Аналіз методів атак хакерів у сфері Web3 за перше півріччя 2022 року
Недавній звіт з дослідження безпеки Web3 детально аналізує загальну ситуацію в сфері безпеки блокчейну в першій половині 2022 року. У цій статті буде зосереджено увагу на поширених методах атаки хакерів Web3 в цей період, а також обговорено найбільш поширені типи вразливостей і заходи їх запобігання.
Загальні втрати від вразливостей
Дані показують, що в першій половині 2022 року сталося 42 основних випадки атак на контракти, що становить приблизно 53% від усіх атак. Загальні збитки від цих атак досягли 644 мільйонів доларів.
Серед усіх використаних вразливостей, логічні або функціональні помилки проектування є найчастіше використовуваними хакерами, далі йдуть проблеми верифікації та вразливості повторного входу.
Аналіз випадків значних втрат
У лютому 2022 року один проект міжмережевого мосту піддався атаці, внаслідок чого було втрачено приблизно 326 мільйонів доларів. Хакер скористався вразливістю перевірки підписів у контракті проекту, підробивши облікові записи для випуску великої кількості токенів.
У квітні 2022 року певний кредитний протокол зазнав атаки з використанням блискавичного кредиту, внаслідок якої було втрачено 80,34 мільйона доларів. Ця атака призвела до величезних втрат для команди проєкту, в результаті чого їм довелося оголосити про закриття.
Зловмисник використав уразливість повторного входу в основному контракті протоколу, створивши зворотний виклик для вилучення всіх токенів з ураженого пулу коштів. Увесь процес атаки охоплює кілька етапів, включаючи миттєвий кредит, заставне кредитування та атаки повторного входу.
Типи вразливостей, що часто зустрічаються під час аудиту
Реінвазія атака ERC721/ERC1155: включення шкідливого коду в функцію повідомлення про переказ може призвести до реінвазії атаки.
Логічна уразливість:
Недостатньо враховані спеціальні ситуації, такі як переказ грошей самому собі, що призводить до появи безпідставних активів.
Дизайн функцій не досконалий, наприклад, відсутні функції виведення або очищення.
Відсутність авторизації: ключові функції не мають налаштування контролю доступу.
Маніпуляція цінами: неналежне використання оракулів або пряма залежність від ненадійних цінових даних.
Фактично використані вразливості та їх аудит
Фактично використані хакерами вразливості сильно збігаються з типами вразливостей, виявленими під час аудиту, серед яких логічні вразливості контрактів залишаються основною метою атак.
Варто зазначити, що за допомогою професійної платформи перевірки смарт-контрактів та ручного аудиту безпеки експертами ці вразливості можуть бути виявлені на етапі аудиту перед виходом проєкту. Експерти з безпеки можуть після оцінки надати відповідні рекомендації щодо виправлення, щоб допомогти розробникам проєкту заздалегідь усунути потенційні ризики.
Отже, незважаючи на складні проблеми безпеки в сфері Web3, завдяки суворим аудитам безпеки та своєчасному виправленню вразливостей, ризик атак може бути значно знижений. Проектні команди повинні приділяти особливу увагу роботі з аудитом безпеки, розглядаючи її як невід'ємну частину процесу розробки проекту.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
8 лайків
Нагородити
8
5
Репост
Поділіться
Прокоментувати
0/400
CryptoMom
· 2год тому
Знову обдурили, як лохів? У ці часи навіть контракти не надто надійні.
Переглянути оригіналвідповісти на0
GasDevourer
· 08-14 15:19
Ці гроші можуть купити скільки газу?
Переглянути оригіналвідповісти на0
AirdropBuffet
· 08-14 15:16
离大谱 вечірка проєкту起码先审计下吧
Переглянути оригіналвідповісти на0
MintMaster
· 08-14 15:02
Витягувати вразливості не менш вигідно, ніж видобуток криптовалюти.
Переглянути оригіналвідповісти на0
DeFiChef
· 08-14 14:53
Знову міст через, засікався, чи не може сліпий вечірка проєкту навчитися писати контракти?
Web3 безпековий звіт: У першій половині 2022 року вразливості в контрактах призвели до збитків у 644 мільйони доларів
Аналіз методів атак хакерів у сфері Web3 за перше півріччя 2022 року
Недавній звіт з дослідження безпеки Web3 детально аналізує загальну ситуацію в сфері безпеки блокчейну в першій половині 2022 року. У цій статті буде зосереджено увагу на поширених методах атаки хакерів Web3 в цей період, а також обговорено найбільш поширені типи вразливостей і заходи їх запобігання.
Загальні втрати від вразливостей
Дані показують, що в першій половині 2022 року сталося 42 основних випадки атак на контракти, що становить приблизно 53% від усіх атак. Загальні збитки від цих атак досягли 644 мільйонів доларів.
Серед усіх використаних вразливостей, логічні або функціональні помилки проектування є найчастіше використовуваними хакерами, далі йдуть проблеми верифікації та вразливості повторного входу.
Аналіз випадків значних втрат
У лютому 2022 року один проект міжмережевого мосту піддався атаці, внаслідок чого було втрачено приблизно 326 мільйонів доларів. Хакер скористався вразливістю перевірки підписів у контракті проекту, підробивши облікові записи для випуску великої кількості токенів.
У квітні 2022 року певний кредитний протокол зазнав атаки з використанням блискавичного кредиту, внаслідок якої було втрачено 80,34 мільйона доларів. Ця атака призвела до величезних втрат для команди проєкту, в результаті чого їм довелося оголосити про закриття.
Зловмисник використав уразливість повторного входу в основному контракті протоколу, створивши зворотний виклик для вилучення всіх токенів з ураженого пулу коштів. Увесь процес атаки охоплює кілька етапів, включаючи миттєвий кредит, заставне кредитування та атаки повторного входу.
Типи вразливостей, що часто зустрічаються під час аудиту
Реінвазія атака ERC721/ERC1155: включення шкідливого коду в функцію повідомлення про переказ може призвести до реінвазії атаки.
Логічна уразливість:
Відсутність авторизації: ключові функції не мають налаштування контролю доступу.
Маніпуляція цінами: неналежне використання оракулів або пряма залежність від ненадійних цінових даних.
Фактично використані вразливості та їх аудит
Фактично використані хакерами вразливості сильно збігаються з типами вразливостей, виявленими під час аудиту, серед яких логічні вразливості контрактів залишаються основною метою атак.
Варто зазначити, що за допомогою професійної платформи перевірки смарт-контрактів та ручного аудиту безпеки експертами ці вразливості можуть бути виявлені на етапі аудиту перед виходом проєкту. Експерти з безпеки можуть після оцінки надати відповідні рекомендації щодо виправлення, щоб допомогти розробникам проєкту заздалегідь усунути потенційні ризики.
Отже, незважаючи на складні проблеми безпеки в сфері Web3, завдяки суворим аудитам безпеки та своєчасному виправленню вразливостей, ризик атак може бути значно знижений. Проектні команди повинні приділяти особливу увагу роботі з аудитом безпеки, розглядаючи її як невід'ємну частину процесу розробки проекту.