Аналіз безпекової ситуації Web3: аналіз методів атак хакерів у першій половині 2022 року
У першій половині 2022 року у сфері Web3 сталося кілька значних інцидентів безпеки, що призвели до величезних втрат. У цій статті буде проведено поглиблений аналіз методів атак, які часто використовують хакери в цей період, обговорено, які вразливості найчастіше експлуатуються, а також як ефективно запобігти цим атакам.
Утрати, завдані атаками на вразливості в першій половині року
Дані показують, що в першій половині 2022 року сталося 42 основних випадки атак на контракти, загальні збитки досягли 6,44 мільярда доларів. Серед усіх використаних вразливостей, логічні або функціональні помилки проектування є найбільш поширеними вразливостями, які використовують хакери, потім йдуть проблеми з валідацією та повторне входження. Ці атаки складають близько 53% від усіх випадків.
Аналіз подій значних втрат
Wormhole кросчейн міст зазнав атаки
3 лютого 2022 року один з проектів міжланцюгового мосту зазнав атаки, внаслідок чого було втрачено приблизно 326 мільйонів доларів. Хакер використав уразливість перевірки підпису в контракті, успішно підробивши обліковий запис системи для створення токенів.
Fei Protocol зазнав атаки через блискавичний кредит
30 квітня 2022 року певний кредитний протокол зазнав атаки з використанням Flash Loan та повторного входу, що призвело до збитків у 80,34 мільйона доларів. Ця атака завдала смертельного удару по проекту, в результаті чого 20 серпня проект оголосив про закриття.
Використання вразливості повторного входу в кредитному договорі
Витягти всі токени з ураженого пулу шляхом атаки на контракт
Повернення миттєвого кредиту, переміщення отриманого від атаки
Загальні типи вразливостей
У процесі аудиту найпоширеніші вразливості можна розділити на чотири основні категорії:
Атака повторного входу ERC721/ERC1155
Логічна уразливість (відсутність врахування спеціальних сценаріїв, недосконалість дизайну функцій)
Відсутність автентифікації
Маніпуляція цінами
Фактично використані вразливості та рекомендації щодо аудиту
Дані показують, що вразливості, виявлені під час аудиту, майже всі були використані хакерами в реальних сценаріях, при цьому логічні вразливості контракту залишаються основною метою атак.
Завдяки професійному майданчику для перевірки смарт-контрактів та ручному аудиту від фахівців з безпеки, більшість цих вразливостей можна виявити на етапі аудиту. Фахівці з безпеки можуть надати відповідні рекомендації щодо виправлення після оцінки, допомагаючи проекту підвищити безпеку контракту.
Отже, аудит безпеки контрактів є надзвичайно важливим для проектів Web3. Команди проекту повинні приділяти увагу питанням безпеки та своєчасно проводити всебічний аудит безпеки, щоб запобігти потенційним ризикам атак.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
15 лайків
Нагородити
15
7
Поділіться
Прокоментувати
0/400
OffchainOracle
· 18год тому
Рік за роком хтось чорнить, невдахи не вчаться на помилках
Переглянути оригіналвідповісти на0
ProxyCollector
· 07-26 02:26
Знову обдурили, як лохів. Дуже смачно.
Переглянути оригіналвідповісти на0
ChainBrain
· 07-25 08:15
Цих білих капелюшків все ще занадто мало.
Переглянути оригіналвідповісти на0
HodlVeteran
· 07-23 17:09
Старі невдахи загинули, не говоримо про проєкти, лише про збитки
Аналіз методів хакерських атак Web3 за перше півріччя 2022 року: логічні вразливості контрактів стали основною метою
Аналіз безпекової ситуації Web3: аналіз методів атак хакерів у першій половині 2022 року
У першій половині 2022 року у сфері Web3 сталося кілька значних інцидентів безпеки, що призвели до величезних втрат. У цій статті буде проведено поглиблений аналіз методів атак, які часто використовують хакери в цей період, обговорено, які вразливості найчастіше експлуатуються, а також як ефективно запобігти цим атакам.
Утрати, завдані атаками на вразливості в першій половині року
Дані показують, що в першій половині 2022 року сталося 42 основних випадки атак на контракти, загальні збитки досягли 6,44 мільярда доларів. Серед усіх використаних вразливостей, логічні або функціональні помилки проектування є найбільш поширеними вразливостями, які використовують хакери, потім йдуть проблеми з валідацією та повторне входження. Ці атаки складають близько 53% від усіх випадків.
Аналіз подій значних втрат
Wormhole кросчейн міст зазнав атаки
3 лютого 2022 року один з проектів міжланцюгового мосту зазнав атаки, внаслідок чого було втрачено приблизно 326 мільйонів доларів. Хакер використав уразливість перевірки підпису в контракті, успішно підробивши обліковий запис системи для створення токенів.
Fei Protocol зазнав атаки через блискавичний кредит
30 квітня 2022 року певний кредитний протокол зазнав атаки з використанням Flash Loan та повторного входу, що призвело до збитків у 80,34 мільйона доларів. Ця атака завдала смертельного удару по проекту, в результаті чого 20 серпня проект оголосив про закриття.
Зловмисник скористався вразливістю повторного входу в протоколі, здійснивши атаку наступними кроками:
Загальні типи вразливостей
У процесі аудиту найпоширеніші вразливості можна розділити на чотири основні категорії:
Фактично використані вразливості та рекомендації щодо аудиту
Дані показують, що вразливості, виявлені під час аудиту, майже всі були використані хакерами в реальних сценаріях, при цьому логічні вразливості контракту залишаються основною метою атак.
Завдяки професійному майданчику для перевірки смарт-контрактів та ручному аудиту від фахівців з безпеки, більшість цих вразливостей можна виявити на етапі аудиту. Фахівці з безпеки можуть надати відповідні рекомендації щодо виправлення після оцінки, допомагаючи проекту підвищити безпеку контракту.
Отже, аудит безпеки контрактів є надзвичайно важливим для проектів Web3. Команди проекту повинні приділяти увагу питанням безпеки та своєчасно проводити всебічний аудит безпеки, щоб запобігти потенційним ризикам атак.