Аналіз поширених методів атак хакерів Web3: Тлумачення безпекової ситуації за перше півріччя 2022 року
У першій половині 2022 року ситуація з безпекою у сфері Web3 не викликала оптимізму. Згідно з даними моніторингу платформи спостереження за блокчейном, відбулося 42 основних випадки атак на вразливості контрактів, що призвели до збитків на суму до 644 мільйонів доларів. У цих атаках використання вразливостей контрактів становило понад половину, ставши найулюбленішим методом хакерів.
Аналіз основних типів атак
Серед усіх використаних вразливостей логічні або функціональні недоліки дизайну є найчастіше використовуваними цілями хакерами. Далі йдуть проблеми верифікації та вразливості повторного входу. Ці вразливості не тільки часто виникають, але й зазвичай призводять до величезних втрат.
Наприклад, у лютому 2022 року кросчейн-міст проекту Wormhole в екосистемі Solana зазнав атаки, внаслідок якої було втрачено до 326 мільйонів доларів. Зловмисник скористався вразливістю верифікації підпису в контракті, успішно підробивши системний рахунок для карбування великої кількості wETH.
Ще одна значна подія сталася в кінці квітня, коли пул Rari Fuse під брендом Fei Protocol зазнав атаки, що поєднувала миттєвий кредит і повторний вхід, завдавши збитків у розмірі 80,34 мільйона доларів. Ця атака завдала проекту смертельного удару, в результаті чого проект у серпні оголосив про закриття.
Глибокий аналіз випадків атак на Fei Protocol
Атакуюча сторона спочатку отримала миттєвий кредит від Balancer, а потім використала ці кошти для заставного кредитування в Rari Capital. Оскільки в контракті реалізації cEther в Rari Capital існує вразливість повторного входу, атакуючий, завдяки ретельно сконструйованій функції зворотного виклику, успішно вилучив усі токени з ураженого пулу.
Процес атаки в цілому виглядає так:
Отримати闪电贷 від Balancer
Використання позикових коштів для операцій на Rari Capital, що викликає вразливість повторного входу
Шляхом атаки на певні функції в контракті повторно витягувати токени з пулу
Повернення блискавичного кредиту, переказ прибутку на вказаний контракт
Ця атака врешті-решт призвела до викрадення понад 28380 ETH (близько 8034 мільйонів доларів).
Поширені типи вразливостей
У процесі аудиту смарт-контрактів найпоширенішими типами вразливостей є:
ERC721/ERC1155 повторний напад: включає в себе зловживання викликами функцій зворотного виклику в стандартах.
Логічні вразливості: включають недостатнє врахування спеціальних сценаріїв та недосконалість функціонального дизайну.
Відсутність автентифікації: ключові функції не мають ефективного контролю доступу.
Маніпуляція цінами: неналежне використання оракула або дефекти в методах розрахунку цін.
Ці вразливості не лише часто з'являються під час аудиту, але й є найчастіше використовуваними слабкостями під час реальних атак. Серед них логічні вразливості контрактів залишаються найулюбленішими цілями для хакерів.
Рекомендації щодо запобігання
Для підвищення безпеки смарт-контрактів рекомендується, щоб проектні команди вжили такі заходи:
Провести повну формальну перевірку та ручний аудит
Особлива увага до контрактних дій у специфічних ситуаціях
Удосконалення дизайну функцій контракту, особливо в частині, що стосується операцій з фінансами.
Строго впроваджувати механізми контролю доступу
Використання надійних цінових оракулів, уникати використання простого співвідношення залишків як цінового підґрунтя
Завдяки професійним платформам з аудиту безпеки та верифікації, в поєднанні з ручним перевіркою експертів з безпеки, більшість уразливостей можна виявити та виправити до запуску проєкту. Це не лише суттєво знижує ризики проєкту, але також сприяє здоровому розвитку всієї екосистеми Web3.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Web3 безпека під загрозою: за перше півріччя сталося 42 атаки, які спричинили збитки в 644 мільйони доларів.
Аналіз поширених методів атак хакерів Web3: Тлумачення безпекової ситуації за перше півріччя 2022 року
У першій половині 2022 року ситуація з безпекою у сфері Web3 не викликала оптимізму. Згідно з даними моніторингу платформи спостереження за блокчейном, відбулося 42 основних випадки атак на вразливості контрактів, що призвели до збитків на суму до 644 мільйонів доларів. У цих атаках використання вразливостей контрактів становило понад половину, ставши найулюбленішим методом хакерів.
Аналіз основних типів атак
Серед усіх використаних вразливостей логічні або функціональні недоліки дизайну є найчастіше використовуваними цілями хакерами. Далі йдуть проблеми верифікації та вразливості повторного входу. Ці вразливості не тільки часто виникають, але й зазвичай призводять до величезних втрат.
Наприклад, у лютому 2022 року кросчейн-міст проекту Wormhole в екосистемі Solana зазнав атаки, внаслідок якої було втрачено до 326 мільйонів доларів. Зловмисник скористався вразливістю верифікації підпису в контракті, успішно підробивши системний рахунок для карбування великої кількості wETH.
Ще одна значна подія сталася в кінці квітня, коли пул Rari Fuse під брендом Fei Protocol зазнав атаки, що поєднувала миттєвий кредит і повторний вхід, завдавши збитків у розмірі 80,34 мільйона доларів. Ця атака завдала проекту смертельного удару, в результаті чого проект у серпні оголосив про закриття.
Глибокий аналіз випадків атак на Fei Protocol
Атакуюча сторона спочатку отримала миттєвий кредит від Balancer, а потім використала ці кошти для заставного кредитування в Rari Capital. Оскільки в контракті реалізації cEther в Rari Capital існує вразливість повторного входу, атакуючий, завдяки ретельно сконструйованій функції зворотного виклику, успішно вилучив усі токени з ураженого пулу.
Процес атаки в цілому виглядає так:
Ця атака врешті-решт призвела до викрадення понад 28380 ETH (близько 8034 мільйонів доларів).
Поширені типи вразливостей
У процесі аудиту смарт-контрактів найпоширенішими типами вразливостей є:
Ці вразливості не лише часто з'являються під час аудиту, але й є найчастіше використовуваними слабкостями під час реальних атак. Серед них логічні вразливості контрактів залишаються найулюбленішими цілями для хакерів.
Рекомендації щодо запобігання
Для підвищення безпеки смарт-контрактів рекомендується, щоб проектні команди вжили такі заходи:
Завдяки професійним платформам з аудиту безпеки та верифікації, в поєднанні з ручним перевіркою експертів з безпеки, більшість уразливостей можна виявити та виправити до запуску проєкту. Це не лише суттєво знижує ризики проєкту, але також сприяє здоровому розвитку всієї екосистеми Web3.