Анализ методов атак Хакеров в области Web3 за первую половину 2022 года
Недавний отчет по безопасности Web3 глубоко анализирует общую ситуацию в области безопасности блокчейна за первое полугодие 2022 года. Эта статья сосредоточится на распространенных методах атак хакеров Web3 в этот период, а также обсудит наиболее часто встречающиеся типы уязвимостей и меры по их предотвращению.
Общие убытки от уязвимости
Данные показывают, что в первой половине 2022 года произошло 42 случая атак на основные контракты, что составляет около 53% от всех атак. Общие убытки от этих атак достигли 644 миллиона долларов.
Среди всех использованных уязвимостей, логические или неправильно спроектированные функции являются наиболее часто используемыми уязвимостями хакерами, за ними следуют проблемы с проверкой и уязвимости повторного входа.
Анализ случаев значительных убытков
В феврале 2022 года один из проектов кросс-чейн мостов подвергся атаке, в результате чего был потерян около 326 миллионов долларов. Хакер воспользовался уязвимостью проверки подписи в контракте проекта, подделав аккаунты для выпуска большого количества токенов.
В апреле 2022 года, один из кредитных протоколов подвергся атаке с использованием Flash Loan, в результате которой было потеряно 80,34 миллиона долларов. Эта атака привела к огромным потерям для команды проекта, в итоге им пришлось объявить о закрытии.
Атакующий использовал уязвимость повторного входа в основном контракте протокола, извлекая все токены из затронутого пула средств через создание обратного вызова. Весь процесс атаки включает в себя несколько этапов, таких как флеш-кредиты, заимствование под залог и атака повторного входа.
Распространенные типы уязвимостей в аудите
Реентерация атаки ERC721/ERC1155: в функции уведомления о переводе содержится вредоносный код, что может привести к реентерации атаки.
Логическая уязвимость:
Недостаточное внимание к особым сценариям, таким как перевод средств самому себе, что приводит к созданию несуществующих активов.
Дизайн функций не завершен, например, отсутствуют функции извлечения или расчета.
Отсутствие аутентификации: ключевые функции не имеют контроля доступа.
Манипуляция ценами: неправильное использование оракула или прямое использование ненадежных ценовых данных.
Реальные уязвимости и их аудируемость
Фактически использованные хакерами уязвимости高度一致 с типами уязвимостей, обнаруженными в аудитах, где логические уязвимости контрактов по-прежнему являются основной целью атак.
Стоит отметить, что с помощью профессиональной платформы проверки смарт-контрактов и ручной проверки со стороны экспертов по безопасности, эти уязвимости могут быть обнаружены на этапе аудита перед запуском проекта. Эксперты по безопасности могут предложить соответствующие рекомендации по исправлению после оценки, помогая команде проекта заранее устранить потенциальные риски.
В заключение, несмотря на сложные проблемы безопасности в области Web3, с помощью строгого аудита безопасности и своевременного устранения уязвимостей можно значительно снизить риск атак. Команды проектов должны придавать большое значение аудиту безопасности и рассматривать его как неотъемлемую часть процесса разработки проекта.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
8 Лайков
Награда
8
6
Репост
Поделиться
комментарий
0/400
GateUser-c799715c
· 9ч назад
Как же так много украдено из контракта? У меня даже нет штанов!
Посмотреть ОригиналОтветить0
CryptoMom
· 13ч назад
Снова будут играть для лохов? В наше время даже контракты не слишком надежны.
Посмотреть ОригиналОтветить0
GasDevourer
· 08-14 15:19
Сколько газа можно купить за эти деньги?
Посмотреть ОригиналОтветить0
AirdropBuffet
· 08-14 15:16
离大谱 команда проекта起码先审计下吧
Посмотреть ОригиналОтветить0
MintMaster
· 08-14 15:02
Уязвимости зарабатывать не менее выгодно, чем добыча.
Посмотреть ОригиналОтветить0
DeFiChef
· 08-14 14:53
Снова мост был подстрелен, команда проекта не может научиться писать контракты?
Отчет по безопасности Web3: Убытки от уязвимостей контрактов в первой половине 2022 года составили 644 миллиона долларов.
Анализ методов атак Хакеров в области Web3 за первую половину 2022 года
Недавний отчет по безопасности Web3 глубоко анализирует общую ситуацию в области безопасности блокчейна за первое полугодие 2022 года. Эта статья сосредоточится на распространенных методах атак хакеров Web3 в этот период, а также обсудит наиболее часто встречающиеся типы уязвимостей и меры по их предотвращению.
Общие убытки от уязвимости
Данные показывают, что в первой половине 2022 года произошло 42 случая атак на основные контракты, что составляет около 53% от всех атак. Общие убытки от этих атак достигли 644 миллиона долларов.
Среди всех использованных уязвимостей, логические или неправильно спроектированные функции являются наиболее часто используемыми уязвимостями хакерами, за ними следуют проблемы с проверкой и уязвимости повторного входа.
Анализ случаев значительных убытков
В феврале 2022 года один из проектов кросс-чейн мостов подвергся атаке, в результате чего был потерян около 326 миллионов долларов. Хакер воспользовался уязвимостью проверки подписи в контракте проекта, подделав аккаунты для выпуска большого количества токенов.
В апреле 2022 года, один из кредитных протоколов подвергся атаке с использованием Flash Loan, в результате которой было потеряно 80,34 миллиона долларов. Эта атака привела к огромным потерям для команды проекта, в итоге им пришлось объявить о закрытии.
Атакующий использовал уязвимость повторного входа в основном контракте протокола, извлекая все токены из затронутого пула средств через создание обратного вызова. Весь процесс атаки включает в себя несколько этапов, таких как флеш-кредиты, заимствование под залог и атака повторного входа.
Распространенные типы уязвимостей в аудите
Реентерация атаки ERC721/ERC1155: в функции уведомления о переводе содержится вредоносный код, что может привести к реентерации атаки.
Логическая уязвимость:
Отсутствие аутентификации: ключевые функции не имеют контроля доступа.
Манипуляция ценами: неправильное использование оракула или прямое использование ненадежных ценовых данных.
Реальные уязвимости и их аудируемость
Фактически использованные хакерами уязвимости高度一致 с типами уязвимостей, обнаруженными в аудитах, где логические уязвимости контрактов по-прежнему являются основной целью атак.
Стоит отметить, что с помощью профессиональной платформы проверки смарт-контрактов и ручной проверки со стороны экспертов по безопасности, эти уязвимости могут быть обнаружены на этапе аудита перед запуском проекта. Эксперты по безопасности могут предложить соответствующие рекомендации по исправлению после оценки, помогая команде проекта заранее устранить потенциальные риски.
В заключение, несмотря на сложные проблемы безопасности в области Web3, с помощью строгого аудита безопасности и своевременного устранения уязвимостей можно значительно снизить риск атак. Команды проектов должны придавать большое значение аудиту безопасности и рассматривать его как неотъемлемую часть процесса разработки проекта.