Попередження про безпеку Web3: змішання вразливостей фронтенду та ризиків у блокчейні
21 лютого 2025 року холодний гаманець Ethereum відомої криптовалютної біржі зазнав хакерської атаки, внаслідок якої незаконно було переведено криптоактиви на суму приблизно 1,46 мільярда доларів США. Ця подія знову підкреслила важливість безпеки в індустрії Web3, особливо вказуючи на дедалі більш розмиті межі між безпекою фронтенду та безпекою у блокчейні.
Дослідження показали, що зловмисники маніпулювали змістом транзакцій шляхом введення шкідливого JavaScript-коду, спонукаючи підписувачів багатопідписного гаманця затвердити шкідливу транзакцію. Цей метод атаки вміло поєднує традиційне використання вразливостей фронтенду та специфічні для блокчейну вразливості смарт-контрактів, демонструючи складність загроз безпеці Web3.
З технічної точки зору, цей інцидент виявив кілька слабких місць:
Безпека інфраструктури: хмарні сховища були зламані, ключові файли JavaScript були змінені.
Недостатня перевірка на стороні клієнта: відсутність ефективного механізму перевірки цілісності ресурсів (SRI).
Обмеження апаратних гаманців: неможливість повного аналізу складних транзакційних даних, що призводить до ризику "сліпого підпису".
Недоліки процесу багатопідпису: не вдалося ефективно запобігти єдиній точці відмови.
Щоб впоратися з подібними ризиками, експерти в галузі рекомендують вжити такі заходи:
Реалізація перевірки структурованого підпису EIP-712, щоб забезпечити незмінність параметрів на фронтенді.
Оновіть прошивку апаратного гаманця, щоб підтримувати більш детальний аналіз семантики транзакцій.
На рівні смарт-контрактів забезпечити примусове виконання семантичного узгодження підписів, щоб запобігти атакам сліпих підписів.
Удосконалити механізм багатопідпису, ввести додатковий етап ручного контролю.
Посилити конфігурацію безпеки хмарних сервісів, регулярно проводити тестування на проникнення.
Поліпшити практики фронтенд-розробки, зосередитися на безпеці кожного етапу взаємодії.
Ця подія вказує на те, що з швидким розвитком технології Web3 традиційні межі безпеки руйнуються. Поєднання кількох факторів, таких як вразливості фронтенду, дефекти смарт-контрактів, проблеми з управлінням приватними ключами, створює більш складну загрозу у блокчейні.
Для розробників Web3 свідомість безпеки повинна бути присутня на всьому етапі розробки. На кожному етапі, починаючи з доступу до DApp, підключення гаманця, підписання повідомлень і виконання транзакцій, необхідно постійно перевіряти та забезпечувати багаторазовий захист. Водночас, безпека аудитів контрактів у блокчейні також є невід'ємною частиною, і слід використовувати сучасні AI-допоміжні інструменти для всебічного сканування вразливостей та оцінки ризиків.
З урахуванням постійного розвитку методів хакерських атак, індустрії Web3 потрібно всебічно підвищити захисні можливості з багатьох аспектів, таких як безпека пристроїв, верифікація транзакцій, механізми управління ризиками. Лише створивши всебічну систему безпеки, що переходить від "пасивного виправлення" до "активного імунітету", можна захистити цінність та довіру кожної транзакції у відкритому, децентралізованому світі Web3.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
19 лайків
Нагородити
19
6
Поділіться
Прокоментувати
0/400
BanklessAtHeart
· 07-20 07:08
криптосвіт знову просочився
Переглянути оригіналвідповісти на0
Blockwatcher9000
· 07-17 23:14
Ще одна біржа вибухнула, невдахи ніколи не матимуть спокою.
Переглянути оригіналвідповісти на0
BridgeNomad
· 07-17 23:13
smh... ще один день, ще один містовий експлойт. коли ми навчимося про правильну валідацію сигнатур?
Переглянути оригіналвідповісти на0
CodeZeroBasis
· 07-17 23:10
Знову пішов копати, сім'я
Переглянути оригіналвідповісти на0
ForkThisDAO
· 07-17 22:57
Ця хвиля була жахливою для втрат.
Переглянути оригіналвідповісти на0
GateUser-4efcdeb1
· 07-17 22:45
Web3 безпека подій попередження: злиття вразливостей фронтенду та ризиків у блокчейні 21 лютого 2025 року, холодний гаманець Ethereum відомої платформи з обміну криптоактивами зазнав нападу хакера, в результаті чого незаконно було переведено криптоактиви на суму приблизно 1,46 мільярда доларів. Ця подія знову підкреслила важливість безпеки у Web3, особливо акцентуючи на дедалі розмитих межах між безпекою фронтенду та безпекою блокчейну. Дослідження показало, що зловмисники маніпулювали змістом транзакцій шляхом введення шкідливого JavaScript-коду, спонукаючи підписувачів мультипідпису схвалити зловмисну транзакцію. Цей метод атаки майстерно поєднує традиційне використання вразливостей фронтенду та унікальні вразливості смартконтрактів у блокчейні, демонструючи складність загроз безпеці Web3. З технічної точки зору, ця подія виявила кілька слабких місць: 1. Безпека інфраструктури: служби хмарного зберігання були зламані, ключові файли JavaScript були змінені.
14.6 мільярда доларів США Хакерська атака б'є на сполох: безпека Web3 потребує термінового оновлення
Попередження про безпеку Web3: змішання вразливостей фронтенду та ризиків у блокчейні
21 лютого 2025 року холодний гаманець Ethereum відомої криптовалютної біржі зазнав хакерської атаки, внаслідок якої незаконно було переведено криптоактиви на суму приблизно 1,46 мільярда доларів США. Ця подія знову підкреслила важливість безпеки в індустрії Web3, особливо вказуючи на дедалі більш розмиті межі між безпекою фронтенду та безпекою у блокчейні.
Дослідження показали, що зловмисники маніпулювали змістом транзакцій шляхом введення шкідливого JavaScript-коду, спонукаючи підписувачів багатопідписного гаманця затвердити шкідливу транзакцію. Цей метод атаки вміло поєднує традиційне використання вразливостей фронтенду та специфічні для блокчейну вразливості смарт-контрактів, демонструючи складність загроз безпеці Web3.
З технічної точки зору, цей інцидент виявив кілька слабких місць:
Безпека інфраструктури: хмарні сховища були зламані, ключові файли JavaScript були змінені.
Недостатня перевірка на стороні клієнта: відсутність ефективного механізму перевірки цілісності ресурсів (SRI).
Обмеження апаратних гаманців: неможливість повного аналізу складних транзакційних даних, що призводить до ризику "сліпого підпису".
Недоліки процесу багатопідпису: не вдалося ефективно запобігти єдиній точці відмови.
Щоб впоратися з подібними ризиками, експерти в галузі рекомендують вжити такі заходи:
Реалізація перевірки структурованого підпису EIP-712, щоб забезпечити незмінність параметрів на фронтенді.
Оновіть прошивку апаратного гаманця, щоб підтримувати більш детальний аналіз семантики транзакцій.
На рівні смарт-контрактів забезпечити примусове виконання семантичного узгодження підписів, щоб запобігти атакам сліпих підписів.
Удосконалити механізм багатопідпису, ввести додатковий етап ручного контролю.
Посилити конфігурацію безпеки хмарних сервісів, регулярно проводити тестування на проникнення.
Поліпшити практики фронтенд-розробки, зосередитися на безпеці кожного етапу взаємодії.
Ця подія вказує на те, що з швидким розвитком технології Web3 традиційні межі безпеки руйнуються. Поєднання кількох факторів, таких як вразливості фронтенду, дефекти смарт-контрактів, проблеми з управлінням приватними ключами, створює більш складну загрозу у блокчейні.
Для розробників Web3 свідомість безпеки повинна бути присутня на всьому етапі розробки. На кожному етапі, починаючи з доступу до DApp, підключення гаманця, підписання повідомлень і виконання транзакцій, необхідно постійно перевіряти та забезпечувати багаторазовий захист. Водночас, безпека аудитів контрактів у блокчейні також є невід'ємною частиною, і слід використовувати сучасні AI-допоміжні інструменти для всебічного сканування вразливостей та оцінки ризиків.
З урахуванням постійного розвитку методів хакерських атак, індустрії Web3 потрібно всебічно підвищити захисні можливості з багатьох аспектів, таких як безпека пристроїв, верифікація транзакцій, механізми управління ризиками. Лише створивши всебічну систему безпеки, що переходить від "пасивного виправлення" до "активного імунітету", можна захистити цінність та довіру кожної транзакції у відкритому, децентралізованому світі Web3.
21 лютого 2025 року, холодний гаманець Ethereum відомої платформи з обміну криптоактивами зазнав нападу хакера, в результаті чого незаконно було переведено криптоактиви на суму приблизно 1,46 мільярда доларів. Ця подія знову підкреслила важливість безпеки у Web3, особливо акцентуючи на дедалі розмитих межах між безпекою фронтенду та безпекою блокчейну.
Дослідження показало, що зловмисники маніпулювали змістом транзакцій шляхом введення шкідливого JavaScript-коду, спонукаючи підписувачів мультипідпису схвалити зловмисну транзакцію. Цей метод атаки майстерно поєднує традиційне використання вразливостей фронтенду та унікальні вразливості смартконтрактів у блокчейні, демонструючи складність загроз безпеці Web3.
З технічної точки зору, ця подія виявила кілька слабких місць:
1. Безпека інфраструктури: служби хмарного зберігання були зламані, ключові файли JavaScript були змінені.