Аналіз інцидентів безпеки Web3: значна атака на холодний гаманець певної торгової платформи
21 лютого 2025 року холодний гаманець Ethereum відомої торгової платформи зазнав атаки, внаслідок чого було переведено приблизно 401,346 ETH, 15,000 cmETH, 8,000 mETH, 90,375 stETH та 90 USDT на невідому адресу, загальна вартість становила близько 14,6 мільярда доларів.
Зловмисник, використовуючи фішинг, змушує підписантів мультипідписного Гаманця платформи підписувати шкідливі транзакції. Кроки атаки такі:
Зловмисник заздалегідь розгортає шкідливий контракт з бекдором для переміщення коштів.
Змінити інтерфейс управління безпекою, так що інформація про транзакцію, яку бачить підписувач, не збігається з даними, надісланими до холодного гаманця.
Отримати три дійсні підписи шляхом підробки інтерфейсу, замінити реалізаційний контракт мультипідписного гаманця на шкідливу версію, а потім контролювати холодний гаманець і переміщати кошти.
Компанія безпеки, якій доручено проведення розслідування, наразі виявила:
У хмарному сховищі платформи управління безпекою ресурси були ін'єковані шкідливим кодом JavaScript.
Аналіз коду показує, що його основною метою є маніпулювання змістом транзакції під час процесу підпису.
Зловмисний код має умови активації, які спрацьовують лише за певною адресою контракту.
Після виконання зловмисної транзакції була завантажена оновлена версія ресурсів JavaScript, яка видалила зловмисний код.
Попередньо визначено, що атака походить з хмарної інфраструктури платформи управління безпекою.
Наразі не виявлено ознак вторгнення в інфраструктуру цієї торгової платформи.
З наявної інформації видно, що фронтальна частина не є основною проблемою, ключовим є те, що служба хмарного зберігання була зламаною, що призвело до зміни JavaScript. Але якщо на платформі управління безпекою на фронті було реалізовано базову перевірку цілісності, навіть якщо JavaScript був змінено, це не призвело б до таких серйозних наслідків. Звичайно, торговельна платформа також не може уникнути відповідальності, вони підтвердили транзакцію, не показуючи конкретної інформації про транзакції на апаратному гаманець, довіра до фронту платформи управління безпекою сама по собі є ризикованою.
Апарати Гаманці мають обмеження при обробці складних транзакцій, не можуть повністю роз解析увати та відображати детальні дані транзакцій багатопідписного Гаманця, що призводить до того, що підписанти здійснюють "сліпе підписування", не перевіривши повністю вміст транзакції.
Хакери спеціалізуються на використанні недоліків у дизайні інтерактивних процесів для обману активів користувачів, таких як захоплення UI, обман підписів, використання сліпих підписів, зловживання підписами Permit, TransferFrom нульовим переведенням фішинг, схеми пов'язані з останнім номером та фішинг NFT тощо.
З розвитком технологій Web3 межа між безпекою фронтенду та безпекою блокчейну стає все більш розмитою. Традиційні вразливості фронтенду отримують нові виміри атак у сценаріях Web3, вразливості смарт-контрактів, дефекти управління приватними ключами та інші проблеми ще більше посилюють ризики.
Параметри торгівлі підроблено: інтерфейс показує переказ, фактично виконується авторизація
Користувач бачить спливаюче вікно гаманця, що показує "Перевести 1 ETH на 0xUser...", але насправді в ланцюзі виконується "approve(attacker, unlimited)", активи можуть бути в будь-який момент переведені.
Таким чином, будь-яка підробка параметрів з боку клієнта призведе до невідповідності підпису, і транзакція буде автоматично скасована.
Сліпа підписка: причини зламу апаратного гаманця
Зловмисник може захопити код фронтенду та надіслати підроблені calldata до холодного гаманця. Екран холодного гаманця відображає нормальну інформацію про транзакцію, але насправді виконується "approve(attacker, unlimited)".
Рішення: семантичний аналіз апаратного гаманця + повторна верифікація в ланцюгу
Оновлення прошивки апаратного Гаманця для підтримки EIP-712
Примусове семантичне відповідність в ланцюгу
Висновок
Злиття безпеки фронтенду та безпеки Web3 є як викликом, так і можливістю. Цей інцидент виявив глибокі проблеми в управлінні безпекою та технічній архітектурі в індустрії криптовалют. Галузь повинна всебічно покращити захисні можливості з різних аспектів, таких як безпека пристроїв, верифікація транзакцій та механізми управління ризиками, щоб відповідати на все більш складні загрози. Розробка фронтенду повинна повторно перевіряти етапи доступу до DApp, підключення гаманців, підписання повідомлень, підписання транзакцій, обробки транзакцій після їх завершення, досягаючи переходу від "пасивного ремонту" до "активного імунітету". Лише так можна захистити цінність та довіру кожної транзакції у відкритому світі Web3.
! [Чи є найбільша хакерська крадіжка в історії Web3 горщиком для front-end розробки?] ](https://img-cdn.gateio.im/webp-social/moments-740aeb7db597b7e46d23b958f7ad918c.webp)
Звісно, безпека аудиту смарт-контрактів є невід'ємною частиною кожного Dapp. AI-допоміжні інструменти безпеки можуть забезпечити правильність коду через формальну верифікацію та AI-допоміжні безпекові норми, проводити аналіз схожості коду та ризику інтелектуальної власності для великої кількості розгорнених контрактів, здійснювати моніторинг цілодобово та оперативно сповіщати про можливі нульові вразливості та події безпеки, які можуть вплинути на проект. Деякі інструменти також мають AI-моделі, оптимізовані на основі масштабних баз даних вразливостей, для виявлення різних реальних вразливостей у смарт-контрактах.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
13 лайків
Нагородити
13
6
Поділіться
Прокоментувати
0/400
GameFiCritic
· 16год тому
Ще одна атака з фронту, верифікація видимості даних все ще не виконана належним чином.
Переглянути оригіналвідповісти на0
MidnightSeller
· 16год тому
Ще одна чорна, справді цікаво.
Переглянути оригіналвідповісти на0
AirdropHuntress
· 16год тому
Чотирнадцять підписів були у пастці, податок на інтелект!
Переглянути оригіналвідповісти на0
quiet_lurker
· 16год тому
Проблеми безпеки завжди були важкими!
Переглянути оригіналвідповісти на0
BoredApeResistance
· 17год тому
Знову обдурили невдаху, що сталося з Web3?
Переглянути оригіналвідповісти на0
ChainWallflower
· 17год тому
Це занадто жорстоко, Падіння на 50% великої кількості людей
Веб3 платформа для торгівлі зазнала атаки на Холодний гаманець на суму 1,46 мільярда доларів, безпека фронтенду стала в центрі уваги.
Аналіз інцидентів безпеки Web3: значна атака на холодний гаманець певної торгової платформи
21 лютого 2025 року холодний гаманець Ethereum відомої торгової платформи зазнав атаки, внаслідок чого було переведено приблизно 401,346 ETH, 15,000 cmETH, 8,000 mETH, 90,375 stETH та 90 USDT на невідому адресу, загальна вартість становила близько 14,6 мільярда доларів.
Зловмисник, використовуючи фішинг, змушує підписантів мультипідписного Гаманця платформи підписувати шкідливі транзакції. Кроки атаки такі:
Компанія безпеки, якій доручено проведення розслідування, наразі виявила:
З наявної інформації видно, що фронтальна частина не є основною проблемою, ключовим є те, що служба хмарного зберігання була зламаною, що призвело до зміни JavaScript. Але якщо на платформі управління безпекою на фронті було реалізовано базову перевірку цілісності, навіть якщо JavaScript був змінено, це не призвело б до таких серйозних наслідків. Звичайно, торговельна платформа також не може уникнути відповідальності, вони підтвердили транзакцію, не показуючи конкретної інформації про транзакції на апаратному гаманець, довіра до фронту платформи управління безпекою сама по собі є ризикованою.
Апарати Гаманці мають обмеження при обробці складних транзакцій, не можуть повністю роз解析увати та відображати детальні дані транзакцій багатопідписного Гаманця, що призводить до того, що підписанти здійснюють "сліпе підписування", не перевіривши повністю вміст транзакції.
Хакери спеціалізуються на використанні недоліків у дизайні інтерактивних процесів для обману активів користувачів, таких як захоплення UI, обман підписів, використання сліпих підписів, зловживання підписами Permit, TransferFrom нульовим переведенням фішинг, схеми пов'язані з останнім номером та фішинг NFT тощо.
З розвитком технологій Web3 межа між безпекою фронтенду та безпекою блокчейну стає все більш розмитою. Традиційні вразливості фронтенду отримують нові виміри атак у сценаріях Web3, вразливості смарт-контрактів, дефекти управління приватними ключами та інші проблеми ще більше посилюють ризики.
Параметри торгівлі підроблено: інтерфейс показує переказ, фактично виконується авторизація
Користувач бачить спливаюче вікно гаманця, що показує "Перевести 1 ETH на 0xUser...", але насправді в ланцюзі виконується "approve(attacker, unlimited)", активи можуть бути в будь-який момент переведені.
Рішення: перевірка структурованого підпису EIP-712
Таким чином, будь-яка підробка параметрів з боку клієнта призведе до невідповідності підпису, і транзакція буде автоматично скасована.
Сліпа підписка: причини зламу апаратного гаманця
Зловмисник може захопити код фронтенду та надіслати підроблені calldata до холодного гаманця. Екран холодного гаманця відображає нормальну інформацію про транзакцію, але насправді виконується "approve(attacker, unlimited)".
Рішення: семантичний аналіз апаратного гаманця + повторна верифікація в ланцюгу
Висновок
Злиття безпеки фронтенду та безпеки Web3 є як викликом, так і можливістю. Цей інцидент виявив глибокі проблеми в управлінні безпекою та технічній архітектурі в індустрії криптовалют. Галузь повинна всебічно покращити захисні можливості з різних аспектів, таких як безпека пристроїв, верифікація транзакцій та механізми управління ризиками, щоб відповідати на все більш складні загрози. Розробка фронтенду повинна повторно перевіряти етапи доступу до DApp, підключення гаманців, підписання повідомлень, підписання транзакцій, обробки транзакцій після їх завершення, досягаючи переходу від "пасивного ремонту" до "активного імунітету". Лише так можна захистити цінність та довіру кожної транзакції у відкритому світі Web3.
! [Чи є найбільша хакерська крадіжка в історії Web3 горщиком для front-end розробки?] ](https://img-cdn.gateio.im/webp-social/moments-740aeb7db597b7e46d23b958f7ad918c.webp)
Звісно, безпека аудиту смарт-контрактів є невід'ємною частиною кожного Dapp. AI-допоміжні інструменти безпеки можуть забезпечити правильність коду через формальну верифікацію та AI-допоміжні безпекові норми, проводити аналіз схожості коду та ризику інтелектуальної власності для великої кількості розгорнених контрактів, здійснювати моніторинг цілодобово та оперативно сповіщати про можливі нульові вразливості та події безпеки, які можуть вплинути на проект. Деякі інструменти також мають AI-моделі, оптимізовані на основі масштабних баз даних вразливостей, для виявлення різних реальних вразливостей у смарт-контрактах.