Анализ безопасности Web3: Разбор методов атак Хакеров в первой половине 2022 года
В первой половине 2022 года ситуация с безопасностью в области Web3 была неутешительной. Согласно данным мониторинга безопасности блокчейна, уязвимости в контрактах стали основным средством атак со стороны хакеров, что привело к значительным финансовым потерям. В этой статье будет подробно проанализировано, какие методы атак чаще всего использовали хакеры в этот период, а также соответствующие меры по предотвращению.
Обзор инцидентов безопасности за первое полугодие
Данные показывают, что в первой половине 2022 года произошло 42 основных случая атак, из которых 53% составляют атаки с использованием уязвимостей контрактов. Эти атаки нанесли ущерб на сумму до 644 миллиона 404 тысяч долларов. Среди всех использованных уязвимостей наиболее часто хакеры использовали логические ошибки или неправильный дизайн функций, далее следуют проблемы верификации и уязвимости повторного входа.
Анализ случаев значительных убытков
Событие атаки на кросс-чейн мост Wormhole
3 февраля 2022 года проект кросс-чейн моста Wormhole в экосистеме Solana подвергся атаке, в результате чего был потерян около 326 миллионов долларов. Хакер использовал уязвимость в проверке подписи контракта, успешно подделав аккаунт sysvar для незаконной эмиссии wETH.
Событие атаки Fei Protocol
30 апреля 2022 года пул Rari Fuse, принадлежащий Fei Protocol, подвергся атаке с использованием флеш-кредита в сочетании с атакой повторного входа, что привело к потере в 80,34 миллиона долларов. Эта атака нанесла смертельный удар проекту, что в конечном итоге привело к тому, что проект объявил о закрытии 20 августа.
Атакующий осуществляет атаку следующими шагами:
Проведение флеш-займа из Balancer: Vault
Используйте заемные средства для залога и займа в Rari Capital
Использование cEther от Rari Capital для реализации уязвимости повторного входа в контракте
С помощью построенной функции атаки обратного вызова извлечь все токены из пула
Возврат заемных средств, полученных от атаки
Распространенные типы уязвимостей
В процессе аудита смарт-контрактов наиболее распространенные уязвимости можно разделить на четыре основные категории:
Атака повторного входа ERC721/ERC1155: при использовании функций _safeMint(), _safeTransfer() и т.д. может быть вызвано выполнение вредоносного кода через повторный вход.
Логическая уязвимость:
Недостаточное внимание к особым ситуациям, таким как самоперевод, приводящий к созданию денег из ничего
Дизайн функций не завершен, например, отсутствуют функции извлечения или расчета.
Отсутствие аутентификации: ключевые функции, такие как создание монет, настройка ролей и т.д., лишены эффективного контроля доступа.
Манипуляция ценами:
Неиспользованная взвешенная по времени средняя цена
Прямое использование баланса токенов в контракте в качестве цены
Рекомендации по предотвращению уязвимостей
Строго следовать дизайну "Проверка-Введение-Взаимодействие".
Всесторонне учитывать различные граничные случаи и специальные сценарии
Совершенствование проектирования функций контракта, обеспечение наличия соответствующих сопутствующих функций для ключевых операций
Внедрение строгого управления доступом и многократной проверки для ключевых функций
Используйте надежные ценовые оракулы, избегайте использования легко управляемых источников ценовых данных
Регулярно проводить аудит смарт-контрактов, сочетая автоматизированные инструменты с ручной проверкой профессиональных команд безопасности.
Принятие этих мер предосторожности может значительно повысить безопасность смарт-контрактов и снизить риск атак. Однако, с постоянным развитием методов атак, командам проектов необходимо оставаться бдительными, внимательно следить за последними тенденциями безопасности и своевременно обновлять стратегии защиты.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
4
Поделиться
комментарий
0/400
FlashLoanLord
· 07-21 01:57
Эх, команда проекта все на бумаге, слишком много воды.
Посмотреть ОригиналОтветить0
SchroedingerGas
· 07-20 21:22
Один неудачник, который сжигает деньги, без стеснения в Хайцан.
Пусть будет убыток, я это принял.
Посмотреть ОригиналОтветить0
ChainSherlockGirl
· 07-18 16:07
Кошельки крупных инвесторов никогда не бывают в покое. По моим догадкам, это снова классическая серия преступлений~
Web3 безопасность: анализ методов атак Хакер и стратегии предотвращения за первое полугодие
Анализ безопасности Web3: Разбор методов атак Хакеров в первой половине 2022 года
В первой половине 2022 года ситуация с безопасностью в области Web3 была неутешительной. Согласно данным мониторинга безопасности блокчейна, уязвимости в контрактах стали основным средством атак со стороны хакеров, что привело к значительным финансовым потерям. В этой статье будет подробно проанализировано, какие методы атак чаще всего использовали хакеры в этот период, а также соответствующие меры по предотвращению.
Обзор инцидентов безопасности за первое полугодие
Данные показывают, что в первой половине 2022 года произошло 42 основных случая атак, из которых 53% составляют атаки с использованием уязвимостей контрактов. Эти атаки нанесли ущерб на сумму до 644 миллиона 404 тысяч долларов. Среди всех использованных уязвимостей наиболее часто хакеры использовали логические ошибки или неправильный дизайн функций, далее следуют проблемы верификации и уязвимости повторного входа.
Анализ случаев значительных убытков
Событие атаки на кросс-чейн мост Wormhole
3 февраля 2022 года проект кросс-чейн моста Wormhole в экосистеме Solana подвергся атаке, в результате чего был потерян около 326 миллионов долларов. Хакер использовал уязвимость в проверке подписи контракта, успешно подделав аккаунт sysvar для незаконной эмиссии wETH.
Событие атаки Fei Protocol
30 апреля 2022 года пул Rari Fuse, принадлежащий Fei Protocol, подвергся атаке с использованием флеш-кредита в сочетании с атакой повторного входа, что привело к потере в 80,34 миллиона долларов. Эта атака нанесла смертельный удар проекту, что в конечном итоге привело к тому, что проект объявил о закрытии 20 августа.
Атакующий осуществляет атаку следующими шагами:
Распространенные типы уязвимостей
В процессе аудита смарт-контрактов наиболее распространенные уязвимости можно разделить на четыре основные категории:
Рекомендации по предотвращению уязвимостей
Принятие этих мер предосторожности может значительно повысить безопасность смарт-контрактов и снизить риск атак. Однако, с постоянным развитием методов атак, командам проектов необходимо оставаться бдительными, внимательно следить за последними тенденциями безопасности и своевременно обновлять стратегии защиты.
Пусть будет убыток, я это принял.