Аналіз поширених методів атак хакерів Web3: огляд першої половини 2022 року
У першій половині 2022 року у сфері Web3 часто траплялися інциденти безпеки, і методи атак хакерів постійно змінювалися. У цій статті буде детально проаналізовано поширені способи атак у цей період, щоб надати корисні рекомендації для галузі.
Загальний огляд інцидентів безпеки за перше півріччя
Згідно з даними платформи моніторингу безпеки блокчейнів, у першій половині 2022 року сталося 42 основних атак, спричинених вразливостями смарт-контрактів, що становить приблизно 53% від усіх способів атак. Загальні збитки від цих подій склали 644 мільйони доларів.
Серед усіх експлуатованих вразливостей логічні або функціональні недоліки є найчастіше використовуваними цілями хакерами, за ними йдуть проблеми з верифікацією та повторне входження.
Аналіз значних втрат
Міст Wormhole був атакований
3 лютого 2022 року кросчейн-мостовий проект екосистеми Solana Wormhole зазнав атаки хакера, внаслідок якої було втрачено приблизно 326 мільйонів доларів. Зловмисник скористався вразливістю перевірки підписів у контракті, успішно підробивши систему облікових записів для випуску великої кількості токенів wETH.
Fei Protocol зазнав атаки через флеш-кредит
30 квітня 2022 року пул Rari Fuse під управлінням Fei Protocol зазнав атаки з використанням флеш-кредитів у поєднанні з повторними атаками, що призвело до збитків у 80,34 мільйона доларів. Ця атака завдала проекту смертельного удару, в результаті чого Fei Protocol 20 серпня оголосив про офіційне закриття.
Зловмисники здійснили цю атаку наступними кроками:
Отримати флеш-кредит з протоколу Balancer
Використання запозичених коштів для заставного кредитування в Rari Capital
Через наявність у контракті cEther від Rari Capital вразливості повторного входу, зловмисник, сконструювавши функцію зворотного виклику, успішно витягнув усі токени з ураженого пулу.
Повернення блискавичного кредиту, прибуток буде переведено на вказаний контракт.
Цей напад викрав понад 28380 ETH, що становить приблизно 8034 мільйонів доларів США.
Поширені вразливості під час аудиту
Основні вразливості, які найчастіше виявляються під час аудиту смарт-контрактів, поділяються на чотири категорії:
Атака повторного входу ERC721/ERC1155: при використанні функцій безпечного переказу цих стандартів, якщо контракт отримувача містить шкідливий код, можлива атака повторного входу.
Логічні вади: включають недостатню увагу до спеціальних сценаріїв (наприклад, самопереказ, що призводить до виникнення грошей з нічого) та недосконалість функціонального дизайну (наприклад, відсутність механізму виведення або ліквідації).
Відсутність контролю доступу: ключові функції (такі як випуск монет, налаштування ролей тощо) не мають належної перевірки прав.
Ризик маніпуляції цінами: якщо не використовувати обчислений за часом середньозважений курс, або безпосередньо використовувати пропорцію залишку токенів у контракті як основу для ціни.
Використання вразливостей у реальних атаках
Згідно з даними моніторингу, виявлені під час аудиту вразливості майже всі були використані хакерами в реальних сценаріях, при цьому логічні вразливості контрактів залишаються основною ціллю атак.
Варто зазначити, що за допомогою професійної платформи формалізованої перевірки смарт-контрактів у поєднанні з ручним оглядом експертів з безпеки ці вразливості можуть бути виявлені на етапі аудиту. Експерти з безпеки також можуть надати відповідні рекомендації щодо виправлення після оцінки, що є важливим орієнтиром для проекту.
Висновок
З розвитком екосистеми Web3 безпекові проблеми стають все більш актуальними. Проектні команди повинні приділяти увагу безпеці аудиту смарт-контрактів, використовувати сучасні інструменти верифікації та поєднувати їх з ручним аудитом професійних команд, щоб максимально знизити ризики безпеки та забезпечити безпеку активів користувачів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Аналіз методів хакерських атак в Web3: огляд та аналіз безпекових інцидентів за перше півріччя 2022 року
Аналіз поширених методів атак хакерів Web3: огляд першої половини 2022 року
У першій половині 2022 року у сфері Web3 часто траплялися інциденти безпеки, і методи атак хакерів постійно змінювалися. У цій статті буде детально проаналізовано поширені способи атак у цей період, щоб надати корисні рекомендації для галузі.
Загальний огляд інцидентів безпеки за перше півріччя
Згідно з даними платформи моніторингу безпеки блокчейнів, у першій половині 2022 року сталося 42 основних атак, спричинених вразливостями смарт-контрактів, що становить приблизно 53% від усіх способів атак. Загальні збитки від цих подій склали 644 мільйони доларів.
Серед усіх експлуатованих вразливостей логічні або функціональні недоліки є найчастіше використовуваними цілями хакерами, за ними йдуть проблеми з верифікацією та повторне входження.
Аналіз значних втрат
Міст Wormhole був атакований
3 лютого 2022 року кросчейн-мостовий проект екосистеми Solana Wormhole зазнав атаки хакера, внаслідок якої було втрачено приблизно 326 мільйонів доларів. Зловмисник скористався вразливістю перевірки підписів у контракті, успішно підробивши систему облікових записів для випуску великої кількості токенів wETH.
Fei Protocol зазнав атаки через флеш-кредит
30 квітня 2022 року пул Rari Fuse під управлінням Fei Protocol зазнав атаки з використанням флеш-кредитів у поєднанні з повторними атаками, що призвело до збитків у 80,34 мільйона доларів. Ця атака завдала проекту смертельного удару, в результаті чого Fei Protocol 20 серпня оголосив про офіційне закриття.
Зловмисники здійснили цю атаку наступними кроками:
Цей напад викрав понад 28380 ETH, що становить приблизно 8034 мільйонів доларів США.
Поширені вразливості під час аудиту
Основні вразливості, які найчастіше виявляються під час аудиту смарт-контрактів, поділяються на чотири категорії:
Атака повторного входу ERC721/ERC1155: при використанні функцій безпечного переказу цих стандартів, якщо контракт отримувача містить шкідливий код, можлива атака повторного входу.
Логічні вади: включають недостатню увагу до спеціальних сценаріїв (наприклад, самопереказ, що призводить до виникнення грошей з нічого) та недосконалість функціонального дизайну (наприклад, відсутність механізму виведення або ліквідації).
Відсутність контролю доступу: ключові функції (такі як випуск монет, налаштування ролей тощо) не мають належної перевірки прав.
Ризик маніпуляції цінами: якщо не використовувати обчислений за часом середньозважений курс, або безпосередньо використовувати пропорцію залишку токенів у контракті як основу для ціни.
Використання вразливостей у реальних атаках
Згідно з даними моніторингу, виявлені під час аудиту вразливості майже всі були використані хакерами в реальних сценаріях, при цьому логічні вразливості контрактів залишаються основною ціллю атак.
Варто зазначити, що за допомогою професійної платформи формалізованої перевірки смарт-контрактів у поєднанні з ручним оглядом експертів з безпеки ці вразливості можуть бути виявлені на етапі аудиту. Експерти з безпеки також можуть надати відповідні рекомендації щодо виправлення після оцінки, що є важливим орієнтиром для проекту.
Висновок
З розвитком екосистеми Web3 безпекові проблеми стають все більш актуальними. Проектні команди повинні приділяти увагу безпеці аудиту смарт-контрактів, використовувати сучасні інструменти верифікації та поєднувати їх з ручним аудитом професійних команд, щоб максимально знизити ризики безпеки та забезпечити безпеку активів користувачів.