Анализ распространенных атак хакеров в Web3: интерпретация безопасности за первую половину 2022 года
В первой половине 2022 года ситуация с безопасностью в области Web3 оставляет желать лучшего. Согласно данным мониторинга платформы по анализу ситуации в блокчейне, произошло 42 крупных инцидента с уязвимостями контрактов, что привело к убыткам в размере до 644 миллионов долларов. В этих атаках более половины случаев были связаны с использованием уязвимостей контрактов, что стало самым популярным методом среди хакеров.
Анализ основных типов атак
Среди всех уязвимостей, которые были использованы, логические или функциональные дефекты проектирования являются наиболее распространенными целями для Хакеров. На втором месте стоят проблемы валидации и уязвимости повторного входа. Эти уязвимости не только часто возникают, но и зачастую приводят к значительным потерям.
Например, в феврале 2022 года проект кроссчейн-моста Wormhole в экосистеме Solana подвергся атаке, в результате которой было потеряно до 326 миллионов долларов. Хакеры воспользовались уязвимостью проверки подписи в контракте, успешно подделав системный аккаунт для эмиссии большого количества wETH.
Еще одно значительное событие произошло в конце апреля, когда пул Rari Fuse под управлением Fei Protocol подвергся атаке с использованием флэш-кредита и повторного входа, в результате чего был нанесен ущерб на сумму 80,34 миллиона долларов. Эта атака нанесла смертельный удар по проекту, в результате чего в августе было объявлено о закрытии проекта.
Глубокий анализ случая атаки на протокол Fei
Атакующий сначала получает флеш-займ от Balancer, а затем использует эти средства для залога и займа в Rari Capital. Поскольку в контракте cEther Rari Capital существует уязвимость повторного входа, атакующий с помощью тщательно сконструированной функции обратного вызова успешно извлекает все токены из затронутого пула.
Процесс атаки в общем выглядит следующим образом:
Получить флеш-кредит от Balancer
Используйте заемные средства для операций в Rari Capital, чтобы вызвать уязвимость повторного входа.
Путем атаки на определенные функции контракта, многократно извлекаются токены из пула.
Возврат闪电贷, прибыль будет переведена на указанный контракт
Эта атака в конечном итоге привела к краже более 28380 ETH (примерно 8034 миллиона долларов США).
В процессе аудита смарт-контрактов наиболее распространенные типы уязвимостей включают в себя:
Атака повторного входа ERC721/ERC1155: включает злонамеренное использование обратных вызовов в стандарте.
Логические уязвимости: включают недостаточное внимание к специальным сценариям и несовершенство функционального дизайна.
Отсутствие аутентификации: ключевые функции лишены эффективного контроля доступа.
Манипуляция ценами: неправильное использование оракула или наличие дефектов в методах расчета цен.
Эти уязвимости не только часто встречаются во время аудита, но и являются наиболее используемыми слабостями в реальных атаках. Среди них логические уязвимости контрактов по-прежнему остаются наиболее предпочтительной целью для Хакеров.
Рекомендации по предотвращению
Для повышения безопасности смарт-контрактов рекомендуется, чтобы проектные группы приняли следующие меры:
Проведение комплексной формальной верификации и ручного аудита
Особое внимание к контрактным действиям в особых ситуациях
Совершенствование проектирования функций контракта, особенно в части, касающейся операций с финансами.
Строгое соблюдение механизма контроля доступа
Используйте надежные ценовые оракулы, избегая использования простого соотношения баланса в качестве основы для цены.
С помощью профессиональной платформы по аудиту безопасности и верификации, в сочетании с ручной проверкой специалистов по безопасности, большинство уязвимостей можно обнаружить и исправить до запуска проекта. Это не только эффективно снижает риски проекта, но и способствует здоровому развитию всей экосистемы Web3.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Web3 безопасность под угрозой: в первой половине года произошло 42 атаки, которые привели к убыткам в 644 миллиона долларов.
Анализ распространенных атак хакеров в Web3: интерпретация безопасности за первую половину 2022 года
В первой половине 2022 года ситуация с безопасностью в области Web3 оставляет желать лучшего. Согласно данным мониторинга платформы по анализу ситуации в блокчейне, произошло 42 крупных инцидента с уязвимостями контрактов, что привело к убыткам в размере до 644 миллионов долларов. В этих атаках более половины случаев были связаны с использованием уязвимостей контрактов, что стало самым популярным методом среди хакеров.
Анализ основных типов атак
Среди всех уязвимостей, которые были использованы, логические или функциональные дефекты проектирования являются наиболее распространенными целями для Хакеров. На втором месте стоят проблемы валидации и уязвимости повторного входа. Эти уязвимости не только часто возникают, но и зачастую приводят к значительным потерям.
! Демонтаж «анонимной» рутины: каковы распространенные методы атак хакеров Web3 в первой половине 2022 года?
Например, в феврале 2022 года проект кроссчейн-моста Wormhole в экосистеме Solana подвергся атаке, в результате которой было потеряно до 326 миллионов долларов. Хакеры воспользовались уязвимостью проверки подписи в контракте, успешно подделав системный аккаунт для эмиссии большого количества wETH.
Еще одно значительное событие произошло в конце апреля, когда пул Rari Fuse под управлением Fei Protocol подвергся атаке с использованием флэш-кредита и повторного входа, в результате чего был нанесен ущерб на сумму 80,34 миллиона долларов. Эта атака нанесла смертельный удар по проекту, в результате чего в августе было объявлено о закрытии проекта.
Глубокий анализ случая атаки на протокол Fei
Атакующий сначала получает флеш-займ от Balancer, а затем использует эти средства для залога и займа в Rari Capital. Поскольку в контракте cEther Rari Capital существует уязвимость повторного входа, атакующий с помощью тщательно сконструированной функции обратного вызова успешно извлекает все токены из затронутого пула.
Процесс атаки в общем выглядит следующим образом:
Эта атака в конечном итоге привела к краже более 28380 ETH (примерно 8034 миллиона долларов США).
! Демонтаж «анонимной» рутины: каковы распространенные методы атак хакеров Web3 в первой половине 2022 года?
Типы распространённых уязвимостей
В процессе аудита смарт-контрактов наиболее распространенные типы уязвимостей включают в себя:
Эти уязвимости не только часто встречаются во время аудита, но и являются наиболее используемыми слабостями в реальных атаках. Среди них логические уязвимости контрактов по-прежнему остаются наиболее предпочтительной целью для Хакеров.
Рекомендации по предотвращению
Для повышения безопасности смарт-контрактов рекомендуется, чтобы проектные группы приняли следующие меры:
С помощью профессиональной платформы по аудиту безопасности и верификации, в сочетании с ручной проверкой специалистов по безопасности, большинство уязвимостей можно обнаружить и исправить до запуска проекта. Это не только эффективно снижает риски проекта, но и способствует здоровому развитию всей экосистемы Web3.