Web3 Hacker'ların Sıkça Kullandığı Saldırı Yöntemleri Analizi: 2022 İlk Yarısında Güvenlik Durumunun Değerlendirilmesi
2022 yılının ilk yarısında, Web3 alanındaki güvenlik durumu iç açıcı değil. Blockchain durum farkındalığı platformunun izleme verilerine göre, toplamda 42 önemli sözleşme açığı saldırı olayı meydana geldi ve bu da 6.44 milyon dolara kadar kayıplara yol açtı. Bu saldırıların yarısından fazlasında sözleşme açıkları kullanıldı ve bu, hackerların en çok tercih ettiği yöntem haline geldi.
Ana Saldırı Türleri Analizi
Kullanılan tüm açıklar arasında, mantıksal veya fonksiyon tasarımı hataları, hackerların en sık hedef aldığı konulardır. İkinci sırada doğrulama sorunları ve tekrar giriş açıkları yer almaktadır. Bu açıklar yalnızca sıkça ortaya çıkmakla kalmaz, aynı zamanda genellikle büyük kayıplara yol açar.
Örneğin, 2022 Şubat ayında, Solana ekosistemindeki çok zincirli köprü projesi Wormhole saldırıya uğradı ve kayıplar 326 milyon dolara kadar ulaştı. Saldırganlar, sözleşmedeki imza doğrulama açığını kullanarak sistem hesaplarını sahte bir şekilde oluşturup büyük miktarda wETH bastılar.
Başka bir önemli olay, Nisan ayının sonlarında gerçekleşti; Fei Protocol'e ait Rari Fuse Pool, flash kredi ile birleşik reentrancy saldırısına uğradı ve 80,34 milyon dolar kaybı yaşandı. Bu saldırı projeye ölümcül bir darbe indirdi ve sonuç olarak proje Ağustos ayında kapatılacağını duyurdu.
Fei Protocol saldırı vakası derinlemesine analizi
Saldırgan öncelikle Balancer'dan hızlı kredi alıyor, ardından bu fonları Rari Capital'de teminatlı kredi almak için kullanıyor. Rari Capital'in cEther uygulama sözleşmesinde yeniden giriş açığı bulunduğu için, saldırgan dikkatlice yapılandırılmış bir geri çağırma fonksiyonu aracılığıyla etkilenen havuzdaki tüm tokenleri başarıyla çekti.
Saldırı süreci genel olarak aşağıdaki gibidir:
Balancer'dan anlık kredi alın
Ödünç alınan fonları Rari Capital'de kullanarak yeniden giriş açığını tetiklemek
Sözleşmedeki belirli fonksiyonlara saldırarak, havuzdaki tokenleri tekrar tekrar çekmek.
Hızlı krediyi geri verin, kazancı belirlenen sözleşmeye aktarın
Bu saldırı sonunda 28380 ETH'nin (yaklaşık 8034 milyon dolar) çalınmasına neden oldu.
Yaygın Güvenlik Açıkları Tipleri
Akıllı sözleşme denetimi sürecinde en yaygın güvenlik açıkları türleri şunlardır:
ERC721/ERC1155 yeniden giriş saldırısı: Standarttaki geri arama fonksiyonlarının kötüye kullanılmasıyla ilgilidir.
Mantık hatası: Özel durumların dikkate alınmaması ve işlev tasarımının eksik olması.
Yetkilendirme eksikliği: Ana fonksiyonların etkili bir yetki kontrolünden yoksun olması.
Fiyat manipülasyonu: Oracle'ların kötü kullanımı veya fiyat hesaplama yöntemlerinde eksiklikler.
Bu açıklar yalnızca denetimlerde sıkça ortaya çıkmakla kalmıyor, aynı zamanda gerçek saldırılarda en çok kullanılan zayıflıklardır. Bunlar arasında, sözleşme mantığı açıkları hala Hacker'ların en çok tercih ettiği saldırı hedefidir.
Önleme Önerileri
Akıllı sözleşmelerin güvenliğini artırmak için proje sahiplerinin aşağıdaki önlemleri alması önerilir:
Kapsamlı biçimsel doğrulama ve manuel denetim gerçekleştirin.
Özel durumlarda sözleşme davranışlarına özel dikkat
Sözleşme fonksiyonu tasarımını geliştirin, özellikle fonksiyon işlemleri ile ilgili kısımlar.
Yetkileri kontrol mekanizmasını sıkı bir şekilde uygulamak
Güvenilir fiyat oracle'ları kullanın, basit bakiye oranlarını fiyat referansı olarak kullanmaktan kaçının.
Profesyonel güvenlik denetimi ve doğrulama platformları ile güvenlik uzmanlarının manuel incelemeleri bir araya getirildiğinde, çoğu zafiyet projenin yayına alınmasından önce tespit edilip düzeltilebilir. Bu sadece proje risklerini etkili bir şekilde azaltmakla kalmaz, aynı zamanda tüm Web3 ekosisteminin sağlıklı gelişimine de katkıda bulunur.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
12 Likes
Reward
12
3
Share
Comment
0/400
MemeEchoer
· 07-24 15:53
Denetle, Rug Pull yap ve iş tamam.
View OriginalReply0
AllInAlice
· 07-24 15:44
Yine Emiciler Tarafından Oyuna Getirilmek sihirli anı.
Web3 güvenliği tehlikede: İlk yarıda 42 saldırı 644 milyon dolar kayba neden oldu.
Web3 Hacker'ların Sıkça Kullandığı Saldırı Yöntemleri Analizi: 2022 İlk Yarısında Güvenlik Durumunun Değerlendirilmesi
2022 yılının ilk yarısında, Web3 alanındaki güvenlik durumu iç açıcı değil. Blockchain durum farkındalığı platformunun izleme verilerine göre, toplamda 42 önemli sözleşme açığı saldırı olayı meydana geldi ve bu da 6.44 milyon dolara kadar kayıplara yol açtı. Bu saldırıların yarısından fazlasında sözleşme açıkları kullanıldı ve bu, hackerların en çok tercih ettiği yöntem haline geldi.
Ana Saldırı Türleri Analizi
Kullanılan tüm açıklar arasında, mantıksal veya fonksiyon tasarımı hataları, hackerların en sık hedef aldığı konulardır. İkinci sırada doğrulama sorunları ve tekrar giriş açıkları yer almaktadır. Bu açıklar yalnızca sıkça ortaya çıkmakla kalmaz, aynı zamanda genellikle büyük kayıplara yol açar.
Örneğin, 2022 Şubat ayında, Solana ekosistemindeki çok zincirli köprü projesi Wormhole saldırıya uğradı ve kayıplar 326 milyon dolara kadar ulaştı. Saldırganlar, sözleşmedeki imza doğrulama açığını kullanarak sistem hesaplarını sahte bir şekilde oluşturup büyük miktarda wETH bastılar.
Başka bir önemli olay, Nisan ayının sonlarında gerçekleşti; Fei Protocol'e ait Rari Fuse Pool, flash kredi ile birleşik reentrancy saldırısına uğradı ve 80,34 milyon dolar kaybı yaşandı. Bu saldırı projeye ölümcül bir darbe indirdi ve sonuç olarak proje Ağustos ayında kapatılacağını duyurdu.
Fei Protocol saldırı vakası derinlemesine analizi
Saldırgan öncelikle Balancer'dan hızlı kredi alıyor, ardından bu fonları Rari Capital'de teminatlı kredi almak için kullanıyor. Rari Capital'in cEther uygulama sözleşmesinde yeniden giriş açığı bulunduğu için, saldırgan dikkatlice yapılandırılmış bir geri çağırma fonksiyonu aracılığıyla etkilenen havuzdaki tüm tokenleri başarıyla çekti.
Saldırı süreci genel olarak aşağıdaki gibidir:
Bu saldırı sonunda 28380 ETH'nin (yaklaşık 8034 milyon dolar) çalınmasına neden oldu.
Yaygın Güvenlik Açıkları Tipleri
Akıllı sözleşme denetimi sürecinde en yaygın güvenlik açıkları türleri şunlardır:
Bu açıklar yalnızca denetimlerde sıkça ortaya çıkmakla kalmıyor, aynı zamanda gerçek saldırılarda en çok kullanılan zayıflıklardır. Bunlar arasında, sözleşme mantığı açıkları hala Hacker'ların en çok tercih ettiği saldırı hedefidir.
Önleme Önerileri
Akıllı sözleşmelerin güvenliğini artırmak için proje sahiplerinin aşağıdaki önlemleri alması önerilir:
Profesyonel güvenlik denetimi ve doğrulama platformları ile güvenlik uzmanlarının manuel incelemeleri bir araya getirildiğinde, çoğu zafiyet projenin yayına alınmasından önce tespit edilip düzeltilebilir. Bu sadece proje risklerini etkili bir şekilde azaltmakla kalmaz, aynı zamanda tüm Web3 ekosisteminin sağlıklı gelişimine de katkıda bulunur.