Аналіз безпекової ситуації Web3: аналіз методів атак хакерів у першій половині 2022 року
У першій половині 2022 року ситуація безпеки в сфері Web3 залишалася серйозною. Завдяки всебічному аналізу безпекових подій у блокчейні ми можемо глибше зрозуміти, які методи атаки зазвичай використовують хакери, а також як ефективно запобігати цим загрозам.
Загальна інформація про інциденти безпеки за перше півріччя
Згідно з даними платформи моніторингу безпеки блокчейн, у першій половині 2022 року сталося 42 основні випадки атак на контракти, що становить 53% від усіх способів атак. Загальні збитки від цих атак склали 644 мільйони доларів.
Серед усіх використаних уразливостей, логічні або функціональні помилки проектування є найчастіше використовуваними уразливостями хакерами, далі йдуть проблеми верифікації та повторних входів.
Аналіз випадків значних збитків
Атака на крос-чейн міст Wormhole
3 лютого 2022 року кросчейн-мост проекту Wormhole в екосистемі Solana зазнав атаки хакера, в результаті якої було втрачено близько 326 мільйонів доларів. Зловмисник скористався вразливістю в перевірці підпису в контракті, успішно підробивши системний обліковий запис для випуску великої кількості wETH.
Fei Protocol зазнав атаки повторного входу
30 квітня 2022 року Rari Fuse Pool протоколу Fei зазнав атаки з використанням флеш-кредитів у поєднанні з повторним введенням, що призвело до втрати 80,34 мільйона доларів. Ця атака завдала проекту смертельного удару, внаслідок чого 20 серпня проект оголосив про своє офіційне закриття.
Основні етапи атаки включають:
От Balancer взяти миттєвий кредит
Використання вразливості повторного входу в контракті cEther від Rari Capital для атаки
Через конструкцію функції атаки зворотного виклику, витягти всі токени з пулу
Повернення闪电贷 та переведення здобутків від атаки
Типи поширених уразливостей
Під час аудиту найпоширеніші вразливості в основному діляться на чотири категорії:
Реінвазійна атака ERC721/ERC1155: при використанні функцій безпечного переказу цих стандартів може бути активований шкідливий код у контракті отримувача, що призводить до реінвазійної атаки.
Логічна уразливість:
Недостатня увага до специфічних сценаріїв, таких як переказ грошей самому собі
Функціональний дизайн не завершений, наприклад, відсутні механізми виведення або розрахунку
Відсутність аутентифікації: ключові функції, такі як емісія монет, встановлення ролей тощо, не мають ефективного контролю доступу.
Маніпуляції з цінами:
Невикористана середня ціна з урахуванням часу
Прямо використовувати пропорцію залишку токенів у контракті як ціну
Рекомендації з запобігання вразливостям
Посилити аудит коду: за допомогою професійних платформ перевірки смарт-контрактів та ручного аудиту від експертів з безпеки можна виявити більшість потенційних вразливостей до запуску проєкту.
Дотримуйтесь стандартів безпечної розробки: суворо дотримуйтесь моделі перевірка-дія-інтеракція при проектуванні бізнес-функцій, щоб знизити ризик повторного входу.
Поліпшення управління правами: встановіть багатопідпис або механізм тайм-лок для ключових операцій.
Використовуйте надійні цінові оракули: застосовуйте обчислену за часом середню ціну, щоб уникнути легкого маніпулювання цінами.
Розгляд крайніх сценаріїв: при розробці логіки контракту ретельно враховуйте різні граничні ситуації та особливі сценарії.
Регулярний аудит безпеки: навіть для запущених проектів слід регулярно проводити оцінку безпеки та сканування на вразливості.
Завдяки вжиттю цих заходів, проекти Web3 можуть значно підвищити свою безпеку і знизити ризик нападів хакерів. Однак, з постійним розвитком технологій можуть з'являтися нові типи вразливостей, тому важливо залишатися насторожі та продовжувати навчання.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Ситуація з безпекою Web3 є серйозною: в першій половині 2022 року атаки на вразливості контрактів призвели до збитків у розмірі 644 мільйонів доларів.
Аналіз безпекової ситуації Web3: аналіз методів атак хакерів у першій половині 2022 року
У першій половині 2022 року ситуація безпеки в сфері Web3 залишалася серйозною. Завдяки всебічному аналізу безпекових подій у блокчейні ми можемо глибше зрозуміти, які методи атаки зазвичай використовують хакери, а також як ефективно запобігати цим загрозам.
Загальна інформація про інциденти безпеки за перше півріччя
Згідно з даними платформи моніторингу безпеки блокчейн, у першій половині 2022 року сталося 42 основні випадки атак на контракти, що становить 53% від усіх способів атак. Загальні збитки від цих атак склали 644 мільйони доларів.
Серед усіх використаних уразливостей, логічні або функціональні помилки проектування є найчастіше використовуваними уразливостями хакерами, далі йдуть проблеми верифікації та повторних входів.
Аналіз випадків значних збитків
Атака на крос-чейн міст Wormhole
3 лютого 2022 року кросчейн-мост проекту Wormhole в екосистемі Solana зазнав атаки хакера, в результаті якої було втрачено близько 326 мільйонів доларів. Зловмисник скористався вразливістю в перевірці підпису в контракті, успішно підробивши системний обліковий запис для випуску великої кількості wETH.
Fei Protocol зазнав атаки повторного входу
30 квітня 2022 року Rari Fuse Pool протоколу Fei зазнав атаки з використанням флеш-кредитів у поєднанні з повторним введенням, що призвело до втрати 80,34 мільйона доларів. Ця атака завдала проекту смертельного удару, внаслідок чого 20 серпня проект оголосив про своє офіційне закриття.
Основні етапи атаки включають:
Типи поширених уразливостей
Під час аудиту найпоширеніші вразливості в основному діляться на чотири категорії:
Рекомендації з запобігання вразливостям
Посилити аудит коду: за допомогою професійних платформ перевірки смарт-контрактів та ручного аудиту від експертів з безпеки можна виявити більшість потенційних вразливостей до запуску проєкту.
Дотримуйтесь стандартів безпечної розробки: суворо дотримуйтесь моделі перевірка-дія-інтеракція при проектуванні бізнес-функцій, щоб знизити ризик повторного входу.
Поліпшення управління правами: встановіть багатопідпис або механізм тайм-лок для ключових операцій.
Використовуйте надійні цінові оракули: застосовуйте обчислену за часом середню ціну, щоб уникнути легкого маніпулювання цінами.
Розгляд крайніх сценаріїв: при розробці логіки контракту ретельно враховуйте різні граничні ситуації та особливі сценарії.
Регулярний аудит безпеки: навіть для запущених проектів слід регулярно проводити оцінку безпеки та сканування на вразливості.
Завдяки вжиттю цих заходів, проекти Web3 можуть значно підвищити свою безпеку і знизити ризик нападів хакерів. Однак, з постійним розвитком технологій можуть з'являтися нові типи вразливостей, тому важливо залишатися насторожі та продовжувати навчання.