Анализ ситуации безопасности Web3: Анализ методов атак хакеров в первой половине 2022 года
В первой половине 2022 года ситуация с безопасностью в области Web3 по-прежнему остается серьезной. Проведя всесторонний анализ инцидентов безопасности в блокчейне, мы можем глубже понять распространенные методы атаки Хакеров и способы эффективной защиты от этих угроз.
Обзор инцидентов безопасности за первое полугодие
Согласно данным одной из платформ мониторинга безопасности блокчейна, в первой половине 2022 года произошло 42 основных инцидента атак на контракты, что составляет 53% от всех видов атак. Общие убытки от этих атак достигли 644 миллиона долларов.
Среди всех использованных уязвимостей наибольшее количество атак происходит через логические ошибки или неправильное проектирование функций, за которыми следуют проблемы валидации и уязвимости повторного входа.
Анализ случаев значительных потерь
Событие атаки на мост Wormhole
3 февраля 2022 года проект кросс-цепного моста Wormhole в экосистеме Solana стал жертвой Хакера, понесшего убытки в размере около 326 миллионов долларов. Злоумышленник воспользовался уязвимостью в проверке подписи контракта и успешно подделал системный аккаунт для выпуска большого количества wETH.
Протокол Fei подвергся атаке повторного входа
30 апреля 2022 года пул Rari Fuse протокола Fei стал жертвой атаки с использованием флеш-кредита и повторного входа, что привело к убыткам в 80,34 миллиона долларов. Эта атака нанесла проекту смертельный удар, в результате чего проект 20 августа объявил о своем официальном закрытии.
Основные шаги атакующего включают:
Получить флеш-кредит от Balancer
Использовать уязвимость повторного входа в контракте cEther от Rari Capital для атаки
С помощью конструкции функции атаки обратного вызова извлечь все токены из пула
Возврат闪电贷 и передача средств от атаки
Распространенные типы уязвимостей
Наиболее распространенные уязвимости в процессе аудита делятся на четыре категории:
Ретрансляционная атака ERC721/ERC1155: при использовании безопасных функций передачи этих стандартов может быть вызвано злонамеренный код в контракте получателя, что приведет к ретрансляционной атаке.
Логическая уязвимость:
Недостаточное внимание к особым ситуациям, таким как перевод средств самому себе.
Функциональный дизайн не доработан, например, отсутствует механизм извлечения или расчетов
Отсутствие авторизации: ключевые функции, такие как создание монет, установка ролей и т.д., не имеют эффективного контроля доступа.
Манипуляция ценами:
Неиспользованная взвешенная по времени средняя цена
Непосредственно использовать пропорцию баланса токена в контракте в качестве цены
Рекомендации по предотвращению уязвимостей
Укрепление аудита кода: с помощью профессиональных платформ верификации смарт-контрактов и ручного аудита со стороны экспертов по безопасности можно выявить большинство потенциальных уязвимостей до запуска проекта.
Соблюдайте нормы безопасной разработки: строго следуйте модели проверки - активации - взаимодействия при проектировании бизнес-функций, чтобы снизить риск повторного входа.
Совершенствование управления правами: установить многоуровенные подписи или механизмы временной блокировки для ключевых операций.
Используйте надежные ценовые оракулы: применяйте средневзвешенную цену за время, чтобы избежать легкого манипулирования ценами.
Рассмотрение крайних сценариев: при проектировании логики контракта учитывайте различные пограничные случаи и специальные сценарии.
Регулярный аудит безопасности: даже для уже запущенных проектов необходимо регулярно проводить оценку безопасности и сканирование на уязвимости.
Принимая эти меры, проекты Web3 могут значительно повысить свою безопасность и снизить риск атак со стороны хакеров. Однако с постоянным развитием технологий могут появляться новые типы уязвимостей, поэтому крайне важно сохранять бдительность и постоянно обучаться.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Ситуация с безопасностью Web3 серьезная: атаки на уязвимости контрактов в первой половине 2022 года привели к потерям в 644 миллиона долларов.
Анализ ситуации безопасности Web3: Анализ методов атак хакеров в первой половине 2022 года
В первой половине 2022 года ситуация с безопасностью в области Web3 по-прежнему остается серьезной. Проведя всесторонний анализ инцидентов безопасности в блокчейне, мы можем глубже понять распространенные методы атаки Хакеров и способы эффективной защиты от этих угроз.
Обзор инцидентов безопасности за первое полугодие
Согласно данным одной из платформ мониторинга безопасности блокчейна, в первой половине 2022 года произошло 42 основных инцидента атак на контракты, что составляет 53% от всех видов атак. Общие убытки от этих атак достигли 644 миллиона долларов.
Среди всех использованных уязвимостей наибольшее количество атак происходит через логические ошибки или неправильное проектирование функций, за которыми следуют проблемы валидации и уязвимости повторного входа.
Анализ случаев значительных потерь
Событие атаки на мост Wormhole
3 февраля 2022 года проект кросс-цепного моста Wormhole в экосистеме Solana стал жертвой Хакера, понесшего убытки в размере около 326 миллионов долларов. Злоумышленник воспользовался уязвимостью в проверке подписи контракта и успешно подделал системный аккаунт для выпуска большого количества wETH.
Протокол Fei подвергся атаке повторного входа
30 апреля 2022 года пул Rari Fuse протокола Fei стал жертвой атаки с использованием флеш-кредита и повторного входа, что привело к убыткам в 80,34 миллиона долларов. Эта атака нанесла проекту смертельный удар, в результате чего проект 20 августа объявил о своем официальном закрытии.
Основные шаги атакующего включают:
Распространенные типы уязвимостей
Наиболее распространенные уязвимости в процессе аудита делятся на четыре категории:
Рекомендации по предотвращению уязвимостей
Укрепление аудита кода: с помощью профессиональных платформ верификации смарт-контрактов и ручного аудита со стороны экспертов по безопасности можно выявить большинство потенциальных уязвимостей до запуска проекта.
Соблюдайте нормы безопасной разработки: строго следуйте модели проверки - активации - взаимодействия при проектировании бизнес-функций, чтобы снизить риск повторного входа.
Совершенствование управления правами: установить многоуровенные подписи или механизмы временной блокировки для ключевых операций.
Используйте надежные ценовые оракулы: применяйте средневзвешенную цену за время, чтобы избежать легкого манипулирования ценами.
Рассмотрение крайних сценариев: при проектировании логики контракта учитывайте различные пограничные случаи и специальные сценарии.
Регулярный аудит безопасности: даже для уже запущенных проектов необходимо регулярно проводить оценку безопасности и сканирование на уязвимости.
Принимая эти меры, проекты Web3 могут значительно повысить свою безопасность и снизить риск атак со стороны хакеров. Однако с постоянным развитием технологий могут появляться новые типы уязвимостей, поэтому крайне важно сохранять бдительность и постоянно обучаться.