Анализ способов хакерских атак в области Web3 за первую половину 2022 года
В первой половине 2022 года в области Web3 произошло несколько крупных инцидентов безопасности, приведших к значительным убыткам. В этой статье будет проведен глубокий анализ методов атак, часто используемых хакерами в этот период, с целью предоставить отрасли рекомендации по обеспечению безопасности.
Обзор эксплуатации уязвимостей
Согласно данным одной платформы мониторинга безопасности блокчейна, в первой половине 2022 года произошло 42 основных инцидента атак на контракты, что составляет 53% от всех способов атак. Эти атаки привели к ущербу примерно в 644 миллиона долларов.
Среди всех использованных уязвимостей логические или функциональные недостатки проектирования являются наиболее часто используемыми целями хакерами, за ними следуют проблемы валидации и повторные уязвимости.
Анализ случаев значительных потерь
Атака на мост Wormhole
3 февраля 2022 года один из проектов кросс-чейн мостов подвергся атаке, в результате чего убытки составили до 326 миллионов долларов. Хакер воспользовался уязвимостью в проверке подписи в контракте проекта и успешно подделал системный аккаунт для выпуска большого количества токенов.
Fei Protocol подвергся атаке через флеш-кредит
30 апреля 2022 года пул ликвидности одного из кредитных протоколов подвергся атаке с использованием флеш-займов и атаки повторного входа, в результате чего был потерян 80,34 миллиона долларов. Эта атака нанесла смертельный удар по проекту, в конечном итоге 20 августа проект объявил о закрытии.
Атакующий сначала берет займ через Flash Loan из определенного пула ликвидности, затем использует уязвимость повторного входа, существующую на платформе кредитования, через вызов сконструированной функции атаки, успешно извлекая все токены из затронутого пула. В конце он возвращает займ и переводит прибыль на указанный контракт.
Распространенные типы уязвимостей
Ребиндинг-атака ERC721/ERC1155: использование функции уведомления о переводе в стандартном токене для проведения ребиндинг-атаки.
Логическая уязвимость:
Особые ситуации не были учтены, например, перевод средств самому себе, что приводит к созданию денег из ничего.
Дизайн функций не完善, например, отсутствуют механизмы извлечения или расчетов.
Дефекты управления доступом: ключевые функции, такие как эмиссия монет, настройка ролей и т. д., не имеют эффективного контроля доступа.
Манипуляция ценами:
Оракул, не использующий средневзвешенную цену времени.
Прямое использование пропорции баланса токенов в контракте в качестве основы для цены.
Аудит предотвращение
Большинство вышеупомянутых уязвимостей можно обнаружить с помощью специализированных платформ формальной проверки смарт-контрактов в сочетании с ручным аудитом от экспертов безопасности до запуска проекта. Рекомендуется, чтобы команда проекта уделяла внимание безопасности аудита и своевременно устраняла потенциальные риски в соответствии с рекомендациями экспертов.
Путем усиления проектирования логики контрактов, улучшения управления правами и оптимизации ценовых механизмов можно эффективно снизить риск подвергания атакам. В то же время, постоянный мониторинг безопасности и своевременное исправление уязвимостей также являются ключевыми для обеспечения долгосрочной безопасной работы проекта.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
14 Лайков
Награда
14
3
Поделиться
комментарий
0/400
TokenAlchemist
· 10ч назад
сжальтесь... еще один плохо оптимизированный вектор перехода состояния. 644m в эксплойтах? любители, пишущие эти контракты, должны изучить механизмы MEV, черт возьми
Посмотреть ОригиналОтветить0
SmartMoneyWallet
· 08-02 16:12
Куда в итоге ушли деньги, которые потеряли эти розничные инвесторы? 6 миллиардов 4?
Посмотреть ОригиналОтветить0
TokenomicsTrapper
· 08-02 16:09
назвал это - мосты это буквально просто приманки, ожидающие, чтобы их уничтожили... классический L 2022, если честно
Анализ хакерских атак в области Web3 в первой половине 2022 года: уязвимости контрактов стали основной целью
Анализ способов хакерских атак в области Web3 за первую половину 2022 года
В первой половине 2022 года в области Web3 произошло несколько крупных инцидентов безопасности, приведших к значительным убыткам. В этой статье будет проведен глубокий анализ методов атак, часто используемых хакерами в этот период, с целью предоставить отрасли рекомендации по обеспечению безопасности.
Обзор эксплуатации уязвимостей
Согласно данным одной платформы мониторинга безопасности блокчейна, в первой половине 2022 года произошло 42 основных инцидента атак на контракты, что составляет 53% от всех способов атак. Эти атаки привели к ущербу примерно в 644 миллиона долларов.
Среди всех использованных уязвимостей логические или функциональные недостатки проектирования являются наиболее часто используемыми целями хакерами, за ними следуют проблемы валидации и повторные уязвимости.
Анализ случаев значительных потерь
Атака на мост Wormhole
3 февраля 2022 года один из проектов кросс-чейн мостов подвергся атаке, в результате чего убытки составили до 326 миллионов долларов. Хакер воспользовался уязвимостью в проверке подписи в контракте проекта и успешно подделал системный аккаунт для выпуска большого количества токенов.
Fei Protocol подвергся атаке через флеш-кредит
30 апреля 2022 года пул ликвидности одного из кредитных протоколов подвергся атаке с использованием флеш-займов и атаки повторного входа, в результате чего был потерян 80,34 миллиона долларов. Эта атака нанесла смертельный удар по проекту, в конечном итоге 20 августа проект объявил о закрытии.
Атакующий сначала берет займ через Flash Loan из определенного пула ликвидности, затем использует уязвимость повторного входа, существующую на платформе кредитования, через вызов сконструированной функции атаки, успешно извлекая все токены из затронутого пула. В конце он возвращает займ и переводит прибыль на указанный контракт.
Распространенные типы уязвимостей
Аудит предотвращение
Большинство вышеупомянутых уязвимостей можно обнаружить с помощью специализированных платформ формальной проверки смарт-контрактов в сочетании с ручным аудитом от экспертов безопасности до запуска проекта. Рекомендуется, чтобы команда проекта уделяла внимание безопасности аудита и своевременно устраняла потенциальные риски в соответствии с рекомендациями экспертов.
Путем усиления проектирования логики контрактов, улучшения управления правами и оптимизации ценовых механизмов можно эффективно снизить риск подвергания атакам. В то же время, постоянный мониторинг безопасности и своевременное исправление уязвимостей также являются ключевыми для обеспечения долгосрочной безопасной работы проекта.