Анализ методов атак Хакеров Web3: распространенные уязвимости и стратегии защиты за первую половину 2022 года
В первой половине 2022 года ситуация с безопасностью в области Web3 была серьезной. Согласно данным одной из платформ мониторинга безопасности блокчейна, только из-за уязвимостей смарт-контрактов произошло 42 основных случая атак, общие потери составили 644 миллиона долларов. В этих атаках логические или функциональные недостатки проектирования были наиболее часто используемыми уязвимостями хакерами, за ними следовали проблемы проверки и уязвимости повторного входа.
Обзор случаев значительных потерь
В начале февраля один из проектов кросс-чейн мостов подвергся атаке на сумму 326 миллионов долларов. Хакер использовал уязвимость в проверке подписи в контракте и успешно подделал аккаунт для выпуска большого количества токенов.
В конце апреля один из DeFi кредитных протоколов подвергся атаке через flash loan и повторного входа, в результате чего были потеряны 80,34 миллиона долларов. Эта атака нанесла проекту смертельный удар, в конечном итоге приведя к его закрытию в августе.
Конкретный анализ случая атаки:
Атакующий сначала берет средства из ликвидного пула DEX через флеш-займ.
Заложить заимствованные средства в целевом протоколе для получения кредита.
Используя уязвимость повторного входа в контракте cEther, многократно извлекайте активы из пула
Возврат кредитов на мгновенные займы, перевод прибыли
Эта атака в основном использовала уязвимость повторного входа в контракте протокола, что привело к убыткам более чем в 28 000 ETH.
Типы распространенных уязвимостей
Наиболее распространенные уязвимости в процессе аудита можно разделить на четыре основные категории:
Реентрантная атака ERC721/ERC1155: внедрение вредоносного кода в функцию уведомления о переводе
Логическая уязвимость: недостаточное внимание к особым сценариям, не完善设计 функций
Отсутствие контроля доступа: критические операции не имеют проверки прав доступа.
Манипуляция ценами: неправильное использование оракула, ошибки в способах расчета цен
Эти уязвимости были успешно использованы Хакерами в реальных сценариях, среди которых логические уязвимости контрактов являются основным способом атаки.
Строго следовать модели "Проверка-Введение в действие-Взаимодействие" при проектировании бизнес-логики
Полное внимание к различным пограничным случаям и специальным сценам
Установите строгий контроль доступа для всех ключевых операций
Используйте надежные оракулы и применяйте взвешенные по времени средние цены
Провести комплексный аудит безопасности и получить рекомендации по исправлению от профессиональной команды.
С помощью профессиональной платформы проверки смарт-контрактов и ручного аудита от экспертов по безопасности, большинство уязвимостей можно обнаружить и исправить до запуска проекта. Команды Web3 должны уделять внимание безопасности и рассматривать аудит безопасности как необходимый этап перед выпуском.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Отчет по безопасности Web3: 42 атаки в первой половине 2022 года привели к убыткам в 644 миллиона долларов
Анализ методов атак Хакеров Web3: распространенные уязвимости и стратегии защиты за первую половину 2022 года
В первой половине 2022 года ситуация с безопасностью в области Web3 была серьезной. Согласно данным одной из платформ мониторинга безопасности блокчейна, только из-за уязвимостей смарт-контрактов произошло 42 основных случая атак, общие потери составили 644 миллиона долларов. В этих атаках логические или функциональные недостатки проектирования были наиболее часто используемыми уязвимостями хакерами, за ними следовали проблемы проверки и уязвимости повторного входа.
Обзор случаев значительных потерь
В начале февраля один из проектов кросс-чейн мостов подвергся атаке на сумму 326 миллионов долларов. Хакер использовал уязвимость в проверке подписи в контракте и успешно подделал аккаунт для выпуска большого количества токенов.
В конце апреля один из DeFi кредитных протоколов подвергся атаке через flash loan и повторного входа, в результате чего были потеряны 80,34 миллиона долларов. Эта атака нанесла проекту смертельный удар, в конечном итоге приведя к его закрытию в августе.
Конкретный анализ случая атаки:
Эта атака в основном использовала уязвимость повторного входа в контракте протокола, что привело к убыткам более чем в 28 000 ETH.
Типы распространенных уязвимостей
Наиболее распространенные уязвимости в процессе аудита можно разделить на четыре основные категории:
Эти уязвимости были успешно использованы Хакерами в реальных сценариях, среди которых логические уязвимости контрактов являются основным способом атаки.
! Демонтаж «анонимной» рутины: каковы распространенные методы атак хакеров Web3 в первой половине 2022 года?
Рекомендации по безопасности
С помощью профессиональной платформы проверки смарт-контрактов и ручного аудита от экспертов по безопасности, большинство уязвимостей можно обнаружить и исправить до запуска проекта. Команды Web3 должны уделять внимание безопасности и рассматривать аудит безопасности как необходимый этап перед выпуском.