключение
С быстрым развитием экосистемы Web3 проблемы безопасности становятся все более очевидными. Проектные команды должны уделять внимание безопасности аудита смарт-контрактов, применять современные инструменты верификации и сочетать их с ручной проверкой профессиональных команд, чтобы минимизировать риски безопасности и обеспечить безопасность активов пользователей.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Анализ методов атак Хакеров в Web3: Обзор и анализ инцидентов безопасности за первое полугодие 2022 года
Анализ распространенных методов атак хакеров Web3: Обзор первой половины 2022 года
В первой половине 2022 года в области Web3 часто происходили инциденты безопасности, и методы атак Хакеров появлялись один за другим. В этой статье будет проведен глубокий анализ распространенных методов атак за этот период, с целью предоставления полезных рекомендаций для отрасли.
Обзор инцидентов безопасности за первое полугодие
Согласно данным одной платформы мониторинга безопасности блокчейна, в первой половине 2022 года произошло 42 основных инцидента атак, вызванных уязвимостями смарт-контрактов, что составляет примерно 53% от всех видов атак. Общие убытки от этих инцидентов составили 644 миллиона долларов.
Среди всех использованных уязвимостей логические или функциональные дефекты проектирования являются наиболее распространенной целью для Хакеров, за ними следуют проблемы валидации и уязвимости повторного входа.
Анализ событий с серьезными потерями
Мост Wormhole между цепочками подвергся атаке
3 февраля 2022 года проект кросс-чейн моста Wormhole в экосистеме Solana подвергся атаке Хакера, в результате чего было потеряно около 326 миллионов долларов. Злоумышленники использовали уязвимость в проверке подписи контракта, успешно подделав системный аккаунт для выпуска большого количества wETH токенов.
Протокол Fei подвергся атаке через молниеносный кредит
30 апреля 2022 года пул Rari Fuse, принадлежащий Fei Protocol, подвергся атаке с использованием флеш-займов и повторного входа, что привело к убыткам в размере 80,34 миллиона долларов. Эта атака нанесла смертельный удар по проекту, в результате чего Fei Protocol 20 августа объявил о своем официальном закрытии.
Атакующий осуществил эту атаку следующими шагами:
В этой атаке было украдено более 28380 ETH, что составляет около 8034 миллионов долларов.
Распространенные уязвимости в процессе аудита
Наиболее часто встречаемые уязвимости в аудите смарт-контрактов делятся на четыре категории:
Атака повторного входа ERC721/ERC1155: при использовании безопасных функций перевода этих стандартов, если в контракте получателя содержится вредоносный код, это может привести к атаке повторного входа.
Логические уязвимости: включают в себя недостаточное внимание к специальным сценариям (например, самопереводы, приводящие к появлению средств из ниоткуда) и недостатки в проектировании функций (например, отсутствие механизмов вывода или расчета).
Отсутствие контроля доступа: ключевые функции (например, создание монет, настройка ролей и т.д.) не имеют соответствующей проверки прав.
Риск манипуляции ценами: если не используется взвешенная по времени средняя цена или напрямую используется пропорция баланса токенов в контракте в качестве ценового основания.
Использование уязвимостей в реальных атаках
Согласно данным мониторинга, уязвимости, выявленные в ходе аудита, почти все были использованы Хакерами в реальных сценариях, при этом логические уязвимости контрактов по-прежнему остаются основной целью атак.
Важно отметить, что с помощью профессиональной платформы формальной верификации смарт-контрактов в сочетании с ручной проверкой безопасности экспертов, эти уязвимости могут быть обнаружены на этапе аудита. Эксперты по безопасности также могут предоставить соответствующие рекомендации по исправлению после оценки, что является важной справкой для команды проекта.
Заключение
С быстрым развитием экосистемы Web3 проблемы безопасности становятся все более очевидными. Проектные команды должны уделять внимание безопасности аудита смарт-контрактов, применять современные инструменты верификации и сочетать их с ручной проверкой профессиональных команд, чтобы минимизировать риски безопасности и обеспечить безопасность активов пользователей.