Анализ инцидентов безопасности Web3: на платформе произошла серьезная атака на Холодный кошелек
21 февраля 2025 года холодный кошелек Ethereum известной торговой платформы подвергся атаке, в результате чего было переведено примерно 401,346 ETH, 15,000 cmETH, 8,000 mETH, 90,375 stETH и 90 USDT на неизвестный адрес, общая стоимость составила около 1,46 миллиарда долларов.
Атакующий использует методы фишинга, чтобы заставить подписанта многоподписного Кошелька этой платформы подписать вредоносную транзакцию. Этапы атаки следующие:
Злоумышленник заранее развертывает вредоносный контракт с бэкдором для перемещения средств.
Изменение интерфейса управления безопасностью, чтобы информация о транзакции, которую видит подписывающий, не соответствовала данным, фактически отправленным в Холодный кошелек.
Получить три действительных подписи через поддельный интерфейс, заменить контракт реализации мультиподписного Кошелька на вредоносную версию, тем самым контролировать Холодный кошелек и переводить средства.
Доверенное исследовательское агентство по безопасности в настоящее время обнаружило:
В облачном хранилище платформы управления безопасностью ресурсы были заражены вредоносным кодом JavaScript.
Анализ кода показывает, что его основная цель состоит в манипуляции содержимым транзакции в процессе подписания.
Вредоносный код имеет условия активации и срабатывает только по определенному адресу контракта.
После выполнения злоумышленных сделок обновленная версия ресурсов JavaScript была загружена, и вредоносный код был удален.
Предварительно установлено, что атака происходит из облачной инфраструктуры платформы управления безопасностью.
В настоящее время не обнаружено признаков взлома инфраструктуры самой торговой платформы.
Согласно имеющейся информации, проблема не в фронтенде, а в том, что облачный сервис хранения данных был взломан, что привело к изменению JavaScript. Однако если на фронтенде платформы управления безопасностью была реализована базовая проверка целостности, даже если JavaScript был изменен, это не привело бы к таким серьезным последствиям. Конечно, торговая платформа также не может избежать ответственности, так как они подтвердили действия, не имея конкретной информации о транзакциях в аппаратном кошельке; доверие к фронтенду платформы управления безопасностью само по себе несет риски.
Аппаратные кошельки имеют ограничения при обработке сложных транзакций, что не позволяет полностью расшифровать и отобразить детальные данные транзакций многофункциональных кошельков, что приводит к тому, что подписанты осуществляют "слепую подпись" без полной проверки содержания транзакции.
Хакеры умеют использовать недостатки дизайна взаимодействия для обмана пользователей и получения их активов, такие как захват интерфейса, мошеннические подписи, использование слепых подписей, злоупотребление разрешениями на подпись, фишинг с нулевым переводом TransferFrom, схемы с пустышками с одинаковыми последними цифрами, фишинг NFT и т.д.
С развитием технологии Web3 граница между безопасностью фронтенда и безопасностью блокчейна становится все более размытой. Традиционные уязвимости фронтенда получают новые измерения атак в контексте Web3, а такие проблемы, как уязвимости смарт-контрактов и недостатки управления приватными ключами, еще больше увеличивают риски.
Изменение параметров транзакции: интерфейс показывает перевод, фактически выполняет авторизацию
Пользователь видит всплывающее окно кошелька с сообщением "Перевести 1 ETH на 0xUser...", но на самом деле в блокчейне выполняется "approve(attacker, unlimited)", активы могут быть в любое время переведены.
Атакующий может перехватить фронтальный код и отправить поддельные calldata на холодный кошелек. Экран холодного кошелька показывает нормальную информацию о транзакциях, но на самом деле выполняется "approve(attacker, unlimited)".
Решение: семантический анализ аппаратного кошелька + вторичная проверка в блокчейне
Обновите прошивку аппаратного кошелька для поддержки EIP-712
Принудительное семантическое соответствие на блокчейне
Заключение
Слияние безопасности фронтенда и безопасности Web3 является как вызовом, так и возможностью. Этот инцидент выявил глубокие проблемы в управлении безопасностью и технической архитектуре криптовалютной индустрии. Отрасли необходимо всесторонне повысить защитные возможности в таких аспектах, как безопасность устройств, верификация транзакций и механизмы управления рисками, чтобы противостоять все более сложным угрозам. Разработка фронтенда должна многократно проверять такие этапы, как доступ к DApp, подключение кошелька, подпись сообщений, подпись транзакций и обработка транзакций после завершения, чтобы осуществить переход от "пассивного устранения" к "активному иммунитету". Только так можно защитить ценность и доверие каждой транзакции в открытом мире Web3.
Конечно, безопасность аудита смарт-контрактов на блокчейне является незаменимой для каждого Dapp. Инструменты безопасности с поддержкой ИИ могут обеспечить правильность кода с помощью формальной проверки и стандартов безопасности, поддерживаемых ИИ, проводить анализ сходства кода и рисков интеллектуальной собственности для большого количества развернутых контрактов, круглосуточно мониторить и мгновенно уведомлять о возможных нулевых уязвимостях и событиях безопасности, которые могут повлиять на проект. Некоторые инструменты также имеют модели ИИ, оптимизированные на основе обширной базы данных уязвимостей, для обнаружения различных реальных уязвимостей в смарт-контрактах.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
13 Лайков
Награда
13
6
Поделиться
комментарий
0/400
GameFiCritic
· 16ч назад
Ещё одна атака на фронтенд, проверка визуализации данных всё ещё не выполнена должным образом.
Посмотреть ОригиналОтветить0
MidnightSeller
· 16ч назад
Опять черный, действительно интересно!
Посмотреть ОригиналОтветить0
AirdropHuntress
· 17ч назад
Четырнадцать подписей попали в ловушку. Налог на интеллект.
Посмотреть ОригиналОтветить0
quiet_lurker
· 17ч назад
Проблемы безопасности всегда были сложными!
Посмотреть ОригиналОтветить0
BoredApeResistance
· 17ч назад
Снова будут играть для лохов. Что случилось с Web3?
Посмотреть ОригиналОтветить0
ChainWallflower
· 17ч назад
Это слишком жестоко, Падение на 50% для большой группы людей.
Web3 платформа для торговли подверглась атаке холодного кошелька на сумму 1.46 миллиарда долларов, безопасность фронтенда стала центром внимания.
Анализ инцидентов безопасности Web3: на платформе произошла серьезная атака на Холодный кошелек
21 февраля 2025 года холодный кошелек Ethereum известной торговой платформы подвергся атаке, в результате чего было переведено примерно 401,346 ETH, 15,000 cmETH, 8,000 mETH, 90,375 stETH и 90 USDT на неизвестный адрес, общая стоимость составила около 1,46 миллиарда долларов.
Атакующий использует методы фишинга, чтобы заставить подписанта многоподписного Кошелька этой платформы подписать вредоносную транзакцию. Этапы атаки следующие:
Доверенное исследовательское агентство по безопасности в настоящее время обнаружило:
Согласно имеющейся информации, проблема не в фронтенде, а в том, что облачный сервис хранения данных был взломан, что привело к изменению JavaScript. Однако если на фронтенде платформы управления безопасностью была реализована базовая проверка целостности, даже если JavaScript был изменен, это не привело бы к таким серьезным последствиям. Конечно, торговая платформа также не может избежать ответственности, так как они подтвердили действия, не имея конкретной информации о транзакциях в аппаратном кошельке; доверие к фронтенду платформы управления безопасностью само по себе несет риски.
Аппаратные кошельки имеют ограничения при обработке сложных транзакций, что не позволяет полностью расшифровать и отобразить детальные данные транзакций многофункциональных кошельков, что приводит к тому, что подписанты осуществляют "слепую подпись" без полной проверки содержания транзакции.
Хакеры умеют использовать недостатки дизайна взаимодействия для обмана пользователей и получения их активов, такие как захват интерфейса, мошеннические подписи, использование слепых подписей, злоупотребление разрешениями на подпись, фишинг с нулевым переводом TransferFrom, схемы с пустышками с одинаковыми последними цифрами, фишинг NFT и т.д.
С развитием технологии Web3 граница между безопасностью фронтенда и безопасностью блокчейна становится все более размытой. Традиционные уязвимости фронтенда получают новые измерения атак в контексте Web3, а такие проблемы, как уязвимости смарт-контрактов и недостатки управления приватными ключами, еще больше увеличивают риски.
Изменение параметров транзакции: интерфейс показывает перевод, фактически выполняет авторизацию
Пользователь видит всплывающее окно кошелька с сообщением "Перевести 1 ETH на 0xUser...", но на самом деле в блокчейне выполняется "approve(attacker, unlimited)", активы могут быть в любое время переведены.
Решение: Проверка структурированной подписи EIP-712
Таким образом, любое изменение параметров на стороне клиента приведет к несоответствию подписи, и транзакция будет автоматически отменена.
Слепая подпись: причины взлома аппаратного кошелька
Атакующий может перехватить фронтальный код и отправить поддельные calldata на холодный кошелек. Экран холодного кошелька показывает нормальную информацию о транзакциях, но на самом деле выполняется "approve(attacker, unlimited)".
Решение: семантический анализ аппаратного кошелька + вторичная проверка в блокчейне
Заключение
Слияние безопасности фронтенда и безопасности Web3 является как вызовом, так и возможностью. Этот инцидент выявил глубокие проблемы в управлении безопасностью и технической архитектуре криптовалютной индустрии. Отрасли необходимо всесторонне повысить защитные возможности в таких аспектах, как безопасность устройств, верификация транзакций и механизмы управления рисками, чтобы противостоять все более сложным угрозам. Разработка фронтенда должна многократно проверять такие этапы, как доступ к DApp, подключение кошелька, подпись сообщений, подпись транзакций и обработка транзакций после завершения, чтобы осуществить переход от "пассивного устранения" к "активному иммунитету". Только так можно защитить ценность и доверие каждой транзакции в открытом мире Web3.
Конечно, безопасность аудита смарт-контрактов на блокчейне является незаменимой для каждого Dapp. Инструменты безопасности с поддержкой ИИ могут обеспечить правильность кода с помощью формальной проверки и стандартов безопасности, поддерживаемых ИИ, проводить анализ сходства кода и рисков интеллектуальной собственности для большого количества развернутых контрактов, круглосуточно мониторить и мгновенно уведомлять о возможных нулевых уязвимостях и событиях безопасности, которые могут повлиять на проект. Некоторые инструменты также имеют модели ИИ, оптимизированные на основе обширной базы данных уязвимостей, для обнаружения различных реальных уязвимостей в смарт-контрактах.