Web3 безпекове попередження: у першій половині 2022 року вразливості контрактів призвели до втрат у 644 мільйони доларів США. Аналіз стратегій запобігання.
Аналіз методів хакерських атак у Web3: поширені способи атак та стратегії запобігання у першій половині 2022 року
У першій половині 2022 року безпекова ситуація у сфері Web3 не викликала оптимізму. Дані свідчать, що лише через вразливості в контрактах сталося 42 значні атаки, загальні втрати склали 644 мільйони доларів. У цих атаках логічні або функціональні дефекти проектування були найчастіше використовуваними вразливостями хакерами, а також проблеми з верифікацією та повторними вхідними вразливостями.
Огляд подій значних збитків
3 лютого певний кросчейн міст проект зазнав атаки, в результаті якої було втрачено близько 3,26 мільярда доларів. Хакер скористався вразливістю перевірки підпису в контракті, успішно підробивши обліковий запис для випуску токенів.
30 квітня певний кредитний протокол зазнав атаки з використанням миттєвих кредитів та повторних входів, внаслідок чого було втрачено 80,34 мільйона доларів. Ця атака завдала проекту смертельного удару, що врешті-решт призвело до оголошення про закриття проекту 20 серпня.
Аналіз випадків атак
В якості прикладу атаки на вище згадану угоду про позики, зловмисник в основному використовував наступні кроки:
Взяти миттєвий кредит з певного фонду
Використання вразливості повторного входу в контракті платформи кредитування для забезпечення кредитування
Через побудовану атакувальну функцію, витягти всі токени з пулу
Повернення闪电贷, переказ прибутку
Ця атака в основному використовувала уразливість повторного входу в контракті, реалізовану на певній платформі кредитування, внаслідок чого було завдано збитків на понад 28380 ETH (приблизно 8034 мільйони доларів США).
Типи поширених вразливостей
Найпоширеніші вразливості під час аудиту можна поділити на чотири основні категорії:
Атака повторного входу ERC721/ERC1155
Логічні вразливості (недостатній розгляд спеціальних випадків, недосконалість функціонального дизайну)
Відсутність автентифікації
Маніпуляція цінами
Реально використані вразливості та виявлення під час аудиту
У фактичних атаках логічні вразливості контрактів все ще є основним типом, що використовується. Варто зазначити, що ці вразливості, як правило, можна виявити на етапі аудиту за допомогою платформи формальної верифікації смарт-контрактів та експертного ручного перегляду.
Рекомендації щодо запобігання
Посилити логіку проектування контрактів, зокрема звернути увагу на обробку спеціальних сценаріїв
Строго дотримуйтесь моделі перевірка-дія-взаємодія, щоб запобігти атакам повторного входу.
Удосконалення механізму аутентифікації, особливо контролю доступу до ключових функцій
Використовуйте надійні цінові оракули, щоб уникнути маніпуляцій з цінами
Регулярно проводити аудит безпеки, своєчасно усувати виявлені вразливості
Завдяки постійному моніторингу безпекової ситуації та впровадженню комплексних заходів захисту, проекти Web3 можуть значно підвищити безпеку та знизити ризик атак.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
7 лайків
Нагородити
7
2
Поділіться
Прокоментувати
0/400
RegenRestorer
· 07-07 15:20
Ха-ха, всі вкрали, і навіть не знаю, хто це.
Переглянути оригіналвідповісти на0
BearMarketSurvivor
· 07-07 15:11
Старі солдати обов'язково проходять через бурі, це лише випробування.
Web3 безпекове попередження: у першій половині 2022 року вразливості контрактів призвели до втрат у 644 мільйони доларів США. Аналіз стратегій запобігання.
Аналіз методів хакерських атак у Web3: поширені способи атак та стратегії запобігання у першій половині 2022 року
У першій половині 2022 року безпекова ситуація у сфері Web3 не викликала оптимізму. Дані свідчать, що лише через вразливості в контрактах сталося 42 значні атаки, загальні втрати склали 644 мільйони доларів. У цих атаках логічні або функціональні дефекти проектування були найчастіше використовуваними вразливостями хакерами, а також проблеми з верифікацією та повторними вхідними вразливостями.
Огляд подій значних збитків
3 лютого певний кросчейн міст проект зазнав атаки, в результаті якої було втрачено близько 3,26 мільярда доларів. Хакер скористався вразливістю перевірки підпису в контракті, успішно підробивши обліковий запис для випуску токенів.
30 квітня певний кредитний протокол зазнав атаки з використанням миттєвих кредитів та повторних входів, внаслідок чого було втрачено 80,34 мільйона доларів. Ця атака завдала проекту смертельного удару, що врешті-решт призвело до оголошення про закриття проекту 20 серпня.
Аналіз випадків атак
В якості прикладу атаки на вище згадану угоду про позики, зловмисник в основному використовував наступні кроки:
Ця атака в основному використовувала уразливість повторного входу в контракті, реалізовану на певній платформі кредитування, внаслідок чого було завдано збитків на понад 28380 ETH (приблизно 8034 мільйони доларів США).
Типи поширених вразливостей
Найпоширеніші вразливості під час аудиту можна поділити на чотири основні категорії:
Реально використані вразливості та виявлення під час аудиту
У фактичних атаках логічні вразливості контрактів все ще є основним типом, що використовується. Варто зазначити, що ці вразливості, як правило, можна виявити на етапі аудиту за допомогою платформи формальної верифікації смарт-контрактів та експертного ручного перегляду.
Рекомендації щодо запобігання
Завдяки постійному моніторингу безпекової ситуації та впровадженню комплексних заходів захисту, проекти Web3 можуть значно підвищити безпеку та знизити ризик атак.