Аналіз способів атак хакерів у сфері Web3 у першій половині 2022 року
У першій половині 2022 року в області Web3 сталося кілька великих інцидентів безпеки, які спричинили величезні збитки. У цій статті буде проведено глибокий аналіз атак, які часто використовують хакери в цей період, з метою надання галузі посилань для запобігання безпеки.
Загальний огляд експлуатації вразливостей
Згідно з даними певної платформи моніторингу безпеки блокчейну, у першій половині 2022 року сталося 42 основних випадки атак на контракти, що становить 53% від усіх видів атак. Ці атаки завдали збитків приблизно на 6,44 мільярда доларів.
Серед усіх вразливостей, які були використані, логічні або функціональні недоліки дизайну є найчастіше використовуваними цілями хакерами, за ними йдуть проблеми верифікації та вразливості повторного входу.
Аналіз випадків значних втрат
Інцидент атаки моста Wormhole між блокчейнами
3 лютого 2022 року один з кросчейн-мостів зазнав атаки, внаслідок чого було втрачено до 326 мільйонів доларів. Хакер скористався вразливістю в перевірці підпису в контракті проекту, успішно підробивши обліковий запис системи для випуску великої кількості токенів.
Fei Protocol зазнав атаки через швидкий кредит
30 квітня 2022 року пул фондів одного з кредитних протоколів зазнав атаки з використанням flash loan у поєднанні з повторним входом, внаслідок чого було втрачено 80,34 мільйона доларів США. Ця атака завдала проекту смертельного удару, в результаті чого 20 серпня проект оголосив про закриття.
Атакуюча сторона спочатку отримала миттєвий кредит з певного пулу ліквідності, а потім, використовуючи вразливість повторного входу, що існує на платформі кредитування, через виклик сконструйованої функції атаки успішно витягла всі токени з постраждалого пулу. Нарешті, кредит було повернуто, а прибуток переведено на вказаний контракт.
Поширені типи вразливостей
ERC721/ERC1155 повторне атака: використання функцій сповіщення про переказ у стандарті токенів для проведення повторної атаки.
Логічна помилка:
Спеціальні ситуації не були враховані, такі як переведення коштів самому собі, що призводить до виникнення неіснуючих коштів.
Дизайн функцій не завершений, наприклад, відсутні механізми витягування або ліквідації.
Вразливість управління правами: критично важливі функції, такі як емісія монет, налаштування ролей тощо, не мають ефективного контролю прав.
Маніпуляція цінами:
Oracle, що не використовує часо-вагову середню ціну.
Використовуйте пропорцію залишку токенів у контракті як основу для ціни.
Аудиторський захист
Більшість вищезгаданих уразливостей можна виявити за допомогою професійних платформ формальної верифікації смарт-контрактів у поєднанні з ручним переглядом безпекових експертів до запуску проєкту. Рекомендується, щоб команда проєкту звертала увагу на безпековий аудит і своєчасно усувала потенційні ризики відповідно до рекомендацій експертів.
Зміцнення логіки контракту, вдосконалення управління правами, оптимізація механізму ціноутворення та інші заходи безпеки можуть суттєво знизити ризик атак. У той же час, постійний моніторинг безпеки та своєчасне виправлення вразливостей є ключовими для забезпечення тривалої безпечної роботи проекту.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
14 лайків
Нагородити
14
3
Поділіться
Прокоментувати
0/400
TokenAlchemist
· 10год тому
смх... ще один погано оптимізований вектор стану переходу. 644м у експлуатаціях? аматори, які пишуть ці контракти, повинні вивчити механіку MEV фр
Переглянути оригіналвідповісти на0
SmartMoneyWallet
· 08-02 16:12
Ці гроші, які втратили роздрібні інвестори, куди врешті-решт поділися? 6 мільйонів 4?
Переглянути оригіналвідповісти на0
TokenomicsTrapper
· 08-02 16:09
назвав це - мости насправді просто honeypots, які чекають, щоб їх знищили... класичне 2022 L чесно кажучи
Аналіз хакерських атак у сфері Web3 за перше півріччя 2022 року: вразливості контрактів стали основною метою
Аналіз способів атак хакерів у сфері Web3 у першій половині 2022 року
У першій половині 2022 року в області Web3 сталося кілька великих інцидентів безпеки, які спричинили величезні збитки. У цій статті буде проведено глибокий аналіз атак, які часто використовують хакери в цей період, з метою надання галузі посилань для запобігання безпеки.
Загальний огляд експлуатації вразливостей
Згідно з даними певної платформи моніторингу безпеки блокчейну, у першій половині 2022 року сталося 42 основних випадки атак на контракти, що становить 53% від усіх видів атак. Ці атаки завдали збитків приблизно на 6,44 мільярда доларів.
Серед усіх вразливостей, які були використані, логічні або функціональні недоліки дизайну є найчастіше використовуваними цілями хакерами, за ними йдуть проблеми верифікації та вразливості повторного входу.
Аналіз випадків значних втрат
Інцидент атаки моста Wormhole між блокчейнами
3 лютого 2022 року один з кросчейн-мостів зазнав атаки, внаслідок чого було втрачено до 326 мільйонів доларів. Хакер скористався вразливістю в перевірці підпису в контракті проекту, успішно підробивши обліковий запис системи для випуску великої кількості токенів.
Fei Protocol зазнав атаки через швидкий кредит
30 квітня 2022 року пул фондів одного з кредитних протоколів зазнав атаки з використанням flash loan у поєднанні з повторним входом, внаслідок чого було втрачено 80,34 мільйона доларів США. Ця атака завдала проекту смертельного удару, в результаті чого 20 серпня проект оголосив про закриття.
Атакуюча сторона спочатку отримала миттєвий кредит з певного пулу ліквідності, а потім, використовуючи вразливість повторного входу, що існує на платформі кредитування, через виклик сконструйованої функції атаки успішно витягла всі токени з постраждалого пулу. Нарешті, кредит було повернуто, а прибуток переведено на вказаний контракт.
Поширені типи вразливостей
Аудиторський захист
Більшість вищезгаданих уразливостей можна виявити за допомогою професійних платформ формальної верифікації смарт-контрактів у поєднанні з ручним переглядом безпекових експертів до запуску проєкту. Рекомендується, щоб команда проєкту звертала увагу на безпековий аудит і своєчасно усувала потенційні ризики відповідно до рекомендацій експертів.
Зміцнення логіки контракту, вдосконалення управління правами, оптимізація механізму ціноутворення та інші заходи безпеки можуть суттєво знизити ризик атак. У той же час, постійний моніторинг безпеки та своєчасне виправлення вразливостей є ключовими для забезпечення тривалої безпечної роботи проекту.