Аналіз методів атак Хакерів у Web3: Поширені вразливості та стратегії запобігання у першій половині 2022 року
У першій половині 2022 року безпекова ситуація у сфері Web3 була серйозною. За даними певної платформи моніторингу безпеки блокчейну, лише через вразливості смарт-контрактів сталося 42 основні випадки атак, загальні збитки склали 6,44 мільйона доларів. У цих атаках логічні або функціональні дефекти проєкту були найчастіше використаними вразливостями хакерами, далі йдуть проблеми з верифікацією та вразливості повторного входу.
Огляд випадків значних втрат
На початку лютого, один з кросчейн-біржових проєктів зазнав величезної атаки на суму 326 мільйонів доларів. Хакер скористався вразливістю перевірки підписів у контракті, успішно підробивши обліковий запис для карбування великої кількості токенів.
В кінці квітня один з DeFi кредитних протоколів зазнав атаки через кредитування з миттєвим позикою, в результаті якої втратили 80,34 мільйона доларів. Ця атака завдала фатального удару проекту, в результаті чого він оголосив про закриття в серпні.
Конкретний аналіз одного випадку атаки:
Атакуюча сторона спочатку бере позики з ліквідного пулу DEX.
Заставити позичені кошти в цільовому протоколі для отримання кредиту
Використовуючи вразливість повторного входу в контракті cEther, неодноразово витягувати активи з пулу
Повернення闪电贷, передача прибутку
Ця атака в основному використовувала вразливість повторного входу в контракт протоколу, що призвело до втрат понад 28 тисяч ETH.
Типи поширених вразливостей
У процесі аудиту найпоширеніші вразливості можна поділити на чотири основні категорії:
Реін'єкційна атака ERC721/ERC1155: вставка шкідливого коду в функцію повідомлення про передачу
Логічна вразливість: недостатня увага до особливих сценаріїв, недосконалий дизайн функцій
Відсутність контролю доступу: ключові операції не мають перевірки прав
Маніпуляція цінами: неналежне використання оракула, недоліки в методах розрахунку цін
Ці вразливості були успішно використані хакерами в реальних сценаріях, причому вразливості логіки контракту є основними засобами атаки.
Рекомендації з безпеки
Суворо дотримуватися моделі "Перевірка - Дія - Взаємодія" при розробці бізнес-логіки
Повністю врахувати різні граничні випадки та спеціальні ситуації
Встановіть суворий контроль доступу для всіх критичних операцій
Використовуйте надійні оракули та застосовуйте середню ціну з урахуванням часу
Провести комплексний аудит безпеки та надати рекомендації щодо виправлення від професійної команди
Завдяки професійним платформам перевірки смарт-контрактів та ручному аудиту безпеки експертів, більшість вразливостей можна виявити та виправити до запуску проєкту. Команди проєктів Web3 повинні приділяти увагу забезпеченню безпеки, роблячи аудит безпеки необхідним етапом перед випуском.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
10 лайків
Нагородити
10
5
Поділіться
Прокоментувати
0/400
DoomCanister
· 11год тому
Знову підвелися кліпові купони
Переглянути оригіналвідповісти на0
GateUser-afe07a92
· 11год тому
gm, знову обдурювали людей, як лохів!
Переглянути оригіналвідповісти на0
NeverVoteOnDAO
· 11год тому
Знову відверте пограбування, краще б вкрали.
Переглянути оригіналвідповісти на0
JustAnotherWallet
· 11год тому
Цок-цок, старі хакери знову заробили.
Переглянути оригіналвідповісти на0
RunWhenCut
· 12год тому
6 мільйонів доларів обдурювати людей, як лохів і втекти
Web3 звіт про безпеку: 42 атаки в першій половині 2022 року призвели до втрат у 644 мільйони доларів
Аналіз методів атак Хакерів у Web3: Поширені вразливості та стратегії запобігання у першій половині 2022 року
У першій половині 2022 року безпекова ситуація у сфері Web3 була серйозною. За даними певної платформи моніторингу безпеки блокчейну, лише через вразливості смарт-контрактів сталося 42 основні випадки атак, загальні збитки склали 6,44 мільйона доларів. У цих атаках логічні або функціональні дефекти проєкту були найчастіше використаними вразливостями хакерами, далі йдуть проблеми з верифікацією та вразливості повторного входу.
Огляд випадків значних втрат
На початку лютого, один з кросчейн-біржових проєктів зазнав величезної атаки на суму 326 мільйонів доларів. Хакер скористався вразливістю перевірки підписів у контракті, успішно підробивши обліковий запис для карбування великої кількості токенів.
В кінці квітня один з DeFi кредитних протоколів зазнав атаки через кредитування з миттєвим позикою, в результаті якої втратили 80,34 мільйона доларів. Ця атака завдала фатального удару проекту, в результаті чого він оголосив про закриття в серпні.
Конкретний аналіз одного випадку атаки:
Ця атака в основному використовувала вразливість повторного входу в контракт протоколу, що призвело до втрат понад 28 тисяч ETH.
Типи поширених вразливостей
У процесі аудиту найпоширеніші вразливості можна поділити на чотири основні категорії:
Ці вразливості були успішно використані хакерами в реальних сценаріях, причому вразливості логіки контракту є основними засобами атаки.
Рекомендації з безпеки
Завдяки професійним платформам перевірки смарт-контрактів та ручному аудиту безпеки експертів, більшість вразливостей можна виявити та виправити до запуску проєкту. Команди проєктів Web3 повинні приділяти увагу забезпеченню безпеки, роблячи аудит безпеки необхідним етапом перед випуском.