Аналіз поширених методів атак хакерів Web3: Звіт про безпеку за першу половину 2022 року

У першій половині 2022 року в сфері Web3 часто траплялися інциденти безпеки, методи атак Хакерів з'являлися одне за іншим. Згідно з останнім опублікованим звітом про безпекову ситуацію, ми провели глибокий аналіз основних методів атак цього періоду, сподіваючись надати галузі посилання та попередження.

Загальний огляд атак на вразливості

Дані показують, що в першій половині 2022 року сталося 42 основних випадки атак на контракти, що призвело до загальних втрат у 6,44 мільярда доларів США. Серед усіх методів атак використання вразливостей контрактів становить 53%. Серед них логічні або функціональні помилки проектування є найбільш поширеним типом вразливостей, які використовують хакери, далі йдуть проблеми з верифікацією та вразливості повторного входу.

Аналіз випадків значних втрат

1. Атака на кросчейн-мост Wormhole: 3 лютого 2022 року хакер використав вразливість перевірки підписів для підробки акаунтів та випуску wETH, що призвело до збитків приблизно в 326 мільйонів доларів.

2. Протокол Fei зазнав атаки: 30 квітня 2022 року пул Rari Fuse зазнав атаки з використанням флеш-кредитів, що призвело до збитків у розмірі 80,34 млн доларів. Ця подія зрештою призвела до оголошення про закриття проекту 20 серпня.

Деталі атаки на Fei Protocol

Зловмисник скористався вразливістю повторного входу в контракті cEther Rari Capital, реалізувавши атаку за такими кроками:

1. З Balancer: Vault здійснити миттєвий кредит
2. Використання позичених коштів для заставного кредитування в Rari Capital
3. Через атаку на зворотню функцію в контракті, витягнути всі токени з ураженого пулу.
4. Повернення флеш-кредиту, передача отриманих від атак коштів на вказаний контракт

Типи поширених вразливостей

У процесі аудиту смарт-контрактів найпоширенішими типами вразливостей є:

1. Атака повторного входу ERC721/ERC1155
2. Логічні вади (наприклад, відсутність врахування спеціальних сценаріїв, неповнота проектування функцій)
3. Відсутність автентифікації
4. Проблема маніпуляції цінами

Використання вразливостей та виявлення аудитом

Серед фактично використаних вразливостей логічні вразливості контрактів залишаються основною частиною. Варто зазначити, що ці вразливості можуть бути виявлені на етапі аудиту за допомогою професійних платформ формальної верифікації смарт-контрактів та ручного аудиту експертів з безпеки.

Експерти з безпеки, виявивши вразливості, зазвичай надають детальний звіт про оцінку безпеки та рекомендації щодо виправлення, що є важливим орієнтиром для команди проекту.

Висновок

З розвитком екосистеми Web3 проблеми безпеки стають все більш важливими. Команди проектів повинні приділяти увагу безпеці аудиту смарт-контрактів, вживаючи багаторазових заходів захисту для зменшення ризику атак. Крім того, постійний моніторинг динаміки безпеки в галузі та своєчасне оновлення стратегій безпеки є ключовими для забезпечення безпеки проекту.